Windows Server 2008 R2 - Amazon S3 · 2018-03-26 · 24 Windows 7 und Windows Server 2008...

Ulrich B. Boddenberg

Windows Server 2008 R2Das umfassende Handbuch

3

Auf einen Blick

1 Warum eine neue Server-Version? .................................................... 25

2 Editionen und Lizenzen ...................................................................... 49

3 Hardware und Dimensionierung ........................................................ 55

4 Protokolle .......................................................................................... 127

5 Was überhaupt ist .NET? ................................................................... 177

6 Installation ......................................................................................... 189

7 Core-Installationsoption .................................................................... 197

8 Active Directory-Domänendienste .................................................... 207

9 Netzwerkdienste im AD-Umfeld ........................................................ 425

10 Active Directory Lightweight Directory Services (AD LDS) ............... 455

11 Active Directory-Verbunddienste (Federation Services) .................... 477

12 Active Directory-Zertifikatdienste ..................................................... 483

13 Active Directory-Rechteverwaltungsdienste (AD RMS) .................... 587

14 »Innere Sicherheit« ............................................................................ 607

15 Dateisystem und Dateidienste .......................................................... 701

16 Drucken .............................................................................................. 773

17 Webserver (IIS) .................................................................................. 795

18 SharePoint (Windows SharePoint Services, WSS) ............................ 919

19 Remotedesktopdienste (Terminaldienste) .........................................1069

20 Hochverfügbarkeit .............................................................................1217

21 Datensicherung ..................................................................................1285

22 Servervirtualisierung mit Hyper-V .....................................................1297

23 Windows PowerShell .........................................................................1343

24 Windows 7 und Windows Server 2008 R2 ........................................1359

1528.book Seite 3 Freitag, 27. November 2009 12:29 12

5

Inhalt

Geleitwort zu diesem Buch ....................................................................................... 21

Inhalt des Buchs ....................................................................................................... 23

Denn der, dem König zürnendSandte verderbliche Seuche durchs Heer; und es sanken die Völker:Drum weil ihm den Chryses beleidiget, seinen Priester,Atreus Sohn. Denn er kam zu den rüstigen Schiffen Achaias,Frei zu kaufen die Tochter, und bracht' unendliche Lösung,Tragend den Lorbeerschmuck des treffenden Phöbos ApollonUnd den goldenen Stab; 25

1 Warum eine neue Server-Version? ..................................................... 25

1.1 Rückblick ................................................................................................ 251.1.1 Windows 1, 2 und 3 ................................................................. 251.1.2 Windows NT 3.1 Advanced Server ............................................ 271.1.3 Windows NT Server 3.5 und 3.51 ............................................. 291.1.4 Windows NT 4 Server ............................................................... 311.1.5 Windows 2000 Server und Windows Server 2003...................... 32

1.2 Windows Server 2008 und Windows Server 2008 R2 .............................. 351.3 Aufgaben und Rollen ............................................................................... 41

1.3.1 Rollen ....................................................................................... 421.3.2 Features .................................................................................... 441.3.3 Zusammenspiel mit anderen Microsoft-Produkten ..................... 45

Und er flehete laut den Achaiern,Doch den Atreiden vor allen, den zween Feldherren der Völker:Atreus Söhn', und ihr andern, ihr hellumschienten Achaier,Euch verleihn die Götter, olympischer Höhen Bewohner,Priamos Stadt zu vertilgen, und wohl nach Hause zu kehren 49

2 Editionen und Lizenzen ...................................................................... 49

2.1 Editionen ................................................................................................ 492.1.1 Technische Spezifikationen im Vergleich ................................... 502.1.2 Vergleich der installierbaren Serverrollen .................................. 51

2.2 Lizenzierung ............................................................................................ 52

Doch mir gebt die Tochter zurück, und empfahet die Lösung,Ehrfurchtsvoll vor Zeus ferntreffendem Sohn Apollon.Drauf gebot beifallend das ganze Heer der Achaier,Ehrend den Priester zu scheun, und die köstliche Lösung zu nehmen.Aber nicht Agamemnon, des Atreus Sohne, gefiel es 55

3 Hardware und Dimensionierung ........................................................ 55

3.1 Serverhardware ....................................................................................... 553.1.1 Prozessoren .............................................................................. 553.1.2 Serverarchitektur ...................................................................... 593.1.3 Hauptspeicher .......................................................................... 603.1.4 Festplatten ............................................................................... 603.1.5 Netzwerkkonnektivität .............................................................. 643.1.6 Überwachung ........................................................................... 64

3.2 Storage-Architekturen ............................................................................. 653.2.1 SAN, NAS, iSCSI ....................................................................... 653.2.2 SAN-Architektur ....................................................................... 69


6

Inhalt

3.2.3 Premium Features von Storage-Systemen .................................. 743.2.4 Virtualisierung .......................................................................... 79

3.3 Netzwerk ................................................................................................. 813.3.1 Netzwerkstrukturen und Verfügbarkeit ..................................... 813.3.2 Anbindung von entfernten Nutzern .......................................... 863.3.3 Netzwerkmanagement .............................................................. 88

3.4 Das Rechenzentrum ................................................................................. 893.4.1 Zugangskontrolle ...................................................................... 893.4.2 Feuer, Wasser … ....................................................................... 913.4.3 Räumliche Anforderungen ........................................................ 913.4.4 Stromversorgung ...................................................................... 923.4.5 Redundante Rechenzentren ...................................................... 94

3.5 Mein Freund, der Systemmonitor ............................................................ 943.5.1 Leistungsindikatoren, Objekte und Instanzen............................. 963.5.2 Protokoll erstellen .................................................................... 1013.5.3 Protokoll untersuchen ............................................................... 1063.5.4 Leistungsmessung über Computergrenzen hinweg ..................... 108

3.6 Dimensionierung und Performance .......................................................... 1103.6.1 Festplatte & Co. ........................................................................ 1113.6.2 Hauptspeicher .......................................................................... 1243.6.3 Prozessor .................................................................................. 1243.6.4 Netzwerkkonnektivität .............................................................. 125

Dieser entsandt' ihn mit Schmach, und befahl die drohenden Worte:Daß ich nimmer, o Greis, bei den räumigen Schiffen dich treffe,Weder anitzt hier zaudernd, noch wiederkehrend in Zukunft!Kaum wohl möchte dir helfen der Stab, und der Lorbeer des Gottes!Jene lös' ich dir nicht, bis einst das Alter ihr nahet 127

4 Protokolle ........................................................................................... 127

4.1 Mein Freund, der Netzwerkmonitor ........................................................ 1284.1.1 Kurzüberblick ........................................................................... 1284.1.2 Messen und Auswerten – ein Schnelleinstieg ............................. 132

4.2 IPv4 vs. IPv6 ............................................................................................ 1394.2.1 Unterschiede ............................................................................ 1404.2.2 IPv6 – die Adressierung ............................................................ 1414.2.3 Vergabe von IPv6-Adressen ...................................................... 1474.2.4 Abschalten von IPv6 ................................................................. 148

4.3 Einige grundlegende Netzwerkprotokolle ................................................ 1494.3.1 DHCP – Dynamic Host Configuration Protocol ........................... 1494.3.2 ARP – Address Resolution Protocol ........................................... 1534.3.3 DNS – Domain Name System .................................................... 156

4.4 Authentifizierung und Kerberos ............................................................... 1594.4.1 Authentifizierung vs. Autorisierung ........................................... 1604.4.2 Kerberos – Funktionsweise ....................................................... 1624.4.3 Delegierung .............................................................................. 165


7

Inhalt

4.4.4 Der Service Principal Name (SPN) ............................................. 1664.4.5 Kerberos-Delegierung verwenden ............................................. 1684.4.6 Shoot the Trouble ..................................................................... 1714.4.7 Kernelmodus-Authentifizierung im IIS 7 ................................... 174

Wann sie in meinem Palast in Argos, fern von der Heimat,Mir als Weberin dient, und meines Bettes Genossin!Gehe denn, reize mich nicht; daß wohlbehalten du kehrest!Jener sprach's: doch Chryses erschrak, und gehorchte der Rede.Schweigend ging er am Ufer des weitaufrauschenden Meeres 177

5 Was überhaupt ist .NET? ................................................................... 177

5.1 Der Grundgedanke .................................................................................. 1785.2 .NET bei der Arbeit .................................................................................. 1795.3 .NET Framework und Compact Framework .............................................. 1815.4 Code Access Security ............................................................................... 1845.5 Von Codegruppen und Berechtigungssätzen ............................................ 1865.6 WPF, WCF, WWF und CardSpace ............................................................ 187

Und wie er einsam jetzt hinwandelte, flehte der AlteViel zum Herrscher Apollon, dem Sohn der lockigen Leto:Höre mich, Gott, der du Chrysa mit silbernem Bogen umwandelst,Samt der heiligen Killa, und Tenedos mächtig beherrschest,Smintheus! hab ich dir je den prangenden Tempel gekränzet 189

6 Installation ......................................................................................... 189

6.1 Grundinstallation ..................................................................................... 1896.2 Aktivieren ................................................................................................ 193

Oder hab' ich dir je von erlesenen Farren und ZiegenFette Schenkel verbrannt; so gewähre mir dieses Verlangen:Meine Tränen vergilt mit deinem Geschoß den Achaiern!Also rief er betend; ihn hörete Phöbos Apollon.Schnell von den Höhn des Olympos enteilet' er, zürnendes Herzens 197

7 Core-Installationsoption .................................................................... 197

7.1 Erste Schritte ........................................................................................... 1997.1.1 Statische IP-Adresse setzen ....................................................... 1997.1.2 Computer umbenennen ............................................................ 2007.1.3 Der Domäne beitreten .............................................................. 2017.1.4 Management per RDP ermöglichen .......................................... 201

7.2 Weitere Rollen hinzufügen ...................................................................... 2027.2.1 OCList und OCSetup ................................................................. 2027.2.2 Active Directory installieren ...................................................... 2037.2.3 DNS-Server installieren ............................................................. 203

Auf der Schulter den Bogen und ringsverschlossenen Köcher.Laut erschallen die Pfeile zugleich an des Zürnenden Schulter,Als er einher sich bewegt'; er wandelte, düster wie Nachtgraun;Setzte sich drauf von den Schiffen entfernt, und schnellte den Pfeil ab;Und ein schrecklicher Klang entscholl dem silbernen Bogen. 207

8 Active Directory-Domänendienste ..................................................... 207

8.1 Aufbau und Struktur ................................................................................ 2088.1.1 Logische Struktur ...................................................................... 2088.1.2 Schema ..................................................................................... 2178.1.3 Der globale Katalog (Global Catalog, GC) .................................. 2218.1.4 Betriebsmasterrollen/FSMO-Rollen ........................................... 2258.1.5 Verteilung von Betriebsmasterrollen und Global Catalog ........... 2338.1.6 Schreibgeschützte Domänencontroller, Read Only

Domain Controller (RODC) ....................................................... 236


8

Inhalt

8.2 Planung und Design des Active Directory ................................................ 2408.2.1 Abbildung des Unternehmens ................................................... 2408.2.2 Übersichtlichkeit und Verwaltbarkeit ........................................ 2438.2.3 Standorte .................................................................................. 2468.2.4 Replikation ............................................................................... 2518.2.5 Gruppenrichtlinien .................................................................... 279

8.3 Ein neues Active Directory einrichten ...................................................... 2808.3.1 Den ersten Domänencontroller einrichten ................................ 2808.3.2 Zusätzliche Domänencontroller einrichten ................................ 284

8.4 Gruppenrichtlinien .................................................................................. 2848.4.1 Anwendungsbeispiel ................................................................. 2858.4.2 Richtlinien für Computer und Benutzer ..................................... 2888.4.3 Verteilung über Domänencontroller .......................................... 2908.4.4 Vererbung ................................................................................ 2948.4.5 Sicherheit und Vorrang ............................................................. 2988.4.6 Filter ......................................................................................... 3008.4.7 Abarbeitungsreihenfolge, Teil II ................................................ 3008.4.8 Lokale GPOs (ab Windows Vista und Windows Server 2008) ..... 3018.4.9 Starter-Gruppenrichtlinienobjekte/Starter-GPOs ........................ 3048.4.10 ADM vs. ADMX ........................................................................ 3098.4.11 Zuweisen und Bearbeiten von Gruppenrichtlinien ...................... 3218.4.12 WMI-Filter ............................................................................... 3368.4.13 Softwareverteilung mit Gruppenrichtlinien ................................ 3408.4.14 Loopback-Verarbeitung ............................................................ 3428.4.15 Gruppenrichtlinien-Voreinstellungen (Preferences) .................... 343

8.5 Diverses über Gruppen ............................................................................ 3488.6 Delegierung der Verwaltung .................................................................... 3508.7 Das Active Directory aus der Client-Perspektive ....................................... 353

8.7.1 DNS-Einträge oder »Wie findet der Client das Active Directory?« ..................................................................... 353

8.7.2 Das Active Directory durchsuchen ............................................ 3548.7.3 Individuelle Erweiterungen ....................................................... 356

8.8 Zeitdienst ................................................................................................ 3578.8.1 Grundkonfiguration der Zeitsynchronisation .............................. 3578.8.2 Größere Umgebungen ............................................................... 359

8.9 Upgrade der Gesamtstruktur auf Active Directory-Domänendienste (AD DS) 2008 .......................................................................................... 3618.9.1 Schemaerweiterung und Anpassung der Domänen durchführen 3618.9.2 Windows Server 2008 Domänencontroller installieren............... 3658.9.3 Kurze Überprüfung ................................................................... 3718.9.4 FSMO-Rollen verschieben ......................................................... 373


9

Inhalt

8.9.5 Alte Domänencontroller deinstallieren und einheitlichen Modus wählen .......................................................................... 376

8.9.6 Real-World-Troubleshooting – ein Beispiel ............................... 3778.10 Umstrukturieren ...................................................................................... 3838.11 Werkzeugkiste ......................................................................................... 3848.12 Windows Server 2008 R2-Domänencontroller ......................................... 385

8.12.1 Schema-Erweiterung ................................................................. 3868.12.2 2008 R2-Domänencontroller installieren .................................. 3878.12.3 2008-Domänencontroller auf R2 migrieren ............................... 389

8.13 Active Directory Best Practice Analyzer" ................................................. 3958.14 Der Active Directory-Papierkorb .............................................................. 397

8.14.1 Voraussetzungen ...................................................................... 3988.14.2 Active Directory-Papierkorb aktivieren ...................................... 3988.14.3 Gelöschte Objekte anzeigen und wiederherstellen ..................... 3998.14.4 Wiederherstellen mit der PowerShell ........................................ 405

8.15 Active Directory-Verwaltungscenter ........................................................ 4058.15.1 Kennwort zurücksetzen ............................................................. 4078.15.2 Benutzer suchen und Attribute anzeigen und modifizieren ........ 4088.15.3 Navigieren und filtern ............................................................... 4098.15.4 Neuanlegen von Objekten ........................................................ 4128.15.5 Navigationsknoten und mehrere Domänen ............................... 4128.15.6 Technik im Hintergrund / Voraussetzungen ............................... 415

8.16 Active Directory-Webdienste (Active Directory Web Services, ADWS) ..... 4158.17 Active Directory-Modul für Windows-PowerShell .................................... 4188.18 Offline-Domänenbeitritt .......................................................................... 423

Nur Maultier' erlegt' er zuerst und hurtige Hunde:Doch nun gegen sie selbst das herbe Geschoß hinwendend,Traf er; und rastlos brannten die Totenfeuer in Menge.Schon neun Tage durchflogen das Heer die Geschosse des Gottes. 425

9 Netzwerkdienste im AD-Umfeld ........................................................ 425

9.1 DNS ........................................................................................................ 4259.1.1 Zonen ....................................................................................... 4269.1.2 Server ....................................................................................... 4319.1.3 Weiterleitungen und Delegierungen ......................................... 4339.1.4 Einen DNS-Server für das AD hinzufügen .................................. 4379.1.5 Manuell Einträge hinzufügen .................................................... 4379.1.6 Reverse-Lookupzone einrichten ................................................ 4389.1.7 Wie findet der Client einen Domänencontroller? ....................... 440

9.2 DHCP ...................................................................................................... 4419.2.1 Einen neuen DHCP-Server einrichten ........................................ 4419.2.2 Konfiguration und Betrieb ........................................................ 4459.2.3 Redundanz ............................................................................... 450

9.3 WINS ...................................................................................................... 4519.4 NetBIOS über TCP/IP .............................................................................. 452


10

Inhalt

Drauf am zehnten berief des Volks Versammlung Achilleus,Dem in die Seel' es legte die lilienarmige Here;Denn sie sorgt' um der Danaer Volk, die Sterbenden schauend.Als sie nunmehr sich versammelt, und voll gedrängt die Versammlung;Trat hervor und begann der mutige Renner Achilleus:Atreus Sohn, nun denk' ich, wir ziehn den vorigen Irrweg 455

10 Active Directory Lightweight Directory Services (AD LDS) ............... 455

10.1 Installation .............................................................................................. 45710.2 Einrichten einer Instanz ........................................................................... 45810.3 Administration ........................................................................................ 46510.4 Replikation einrichten ............................................................................. 472

Wieder nach Hause zurück, wofern wir entrinnen dem Tode;Weil ja zugleich der Krieg und die Pest hinrafft die Achaier.Aber wohlan, fragt einen der Opferer, oder der Seher,Oder auch Traumausleger; auch Träume ja kommen von Zeus her:Der uns sage, warum so ereiferte Phöbos Apollon 477

11 Active Directory-Verbunddienste (Federation Services) .................... 477

11.1 Ein Anwendungsszenario ......................................................................... 47711.2 Installation .............................................................................................. 47811.3 Die Kernidee ........................................................................................... 480

Ob versäumte Gelübd' ihn erzürneten, ob Hekatomben:Wenn vielleicht der Lämmer Gedüft und erlesener ZiegenEr zum Opfer begehrt, von uns die Plage zu wenden.Also redete jener, und setzte sich. Wieder erhub sichKalchas der Thestoride, der weiseste Vogelschauer 483

12 Active Directory-Zertifikatdienste ..................................................... 483

12.1 Einige Anwendungsszenarien ................................................................... 48312.1.1 Internet-Authentifizierung und Verschlüsselung......................... 48312.1.2 Sichere E-Mail .......................................................................... 48512.1.3 Codesignatur ............................................................................ 48812.1.4 IP-Verschlüsselung .................................................................... 49012.1.5 Anmeldung mit Smartcard ........................................................ 49012.1.6 Wireless Authentification (802.1X) ........................................... 49112.1.7 Fazit ......................................................................................... 491

12.2 Zertifikatsdienste installieren/Migration (einstufige Architektur) .............. 49112.3 Zertifikate aus Sicht des Clients ................................................................ 50012.4 Zertifizierungspfad ................................................................................... 50512.5 Zertifikatvorlagen .................................................................................... 50512.6 Weboberfläche ........................................................................................ 51212.7 Mehrstufige Architekturen ....................................................................... 515

12.7.1 Rollen ....................................................................................... 51512.7.2 Architekturen ........................................................................... 517

12.8 Autoenrollment und automatische Zertifikatanforderung ......................... 51912.8.1 Automatische Zertifikatanforderung .......................................... 51912.8.2 Autoenrollment ........................................................................ 521

12.9 Zertifikate für Websites ........................................................................... 52512.10 Zertifikatssperrlisten ................................................................................ 525

12.10.1 Funktionsweise – ganz grob ...................................................... 52712.10.2 Sperrlisteneinträge .................................................................... 53012.10.3 Gültigkeit einer Sperrliste .......................................................... 53312.10.4 Zertifikatgültigkeit überprüfen .................................................. 53312.10.5 Der Cache ................................................................................ 539


11

Inhalt

12.10.6 ISA Server zum Veröffentlichen der Speicherortes verwenden .... 54012.11 Das Online Certificate Status Protocol (OCSP) ......................................... 543

12.11.1 Konfiguration des Online-Responders ....................................... 54412.11.2 Anpassung der Zertifizierungsstelle ........................................... 55012.11.3 Testen ...................................................................................... 55012.11.4 ISA Server-Veröffentlichung ...................................................... 551

12.12 Zweistufige Architektur implementieren .................................................. 55212.12.1 Offline-CA installieren und konfigurieren .................................. 55312.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver

und dem Active Directory hinzufügen ....................................... 56712.12.3 Unternehmens-CA installieren .................................................. 56912.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen....... 582

12.13 Zertifikate und Windows Mobile ............................................................. 58212.13.1 Pocket PC und Pocket PC Phone Edition ................................... 58212.13.2 Smartphone .............................................................................. 583

12.14 Zertifikate und das iPhone ....................................................................... 585

Der erkannte, was ist, was sein wird, oder zuvor war,Der auch her vor Troja der Danaer Schiffe geleitetDurch wahrsagenden Geist, des ihn würdigte Phöbos Apollon;Dieser begann wohlmeinend, und redete vor der Versammlung:Peleus Sohn, du gebeutst mir, o Göttlicher, auszudeuten 587

13 Active Directory-Rechteverwaltungsdienste (AD RMS) .................... 587

13.1 Funktionsweise ........................................................................................ 58913.2 Installation .............................................................................................. 590

13.2.1 Server-Installation ..................................................................... 59013.2.2 Client-Installation ..................................................................... 596

13.3 Anwendung ............................................................................................. 59713.3.1 Word-Dokument schützen ........................................................ 59713.3.2 E-Mail schützen ........................................................................ 60013.3.3 Geschützte Inhalte ohne Office & Co. anzeigen.......................... 603

13.4 Konfiguration .......................................................................................... 60413.4.1 Serverkonfiguration .................................................................. 60413.4.2 Gruppenrichtlinien .................................................................... 605

13.5 Abschlussbemerkung ............................................................................... 605

Diesen Zorn des Apollon, des fernhintreffenden Herrschers.Gerne will ich's ansagen; doch du verheiße mit Eidschwur,Daß du gewiß willfährig mit Wort und Händen mir helfest.Denn leicht möcht' erzürnen ein Mann, der mächtiges AnsehnsArgos Völker beherrscht, und dem die Achaier gehorchen. 607

14 »Innere Sicherheit« ............................................................................. 607

14.1 Netzwerkrichtlinien- und Zugriffsdienste ................................................. 60814.1.1 Wie funktioniert NAP? .............................................................. 60914.1.2 Netzwerkrichtlinienserver ......................................................... 61314.1.3 Client vorbereiten ..................................................................... 61414.1.4 Mehrstufiges NAP-Konzept vorbereiten .................................... 61714.1.5 NAP für DHCP-Zugriff ............................................................... 62214.1.6 Und die anderen Netzwerkverbindungsmethoden? .................... 638


12

Inhalt

14.2 Windows-Firewall ................................................................................... 64014.2.1 Eingehende und ausgehende Regeln ......................................... 64114.2.2 Basiskonfiguration ..................................................................... 64214.2.3 Regeln im Detail ....................................................................... 64414.2.4 Verbindungssicherheitsregeln ................................................... 646

14.3 Windows Server Update Services (WSUS) ................................................ 65314.3.1 Die Funktionsweise ................................................................... 65414.3.2 Installation ............................................................................... 65514.3.3 Erstkonfiguration mit dem Assistenten ...................................... 65814.3.4 Konfiguration und Betrieb ........................................................ 66114.3.5 Updates genehmigen ................................................................ 66614.3.6 Gruppenrichtlinie konfigurieren ................................................ 66914.3.7 Kurzer Blick auf den WSUS-Client ............................................. 67014.3.8 Mit Berichten arbeiten .............................................................. 672

14.4 VPNs mit Windows Server 2008 R2 ......................................................... 67414.4.1 Gateway-Architektur ................................................................. 67514.4.2 Grundkonfiguration des VPN-Servers ........................................ 67714.4.3 VPN einrichten (allgemein) ....................................................... 68014.4.4 Einwahlberechtigung ................................................................ 68414.4.5 PPTP-VPN ................................................................................ 68614.4.6 L2TP-VPN ................................................................................. 68714.4.7 SSTP ........................................................................................ 69014.4.8 Automatischer Modus .............................................................. 69514.4.9 Connection Manager Administration Kit (CMAK,

Verbindungs-Manager-Verwaltungskit) ..................................... 696

Stärker ja ist ein König, der zürnt dem geringeren Manne.Wenn er auch die Galle den selbigen Tag noch zurückhält;Dennoch laur't ihm beständig der heimliche Groll in den Busen,Bis er ihn endlich gekühlt. Drum rede du, willst du mich schützen? 701

15 Dateisystem und Dateidienste ........................................................... 701

15.1 Allgemeines zum Dateisystem ................................................................. 70115.1.1 Aufbau ...................................................................................... 70115.1.2 Platten verwalten ...................................................................... 70215.1.3 MBR vs. GPT ............................................................................. 70515.1.4 Partitionieren ............................................................................ 70615.1.5 Basis-Datenträger vs. dynamische Datenträger ........................... 71015.1.6 Spiegeln .................................................................................... 71115.1.7 Volumes vergrößern und verkleinern ........................................ 71515.1.8 Weitere Optionen ..................................................................... 72015.1.9 Schattenkopien – Volume Shadow Copy Service ........................ 72115.1.10 Transactional NTFS und Self-Healing NTFS ................................ 724

15.2 Installation der Rolle Dateiserver ............................................................. 72415.3 Ressourcen-Manager für Dateiserver (RMDS) .......................................... 725


13

Inhalt

15.3.1 Kontingentverwaltung .............................................................. 72615.3.2 Dateiprüfungsverwaltung/File Screening Management............... 73115.3.3 Speicherberichteverwaltung ...................................................... 734

15.4 Verteiltes Dateisystem – Distributed File System (DFS) ............................ 73715.4.1 Grundfunktion .......................................................................... 73715.4.2 DFS und DFS-Replikation ......................................................... 73915.4.3 Ausfallsicherheit ....................................................................... 74015.4.4 Verteilen von Daten – standortübergreifendes DFS .................... 74115.4.5 Sicherung von Daten ................................................................ 74315.4.6 DFS installieren ......................................................................... 74415.4.7 Basiskonfiguration .................................................................... 74515.4.8 Konfiguration der Replikation ................................................... 75315.4.9 Redundanz des Namespaceservers ............................................ 758

15.5 Encrypting File System, EFS ..................................................................... 75915.5.1 Konfiguration und Anwendung ................................................. 75915.5.2 Zugriff für mehrere Benutzer ..................................................... 76315.5.3 Datenwiederherstellungs-Agenten ............................................ 76615.5.4 EFS per Gruppenrichtlinie steuern ............................................. 77115.5.5 Cipher ...................................................................................... 772

Ihm antwortete darauf der mutige Renner Achilleus:Sei getrost, und erkläre den Götterwink, den du wahrnahmst.Denn bei Apollon fürwahr, Zeus Lieblinge, welchem, o Kalchas,Flehend zuvor, den Achaiern der Götter Rat du enthüllest:Keiner, so lang' ich leb', und das Licht auf Erden noch schaue,Soll bei den räumigen Schiffen mit frevelnder Hand dich berühren 773

16 Drucken .............................................................................................. 773

16.1 Einige Begriffe und Definitionen .............................................................. 77416.1.1 Druckserver, Drucker und Druckerobjekte ................................ 77416.1.2 XPS ........................................................................................... 776

16.2 Installation .............................................................................................. 77816.3 Arbeiten mit der Druckverwaltung ........................................................... 780

16.3.1 Drucker installieren ................................................................... 78016.3.2 Zusätzliche Treiber installieren .................................................. 78216.3.3 Anschlüsse konfigurieren .......................................................... 78416.3.4 Druckserver konfigurieren ......................................................... 78516.3.5 Eigenschaften und Druckerstandards ........................................ 78616.3.6 Import/Export der Konfiguration ............................................... 78716.3.7 Arbeiten mit Filtern (Überwachen) ............................................ 787

16.4 Drucker bereitstellen ............................................................................... 789

Aller Achaier umher! und nenntest du selbst Agamemnon,Der nun mächtig zu sein vor allem Volke sich rühmet!Jetzo begann er getrost, und sprach, der untadliche Seher:Nicht versäumte Gelübd' erzürnten ihn, noch Hekatomben;Sondern er zürnt um den Priester, den also entehrt' Agamemnon 795

17 Webserver (IIS) ................................................................................... 795

17.1 Begriffsdefinitionen ................................................................................. 79717.1.1 Webapplikation vs. Webservice ................................................ 797


14

Inhalt

17.1.2 Website vs. Webseite ............................................................... 79917.2 ASP.NET .................................................................................................. 800

17.2.1 Die Entwicklungsumgebung ...................................................... 80117.2.2 Clientseitig: JavaScript .............................................................. 80417.2.3 Die web.config-Datei ................................................................ 80417.2.4 Kompilierung und Vorkompilierung .......................................... 80717.2.5 Sicherheit und ASP.NET ............................................................ 811

17.3 Installation .............................................................................................. 81217.4 Kurzer Überblick über die Architektur des Webservers ............................ 814

17.4.1 Architektur ............................................................................... 81417.4.2 Anforderungsverarbeitung ........................................................ 81517.4.3 Anforderungsverarbeitung im Anwendungspool......................... 81717.4.4 Die »Modulbauweise« ............................................................... 821

17.5 Webserver, Websites, Anwendungen, virtuelle Verzeichnisse und Anwendungspools ................................................................................... 82617.5.1 Die Zusammenhänge ................................................................ 82717.5.2 Webserver ................................................................................ 82917.5.3 Anwendungspool ...................................................................... 83017.5.4 Website .................................................................................... 83217.5.5 Anwendung .............................................................................. 83617.5.6 Virtuelles Verzeichnis ................................................................ 838

17.6 Authentifizierung ..................................................................................... 83817.6.1 Anonyme Authentifizierung ...................................................... 83917.6.2 Standardauthentifizierung ......................................................... 84317.6.3 Digestauthentifizierung ............................................................. 84917.6.4 Windows-Authentifizierung ...................................................... 85217.6.5 Authentifizierungsdelegierung .................................................. 85617.6.6 Webanwendungen und Kerberos .............................................. 85717.6.7 Delegierung, eingeschränke Delegierung und

Protokollübergang .................................................................... 86917.6.8 Formularauthentifizierung ......................................................... 871

17.7 Autorisierung .......................................................................................... 88117.7.1 NTFS-Berechtigungen ............................................................... 88217.7.2 URL-Autorisierung .................................................................... 883

17.8 Sonstiges zum Thema »Sicherheit« ........................................................... 88517.8.1 SSL-Verschlüsselung ................................................................. 88517.8.2 .NET-Vertrauensebenen ............................................................ 88917.8.3 IP- und Domäneneinschränkungen ........................................... 895

17.9 Sitzungszustand & Co. ............................................................................. 89617.10 Load Balancing und Redundanz ............................................................... 900

17.10.1 Verwendung von Microsoft NLB ............................................... 901


15

Inhalt

17.10.2 Remoteanforderungen .............................................................. 90117.10.3 Freigegebene Konfiguration ...................................................... 90317.10.4 Sitzungsstatus ........................................................................... 90317.10.5 Datenbankserver & Co. ............................................................. 904

17.11 Administration ........................................................................................ 90417.11.1 Remote-Administration ............................................................ 90417.11.2 Remote-Administration für Nicht-Server-Administratoren

und IIS-Benutzer ....................................................................... 90917.11.3 Delegierung von Features ......................................................... 91217.11.4 Protokollierung ......................................................................... 914

17.12 Der Best Practice Analyzer (BPA) ............................................................. 91617.13 IIS-Schlussbemerkung .............................................................................. 917

Nicht die Tochter befreit', und nicht annahm die Erlösung:Darum gab uns Jammer der Treffende, wird es auch geben.Nicht wird jener die schreckliche Hand abziehn vom Verderben,Bis man zurück dem Vater das freudigblickende MägdleinHingibt, frei, ohn' Entgelt, und mit heiliger Festhekatombe 919

18 SharePoint (Windows SharePoint Services, WSS) ............................. 919

18.1 Warum SharePoint? ................................................................................. 92018.1.1 Unternehmenswissen ................................................................ 92218.1.2 Intranet, Extranet und Internet ................................................. 92318.1.3 Content Manager und andere Rollen ........................................ 92518.1.4 Wie viele Mausklicks? Oder: Über die Benutzereffizienz ............ 929

18.2 Welche SharePoint-Edition? .................................................................... 93018.3 Das initiale Projekt .................................................................................. 93118.4 Hinweise zur Lizenzierung ....................................................................... 93318.5 Installation .............................................................................................. 93318.6 Ein erster Blick ........................................................................................ 942

18.6.1 Zentraladministration ................................................................ 94218.6.2 SharePoint Website .................................................................. 94518.6.3 Konfigurationsmöglichkeiten auf der Website ............................ 94818.6.4 Dateistruktur ............................................................................ 949

18.7 Webanwendung, Websitesammlung, Website ......................................... 95118.7.1 Vorhandene Webanwendung administrieren ............................. 95318.7.2 Vorhandene Websitesammlung administrieren .......................... 95518.7.3 Neue Webanwendung und Websitesammung erstellen.............. 957

18.8 Listen und Dokumentbibliotheken ........................................................... 96318.8.1 Listen anlegen .......................................................................... 96418.8.2 Listen konfigurieren .................................................................. 96718.8.3 Listenwebparts ......................................................................... 98618.8.4 Der Papierkorb ......................................................................... 98718.8.5 Dokumentbibliotheken ............................................................. 98918.8.6 Eingehende E-Mail ................................................................... 992

18.9 Benutzerverwaltung in SharePoint ........................................................... 1000


16

Inhalt

18.9.1 SharePoint-Gruppen ................................................................. 100118.9.2 AD-Benutzer und Gruppen ohne SharePoint-Gruppen

verwenden ................................................................................ 100818.9.3 AD-Gruppen vs. SharePoint-Gruppen ....................................... 100918.9.4 Berechtigungsstufen .................................................................. 101018.9.5 Vererbung ................................................................................ 1012

18.10 Webparts ................................................................................................ 101518.10.1 Webparts hinzufügen ................................................................ 101618.10.2 Webparts mit dem SharePoint Designer platzieren..................... 101818.10.3 Webparts konfigurieren ............................................................ 101818.10.4 Der Webpartkatalog ................................................................. 102018.10.5 Webparts mit Verbindungen ..................................................... 1021

18.11 Workflows ............................................................................................... 102718.11.1 SharePoint Designer-Workflows vs. Visual Studio-Workflows .... 102818.11.2 SharePoint-Workflows aus 10.000 m Höhe ............................... 102918.11.3 Standard-Workflows (Drei-Status-Workflow) ............................. 103218.11.4 SharePoint Designer-Workflows ................................................ 104218.11.5 Visual Studio-Workflows ........................................................... 1065

18.12 Vorlagen .................................................................................................. 106518.13 Abschlussbemerkung ............................................................................... 1066

Heim gen Chrysa entführt. Das möcht' ihn vielleicht versöhnen.Also redete jener, und setzte sich. Wieder erhub sichAtreus Heldensohn, der Völkerfürst Agamemnon,Zürnend vor Schmerz; es schwoll ihm das finstere Herz voll der Galle,Schwarz umströmt; und den Augen entfunkelte strahlendes Feuer. 1069

19 Remotedesktopdienste (Terminaldienste) ......................................... 1069

19.1 Die Funktionen aus 10.000 m Höhe ........................................................ 107219.2 Installation .............................................................................................. 107619.3 Feature »Desktopdarstellung« installieren ................................................ 108319.4 Benutzerzugriff ........................................................................................ 108719.5 Installation von Anwendungen ................................................................ 109219.6 Desktop bereitstellen .............................................................................. 109619.7 RemoteApp-Programme .......................................................................... 109719.8 Administration und Verwaltung ............................................................... 1106

19.8.1 Konfiguration des Remotedesktop-Sitzungshosts ....................... 110719.8.2 Benutzeradministration ............................................................. 111919.8.3 Remotedesktopdienste-Manager .............................................. 112119.8.4 Loopback-Verarbeitung ............................................................ 112419.8.5 Remotedesktopdienste-Lizenzierungung ................................... 1125

19.9 Drucken, Easy Print ................................................................................. 113419.9.1 Installation von Easy Print ......................................................... 113719.9.2 Kurze Überprüfung ................................................................... 113819.9.3 Gruppenrichtlinien .................................................................... 1141

19.10 Web Access für Remotedesktop .............................................................. 1142


17

Inhalt

19.11 RemoteApp- und Desktopverbindungen mit Windows 7 ......................... 114819.12 Remotedesktopdienste-Farmen mit Netzwerklastenausgleich und

Remotedesktopdienste-Verbindungsbroker ............................................. 115319.12.1 Installation ............................................................................... 115519.12.2 Überwachen ............................................................................. 116719.12.3 RemoteApp-Programme »umpaketieren« .................................. 1167

19.13 Remotedesktopdienste-Farmen mit DNS Round Robin bzw. Verbindungsbroker .................................................................................. 1168

19.14 Remotedesktopgateway .......................................................................... 116819.14.1 Anwendung und Architektur ..................................................... 116919.14.2 Installation ............................................................................... 117119.14.3 Konfiguration ........................................................................... 117919.14.4 Clientkonfiguration und Verbindungsaufbau .............................. 118419.14.5 Überwachung ........................................................................... 118819.14.6 NAP und das Remotedesktopgateway ....................................... 1189

19.15 Host für Remotedesktopvirtualisierung .................................................... 120119.15.1 Funktionsweise ......................................................................... 120219.15.2 Installation .............................................................................. 120519.15.3 Virtuelle Maschinen konfigurieren ............................................ 121119.15.4 Benutzer administrieren ............................................................ 121219.15.5 Testen und verwenden ............................................................. 1214

19.16 Schlussbemerkung ................................................................................... 1215

Gegen Kalchas zuerst mit drohendem Blicke begann er:Unglücksseher, der nie auch ein heilsames Wort mir geredet!Immerdar nur Böses erfreut dein Herz zu verkünden!Gutes hast du noch nimmer geweissagt, oder vollendet!Jetzt auch meldest du hier als Götterspruch den Achaiern 1217

20 Hochverfügbarkeit ..............................................................................1217

20.1 Vorüberlegungen ..................................................................................... 121820.1.1 Allgemeines .............................................................................. 121820.1.2 Hardware und Konfiguration ..................................................... 1224

20.2 Failover-Cluster ....................................................................................... 122720.2.1 Aktiv – Passiv – n+1 .................................................................. 123020.2.2 Installation ............................................................................... 123120.2.3 Anwendungen hinzufügen ........................................................ 124720.2.4 Cluster schwenken .................................................................... 125220.2.5 Feinkonfiguration des Clusters und weitere Vorgehensweise ..... 1253

20.3 Network Load Balancing .......................................................................... 125320.3.1 Funktionsweise des Network Load Balancings ........................... 125520.3.2 Installation und Konfiguration .................................................. 125620.3.3 Ein paar Hintergründe ............................................................... 126520.3.4 Webserver, Kerberos und NLB .................................................. 127020.3.5 NLB-Troubleshooting allgemein ................................................ 128420.3.6 NLB im Terminalserver-Umfeld ................................................. 1284


18

Inhalt

Darum habe dem Volk der Treffende Wehe bereitet,Weil für Chryses Tochter ich selbst die köstliche LösungAnzunehmen verwarf. Denn traun! weit lieber behielt' ichSolche daheim; da ich höher wie Klytämnestra sie achte,Meiner Jugend Vermählte: denn nicht ist jene geringer 1285

21 Datensicherung .................................................................................. 1285

21.1 Sicherung ................................................................................................ 128721.2 Wiederherstellung ................................................................................... 1289

21.2.1 Dateien und Ordner .................................................................. 128921.2.2 Server wiederherstellen ............................................................. 1292

Weder an Bildung und Wuchs, noch an Geist und künstlicher Arbeit.Dennoch geb' ich sie willig zurück, ist solches ja besser.Lieber mög' ich das Volk errettet schaun, denn verderbend.Gleich nur ein Ehrengeschenk bereitet mir, daß ich allein nichtUngeehrt der Danaer sei; nie wäre das schicklich! 1297

22 Servervirtualisierung mit Hyper-V ..................................................... 1297

22.1 Allgemeine Überlegungen zur Servervirtualisierung .................................. 130022.1.1 Scale-out vs. Scale-up ............................................................... 130122.1.2 Servervirtualisierung und SAN ................................................... 130222.1.3 Planung und Performance ......................................................... 130422.1.4 Was soll virtualisiert werden? .................................................... 1305

22.2 Editionen und Installationsmöglichkeiten ................................................ 130622.2.1 Windows Server 2008: »normal« und Core ............................... 130622.2.2 Hyper-V Server 2008 R2 ........................................................... 1308

22.3 Der Hyper-V Manager ............................................................................. 131022.4 Installation und Grundkonfiguration ........................................................ 1312

22.4.1 Grundeinstellung (Hyper-V-Einstellungen) ................................ 131222.4.2 Netzwerkeinstellungen ............................................................. 1313

22.5 Administration von virtuellen Maschinen mit dem Hyper-V Manager ...... 131622.5.1 Neue virtuelle Maschine anlegen .............................................. 131622.5.2 Einstellungen bearbeiten .......................................................... 132022.5.3 Snapshots erstellen und anwenden ........................................... 132122.5.4 Die »laufende« VM ................................................................... 1323

22.6 System Center Virtual Machine Manager 2008 ........................................ 132422.6.1 Aufbau und Architektur ............................................................ 132522.6.2 Schnellüberblick ....................................................................... 132622.6.3 Das Self-Service-Portal .............................................................. 132922.6.4 Funktionen mit virtuellen Maschinen ........................................ 1330

22.7 Hochverfügbarkeit ................................................................................... 134022.8 Neues in R2 ............................................................................................. 1341

Sondern so viel wir aus Städten erbeuteten, wurde geteilet;Auch nicht ziemt es dem Volke, das einzelne wieder zu sammeln.Aber entlass' du jetzo dem Gotte sie; und wir AchaierWollen sie dreifach ersetzen und vierfach, wenn uns einmal ZeusGönnen wird, der Troer befestigte Stadt zu verwüsten. 1343

23 Windows PowerShell ......................................................................... 1343

23.1 Ein paar Grundlagen ................................................................................ 134523.1.1 Cmdlets .................................................................................... 134623.1.2 Alias ......................................................................................... 134823.1.3 Skripte ...................................................................................... 134923.1.4 Pipelines ................................................................................... 1353


19

Inhalt

23.2 Die Entwicklungsumgebung .................................................................... 135523.3 PowerShell-Fazit ...................................................................................... 1357

Denn das seht ihr alle, daß mein Geschenk mir entgehet. Ihm antwortete drauf der mutige Renner Achilleus:Atreus Sohn, ruhmvoller, du habbegierigster aller,Welches Geschenk verlangst du vom edlen Volk der Achaier?Nirgends wissen wir doch des gemeinsamen vieles verwahret. 1359

24 Windows 7 und Windows Server 2008 R2 ........................................1359

24.1 Überblick DirectAccess ............................................................................ 136024.1.1 Funktionsweise ......................................................................... 136124.1.2 Einige Technologiegrundlagen .................................................. 136224.1.3 Vorbereiten und Einrichten ....................................................... 136824.1.4 Aus der Client-Perspektive ........................................................ 137124.1.5 Die Sicherheit ........................................................................... 1376

24.2 Überblick BranchCache ............................................................................ 137624.2.1 Voraussetzungen ...................................................................... 137724.2.2 Funktionsweise ......................................................................... 137724.2.3 Installation und Konfiguration .................................................. 138124.2.4 Clients konfigurieren ................................................................. 138424.2.5 Hosted Cache ........................................................................... 1387

Index ....................................................................................................................... 1391


25

Denn der, dem König zürnendSandte verderbliche Seuche durchs Heer; und es sanken die Völker:Drum weil ihm den Chryses beleidiget, seinen Priester,Atreus Sohn. Denn er kam zu den rüstigen Schiffen Achaias,Frei zu kaufen die Tochter, und bracht' unendliche Lösung,Tragend den Lorbeerschmuck des treffenden Phöbos ApollonUnd den goldenen Stab;

1 Warum eine neue Server-Version?

Seit dem Erscheinen der ersten Windows –Server-Version hat sich einiges in der IT-Land-schaft getan. Es sind zwischenzeitlich nicht nur viele neue Technologien auf den Marktgekommen, auch die Anforderungen und die Art, wie Infomationstechnologie genutzt wird,haben sich grundlegend geändert. Diesen Änderungen muss ein modernes BetriebssystemRechnung tragen.

Dieses Kapitel wird zunächst einen kurzen Rückblick auf 20 Jahre Windows geben und sichdann der Fragestellung widmen, ob und warum Sie sich mit einer neuen Serverbetriebssys-temversion beschäftigen sollen.

1.1 RückblickIch möchte Sie zunächst auf eine kleine Zeitreise mitnehmen und Ihnen einige frühere Versio-nen des Windows-Betriebssystems nebst einer kurzen »historischen Einordnung« zeigen.

1.1.1 Windows 1, 2 und 3

Das erste Windows-Betriebssystem war, wie sollte es auch anders sein, Microsoft WindowsVersion 1.01 und erschien im Jahre 1985. In Abbildung 1.1 sehen Sie den Startbildschirm.

Die Windows-Version 1.01 habe ich selbst nie zu sehen bekommen, was an zwei Dingen lag:

� Ich machte damals (übrigens im Alter von 14 Jahren) meine ersten Gehversuche in derComputerwelt mit einem C64, später dann mit einem Atari ST.

� Es gab wenig »Killeranwendungen«, die die Installation von Windows 1.01 vorausgesetzthätten. Ich nehme daher an, dass die wenigsten Leser dieses Buchs die erste Windows-Ver-sion wirklich produktiv genutzt haben. Textverarbeitung und Tabellenkalkulation liefendamals auch noch ganz gut unter DOS.

Apropos DOS: Dieses lag damals in der Version 3.1 vor und bildete die Grundlage für Win-dows 1.01. In Abbildung 1.2 sehen Sie einen Dateimanager, der auch treffend mit MS-DOS


26

Warum eine neue Server-Version?1

Executive überschrieben ist. Dieser Dateimanager ist übrigens die Hauptoberfläche von Win-dows 1.01 gewesen – der Programm-Manager kam erst mit Version 3.

Abbildung 1.1 Der Startbildschirm von Windows 1.01 (Quelle: www.winhistory.de)

Abbildung 1.2 Die Hauptoberfläche von Windows 1.01 (Quelle: www.winhistory.de)

Unabhängig davon, ob die Benutzer mit Windows arbeiteten oder nicht, war das Aufgabenge-biet recht eng umrissen:

� Der Personal Computer war eine bessere elektrische Schreibmaschine.

� Der PC wurde für die ersten Ansätze der Tabellenkalkulation verwendet.

� Eventuell diente er als Terminal für Host-Anwendungen.

Ein LAN mit zentralen Servern war damals etwas, was größeren Firmen vorbehalten war. ImAllgemeinen war der nicht vernetzte Einzelplatz-PC der Stand der Technik. Wenn zwei Kolle-gen Dokumente austauschen mussten, ging das eben auch auf Diskette.

Die erste Windows-Version, mit der ich gearbeitet habe, war die Version 2.03, die im Jahre1987 erschien. Die Anwendung war damals Aldus Pagemaker, eine Desktop-Publishing-Soft-


27

Rückblick 1.1

ware. Diese Software, die aufgrund ihrer Aufgabe nicht im Textmodus laufen konnte, nutzteWindows vermutlich vor allem deshalb, weil Windows eine Abstraktion der Grafikkarte mit-brachte. Wer grafische Anwendungen unter DOS programmiert hat, weiß, dass unterschiedli-che Grafikkarten mit unterschiedlichen Fähigkeiten zu berücksichtigen waren. Simpel ausge-drückt: Wer viele Grafikkarten unterstützen wollte, hatte viel Arbeit. Mit Windows konnteman die eingebauten Grafikfunktionen verwenden, ohne direkt mit der Grafikkarte zu tun zuhaben – ein gigantischer Vorteil.

Gleiches gilt natürlich auch für alle anderen angeschlossenen Geräte wie Maus, Tastatur, Dru-cker, Schnittstellen etc.

Der wirkliche »Durchbruch« kam dann mit Windows 3.0, das im Jahr 1990 erschien. 1992folgte Windows 3.1, und 1993 erschien Windows for Workgroups 3.11. Mit Windows 3wurde die Oberfläche deutlich verändert: Es tauchte erstmalig der Programm-Manager auf.Entscheidend war aber, dass es mittlerweile jede Menge nützliche Anwendungen für Win-dows gab. Man konnte die komplette Büroarbeit mit Windows-Applikationen erledigen.Zugegebenermaßen waren branchenspezifische Applikationen häufig DOS-Anwendungen,aber die Anwender forderten Windows-Applikationen, woran die Hersteller auch mit mehroder weniger starkem Engagement arbeiteten.

Zu Zeiten von Windows 3 waren lokale Netzwerke nichts Außergewöhnliches mehr, und auchkleinere Firmen vernetzten ihre PCs. Der Sinn und Zweck der Vernetzung waren aber primärdie Ablage von Dateien auf einem zentralen Server und die gemeinsame Verwendung vonteuren Ressourcen wie Laserdruckern. Mit anderen Worten: Der PC war in erster Linie einebessere Schreibmaschine – jetzt mit Netzwerkanschluss.

Mit Windows for Workgroups (WfW) gab es eine Peer-to-Peer-Lösung, die ohne einen dedi-zierten Server auskam. Rückwirkend betrachtet hat WfW dem Thema »Computervernetzungin kleinen Umgebungen« einen unheimlichen Vorschub geleistet – auch wenn sich mir heutenoch die Zehennägel aufrollen bei dem Gedanken, dass ein einfacher Selbstbau-PC denlebensnotwendigen Datenbestand eines kleinen Mittelständlers enthielt – ohne RAID, ohnevernünftige Sicherung und ohne Desasterkonzept.

1.1.2 Windows NT 3.1 Advanced Server

1993, als der Windows NT 3.1 Advanced Server erschien, lag die Hoheit über die Server inden lokalen Netzen bei Novell. Ich habe meine Netzwerklaufbahn mit Novell 3.12 gestartetund konnte mir lange Zeit nicht vorstellen, dass es jemals ein anderes nennenswertes Server-betriebssystem geben könnte – außer vielleicht Novell 4.

Als ich das erste Mal den Windows NT 3.1 Advanced Server installiert hatte, kam es mir auchirgendwie suspekt vor, dass auf einem Server eine grafische Oberfläche lief (Abbildung 1.3).Obwohl das Serverbetriebssystem aus Redmond durchaus neugierig machte, war sein Ver-breitungsgrad nicht so hoch, dass es an der Stellung von Novell ernsthaft gerüttelt hätte. Eshieß zwar immer, dass Windows NT der bessere Applikationsserver sei, aber zumindest inmittelständischen Umgebungen war das eine Floskel ohne größere Bedeutung. Ein Serverhatte dort drei Aufgaben:


28


� einen Speicher für Dateien bereitstellen

� gemeinsames Drucken ermöglichen

� Benutzerkonten verwalten

Genau diese drei Aufgaben beherrschte Novell 3 sehr gut, warum sollte man sich also miteinem anderen Serverbetriebssystem beschäftigen?

Abbildung 1.3 Windows NT Advanced Server war der erste Windows Server. (Quelle: www.winhistory.de)

Abbildung 1.4 Windows NT 3.1 verwendete als zentrale Schaltstelle den Programm-Manager. (Quelle: www.winhistory.de)


29

Rückblick 1.1

In Abbildung 1.4 sehen Sie den Programm-Manager von NT3.1 Advanced Server. Sie sehendort etliche »gute alte Bekannte«, die auch in Windows Server 2008 enthalten sind – natürlichin wesentlich neuerer Form. Ich denke hier vor allem an den Systemmonitor, den Festplatten-Manager und die Ereignisanzeige. Falls Sie mit Windows 3 groß geworden sind, schauen Siedie Abbildung ruhig noch ein bisschen an, und schwelgen Sie in Erinnerungen …

1.1.3 Windows NT Server 3.5 und 3.51

1994 erschien Windows NT Server 3.5, ein Jahr darauf die Version 3.51. Mit diesen Betriebs-systemen habe ich meine ersten Windows-Server-Projekte bei mittelständischen Kunden rea-lisiert. Ich denke, dass diese Erfahrungen einigermaßen repräsentativ sind: Der Windows Ser-ver begann, ernsthaft Einzug in die Unternehmen zu halten.

Langsam begann auch das Thema »Applikationsserver« eine Bedeutung zu bekommen. MitMicrosoft BackOffice gab es eine Suite, die neben dem Betriebssystem vier Applikationsserverenthielt (Abbildung 1.6):

� Mail Server 3.5

� SNA Server 2.11: Dies war ein Gateway in die Host-Welt.

� SQL Server 6.0: Microsofts erster Datenbankserver (der damals in weiten Teilen auf Sybase-Technologie beruhte)

� Systems Management Server 1.1: eine Software zum Inventarisieren von Clients und Ver-teilen von Software

Abbildung 1.5 Windows NT Server 3.5 hatte bereits eine recht ansehnliche Verbreitung. (Quelle: www.winhistory.de)


30


Obwohl die Schwerpunktanwendungen eines Servers 1995 noch immer Dateidienste, Druck-dienste und Benutzerverwaltung hießen, fing das Bild eines Servers allmählich an, sich zuwandeln: Es wurden ernsthaft Applikationen auf Servern installiert.

Abbildung 1.6 Die Microsoft BackOffice-Suite wurde zu Zeiten von Windows NT 3.5 erstmalig aufgelegt. (Quelle: www.winhistory.de)

Abbildung 1.7 Eine komplett installierte BackOffice-Suite im Programm-Manager einesNT 3.5 Servers (Quelle: www.winhistory.de)


31

Rückblick 1.1

Mittlerweile war auch das Internet in der kommerziellen Welt angekommen. Ein Internet-anschluss war zwar noch nicht die normalste Sache der Welt, aber er war auch nichts Exo-tisches mehr. Für die Entwicklung der Rolle der IT ist die Verbreitung des Internets ein sehrwesentlicher Parameter gewesen. Das war 1996 aber noch nicht erkennbar. Damals befandenwir uns im Zeitalter der lokalen Netze und kommunizierten jenseits von Fax, Brief und Tele-fon nur sehr begrenzt mit dem Rest der Welt.

Weil es so schön ist, sehen Sie auf Abbildung 1.7 den Programm-Manager eines NT 3.51-Ser-vers mit vollständig installiertem BackOffice-Paket.

1.1.4 Windows NT 4 Server

Mit NT4-Server, der 1996 erschien, konnte Microsoft endgültig die Hoheit in der Serverweltvieler Unternehmen erringen. Neben der im August erschienenen Version kamen folgendezusätzliche NT4-Server-Editionen heraus:

� Enterprise Edition (1997): Hier wurde beispielsweise die Cluster-Technologie (CodenameWolfpack) eingeführt.

� Terminal Server Edition (1998): Der Name beschreibt die Eigenschaft dieser Edition. DerCodename für diese Technologie war Hydra.

Rein optisch betrachtet wurde bei NT4 die Benutzeroberfläche von Windows 95 eingeführt(Abbildung 1.8). Das Betriebssystem brachte aber auch diverse neue Komponenten mit, bei-spielsweise einen DHCP-Server, einen DNS-Server und vieles andere mehr.

Abbildung 1.8 Windows NT 4 Server verfügte über die Windows 95-Oberfläche.(Quelle: www.winhistory.de)


32


Mit dem später erschienenen Option Pack wurden einige Komponenten nachgeliefert, unteranderem der erste Internet Information Server, der heute zu einer der wichtigsten Komponen-ten geworden ist.

Parallel zum NT4-Serverbetriebssystem wurden die Applikationsserver weiter ausgebaut. Ins-besondere wären zu nennen:

� Exchange 5 und 5.5

� SQL Server 6.5 und 7.0

Ins »Zeitalter« von NT fällt, dass die meisten Unternehmen einen eigenen Mailserver einführ-ten und dass auch im Client-Server-Umfeld mehrschichtige Applikationen mit einer Daten-bank-, einer Anwendungs- und einer Präsentationsschicht auftauchten.

Generell wurde die Bedeutung der Client-Server-Umgebung so groß, dass die Steigerung derVerfügbarkeit, beispielsweise durch Clustering, eine absolut notwendige Maßnahme war.

Nun begann auch der PC allmählich seine Rolle der »elektrischen Schreibmaschine« in Rich-tung Kommunikationswerkzeug zu erweitern. Wesentlichen Einfluss hierbei hatten dieE-Mail und das Internet. Mit Produkten wie dem Proxy Server erweiterte Microsoft sein Port-folio auch in dieser Richtung und ermöglichte es dem NT Server, die meisten Kommunikati-onsfunktionen zu übernehmen.

Dass NT4 ein wirklich gutes Betriebssystem war, kann man allein schon daran erkennen, dassheute im Jahr 2008 noch immer etliche Kunden Infrastrukturen fahren, die zu einem nichtunerheblichen Teil auf NT4-Technologie beruhen – und das, obwohl NT 4 das (nach IT-Maßstäben) biblische Alter von 12 Jahren erreicht hat und seit geraumer Zeit nicht mehr vonMicrosoft unterstützt wird.

Klar, wir haben alle über Bluescreens und dergleichen geflucht, aber NT wurde häufig aucharg strapaziert:

� Es war empfindlich gegenüber mangelhaft programmierten Treibern. Die meisten Blue-screens wurden von ebensolchen Treibern verursacht.

� Da es »so schön einfach« war, liefen auf den Servern häufig deutlich mehr Applikationen,als gut für sie war. Nicht selten gab es NT4-Server, die PDC, Exchange-Server, SQL-Server,Antiviren-Server und, und, und waren – das konnte nicht stabil bleiben!

1.1.5 Windows 2000 Server und Windows Server 2003

Mit Windows 2000 Server, das in Deutschland zu Anfang des Jahres 2000 verfügbar war,wurde das erfolgreiche NT Server-Konzept fortgesetzt. Neben allgemeinen Verbesserungen(beispielsweise in puncto Stabilität, Anzahl von Neustarts, Hardwareerkennung) war dasActive Directory eine ganz konkrete Neuerung. Viele weitere nicht so spektakuläre Neuerun-gen waren ebenfalls zu verzeichnen, beispielsweise:

� ein neuer Internet Information Server (5.0)

� Network Load Balancing

� Terminal Services standardmäßig integriert; der spezielle Remoteverwaltungsmodus dientezu Administrationszwecken.


33

Rückblick 1.1

� Softwareverteilung mittels IntelliMirror und Microsoft Installer

� Einführung von Windows Management Instrumentation (WMI)

� Neues NTFS mit Features wie Junction Points und EFS

� Microsoft Management Console als einheitliche Plattform für Verwaltungs- und Konfigura-tionswerkzeuge

Windows Server 2000 verfügte über etliche neue Features und Administrationsmöglichkei-ten, die einen Einsatz der Windows Server-Technologie auch in größeren und großen Umge-bungen vereinfachten.

Neben der Betriebssystemplattform wurden auch die Applikationsserver immer weiter ausge-baut und neue Produkte etabliert, beispielsweise:

� Exchange

� Mobile Information Server

� SQL Server

� SharePoint Portal Server

� BizTalk

� Commerce Server

� Content Management Server

� Application Center Server

Mit etwas Abstand betrachtet, hat Microsoft mit Windows 2000 Server die Rolle des Win-dows Server-Betriebssystems als Plattform für Applikationsserver sowohl gefestigt als auchausgebaut.

Es hat viele Projekte gegeben, in denen Kunden auf die Windows Server-Plattform migriertsind und in diesem Zuge Active Directory eingeführt haben. Ich könnte ad hoc aus meinereigenen Beratungspraxis keinen Kunden nennen, der den umgekehrten Weg gegangen wäre(weg von Windows Server hin zu beispielsweise Novell). Sicher hat es solche Umstellungengegeben, aber die tatsächliche Zahl dürfte sehr gering ausgefallen sein.

Windows Server 2000 war in drei Editionen verfügbar:

1. Standard

2. Advanced: Alle Features der Standard-Edition plus Clustering, Network Load Balancing undUnterstützung von mehr Prozessoren und Hauptspeicher

3. Datacenter: Alle Features der Advanced-Edition mit noch mehr verwaltbarem Hauptspei-cher, noch mehr unterstützten Prozessoren, Unterstützung für Vier-Knoten-Cluster undeinige weitere Technologien wie Winsock Direct. Die Datacenter-Edition war nur inZusammenhang mit spezieller Hardware erhältlich.

Mittlerweile arbeitete Microsoft intensiv an der .NET-Technologie. Daher wurde die nächsteVersion des Windows Server-Betriebssystems auch als .NET Server angekündigt – und hießdann schließlich Windows Server 2003.


34


Das Betriebssystem erschien im Frühjahr 2003 in vier verschiedenen Editionen:

� Web: Reduzierter Funktionsumfang zur Nutzung als Webserver

� Standard

� Enterprise: Alle Features der Standard-Edition plus Clustering, Network Load Balancingund Unterstützung von mehr Prozessoren und Hauptspeicher

� Datacenter: Alle Features der Advanced-Edition mit noch mehr verwaltbarem Hauptspei-cher, noch mehr unterstützten Prozessoren und diversen anderen Möglichkeiten, die aberzumeist spezielle Hardware voraussetzen

Windows 2000 Server meldete sich als NT 5. Das Nachfolgeprodukt, also Windows Server2003, gab sich nicht etwa als NT 6 zu erkennen, sondern als NT 5.2.

Meiner Meinung nach hat Microsoft mit den Versionsnummern etwas tiefgestapelt, aberzugegebenermaßen waren tatsächlich weniger revolutionäre Neuerungen in der neuen Ver-sion enthalten als beim Schritt von NT4 auf Windows 2000.

Einerseits waren diverse allgemeine Verbesserungen notwendig, weil die Hardware immerleistungsstärker wurde, andererseits gab es auch konkrete neue Features. Einige Beispiele:

� Volume Shadow Copy Services

� verbesserte Wiederherstellung

� etliche Verbesserungen am Active Directory

� neue Konfigurationswerkzeuge

� neuer Internet Information Server

Ansonsten ist das Thema »Sicherheit« in der IT-Welt ein zentrales Thema geworden, und dieServer-Version von 2003 hat in dieser Richtung etliche Optimierungen erfahren.

Im Februar 2006 erschien dann mit Windows Server 2003 R2 sozusagen eine Zwischenver-sion zum Windows Server 2008. Hierbei handelte es sich im Grunde genommen um einenWindows Server 2003 mit aktuellem Service-Pack- und Patchlevel, der um folgende Funktio-nen ergänzt wurde:

� bessere Unterstützung für SAN-Storage

� Active Directory Federation Services

� Windows/UNIX-Interoperabilität

� integriertes .NET Framework 2.0

Mit Windows Server 2003 wurden x64-Versionen für die 64-Bit-Prozessoren von Intel (Xeon)und AMD eingeführt.

Wenn Sie einmal von den Anfängen (Windows NT 3.1 Advanced Server) bis zum WindowsServer 2003 R2 blicken, stimmen Sie mir sicherlich zu, dass das ursprüngliche Aufgabengebietder Server (Dateidienste/Druckdienste/Benutzerverwaltung) nur noch einen relativ geringenAnteil am »Gesamtserver« hat. Windows Server 2008 wird diesen Trend zweifelsfrei fortset-zen.


35

Windows Server 2008 und Windows Server 2008 R2 1.2

1.2 Windows Server 2008 und Windows Server 2008 R2Nachdem wir zurückgeschaut haben, ist nun ein guter Moment, um in die Gegenwart zu bli-cken. Windows Server 2008 hat sich seit seinem Erscheinen in vielen Unternehmen durchge-setzt und als stabile Plattform bewährt. Einige wichtige Neuerungen von Windows Server2008 waren:

� Ein streng modularer Aufbau, der es ermöglicht, dass nur die Rollen und Funktioneninstalliert sind, die tatsächlich benötigt werden.

� Eine Core-Installationsoption, mit der ein Windows Server mit minimaler Angriffsflächeinstalliert werden kann. Ein in diesem Modus installierter Server verfügt lediglich übereine Texteingabemöglichkeit, es sind keine grafischen Werkzeuge vorhanden.

� Eine neue Version des Webservers Internet Information Server (IIS)

� Stark verbesserte Terminaldienste

� Network Access Protection sorgt für zusätzliche Möglichkeiten zum Schutz des Netzes.

� Active Directory ist nun ein Oberbegriff für verschiedene Komponenten. Das eigentlicheActive Directory findet sich nun unter dem Begriff Active Directory-Domänendienste.Weitere Mitglieder der Active Directory-Familie sind die Lightweight Directory Services(vormals ADAM), der Zertifikatdienst, die Rechteverwaltungsdienste und die Verbund-dienste.

� Windows Bereitstellungsdienste zur Installation von Clients als Nachfolger von RIS(Remote Installation Services)

� Eine neue Servervirtualisierungslösung namens Hyper-V

Neben diesen »großen« Punkten enthielt Windows Server 2008 viele weitere »kleinere« Neu-erungen, die bei einer neuen Druckerverwaltung beginnen und bei einer erneuerten Bedien-oberfläche noch nicht aufhören. Auch Aspekte wie die konsequente Integration von IPv6 oderdie Möglichkeit, den Server mittels der PowerShell auf der Textoberfläche zu administrieren,runden das Bild in positiver Weise ab.

Neu in R2

Es stellt sich nun natürlich die Frage, was in Windows Server 2008 R2 im Vergleich zu Win-dows Server 2008 tatsächlich neu ist. Erstens ist festzuhalten, dass erwartungsgemäß eherÄnderungen im Detail vorgenommen worden sind. Immerhin deutet ja die Benennung desBetriebssystems bereits an, dass nicht alles mehr oder weniger radikal umgekrempelt wurde.Oder anders gesagt: Der Schritt von Windows Server 2008 zu Windows Server 2008 R2 istdeutlich kleiner als der von Windows Server 2003 zu Windows Server 2008 gewesen ist.Immerhin heißt die aktuelle Version ja auch nicht Windows Server 2010, sondern 2008 R2.Damit Sie nicht allzu enttäuscht sind, möchte ich anmerken, dass die Unterschiede von 2008zu 2008 R2 schon größer sind als von 2003 zu 2003 R2.

Wer sich mit Windows Server 2008 mehr oder weniger intensiv beschäftigt hat, wirdzunächst über die etwas veränderte Oberfläche von Windows Server 2008 R2 stolpern. Dasneue Serverbetriebssystem verfügt über die neue breite Menüleiste, die Sie vielleicht auch


36


von Windows 7 kennen (Abbildung 1.9). Eine allzu große Überraschung dürfte die Annähe-rung der Oberfläche an das aktuelle Client-Betriebssystem aber nicht sein – das haben wirschließlich in der Vergangenheit auch gesehen. Windows Server 2008 (ohne R2) besaß dieVista-Oberfläche, Windows Server 2003 hatte die XP-Oberfläche und so weiter.

Abbildung 1.9 Windows Server 2008 R2 verfügt über die Windows 7-Oberfläche

Die »neue Optik« sollte wie gesagt nicht darüber hinwegtäuschen, dass der 2008 R2-Servereben ein erweiterter Windows Server 2008 ist – nicht mehr und nicht weniger. Trotzdem gibtes etliche spannende Neuerungen zu entdecken.

Insbesondere wenn Sie in Ihrem Unternehmen Windows 7 einführen, werden Sie dort einigeinteressante Technologien entdecken, die zwingend die Unterstützung von Windows Server2008 R2 benötigen. Insbesondere sind dies die folgenden Features:

� DirectAccess: Dies Feature wird etwas vollmundig als VPN der nächsten Generation ange-kündigt. In der Tat handelt es sich um einen sehr spannenden Ansatz, denn DirectAccesssorgt dafür, dass mobile Clients jederzeit einen transparenten Zugriff auf Unternehmens-ressourcen haben. Einerseits sorgt es für einen hohen Komfort beim Anwender, anderer-seits erlaubt DirectAccess es auch, mobile Clients zu verwalten.

� BranchCache: Wenn Niederlassungen auf zentrale Server zugreifen, stellt sich regelmäßigdie Herausforderung, dass bei der Übertragung großer Dateien die zur Verfügung stehen-


37


den Bandbreiten doch für ein performantes Arbeiten zu gering sind. BranchCache spei-chert große Dateien in der Niederlassung zwischen und überträgt sie folglich nur einmalüber die WAN-Verbindung.

Diese Features erfordern Windows 7 auf den Clients und serverseitig Windows Server 2008R2. »Serverseitig« bedeutet dabei nicht, dass sämtliche Server des Unternehmens nun auf2008 R2 umgestellt werden müssen – nur die Systeme, die den Clients die Funktionalitätbereitstellen, müssen auf dem aktuellen Stand sein.

Ein weiteres »Windows 7-Support-Feature« sind die verbesserten Windows-Bereitstellungs-dienste. Erst mit der Windows Server 2008 R2-Version dieser Dienste lassen sich alle Deploy-ment-Fähigkeiten von Windows 7 ausnutzen.

Generell wäre zum Thema Interoperabilität anzumerken, dass ein R2-Server wunderbar ineiner 2008-Umgebung (ohne R2) funktioniert, ebenso gilt auch umgekehrt: Ein einzelnerWindows Server 2008 (ohne R2) funktioniert problemlos in einer ansonsten reinen R2-Umge-bung.

� In Tabelle 1.1 erhalten Sie einen ersten zusammenfassenden Überblick, welche Neuerun-gen im 2008 R2-Server gegenüber der alten Version enthalten sind. An dieser Stelle findenSie eine stichwortartige Auflistung, über die »komplexeren« Neuerungen finden Sie imweiteren Verlauf des Buchs.

Rolle/Feature Neuerungen

Active Directory-Domänendienste � Active Directory-Papierkorb

� PowerShell-Cmdlets für Active Directory

� Active Directory-Webdienste

� Active Directory-Verwaltungscenter

� Active Directory Best Practice Analyzer

� Authentifizierungsmechanismus-Sicherung

� Offline-Domänenbeitritt

� Verwaltete Dienstkonten

Active Directory-Zertfifikatdienste � Zertifikatregistrierung über HTTP mittels Zertifikatregistrie-rungs-Webdienst

� Gesamtstrukturübergreifende Zertifikatregistrierung

� Verbesserte Leistung von stark beanspruchten Zertifizie-rungsstellen

DNS � Signieren von Zonen und Hosts von signierten Zonen

� Unterstützung für Änderungen am DNSSEC-Protokoll

� Unterstützung von DNSKEY-, RRSIG-, NSEC- und DNS-Ressourceneinträgen

Tabelle 1.1 Die Neuerungen in R2


38


Failover-Cluster � Verbesserter Überprüfungsprozess

� Verbesserung bei der Funktionalität von gruppierten virtuellen Computern mit Hyper-V-Feature

� PowerShell-Schnittstelle

� Zusätzliche Optionen zum Migrieren von Einstellungen zwischen Clustern

Gruppenrichtlinien � Zusätzliche Einstellungen

� Verbesserte Benutzeroberfläche für administrative Vorlagen

� PowerShell-Cmdlets für Gruppenrichtlinien

� Verbesserte Starter-Gruppenrichtlinienobjekte

Hyper-V � Live-Migration

� Speicherung dynamischer virtueller Computer

� Verbesserte Netzwerk- und Prozessorunterstützung

iSCSI-Initiator � Verbesserte Benutzerschnittstelle (Konfiguration)

� iSCSI Digest Offload Support

� iSCSI Boot-Support

MPIO (Unterstützung von Multipfad-SANs)

� MPIO Health Reporting

� Verbesserte Konfiguration der Load-Balancing-Policies

� Reporting der Konfiguration

� Datacenter Automation

Netzwerkzugriffsschutz � SHV (System Health Validator) für mehrere Konfigurationen

Netzwerkrichtlinienserver � NPS-Vorlagen und Vorlagenverwaltung

� Verbesserung bei der RADIUS-Kontoführung

� Unterstützung für nicht-englische Zeichensätze mit UTF-8-Codierung

Printing � Verbesserung bei der Migration von Druckern

� Isolierung von Druckertreibern

� Delegierung von Druck-Admin-Berechtigungen

� Performance-Verbesserung beim Client Side Rendering (CSR)

� Verbesserung bei XPS (XML Paper Specification)

� Location-aware Printing

� Neuer Rollendienst Distributed Scan Server


Tabelle 1.1 Die Neuerungen in R2 (Forts.)


39


Remotedesktopdienste � Umbenennung der Terminaldienste in Remotedesktopdienste

� Umfangreiche Detailverbesserungen in allen Rollen-diensten

� Neuer Rollendienst Host für Remotedesktopvirtualisierung

Server Core-Installationsoption � Unterstützung von weiteren Rollen(diensten) im Core-Installationsmodus:

� Active Directory-Zertifikatdienste

� File Server Resource Manager

� ASP.NET

� Zusätzliche Features im Core-Installationsmodus:

� .NET Framework

� Windows PowerShell

� WoW64

Server-Manager � Remoteverwaltung von Servern

� Best Practices Analyzer

� PowerShell-Cmdlets für Server-Manager-Aufgaben

Dienstkonten � Zwei neue Dienstkonten, nämlich das verwaltete und das virtuelle Konto

Webserver (IIS) � Integrierte Erweiterungen:

� WebDAV

� FTP

� Request Filtering

� Administration Pack Module

� Verbesserte Verwaltung:

� Best Practices Analyzer

� PowerShell-Untersütztung

� Verfolgung von Konfigurationsänderungen

� Hosting von Anwendungen:

� Service Hardening

� Verwaltete Dienstkonten

� Hostbarer Web Core

� Failed Request Tracing für FastCGI

� Unterstützung von .NET auf Core-Servern




40


Eine zweite Gruppe von Neuerungen finden Sie in Tabelle 1.2. Die hier aufgeführten Featuressind ebenfalls R2-Neuerungen, allerdings dürften diese eher für den »kleinen Bruder« Win-dows 7 interessant sein. Klar, Verbesserungen bei der biometrischen Authentifizierung sindprima und wünschenswert – im Serverumfeld sind diese aber sicherlich weniger relevant.

Einige der aufgeführten Funktionen haben sozusagen zwei Facetten: Bei BranchCache undDirectAccess kann ein R2-Server sowohl Client als auch Server sein. Ich kann mir zwar nichtvorstellen, dass es einen Server auf der Welt gibt, der als DirectAccess-Client fungiert – aberbitte, möglich wäre es.

Windows-Bereitstellungsdienste � Dynamische Treiberinstallation

� Virtual Hard Disk-Deployment

� Zusätzliche Funktionalität beim Multicasting

� PXE-Provider

� Zusätzliche EFI-Funktionalität

Windows PowerShell � Version 2.0 der PowerShell mit diversen neuen Cmdlets und Funktionen

Windows Security Auditing � Global Object Access Auditing

� Reporting des Zugriffsgrunds (»Reason for Access«)

� Erweiterte Gruppenrichtlinieneinstellungen

Unterstützung für Windows 7-Features

� Unterstützung für DirectAccess

� Unterstützung für BranchCache

� Unterstützung für VPN-Reconnect

Rolle / Feature Neuerungen

AppLocker Neue Funktion, mit der sich die Ausführung von Programmen kontrollieren lässt

Biometrie � Neues Systemsteuerungselement für die Verwaltung

� Unterstützung eines Anmeldeinformationsanbieters

� Gruppenrichtlinieneinstellungen zu dieser Funktion

� Treibersoftware über Windows Update verfügbar

BranchCache Neue Funktion, um Mehrfachübertragungen großer Dateien über WAN-Strecken zu vermeiden

DirectAccess »VPN der nächsten Generation«: Bietet eine Always-Connected-Funktionalität für mobile Clients

Tabelle 1.2 Neuerungen, die zwar in Windows Server 2008 R2 enthalten, aber eigentlich eher Client-Features sind.




41

Aufgaben und Rollen 1.3

1.3 Aufgaben und RollenWie im vorherigen Abschnitt erläutert wurde, hat sich die Aufgabe eines Servers im Laufe derletzten Jahre deutlich geändert: weg von einer Art »Netzwerkfestplatte mit Benutzerverwal-tung und Druckfunktion« hin zu einer Applikationsplattform, auf der viele verschiedeneDienste bereitgestellt werden. Natürlich stellt der Server weiterhin Dateidienste, Druck-dienste und das Active Directory (AD) für die Benutzerverwaltung (wobei auch die nur einkleiner Teil des ADs ist) zur Verfügung, mittlerweile gehören aber eine Vielzahl von anderenFunktionen dazu.

Zu den Designzielen von Windows Server 2008 (und auch R2) gehört es, dass er sehr »selek-tiv« zu installieren ist. Das heißt, Sie können genau festlegen, was der einzelne Server für Auf-gaben erfüllen soll.

Bereits in Windows Server 2003 hat das Installationsprogramm nicht mehr sämtliche verfüg-baren Optionen installiert, stattdessen musste der Administrator dann diejenigen hinzufügen,die er nutzen nutzen wollte. Bei Windows Server 2008 ist die Abstufung nochmals verfeinertworden. Man kann dies recht gut am Beispiel des Internet Information Servers (IIS) erläutern:Bei IIS ist nicht mehr die Frage, ob Sie ihn überhaupt installieren möchten, sondern welcheKomponenten dieses Produkts verfügbar sein sollen. Zur Auswahl stehen ungefähr 40 »Einzel-teile«, die Sie je nach Ihrem individuellen Bedarf hinzufügen können. So schaffen Sie ein Sys-tem, das genau das kann, was Sie benötigen – und nicht zu viel! In der Vergangenheit hat sichnämlich immer wieder gezeigt, dass gerade die nicht benötigten Funktionen, von denenAdministratoren gar nicht so genau wussten, dass sie überhaupt installiert waren, die Sicher-heitslücken darstellten.

In Abbildung 1.10 sehen Sie, dass jede Rolle separat installiert wird. Es gibt keine Funktionen,die »einfach so« vorhanden sind.

VPN-Verbindungswiederherstellung (VPN-Reconnect)

Automatische Wiederherstellung von VPN-Verbindungen

Firewall Mehrere Profile gleichzeitig aktivierbar, sinnvoll bei VPN-Verbindungen

Mobile Broadband Optimierte Unterstützung von UMTS-Karten und so weiter

Smartcards � Erweiterte Unterstützung für Smartcard-gestütztes Plug & Play

� Unterstützung für den Standard Personal Identity Verfication (PIV)

Benutzerkontensteuerung (User Account Control)

Diverse Anpassungen der mit Vista eingeführten Benutzer-kontensteuerung, insbesondere in Hinblick auf Konfigurier-barkeit

Rolle / Feature Neuerungen

Tabelle 1.2 Neuerungen, die zwar in Windows Server 2008 R2 enthalten, aber eigentlich eher Client-Features sind. (Forts.)


42


Abbildung 1.10 Im Server-Manager werden die installierten Rollen gezeigt; jede Rolle wird dediziert installiert.

1.3.1 Rollen

Die installierbaren Rollen sind in Abbildung 1.11 zu sehen. Unter Rollen versteht man die»großen Funktionsbereiche«, die ein Server übernehmen kann. Er ist beispielsweise einRemotedesktop-Sitzungshost, ein Dateiserver, ein Druckserver oder ein Active Directory-Domänencontroller.

Abbildung 1.11 Die installierbaren Rollen von Windows Server 2008


43


Den größten Teil dieser Rollen hat es zwar bereits bei den Vorgängerversionen von WindowsServer 2008 (R2) gegeben, allerdings ist diese Sichtweise auf das System neu. Wie bereitserwähnt wurde, bestehen die meisten Rollen ebenfalls aus vielen kleinen Bausteinen, die Sieganz nach Bedarf installieren können. Ich hatte zuvor als Beispiel bereits den Internet Infor-mation Server genannt: in Abbildung 1.12 sehen Sie nun die Komponenten, aus denen Sie beider Installation des IIS auswählen können. Diese werden als Rollendienste bezeichnet undkönnen jederzeit, also sobald sie tatsächlich benötigt werden, einzeln nachinstalliert werden.

Abbildung 1.12 Die Rollendienste (Komponenten) der Rolle Webserver


44


1.3.2 Features

Neben den Rollen existieren 42 Features (42 sind es bei der Enterprise Edition, bei der Stan-dard-Edition sind es einige weniger). Diese Features ergänzen die Rollen um bestimmte Funk-tionen; zwei Beispiele:

� Wenn Sie einen Fileserver betreiben möchten, installieren Sie natürlich die Rolle Datei-dienste – das ist einleuchtend. Wenn Sie diesen Fileserver in einem Cluster betreibenmöchten, installieren Sie das Feature Failover-Clusterunterstützung. Eine Rolle Failover-Clusterunterstützung würde nicht viel Sinn machen, denn ein Cluster ohne weitere Funk-tionen bringt zunächst nichts.

Abbildung 1.13 Die 42 Features eines Windows Server 2008 der Enterprise Edition


45


� Wenn Sie ein SAN Storage-System (SAN = Storage Area Network) betreiben, das über meh-rere Pfade erreichbar ist, fügen Sie das Feature Multipfad-E/A hinzu. Mit diesem Featurekönnen Sie Server mit den unterschiedlichen Rollen um diese im SAN elementare Funk-tion erweitern. Verständlicherweise ist dies keine Rolle – was für einen Sinn würde auchein Server mit einer einzigen Rolle »Multipfad-E/A« machen?

In Abbildung 1.13 sind die installierbaren Features eines Windows Server 2008 Enterpriseaufgeführt. Die Funktion vieler Features erschließt sich bereits aus deren Namen, ansonstenwird eine kurze Beschreibung des angewählten Features eingeblendet.

Glücklicherweise sorgt der Installationsassistent dafür, dass bei der Installation einer Rolle diebenötigten Features automatisch mitinstalliert werden. Wenn Sie den IIS installieren, wirdbeispielsweise automatisch das Feature Windows Activation Service mitinstalliert. Sie brau-chen sich also keine Sorgen zu machen, dass die Installation einer Rolle dadurch erschwertwird, dass Sie erst stundenlang Dokumentationen wälzen müssten, um herauszufinden, wel-che Features vorab installiert werden müssen.

1.3.3 Zusammenspiel mit anderen Microsoft-Produkten

Windows Server kann allein zwar schon eine Menge leisten, er dient aber auch als Grundlagefür viele Applikationsserver, die einerseits schlicht und ergreifend ein Betriebssystem benöti-gen, andererseits auch von den erweiterten Fähigkeiten von Windows Server 2008 profitie-ren. Abbildung 1.13 zeigt einen grob vereinfachten Überblick über Produkte und Technolo-gien, die sich in einer modernen IT-Umgebung finden:

� Basis für die Applikationsserver ist das Windows-Betriebssystem, im Serverbereich Win-dows Server 2008, im Client-Umfeld Windows Vista.

� Viele Applikationsserver nutzen für das Speichern von Daten den SQL Server, zu nennenwäre hier beispielsweise SharePoint. Auch betriebswirtschaftliche Softwarepakete wie SAPoder Navision nutzen den Datenbankserver.

� Die Serverprodukte, die im weiteren Sinne dem Segment Business Productivity zuzuord-nen sind, sind in der »Generation 2007«:

� Exchange Server bedient klassisches Messaging (Mail, Kalender, Kontakte etc.) sowie abder Version 2007 auch Unified Messaging (Voicemail, Faxempfang).

� Groove ist ein Collaboration-System, das Teams eine effiziente Zusammenarbeit ermög-licht. Der Groove-Workspace stellt den Teammitarbeitern alle benötigten Daten sowohlonline als auch offline zur Verfügung.

� Office Communication Server unterstützt alle Aspekte der Echtzeitkommunikation.Hierin enthalten sind beispielsweise Presence, Voice-Kommunikation oder Video-Kom-munikation.

� SharePoint besteht aus zwei Produkten, nämlich den SharePoint Services und demSharePoint Server (vormals: SharePoint Portal Server). SharePoint unterstützt sämtlicheAspekte des Umgangs mit Informationen (Speichern, Bereitstellen, Suchen/Finden,Integration und Konsolidierung von Informationen).


46


� Forms Server ist in der Lage, beliebige Formulare als HTML darzustellen, Eingaben ent-gegenzunehmen und weiterzuleiten.

� Project Server unterstützt das zentrale Management von mehreren gleichzeitigen Pro-jekten. Insbesondere lässt sich auch die Verwaltung von Ressourcen, die in mehrerenProjekten benötigt werden, optimal realisieren.

Abbildung 1.14 Produkte und Technologien, die sich in einer modernen IT-Umgebung finden

� Da die IT-gestützte Abbildung von Geschäftsprozessen zunehmend wichtig ist, kommenzwei Produkte zum Einsatz, nämlich Windows Workflow Foundation und BizTalk-Server.BizTalk-Server kann durch mittlerweile viele erhältliche Connectoren Daten mit Enter-prise-Systemen wie SAP oder Siebel austauschen.

� Ein großer Teil der Unternehmensdaten ist in ERP-Systemen, wie beispielsweise SAP,gespeichert.

� Obwohl Filesysteme zur Ablage von Dokumenten nicht optimal sind, sind sie nach wie vorNormalität in den Unternehmen.

Neben den genannten Basisprodukten, bei denen ich das Betriebssystem und den Datenbank-server einordne, und den Applikationsservern gibt es diverse Technologien, die entweder austechnischen oder organisatorischen bzw. rechtlichen Gründen zum Einsatz kommen, bei-spielsweise:

� Active Directory zur Verwaltung sämtlicher Benutzerkonten, Computer, Server etc.

� Public Key Infrastructure (PKI): Zertifikate werden zunehmend wichtig.

Windows-Betriebssystem (Server/Client)

SQL Server 2008

Workflow Engine (Win Workflow Foundation/BizTalk)

Vis

ual

Stu

dio

20

08

Exc

han

ge

Gro

ove

Off

iceC

om

m.

Ser

ver

Sh

are

Po

int

Form

s Ser

ver

Pro

ject

Ser

ver

Office

IE

WM6

SAP File-System

Active Directory

PKI

Access

Archiv

IS AS RS

Management (SC CM, SC OM)


47


� Access: Dies meint den Zugriff auf die Ressourcen von außen (insbesondere über Mobilge-räte) und Niederlassungen.

� Archiv: Mittlerweile schreibt der Gesetzgeber vor, dass steuerrelevante Informationenarchiviert werden müssen.

� Management: In diesem Bereich bietet Microsoft das Produkt System Center OperationsManager SCOM) an, mit dem eine regelbasierte Überwachung von Servern (Betriebssys-tem und Applikation) realisiert werden kann.

Sie sehen also, dass die IT-Gesamtlandschaft ein ziemlich komplexes Szenario ist. Und Win-dows Server 2008 stellt die Grundlagentechnologien bereit.


1217

Gegen Kalchas zuerst mit drohendem Blicke begann er:Unglücksseher, der nie auch ein heilsames Wort mir geredet!Immerdar nur Böses erfreut dein Herz zu verkünden!Gutes hast du noch nimmer geweissagt, oder vollendet!Jetzt auch meldest du hier als Götterspruch den Achaiern

20 Hochverfügbarkeit

In den Anfangszeiten der PC-basierten Server war ein (zeitlich begrenzter) Ausfall letztendlichzu verschmerzen. Die Systeme waren halt gemeinsame Festplatten und konnten den gemein-samen Drucker bedienen, und darauf konnte man auch schon einmal ein paar Stunden ver-zichten. Mittlerweile sind die Windows Server in den meisten Unternehmen das Rückgrat derIT-Landschaft, so dass ein Ausfall irgendwo zwischen »sehr ärgerlich« und »katastrophal« ran-giert.

Es ist daher sehr verständlich, dass IT-Verantwortliche bestrebt sind, alle Server möglichstausfallsicher auszulegen. Bei den wichtigsten Servern wird dazu auch gern ein wenig tiefer indie »Trickkiste« gegriffen.

Wenn es darum geht, eine verbesserte Verfügbarkeit eines Servers (oder besser: des darauflaufenden Diensts) zu realisieren, gibt es verschiedene Ansätze:

� Beim Stichwort Hochverfügbarkeit denken die meisten Leser vermutlich an den »klassi-schen Cluster«, bei dem mehrere Knoten einen gemeinsamen Datenbereich (Shared Sto-rage) nutzen, was auch als Failover-Cluster bekannt ist. Typische Anwendungsfälle sind bei-spielsweise Dateidienste oder Datenbankserver.

� Die Hochverfügbarkeit kann auch in der Netzwerkschicht realisiert werden: Sind mehreregleichartige Server vorhanden, werden die Anforderungen der Clients beim Ausfall einesServers einfach an den oder die verbliebenen Systeme geleitet. Ein typisches Beispiel sindWebserver, die nicht geclustert werden, sondern über Network Load Balancing (NLB) red-undant gemacht werden.

� Etliche Funktionen werden allein schon dadurch redundant, dass diese auf mehreren Ser-vern vorhanden sind. Die Paradebeispiele dafür sind das Active Directory oder DNS. Sindmehrere Domänencontroller vorhanden, replizieren diese die Daten. Fällt ein Domänen-controller aus, finden die Clients automatisch einen der anderen DCs.

� Es gibt Applikationsserver, die Hochverfügbarkeit mit ihren Bordmitteln, also ohne Mit-hilfe des Betriebssystems, realisieren. Ein typisches Beispiel dafür ist die Datenbankspiege-lung von SQL Server 2005/2008.


1218

Hochverfügbarkeit20

20.1 VorüberlegungenBevor es »so richtig« losgeht, möchte ich Ihnen einige grundlegende Gedanken nahebringen,die mit der technischen Umsetzung eines Hochverfügbarkeitsszenarios zunächst (noch) nichtszu tun haben.

»Hochverfügbarkeit« ist zwar als Begriff in aller Munde, dennoch erscheint es mir wichtig, zuprüfen, was ein Unternehmen oder eine Organisation wirklich benötigt – und wie viel Gelddafür ausgegeben werden kann.

Natürlich können Sie ein System aufbauen, das auch zur Planung und Durchführung derbemannten Mondlandung geeignet wäre. Wenn diese Anforderungen allerdings nicht beste-hen, wäre es Geldverschwendung, trotzdem dementsprechend zu investieren. Anders gesagt:Sie könnten das Geld in wesentlich sinnvollere IT-Projekte investieren, als eine Verfügbarkeitaufzubauen, die vom Business nicht benötigt wird.

Ich habe übrigens auch deutlich mehr als einen Fall erlebt, in dem die Geschäftsleitung »Hoch-verfügbarkeit« bestellt hat – und als dann die ersten Kostenschätzungen über 250.000 EUR insHaus flatterten, war doch alles nicht mehr so wichtig. Die Schlussfolgerung ist nicht, dassman, wenn man nicht gerade die Bank von England ist, lieber gleich die Finger von Hochver-fügbarkeitsprojekten lässt, sondern dass man sehr genau prüfen sollte, welchen Wert einebessere Verfügbarkeit der Systeme für das Business hat, und dementsprechende Vorschlägeausarbeitet.

Wenn das Hochverfügbarkeitsprojekt die geldbringenden Geschäftsprozesse betrifft, istzumindest in mittleren und größeren Unternehmen auch eine Investition von einer halbenMillion Euro (und mehr) sicherlich kein Problem. Ist nur ein »Nebensystem« betroffen, des-sen Ausfall keine signifikanten Auswirkungen auf das Business hat, werden Sie vermutlichkeine 5.000 EUR dafür bekommen.

20.1.1 Allgemeines

Eine wesentliche Anforderung an eine moderne IT-Umgebung ist die Verfügbarkeit dersel-ben. Zunächst muss man sich allerdings darüber klar werden, was nun genau unter »Verfüg-barkeit« zu verstehen ist.

ITIL subsumiert unter »Availability« diese Aspekte:

� Zuverlässigkeit

� Wartbarkeit

� Servicefähigkeit

� IT-Sicherheit

Betrachtet man diese Anforderungen von einem etwas technischeren und serverbezogenenStandpunkt, kann man folgende Punkte nennen:

� Die Systeme müssen stabil laufen.

� Im Fall eines eventuellen Ausfalls muss eine möglichst schnelle Wiederherstellung gewähr-leistet sein.


1219

Vorüberlegungen 20.1

� Geplante Ausfälle durch Wartungsarbeiten müssen so kurz wie möglich sein.

� Es dürfen keine Daten verloren gehen.

Die Anforderungen erscheinen zunächst so trivial wie selbstverständlich. An den im Folgen-den beschriebenen Szenarien werden Sie allerdings erkennen, dass die Realisierung allesandere als einfach ist.

Der Worst-Case-Fall

Bei den Betrachtungen zur Verfügbarkeit müssen wir stets vom schlimmsten Störfall, also demWorst Case, ausgehen. Ein Konzept, das nicht diesen ungünstigsten Fall zugrunde legt, hatletztendlich keinen Wert.

Der Worst Case ist nun nicht zwangsläufig die Landung einer Boeing 747 im Serverraum –vermutlich hätte ein Unternehmen dann ohnehin andere Probleme. Der Worst Case ist im Falleines Servers beispielsweise ein Ausfall des RAID-Controllers, was zu einem Verlust dergespeicherten Daten führt. Das heißt, die Daten liegen zwar noch auf den Platten, könnenaber nicht gelesen werden.

Wiederherstellzeit

Zunächst betrachten wir das Szenario der Wiederherstellung eines Servers, dessen lokale Plat-tensysteme so ausgefallen sind, dass ein Restore der Daten notwendig wird. Dies könnte bei-spielsweise im Fall eines RAID-Controller-Defekts vorkommen. Wir gehen von einem Fileser-ver mit einer Nutzkapazität von 300 GB aus.

In Abbildung 20.1 ist der Vorgang auf einem Zeitstrahl dargestellt:

� Um 10:00 fällt das System aus.

� Kurz danach werden die ersten Störmeldungen eingehen. Bis die Ursache des Problems»Ich kann keine Dokumente mehr speichern« erkannt worden ist und die notwendigenSchritte eingeleitet worden sind, vergeht mit Sicherheit eine Stunde. Schließlich ist nichtständig ein IT-Mitarbeiter in Wartestellung, und wahrscheinlich wird zunächst eine Behe-bung des Fehlers versucht werden etc.

Ausfallzeit bis hierhin: 1 Stunde

� Sofern ein Service-Vertrag für die Instandsetzung der Hardware (!) vorliegt, wird diesenach sechs Stunden wieder funktionsbereit sein. Eine Wiederherstellungszeit von sechsStunden ist der schnellste »Standard-Service-Level«, der gemeinhin von Herstellern undSystemhäusern angeboten wird. (Ein Service-Vertrag, der eine Reaktionszeit von vier Stun-den garantiert, ist weniger wert als einer mit 6 Stunden Wiederherstellungszeit.)Ausfallzeit bis hierhin: 7 Stunden

� Ist die Hardware wieder funktionsbereit, wird ein gewisser Zeitraum, sagen wir eineStunde, vergehen, bis tatsächlich mit der Rücksicherung begonnen werden kann. Schließ-lich muss die Backup-Software betriebsbereit gemacht werden, wahrscheinlich müssenBänder herausgesucht werden, kurzum: einige Vorbereitungen getroffen werden.Ausfallzeit bis hierhin: 8 Stunden


1220


Abbildung 20.1 Wiederherstellung eines Systems

� Nun beginnt die eigentliche Rücksicherung. Eine Restore-Geschwindigkeit von 300 MB/Minute ist eine realistische Annahme (wenn Sie nicht gerade die komplette Backup-Hard-ware erneuert haben), woraus sich ergibt:(300 GB * 1 024) / 300 MB = 1.024 Min = 17,07 StundenEs muss also von einer Restore-Zeit von ungefähr 17 Stunden ausgegangen werden.Ausfallzeit bis hierhin: 25 Stunden

� Nach Abschluss des Restore-Vorgangs müssen sicherlich noch einige »Nacharbeiten« vor-genommen werden. Dies wird bei einem Fileserver nicht sehr umfangreich sein, daher isteine Stunde ein realistischer Schätzwert.

Ausfallzeit bis hierhin: 26 Stunden

Dieses einfache Beispiel zeigt recht eindrucksvoll, welche enormen Risiken in den IT-Syste-men stecken: Ein Ausfall eines kritischen Systems von mehr als 24 Stunden kann für viele Fir-men akut existenzbedrohend sein, zumindest dürfte er als massive Störung angesehen wer-den.

Letztendlich ist der zuvor geschilderte Ablauf noch recht optimistisch gewesen. Wenn wäh-rend des Vorgangs – bei welchem Arbeitsschritt auch immer – Probleme auftreten, verlängertdas die Restore-Zeiten eventuell deutlich.

Wenn Sie Optimierungspotenzial suchen, finden sich zwei Ansätze:

� die Beschleunigung der Hardwarewiederherstellung

� die Beschleunigung der Rücksicherung

Ersteres lässt sich eventuell mit im Unternehmen gelagerter Ersatzhardware erreichen. Esstellt sich hierbei allerdings die Frage, ob jederzeit ein Mitarbeiter zur Verfügung steht, derHardwareprobleme eines Servers erkennen und beheben kann.

10 12 14 86422422201816 1210

Erkennen und Einordnen des Störfalls

Hardware-Instandsetzung, 6 Stunden Wiederherstellungszeit

Beginnen des Wiederherstellungsvorgangs (Tape-Restore)

Band-Rücksicherung von 300 GB Daten mit 300 MB/min

Nacharbeiten nach Abschluss des Restore-Vorgangs


1221


Die Beschleunigung der Rücksicherung ist natürlich ebenfalls möglich. Schnellere Backup-Hardware und sehr performante Serversysteme ermöglichen zwar höhere Restore-Geschwin-digkeiten, dennoch bleibt eine Rücksicherung größerer Datenmengen eine zeitaufwendigeAngelegenheit.

Folgende Schlussfolgerung ergibt sich aus dieser Betrachtung für den Worst-Case-Fall:

� Sofern ein Server bzw. dessen Applikationen nicht länger als beispielsweise vier oder sechsStunden ausfallen dürfen, ist dies mit einem »normalen« Backup/Restore-Szenarion nichtzu schaffen.

� Vielleicht wird – entweder aus finanziellen Gründen oder weil die Verfügbarkeit fürbestimmte Systeme lediglich eine untergeordnete Rolle spielt – entschieden, keine erwei-terten Maßnahmen zu ergreifen. In diesem Fall sollte unbedingt schriftlich festgestellt undkommuniziert werden, dass es im Worst-Case-Fall zu längeren Ausfällen kommen kann.

Um das Szenario eines längeren Ausfalls ein wenig anschaulicher zu gestalten, hier ein Bei-spiel: Ich habe, sozusagen als externer Beobachter, einen zweitägigen Ausfall eines Exchange-Systems in einem Unternehmen erlebt. Dies führte nicht nur dazu, dass ca. 1.500 Benutzerkeine Mails mehr schreiben und empfangen konnten. Viel wesentlicher war, dass die Kalen-derinformationen nicht mehr zur Verfügung standen. Zu internen Meetings oder Kundenter-minen erschienen nur noch diejenigen Mitarbeiter, die ihre Daten regelmäßig auf einenPocketPC/PDA repliziert hatten.

Datenverlustzeit

In vielen mittelständischen Unternehmen wird die Wiederherstellung der Systeme nicht mitso hoher Wichtigkeit belegt. Viel entscheidender ist es häufig, sicherzustellen, dass keineDaten verloren gehen.

Betrachten wir ein Szenario auf dem Zeitstrahl (Abbildung 20.2):

� Die Datensicherung ist um 06:00 Uhr abgeschlossen.

� Um 8 Uhr nehmen die Benutzer die Arbeit auf und verändern die Daten.

Abbildung 20.2 Die Datenverlustzeit

2 4 6 161412108

Datensicherung

Störfall

Arbeit der Benutzermit dem System


1222


� Am Nachmittag um 16 Uhr tritt ein Störfall auf. Dieser fällt in die Kategorie »Worst Case«,es werden also beispielsweise die Festplattensysteme »verloren« (d.h., die Daten sindzumindest nicht mehr zu lesen).

� Wenn keine zusätzlichen Sicherungsmaßnahmen getroffen werden, bedeutet dies, dass diein diesen acht Stunden produzierten Daten verloren gehen (von acht bis sechzehn Uhr).

Bei der Betrachtung des Datenverlusts sind zwei Fälle zu beachten:

� reproduzierbare Daten

� nicht reproduzierbare Daten

Beispiele für reproduzierbare Daten wären Buchungen von Eingangsrechnungen (die Papier-rechnungen liegen ja noch vor und werden nochmals eingebucht) oder eine CAD-Zeichnung,die natürlich auch ein zweites Mal angefertigt werden kann.

Nicht reproduzierbar sind beispielsweise empfangene Mails (wenn man nicht zufällig kurzvor dem Ausfall des Systems seinen Posteingang eingesehen hat, weiß man ja nicht, wergeschrieben hat und kann daher nicht nachfragen) oder die Auftragseingangsdaten eines Web-shops.

Wenn die Anforderung an die IT-Abteilung herangetragen wird, dass ein Verlust von Datenauf einigen oder sogar allen Systemen nicht tragbar ist, müssen weitergehende Maßnahmenergriffen werden; ein normales Backup/Restore-Konzept ist eindeutig nicht ausreichend.

Man sollte sich nicht über die scheinbare Sicherheit täuschen, die redundant ausgelegte Serveroder mit RAID-Leveln konfigurierte Plattensysteme vorspiegeln: Wir sprechen bei den Über-legungen zur Verfügbarkeit grundsätzlich vom Worst Case, und dieser könnte so aussehen,dass das gesamte Festplattensystem irreparabel beschädigt wird.

Probleme durch logische Fehler

Die zuvor beschriebenen Szenarien basierten jeweils auf einem Hardwareausfall. Natürlich istauch ein Ausfall wegen eines Problems des Softwaresystems denkbar, beispielsweise ein Kon-sistenzproblem der Datenbank. Für diesen Fall müssen natürlich ebenfalls planerische Vor-kehrungen getroffen werden.

Letztendlich gelten hier dieselben Fragen, nämlich innerhalb welchen Zeitraums die Funktiondes Systems wiederhergestellt werden muss und ob ein Verlust von Daten tolerierbar ist.

Bei der Besprechung logischer Fehler denkt man zunächst an Inkonsistenzen in der Daten-bank, fehlerbehaftete Software oder versehentlich durch den Benutzer gelöschte Dateien. Zuberücksichtigen ist natürlich auch der Fall eines Vireneinbruchs, bei dem ein komplettes File-system innerhalb von wenigen Minuten irreparabel »verseucht« werden kann.

Sie sehen, dass es vielerlei »Gefahren« für die Verfügbarkeit eines IT-Systems gibt, die berück-sichtigt werden müssen.

Bewertung der Systeme

Zumeist werden die höchsten Verfügbarkeitsanforderungen nicht an alle Serversystemegestellt werden. Um die IT-Kosten zumindest einigermaßen im Griff zu behalten, wird man


1223


die Systeme unterschiedlichen Kategorien zuzuordnen, innerhalb derer eine bestimmte Ver-fügbarkeitsstufe definiert ist:

� Die »beste« Stufe könnte beispielsweise sowohl eine Wiederherstellungs- als auch eineDatenverlustzeit von maximal zwei Stunden definieren. Hier würde man beispielsweiseServer für das ERP-System, die Lagerverwaltung und die Kommunikation (Exchange) defi-nieren. Letzteres, weil die Collaboration-Systeme in einem modernen Unternehmenzunehmend in die Prozesse integriert sind und diese darüber hinaus ein wesentlichesWerkzeug für die Kommunikation mit Kunden geworden sind.

� Eine mittlere Verfügbarkeitsstufe, beispielsweise eine Wiederherstellungs- und Datenver-lustzeit von maximal acht Stunden, käme für ein SharePoint-System, einen Fileserver oderdiverse Datenbankanwendungen wie ein Angebotssystem in Betracht. Ein Ausfall dieserSysteme ist zwar für ein Unternehmen unangenehm, aber nicht direkt existenzgefährdend.

� Eine vergleichsweise geringe Verfügbarkeit könnte man für Systeme wie den Zeiterfas-sungsserver oder ein Softwareverteilungssystem ansetzen. Moderne Zeiterfassungssys-teme (Terminals) können für eine gewisse Zeit die erfassten Daten zwischenspeichern. DasSoftwareverteilungssystem ist unkritisch, weil im ungünstigen Fall ein oder zwei Tagekeine neuen Softwarepakete verteilt werden können, was zumeist kein Problem darstellensollte. Die Wiederherstellungs- und Datenverlustzeit könnte man mit 24 bis 48 Stundenbeziffern.

Je nach den Anforderungen Ihres Unternehmens werden Sie die Verfügbarkeiten der genann-ten Dienste vielleicht anders bewerten. Die Beispiele zeigen aber in jedem Fall, wie differen-ziert unterschiedliche Systeme bewertet werden müssen.

Störfall vs. Notfall

Wenn Sie individuell für Ihr Unternehmen planen, welche Verfügbarkeit für welche von Ser-vern bereitgestellte Funktion benötigt wird, werden Sie auf den Unterschied zwischen Störfallund Notfall treffen:

� Ein Störfall ist ein begrenztes, auf einen Server bezogenes Problem. Der Ausfall eines Netz-teils, des gesamten Plattensubsystems oder auch des ganzen Servers mit unbekanntemGrund ist ein Störfall.

� Unter einem Notfall verstehen wir ein wesentlich umfangreicheres Problem, wie einenBrand oder Hochwasser am Hauptsitz der Firma, an dem auch die IT-Systeme unterge-bracht sind. Für ein Unternehmen mit mehreren Niederlassungen wird es von Interessesein, zusätzlich zu dem »Problem« mit der Zentrale nicht auch noch die eventuell deutsch-land-, europa- oder gar weltweit verteilten Niederlassungen vollkommen lahmzulegen,weil die EDV nicht mehr arbeitet. Ein Notfallkonzept, das möglichst schnell die wesentli-chen Dienste wieder bereitstellt, ist also dringend notwendig. Allerdings wird man hiervermutlich die Wiederherstellungs- und Datenverlustzeit anders definieren als bei einemStörfall, bei dem nur ein einzelnes System betroffen ist.

Wenn Sie bei einem kleinen Unternehmen tätig sind, bei dem alle Mitarbeiter an einemStandort sitzen, werden Sie sicherlich nun denken, dass Sie ganz andere Sorgen als die Verfüg-barkeit der Daten haben, wenn Ihr Büro durch ein Feuer eliminiert wird. Auf den ersten Blick


1224


mag diese Einschätzung richtig sein, auf den zweiten Blick werden Sie feststellen, dass zumin-dest einige grundlegende Vorkehrungen für den Notfall getroffen werden müssen: Irgend-wann wird die Firma wieder arbeitsfähig sein. Wenn dann überhaupt keine Daten mehr zurVerfügung stehen, weil auch sämtliche Datensicherungen ein Raub der Flammen gewordensind, wird es für die Firma unter Umständen unmöglich sein, den Geschäftsbetrieb wiederaufzunehmen. Auch die Hausbank wird sich beispielsweise bei der Vergabe eines Kreditsdafür interessieren, ob Vorkehrungen für den Notfall getroffen worden sind: Wenn die Versi-cherung zwar die Sachwerte ersetzt, der Geschäftsbetrieb aber mangels Unternehmensdatennicht mehr aufgenommen werden kann, wird die Firma auch nicht mehr in der Lage sein, dieKredite zu bedienen.

Im mittelständischen Bereich werden die Anforderungen für den Notfall sicherlich niemalsdie Qualität der Servicelevel erreichen, die für den Störfall definiert sind. In einem Szenariofür eine Firma mit mehreren Außenstandorten könnte man definieren, dass grundlegende IT-Funktionen nach drei oder vier Tagen wieder zur Verfügung stehen sollen; der wichtigstePunkt ist, dass eine möglichst aktuelle ausgelagerte Datensicherung existiert. Die Datenver-lustzeit wird letztendlich darüber definiert, wie oft diese ausgelagerte Datensicherung aktua-lisiert wird.

Auch für einen Kleinbetrieb ist es von entscheidender Notwendigkeit, dass die Datenbeständeregelmäßig auf extern aufbewahrte Medien geschrieben werden. Das »kleinste Notfallkonzeptder Welt« könnte so aussehen, dass der Geschäftsführer täglich das Band mit der Datensiche-rung nach Hause mitnimmt; auf diese Weise kann zumindest innerhalb weniger Tage aufeinem relativ aktuellen Informationsstand weitergearbeitet werden.

20.1.2 Hardware und Konfiguration

Der vorherige Abschnitt vermittelt vielleicht etwas zu sehr den Eindruck, dass die Vorsorge-maßnahmen vor allem auf Katastrophen aller Art abzielen – vom Großbrand bis zum Flug-zeugabsturz.

Die meisten Verfügbarkeitsprobleme werden allerdings von wesentlich weniger spektakulä-ren Ereignissen ausgelöst, z.B. durch Probleme mit der Hardware.

Um es einmal ganz drastisch und unfreundlich zu sagen: Wer Billig-Hardware beschafft,braucht sich nicht zu wundern, wenn die Ergebnisse (d.h. die Stabilität der Systeme) unbefrie-digend sind. Auch NT4, das von der Codequalität bei Weitem nicht so gut war wie WindowsServer 2008, läuft auf stabiler Hardware mehrere Jahre am Stück – mir sind diverse Beispielebekannt. Mir sind aber ebenfalls Fälle bekannt, wo der »Server« aus einzelnen Komponentenim Eigenbau zusammengebastelt wurde und sich dann alle wundern, dass es ständig Blue-screens gibt.

Fakt ist: Ein Serverbetriebssystem gehört auf vernünftige Hardware. Wer beim Kauf der Ser-ver auf die »großen vier« Hersteller (HP, Dell, IBM, Fujitsu Siemens) setzt, wird deutlich bes-sere Ergebnisse erzielen als mit B-Marken oder Selbstbausystemen. Ja, ich weiß, der Preis istauch nicht zu vernachlässigen. Allerdings ist ein instabiler Server auch das vermeintlich»gesparte« Geld nicht wert!


1225


Einige weitere Aspekte zum Thema »Verfügbarkeit und Hardware«:

� Überwachung der Hardware: Häufig lassen sich aufkommende Störungen bereits frühzeitigerkennen. Ein Beispiel: Moderne Festplatten können einem Management-System mittei-len, wenn in absehbarer Zeit ein Ausfall zu erwarten ist (Abbildung 20.3). Wer solche Mel-dungen nicht auswertet, handelt grob fahrlässig!

Abbildung 20.3 Eine Serverplatte meldet einen vermutlich bald auftretenden Fehler. Wer solche Meldungen ignoriert, handelt grob fahrlässig und gefährdet die Verfügbarkeit des Systems!

� Halten Sie Ersatzhardware vor: Was passiert, wenn Sie bei einem Hardwareausfall einfachkeine Ersatzhardware haben oder kurzfristig bekommen können, brauche ich wohl nichtweiter auszuführen, oder?

� Sorgen Sie für ein optimales Sizing der Server: Systeme, die ständig am Rande des Perfor-mance-Abgrunds stehen, sind erfahrungsgemäß nicht sonderlich stabil.Da neben der Stabilität auch das Antwortverhalten und generell die Geschwindigkeit (ausSicht der Benutzer) in die Bewertung eingehen, sollten Sie derlei Aspekte ebenfalls beden-ken – und kontrollieren!

Ebenso wichtig wie die Hardware des Servers ist die Konfiguration. Hier gilt nach wie vor diealte Weisheit: Trennen Sie die Dienste.

Es ist wirklich keine neue Erkenntnis, aber man kann es nicht oft genug wiederholen: Die Sys-teme werden nicht stabiler, wenn Sie täglich einen Praxistest durchführen, wie viele unter-schiedliche Applikationsserver auf einer Betriebssysteminstallation ausgeführt werden kön-nen. Neben dem Aspekt »Stabilität« sind bei solchen Systemen auch Administation, Pflegeund Wiederherstellung vergleichsweise kompliziert!


1226


Das Designziel »ein Dienst – ein Server« muss heute nicht mehr in einer gnadenlosen Materi-alschlacht enden. Durch Virtualisierung ist es möglich, mehrere Instanzen des Betriebssys-tems auf einer Hardware auszuführen – und dabei noch Verbesserungen bei der Wiederher-stellzeit zu erreichen (siehe den nächsten Abschnitt).

Einige weitere Hinweise:

� Überwachung der Betriebssysteme und Applikationsserver: Sie überwachen die Hardware.Gut! Sie sollten allerdings auch die darauf laufenden Betriebssysteme und Applikationsser-ver überwachen. Wenn diese unbemerkt in einen »unglücklichen Betriebszustand« laufen,steuern Sie recht zielsicher den nächsten Ausfall an – und der ist sicherlich nicht nur fürdas gute Aussehen Ihrer Serververfügbarkeitsstatistik ungünstig.

Systeme wie der Microsoft System Center Operations Manager können hier wertvolle Hilfeleisten (Abbildung 20.4).

Abbildung 20.4 Ein professionelles Monitoring der Systeme auf Betriebssystem- und Applikations-server-Level ist ohne ein entsprechendes Werkzeug nicht möglich. Das Bild zeigt die Operatorkonsole des Microsoft Operations Managers 2005.


1227

Failover-Cluster 20.2

� Halten Sie Datenträger, Seriennummern und Patchdateien griffbereit: Wenn Sie trotz allerVorsorgemaßnahmen einen Ausfall haben und mit der Wiederherstellung beginnen möch-ten, wäre das ein sehr unpassender Moment, um mit dem Aufräumen des »Gerümpel-schranks« zu beginnen – und in Wahrheit sind der Open-Datenträger nebst Seriennum-mern gar nicht im Hause, weil der Praktikant vor zwei Monaten zu Hause etwas installierenwollte.

Auch aus dem Internet bezogene Patches sollten lokal verfügbar sein, um schnell und ohnegroßartig zu suchen mit der Wiederherstellung beginnen zu können.

Zuletzt wären noch einige Sicherheitsaspekte zu nennen: Bezüglich der Sicherheitsaspektesind grundsätzlich Datenklau und Sabotage zu berücksichtigen. Sabotage hat natürlich unmit-telbare Auswirkungen auf die Verfügbarkeit der Systeme. Eine mangelhafte Verfügbarkeitresultiert eben nicht nur aus dem Ausfall von Hardware, sondern ebenso aus Sicherheitspro-blemen. Hier wären beispielsweise Viren, Trojaner etc. zu nennen. Denken Sie beispielsweisean den SQL-Slammer, der massenhaft SQL Server lahmgelegt hat.

20.2 Failover-ClusterDer «klassische« Cluster ist der Failover-Cluster, der natürlich auch in Windows Server 2008vorhanden ist. Die Failover-Clusterunterstützung ist ein nachzuinstallierendes Feature (Abbil-dung 20.5).

Zwei Hinweise

Der erste wichtige Hinweis dieses Abschnitts ist, dass ein Failover-Clustering auf den Clusterknotendie Enterprise Edition des Betriebssystems voraussetzt.

Der zweite Hinweis dieses Abschnitts ist, dass Sie prüfen sollten, ob ein Failover-Cluster mitgemeinsamem Speicher (Shared Storage) in Ihrem Anwendungsfall wirklich das Optimum ist. Alter-native Ansätze sind beispielsweise:

� Der SQL Server 2005/2008 bietet mit der Datenbankspiegelung eine sehr interessante Mög-lichkeit, um Datenbankserver nebst Festplattenspeicher redundant auszulegen, ohne dass Siesündhaft teure Hardware beschaffen müssen.

� Exchange 2007 bietet mit der Clustered Continuos Replication (CCR) einen Hochverfügbarkeits-ansatz, der zwar auf dem Failover-Cluster aufsetzt, allerdings ohne einen gemeinsamenSpeicherbereich aufgebaut werden kann.

Ich möchte mit dieser Anmerkung nicht ausdrücken, dass Failover-Cluster mit gemeinsamemSpeicherbereich »irgendwie schlecht« wären. Ich möchte aber sehr wohl darauf hinweisen, dass esdurchaus andere Varianten gibt.


1228


Abbildung 20.5 Die »Failover-Clusterunterstützung« ist ein Feature und wird dementsprechend installiert.

Ende 1997, also zur besten NT4-Zeit, veröffentlichte Microsoft einen Cluster-Dienst, der zurEntwicklungszeit Wolfpack genannt wurde – ein Rudel von Wölfen sorgt also für eine bessereVerfügbarkeit.

Der Microsoft-Cluster ist recht einfach zu verstehen (Abbildung 20.6):

� Der Cluster besteht aus mindestens zwei Knoten, die über einen gemeinsamen Festplatten-bereich (Shared Storage) verfügen. Dieses Shared Storage-System kann über FibreChanneloder iSCSI angeschlossen sein. Paralleles SCSI wird unter Windows Server 2008 nicht mehrunterstützt.

� Die Benutzer greifen, zumindest gedanklich, nicht direkt auf einen der Clusterknoten zu,sondern kommunizieren mit einem »virtuellen Server«, der gewissermaßen vor den phy-sikalischen Clusterknoten angesiedelt ist. In Abbildung 20.6 ist dies zu sehen: Der Benutzerglaubt, dass er mit alphaClust01. alpha.intra kommuniziert. Da dieses System aber momen-tan auf alphaCN1 ausgeführt wird, greift der Benutzer in Wahrheit auf diese Maschine zu.Der physikalische Server greift auf den Datenbereich auf dem Shared-Storage-System zu.Wenn alphaCN1 ausfällt oder die Dienste gezielt auf alphaCN2 geschwenkt werden, wirdder Client auf diesen physikalischen Server zugreifen, der aber dieselbe Speicherressourceund dort dieselben Daten nutzt.


1229


Abbildung 20.6 Das Prinzip des Clusters

Einige weiterführende Anmerkungen:

� Der »virtuelle« Server, auf den die Clients zugreifen, besteht aus mehreren Clusterressour-cen, die zu einer Gruppe zusammengefasst werden. Die Gruppe enthält mehrere Ressour-cen, wie eine IP-Adresse, einen Rechnernamen, einen Festplattenbereich oder Ressourcenvon Applikationsservern wie Exchange oder SQL-Server.

� Clusterressourcen können nicht beliebige Dienste oder Programme sein, sondern müssenvom Softwarehersteller speziell auf den Betrieb im Cluster vorbereitet sein. Es ist insbeson-dere beim Einsatz von Zusatzprodukten zu prüfen, ob diese im Cluster laufen können oderzumindest »Cluster aware« sind. Ersteres bedeutet, dass das Produkt als Clusterressource

Vorsicht

Ein Szenario, wie es in Abbildung 20.6 gezeigt wird, ist durchaus mit Vorsicht zu genießen: Einer-seits wird natürlich der Ausfall eines Serverknotens abgefangen – der eigentlich viel schwerer wie-gende Verlust des Speichersystems wird aber andererseits nicht abgedeckt. Nun argumentieren dieHersteller von Speichersystemen zwar, dass die Systeme unglaublich stabil und ausfallsicher arbei-ten – es könnte aber trotzdem etwas passieren! Denken Sie an einen Kabelbrand, einen Wasser-rohrbruch und dergleichen. Die Regel Nummer 1 beim Entwurf von Hochverfügbarkeitslösungenlautet: »Traue keiner Komponente.«

Abschnitt 3.4 beschäftigt sich recht ausgiebig mit diesem Thema, so dass ich Sie auf diesen Teil desBuchs verweisen möchte.

Wie bereits weiter vorn angesprochen wurde, könnten in Ihrem konkreten Fall vielleicht auchAnsätze interessant sein, die nicht auf einem gespiegelten Shared Storage beruhen, sondern dieDaten auf Applikationsebene replizieren, also beispielsweise Exchange 2007 CCR oder die Daten-bankspiegelung von SQL Server 2005/2008.

alphaCN 1.alpha .intra192.168.1.155

alphaCN2.alpha.intra192.168.1.156

alphaClust 01.alpha.intra192.168.1.161

Datenclust01

Cluster Heartbeat (separates Netzwerk )


1230


ausgeführt werden kann. »Cluster aware« bedeutet, dass die Software zwar keine Cluster-ressource zur Verfügung stellt, aber stabil auf einem Clusterknoten läuft.

� Im Fehlerfall werden die Clusterressourcen des ausgefallenen Knotens auf dem anderenSystem gestartet. Dies kann durchaus einige Minuten dauern! Der Cluster sorgt also nichtfür »Zero-Downtime«, sondern für eine »Only-a-few-minutes-Downtime«.

20.2.1 Aktiv – Passiv – n+1

Grundsätzlich können alle Clusterknoten aktiv sein, also eine Clusterressource ausführen. Esstellt sich allerdings immer die Frage, ob das wirklich die optimale Lösung ist. Abbildung 20.7zeigt einen Zwei-Knoten-Cluster, bei dem beide Knoten aktiv sind: Fällt ein Clusterknoten aus,wird dessen Ressource auf den anderen Knoten geschwenkt und dort ausgeführt. Das Problemist, dass dieser Knoten nun die ganze Last allein trägt, bei linearer Verteilung also doppelt soviel leisten muss. Da mehr als 100% bekanntlich nicht geht, dürfen beide Knoten also jeweilsnur zu 50% ausgelastet sein. Und damit ist der Aktiv-Aktiv-Cluster schon gar nicht mehr soattraktiv.

Abbildung 20.7 Bei einem Ausfall in einem Zwei-Knoten-Cluster trägt der verbliebene Knoten die volle Last.

1. 2.Cluster-ressourcen Cluster-

ressourcen


1231


Teilweise wird explizit empfohlen, Zwei-Knoten-Cluster nicht Aktiv/Aktiv, sondern Aktiv/Passiv auszulegen – ein Beispiel dafür ist Exchange Server 2003. Bei Exchange Server 2007werden Aktiv/Aktiv-Cluster gar nicht mehr unterstützt, sondern »nur« noch Aktiv/Passiv-Clus-ter. Die Aktiv/Aktiv-Konfigurationen haben sich in der Praxis schlicht und ergreifend nichtbewährt.

Falls Sie einen Cluster mit noch mehr Knoten benötigen, können Sie bis zu sechzehn Cluster-knoten in einen Cluster einbinden. Bei Clustern, die aus mehr als zwei Knoten bestehen, fährtman grundsätzlich eine n+1-Konfiguration (Abbildung 20.8). Dabei führt einer der Knoten imnormalen Betrieb keine Clusterressource aus. Erst im Fehlerfall übernimmt er die Ressourcedes ausgefallenen Knotens.

Abbildung 20.8 Bei einem Mehr-Knoten-Cluster bleibt ein Clusterknoten »frei«, um als Ziel für Failover-Vorgänge zu dienen. Man spricht von einer n+1-Konfiguration, in diesem Fall »3+1«.

20.2.2 Installation

Im Gegensatz zum Clusterdienst unter Windows Server 2003 ist als von den Clusterknotengemeinsam genutzter Speicher kein paralleles SCSI mehr möglich, sondern nur nochFibreChannel, iSCSI oder SAS (serielles SCSI, Serial Attached SCSI). Für eine Produktionsum-gebung hat ohnehin niemand mehr Storage-Systeme über paralleles SCSI angebunden, aberfür mit Virtualisierungsprodukten betriebene Testszenarien hat man diese Technologie häufigverwendet.

Wenn Sie zunächst das Clustering mit Windows Server 2008 in einer virtuellen Umgebungtesten möchten, empfiehlt sich die Nutzung von iSCSI-Technologie (weil sie preiswerter ist).

iSCSI eignet sich übrigens nicht nur für das Testlabor; auch in der Produktionsumgebung hatsich iSCSI mittlerweile bewährt. Benötigt man höchste Verfügbarkeit und höchste Perfor-mance, wird man allerdings nach wie vor zu einem FibreChannel-SAN tendieren.


1232


Der erste Schritt der Installation besteht darin, dass Sie alle Clusterknoten mit ausreichendKonnektivität ausstatten. Je nachdem, wie Sie den Shared-Storage-Bereich anbinden, benöti-gen Sie folgende Konfiguration:

� Shared Storage via FibreChannel:

� 1 * LAN in Richtung Clients (besser redundant auslegen)

� 1 * LAN für Heartbeat

� 1 * FC-HBA für die Anbindung des Storage-Systems (besser redundant auslegen)

� Shared Storage via iSCSI

� 1 * LAN in Richtung Clients (besser redundant auslegen)

� 1 * LAN für Heartbeat

� 1 * iSCSI-LAN für die Anbindung des Storage-Systems (besser redundant auslegen)

Für iSCSI benötigen Sie also mindestens drei Netzwerkkarten. Ein Schaubild ist in Abbildung20.9 gezeigt.

Abbildung 20.9 Ein Clusterknoten in einem iSCSI-Szenario benötigt mindestens (!) drei Netzwerkkarten.

Die Knoten eines Clusters sollten nach Möglichkeit identisch, zumindest aber ähnlich dimen-sioniert sein.

iSCSI -Target

iSCSI-LAN

Heartbeat

Produktions-LAN (Clients etc.)


1233


Ich gehe davon aus, dass viele Leser bisher noch kein iSCSI installiert haben. Daher folgt hierein kurzer Überblick. Bei iSCSI gibt es zwei Kernkomponenten:

� iSCSI-Target: Ein Target stellt Plattenressourcen zur Verfügung. Windows Server 2008 ent-hält leider standardmäßig keine Software, um ein iSCSI-Target zu sein, es gibt aber diverseDrittherstellerprodukte (»Googeln« hilft immer, Suchbegriffe: iSCSI Target Windows).Diverse Hersteller bieten iSCSI-Targets als Hardwarelösung an. Zu nennen wären hier bei-spielsweise die Systeme von Network Appliance.

� iSCSI-Initiator: Der Initiator greift auf die vom Target bereitgestellten Ressourcen zu. EinInitiator kann entweder ein Stück Software oder eine spezielle Netzwerkkarte sein.

Installation des iSCSI-Targets

Windows Server 2008 verfügt über kein »eigenes« iSCSI-Target, was bedeutet, dass Sie eingeeignetes Softwareprodukt beschaffen müssen. Es gibt verschiedene Möglichkeiten. Bewährthat sich StarWind von RocketDivision (http://www.rocketdivision.com/). Es gibt von dieser Soft-ware verschiedene Editionen, eine ist sogar kostenlos erhältlich. Leider ist diese nicht für denAufbau eines Clusters geeignet, da sie keine gleichzeitigen Zugriffe auf iSCSI-Ressourcengestattet. Sie brauchen also mindestens die Edition »Server«, die übrigens auch für kleinesGeld (395 US$) erhältlich ist. Eine 30-Tage-Testversion steht ebenfalls zur Verfügung.

Bereiten Sie einen Windows Server 2008 (Grundinstallation) vor, dann installieren Sie dasiSCSI-Target. Abbildung 20.10 zeigt den Dialog zur Auswahl der zu installierenden Kompo-nenten. Das Virtual Tape Library-Plug-In benötigen Sie für dieses Szenario nicht.

Abbildung 20.10 Diese Komponenten benötigen Sie, um das StarWind-iSCSI-Target aufzusetzen.

Die Konfiguration des iSCSI-Targets erfolgt mit einem grafischen Werkzeug. Zunächst bauenSie die Verbindung zum Target auf, was in Abbildung 20.11 bereits erledigt ist. Sie könnenalso beginnen, mit Add Device (im Kontextmenü) die bereitzustellenden Plattenressourcenhinzuzufügen.


1234


Abbildung 20.11 In der StarWind-Management-Console werden zwei Speicherbereiche hinzugefügt.

Das Hinzufügen wird von einem Assistenten erledigt:

� Zunächst entscheiden Sie sich für den Device Type, also den bereitzustellenden Gerätetyp.In diesem Fall entscheiden Sie sich für ein Image File device, also einen Bereich auf derFestplatte (Abbildung 20.12, links).

Abbildung 20.12 Erzeugen Sie ein neues »Image File device«.

� Vermutlich werden Sie ein neues Image erzeugen wollen. Sie können StarWind (oder einbeliebiges anderes iSCSI-Target) natürlich nicht »nur« für die Testumgebung verwenden,sondern auch produktiv einsetzen. Dann ist es allerdings wichtig, dass Sie als Speicherortfür das Image ein Festplattensystem auswählen, das den Performance-Anforderungengenügt. Ein RAID5 aus drei SATA-Platten wird zum Beispiel kaum ausreichen, um eineDatenbank für 100 Anwender bereitzustellen (Abbildung 20.13).


1235


� Extrem wichtig ist, dass Sie auf der dann folgenden Dialogseite die Checkbox Allow mul-

tiple concurrent iSCSI connections aktivieren. In einem »normalen« Failover-Clustermüssen alle Knoten auf denselben Speicherbereich Zugriff haben.

Abbildung 20.13 Die Datei wird im lokalen Dateisystem gespeichert. Wichtig ist, dass »multiple concur-rent iSCSI connections« zugelassen werden.

Konfiguration des iSCSI-Initiators

Nun müssen Sie auf den zukünftigen Clusterknoten noch die Clientkomponente zum Zugriffauf das iSCSI-Target konfigurieren. Eine Installation ist nicht notwendig, da der iSCSI-Initiatorin Windows Server 2008 bereits installiert ist, aber nicht ausgeführt wird. Rufen Sie also denMenüpunkt iSCSI-Initiator auf, und starten Sie auf Nachfrage den Dienst (Abbildung 20.14).

Abbildung 20.14 Der iSCSI-Initiator wird nach dem ersten Start den Dienst starten.

Mindestens zwei iSCSI-Bereiche

Erzeugen Sie mindestens zwei iSCSI-Bereiche. Ein Bereich, der nicht größer als 100 MB zu seinbraucht, wird als Quorum verwendet. Vereinfacht gesagt werden dort »cluster-interne« Datenabgelegt.

Das zweite (und dritte, vierte etc.) Device wird für Ihre Daten verwendet.


1236


Für die Konfiguration des iSCSI-Initiators startet ein Eigenschaftendialog mit sechs Register-karten. Für eine größere iSCSI-Umgebung gibt es recht elegante Konfigurationsmöglichkeitenunter Verwendung eines iSNS-Servers, der in etwa ein DNS-Server für iSCSI ist. Ich möchte andieser Stelle allerdings nicht in die Tiefen von iSCSI einsteigen, sondern es »nur« zum Laufenbringen:

� Wechseln Sie auf die Registerkarte Suche, und tragen Sie die IP-Adresse des iSCSI-Targetsin die Liste Zielportale ein (Abbildung 20.15). Falls der iSCSI-Server mehrere Netzwerk-adressen hat, achten Sie darauf, dass Sie die IP-Adresse des iSCSI-Netzwerksegments ein-tragen (siehe auch Abbildung 20.9).

Abbildung 20.15 Das iSCSI-Target wird als Zielportal eingetragen.

� Nun wechseln Sie auf die Registerkarte Ziele. Falls dort noch nichts angezeigt wird, klickenSie auf die Schaltfläche Aktualisieren. Nun sollten die Devices des iSCSI-Targets erschei-nen. Stellen Sie die Verbindungen her, indem Sie die Einträge jeweils selektieren und eineAnmeldung vornehmen (Abbildung 20.16).

Bevor Sie die iSCSI-Konfiguration verlassen, sollten Sie auf die Registerkarte Volumes und

Geräte wechseln und dafür sorgen, dass die verwendeten Ressourcen in die Liste eingetragenwerden. Ist eine Ressource dort vermerkt, sorgt der iSCSI-Initiator dafür, dass die iSCSI-Res-sourcen für die darauf zugreifenden Dienste bzw. Applikationen stets vorhanden sind. Dashört sich ein wenig nebulös an, daher erkläre ich es an einem kleinen Beispiel: Wenn der Ser-ver beispielsweise Verzeichnisse des über iSCSI gemounteten Festplattensystems perDateifreigabe zur Verfügung stellt, wird nach einem Neustart die Freigabe nicht mehr vorhan-den sein. Das liegt daran, dass zu dem Zeitpunkt, zu dem Dienst startet, der die Freigabebereitstellt, die Verbindung zum iSCSI-Target noch nicht existiert. In der Folge müssen die


1237


Freigaben neu angelegt werden. Das Problem tritt nicht auf, wenn Sie die iSCSI-Ressourcen indieser Liste eintragen (Abbildung 20.17).

Abbildung 20.16 Melden Sie sich an den gefundenen Zielen an.

Abbildung 20.17 Wählen Sie »Autom. konfigurieren«, um die Verfügbarkeit der genutzten Geräte sicherzustellen.


1238


Beachten Sie, dass die iSCSI-Ressource auch in der Liste auf der Registerkarte Bevorzugte

Ziele vorhanden sein muss. Sie wird dort aber automatisch eingetragen, wenn Sie bei derAnmeldung die Checkbox Beim Neustart…wiederherstellen selektiert hatten (siehe Abbil-dung 20.16).

In der Datenträgerverwaltung muss sich nun in etwa das Bild aus Abbildung 20.18 ergeben.Die Datenträger müssen noch Online geschaltet werden (im Kontextmenü des Datenträgers),dann können Sie eine Partition anlegen und formatieren. Abbildung 20.19 zeigt, dass die ein-gebundenen iSCSI-Ressourcen von »normalen« Festplatten nicht zu unterscheiden sind.

Abbildung 20.18 Die beiden per iSCSI zur Verfügung gestellten Volumes tauchen in der Datenträger-verwaltung auf, müssen aber noch aktiviert, initialisiert und formatiert werden.

Abbildung 20.19 So muss es aussehen. Und zwar auf beiden Servern!


1239


Sie können übrigens auch im Verwaltungswerkzeug des iSCSI-Targets kontrollieren, ob sichalle Server mit dem iSCSI-Target verbunden haben. Es muss sich ein Szenario wie in Abbil-dung 20.20 ergeben.

Abbildung 20.20 In der Konfiguration des iSCSI-Targets müssen beide iSCSI-Initiatoren angezeigt werden.

Cluster installieren

Die grundlegenden Arbeiten können Sie mit einem grafischen Werkzeug, nämlich der Fail-over-Clusterverwaltung erledigen; das gilt übrigens sowohl für die Einrichtungs- als auch fürdie Betriebsphase.

Die Clusterverwaltung lässt sich übrigens auch auf einem Vista-PC ausführen; Sie müssenlediglich die Windows Server 2008-Adminwerkzeuge installieren (Download Center). Wie Siein Abbildung 20.22 sehen können, kann aus der Clusterverwaltung viel erläuternder Text auf-gerufen werden. Außerdem sind natürlich die wesentlichen Aktionen (Konfiguration über-

prüfen, Cluster erstellen etc.) aufrufbar.

Keine Laufwerksbuchstaben

Es ist übrigens nicht notwendig, den zukünftigen Clusterfestplatten Laufwerksbuchstaben zuzuwei-sen. Dies wird ohnehin bei der Clusterinstallation modifiziert.

Hinweis

Die gezeigten Schritte müssen auf allen Clusterknoten durchgeführt werden (natürlich nicht dasPartitionieren und Formatieren). Bevor Sie mit der Clusterinstallation fortfahren, müssen alle Clus-terknoten auf die Festplattenbereiche zugreifen können.


1240


Abbildung 20.21 Die »Failover-Clusterverwaltung« ermöglicht ein komfortables Arbeiten – auch vom Admin-Arbeitsplatz aus.

Konfiguration überprüfen

Eine der Neuerungen beim Failover-Cluster unter Windows Server 2008 sind wesentlichumfangreichere Prüfvorgänge als bei den Vorgängerversionen. Das ist auch ziemlich gut so,denn meiner Erfahrung nach liegt die Ursache für Clusterprobleme während der Betriebs-phase in einer fehlerhaften Grundkonfiguration. Rufen Sie also in der Failover-Clusterverwal-tung den Menüpunkt Konfiguration überprüfen auf:

� Zunächst können Sie die zu überprüfenden Server angeben (Abbildung 20.22). Tragen Siehier alle Server ein, aus denen der Cluster gebildet werden soll.

� Auf der dann folgenden Dialogseite können Sie wählen, ob alle Tests durchgeführt werdensollen oder ob Sie nur einzelne Tests laufen lassen möchten. Der erste Testlauf sollte alleTests umfassen. Da die Ausführung einige Minuten dauert, kann später, wenn Sie einzelneaufgetretene Probleme korrigiert haben, eine selektivere Vorgehensweise empfehlenswertsein (Abbildung 20.23).


1241


Abbildung 20.22 Wählen Sie zunächst die zukünftigen Clusterknoten zum Test aus.

Abbildung 20.23 Sinnvollerweise werden alle Tests ausgeführt.

� Sie können nun den Test starten, der automatisch abläuft. Wie bereits erwähnt wurde,wird er einige Minuten in Anspruch nehmen.

� Der Dialog aus Abbildung 20.24 bringt zwar keine komplizierten Konfigurationsaufgabenmit, ich finde es aber ganz beeindruckend, zu zeigen, wie viele Tests die Clusterverwaltungbereithält.


1242


Abbildung 20.24 Es gibt mehrere Dutzend Tests.

Nach Durchführung des Testlaufs können Sie einen Bericht (HTML-Seite) aufrufen, der sehrdetailliert die Ergebnisse auflistet. Sofern Probleme aufgetreten sind, erhalten Sie im Allge-meinen recht konkrete Handlungsanweisungen.

Ich empfehle Ihnen dringend, wirklich so lange zu testen, bis keinerlei Probleme oder War-nungen mehr angezeigt werden. Zwar ist die Clusterinstallation auch möglich, wenn die Kon-figurationsprüfung Fehler meldet, allerdings würden daraus zwei Probleme resultieren:

� Eine Konfiguration, die von der Clusterüberprüfung nicht die »grüne Ampel« erhält, wirdvon Microsoft nicht supportet.

� Wenn die Clusterprüfung Probleme meldet, hat das im Allgemeinen »Hand und Fuß«.Diese Meldungen einfach zu ignorieren wird mit einer nicht ganz geringen Wahrschein-lichkeit später zu Problemen führen, die dann gegebenenfalls schwer zu diagnostizierensind.

Cluster erstellen

Nun kommen wir zum eigentlichen Aufsetzen des Clusters. Wählen Sie in der Clusterverwal-tung den Menüpunkt Cluster erstellen. Sie werden feststellen, dass Cluster zu erstellen ein-facher ist, als Sie es sich vielleicht gedacht haben.

� Zunächst wählen Sie aus, aus welchen Servern der Cluster initial aufgebaut werden soll.Das ist übrigens keine Entscheidung für die Ewigkeit, Sie können auch zu einem späterenZeitpunkt noch weitere Server hinzufügen (Abbildung 20.25).


1243


Abbildung 20.25 Wählen Sie die Knoten aus, aus denen der Cluster gebildet werden soll.

� Die nächste Dialogseite ist einigermaßen wichtig. Falls bei dem letzten ValidierungstestWarnungen aufgetreten sind, wird der Installationsassistent Sie darauf hinweisen, dass dasSystem nicht von Microsoft supportet werden wird. Sie haben nun die Möglichkeit, denValidierungstest nochmals durchzuführen (vielleicht sind ja die gemeldeten Probleme mit-tlerweile behoben) oder die Installation trotz der Warnung durchzuführen (Abbildung20.26).

Abbildung 20.26 Wenn es Warnungen vom Konfigurationsvalidierungstest gibt, sollten Sie die gemeldeten Probleme zuerst beheben.


1244


Im nächsten Schritt tragen Sie den Clusternamen und eine zugehörige IP-Adresse ein (Abbil-dung 20.27). Dies ist die IP-Adresse bzw. der Name, über den der Cluster zu Verwaltungsauf-gaben angesprochen wird. Benötigt wird hier eine »neue« Adresse, also keine Adresse einesder Clusterknoten!

Abbildung 20.27 Für die Clusterverwaltung werden eine IP-Adresse und ein Name benötigt.

Damit haben Sie den Assistenten bereits durchgearbeitet. Nehmen Sie noch eine letzte Über-prüfung vor, und dann kann es losgehen (Abbildung 20.28). Vielleicht sind Sie erstaunt, dasskeine weiteren Parameter abgefragt werden, aber im ersten Schritt geht es »nur« um das Auf-setzen des eigentlichen Clusters. Anwendungen, also Clusterressourcen, werden in einemzweiten Schritt konfiguriert.

Support

An dieser Stelle sei auf die Bedeutung des Microsoft-Supports hingewiesen. Bekanntermaßen brau-chen Sie über wirklich kniffligen Problemen nicht stunden- oder gar tagelang selbst zu brüten, son-dern können einen Call bei Microsoft aufmachen. Wenn Sie nicht durch einen wie auch immergearteten Rahmenvertrag diverse Anrufe frei haben, kosten sie Geld (das staffelt sich u.a. auch nachder Produktfamilie, im Serverumfeld kann man mit ca. 300 EUR rechnen; Angaben ohne Gewähr!).Für diesen Betrag brauchen Sie nun aber nicht stundenlang selbst nach der Lösung für ein Problemzu suchen.

Ein Call bei Microsoft setzt nun aber voraus, dass die Installation grundsätzlich den »Regeln« ent-spricht. Wenn Sie wissentlich eine nicht supportete Konfiguration implementieren, verbauen Siesich die Chance, Ihr konkretes Problem durch Microsoft lösen zu lassen – diesen Weg würde ich mirauf gar keinen Fall verbauen.


1245


Abbildung 20.28 Ein letzter Check – dann geht es los.

Der Assistent wird nun ein paar Minuten lang beschäftigt sein. Wenn Sie den Validierungstesterfolgreich absolviert haben, sollte es aber keine Probleme geben. Abbildung 20.29 zeigt den»Abschlussdialog« einer einwandfrei abgelaufenen Installation. Wenn es Probleme gegebenhat, wird in genau diesem Dialog ein Warnungszeichen zu sehen sein. In diesem Fall würdeich übrigens das Problem diagnostizieren (Schaltfläche Bericht), den installierten Clusterlöschen, das Problem beheben und neu installieren. So können Sie sicher sein, dass Sie wirk-lich einen »sauberen« Cluster verwenden.

Abbildung 20.29 Das war erfolgreich: Es gibt keine Warnungen, und der Cluster läuft.


1246


Der Ist-Zustand

Sie werden neugierig sein, wie der Installationsassistent den Cluster eingerichtet hat. Dieskann in der Failover-Clusterverwaltung problemlos überprüft werden.

Wählen Sie beispielsweise den Knoten Speicher. Dort werden die im Cluster vorhandenenDatenträger angezeigt. Eine besondere Rolle nimmt der Zeugendatenträger im Quorum ein.Dies ist der Plattenbereich, den der Cluster sozusagen »für sich selbst« benötigt (Abbildung20.30).

Abbildung 20.30 In der Clusterverwaltung können Sie den im Cluster vorhandenen Speicher einsehen. Beachten Sie besonders den »Zeugendatenträger«.

Im Kontextmenü des Knotens Speicher findet sich der Menüpunkt Datenträger hinzufügen,mit dem (Überraschung, Überraschung) dem Cluster weitere Speicherkapazität hinzugefügtwerden kann. In Clustern, die auf gemeinsamem Speicherplatz (Shared Storage) basieren, ver-steht es sich von selbst, dass nur ebendiese gemeinsamen Datenträger hinzugefügt werdenkönnen.

Weiterhin interessant ist der Knoten Netzwerke (Abbildung 20.31). Sie können für jedesNetzwerk konfigurieren, ob es vom Cluster verwendet werden darf und ob Client-Zugriffemöglich sein sollen. Der Konfigurationsassistent trifft im Allgemeinen die »richtigen Entschei-dungen«, es könnte aber auch sein, dass Sie hier ein wenig nacharbeiten müssen. Rufen Siedazu den Eigenschaftendialog der jeweiligen Netzwerkverbindung auf:


1247


� Die Netzwerkverbindung zum Produktivnetz muss für die Verwendung durch den Clusterzugelassen sein. Weiterhin muss Clientzugriff gestattet sein.

� Für das Heartbeat-Netz muss die Verwendung durch den Cluster aktiviert sein, allerdingsmuss der Client-Zugriff abgeschaltet werden.

Abbildung 20.31 In der Clusterverwaltung können Sie die im Cluster vorhandenen Netzwerke einsehen und konfigurieren.

20.2.3 Anwendungen hinzufügen

Der Cluster bringt nicht viel, wenn keine Anwendung darauf ausgeführt wird. Die nächsteAufgabe ist also, eine Anwendung oder einen Dienst auf dem Cluster zu konfigurieren. Stan-dardmäßig sind ca. ein Dutzend Anwendungen bzw. Dienste vorhanden, darunter Dateiser-ver, Druckserver, DHCP-Server und dergleichen mehr. Wenn Sie beispielsweise ExchangeServer oder SQL Server auf dieser Maschine installiert haben, werden die entsprechendenKomponenten ebenfalls auf diesem Weg installiert werden.

Als Beispiel in diesem Buch werde ich Ihnen vorführen, wie man einen Dateiserver-Clustereinrichtet. Also:

� In der Failover-Clusterverwaltung rufen Sie im Kontextmenü des Knotens Dienste und

Anwendungen den Menüpunkt Dienst oder Anwendung konfigurieren auf (Abbildung20.32).


1248


Abbildung 20.32 Hier beginnen Sie mit dem Einrichten eines Dienstes oder einer Anwendung.

� Anschließend erscheint der Dialog zur Auswahl der Anwendung, die als Clusterressourceinstalliert werden soll (Abbildung 20.33). Falls zusätzliche Anwendungen (z.B. ExchangeServer, SQL Server) installiert sind, werden entsprechende Einträge auswählbar sein. Dasgilt aber nur, wenn die installierte Anwendung eine Clusterressource bereitstellt.

Abbildung 20.33 Eine mögliche Clusteranwendung ist der Dateiserver.


1249


Der nächste Punkt ist die Konfiguration des Clientzugriffspunkts (Abbildung 20.34). Denhier angegebenen Namen nebst zugehöriger IP-Adresse verwenden die Clients, um auf dieClusterressource, in diesem Fall den Dateiserver-Cluster, zuzugreifen. Vorsichtshalber möchteich Sie darauf hinweisen, dass hier ein nicht existierender Name und eine nicht verwendeteIP-Adresse gefordert sind, also keinesfalls die Daten eines bestehenden Clusterknotens.

Der Name wird übrigens im DNS eingetragen.

Abbildung 20.34 Wählen Sie einen Namen und eine Netzwerkadresse für denDateiserver-Cluster.

Im nächsten Dialog wählen Sie die zu verwendenden Speicherbereiche. In diesem Beispielhabe ich nur zwei Datenträger angelegt. Einer davon wird für interne Zwecke benötigt (Zeu-gendatenträger im Quorum), der andere kann für die Verwendung mit dem Dateiserver-Clus-ter ausgewählt werden (Abbildung 20.35). Bei Bedarf können Sie natürlich weitere Datenträ-ger hinzufügen.

Abbildung 20.35 Legen Sie das Speichervolume fest, das für den Dateiserver-Cluster verwendet werden soll.


1250


Hat der Assistent seine Arbeit erledigt, können Sie den angelegten Dateiserver-Cluster inAugenschein nehmen (Abbildung 20.36):

� Sie können erkennen, dass der Status des Clusters Online und der aktuelle BesitzerubinfClu01N2 ist. Wie unschwer zu erraten ist, ist mit Letzterem der Server gemeint, aufdem der Dienst momentan ausgeführt wird.

� Verschiedene Ressourcen haben den Status Online, und zwar der Name, die IP-Adresseund der Clusterdatenträger.

� Momentan gibt es für den Dateiserver-Cluster nur eine Freigabe, nämlich die administra-tive Freigabe.

Abbildung 20.36 In diesem Dialog wird der Dateiserver-Cluster konfiguriert. Bisher gibt es nur die administrative Freigabe; immerhin ist alles online geschaltet.

Um nun eine weitere Freigabe einzurichten, wählen Sie im Kontextmenü der Dateiserver-Cluster-Anwendung den Menüpunkt Einen freigegebenen Ordner hinzufügen. Der Assis-tent, der darauhin startet, fragt zunächst nach dem freizugebenden Pfad. Dann müssen Siesich noch durch einige weitere Dialogseiten arbeiten, die aber selbsterklärend sind. Sie sehen,dass die grundlegenden Arbeiten, wie eben das Hinzufügen von Freigaben, in der Clusterver-waltung erledigt werden. Existiert die Freigabe bereits, modifizieren Sie diese in ihrem Eigen-schaftendialog, den Sie über das Kontextmenü aufrufen (Abbildung 20.37 und Abbildung20.38).


1251


Abbildung 20.37 Jede Menge Menüpunkte: Zum Beispiel könnte man »Einen freigegebenen Ordner hinzufügen«.

Abbildung 20.38 Geben Sie den Speicherort für den freigegebenen Ordner an.


1252


20.2.4 Cluster schwenken

Die Idee hinter einem Failover-Cluster ist, dass beim Ausfall eines Knotens ein anderer dessenAufgaben übernimmt. Das Schwenken des Clusters können Sie allerdings auch gezielt initiie-ren, beispielsweise um einen Knoten zu Wartungszwecken (z.B. Patches einspielen nebst fäl-ligem Neustart) herunterzufahren, oder einfach, um zu probieren, ob ein anderer Knoten dieFunktion übernehmen kann.

Im Eigenschaftendialog der Dienste bzw. Anwendungen findet sich der Menüpunkt Diesen

Dienst oder diese Anwendung in einen anderen Knoten verschieben. In diesem Fall(Abbildung 20.39) ist zwar nur ein möglicher Knoten aufgeführt (der Cluster hat nur zweiKnoten), aber so wird’s gemacht.

Abbildung 20.39 Der Dateiserver-Cluster kann geschwenkt werden, …

In Abbildung 20.40 sehen Sie die Meldung, die beim Start des Verschiebevorgangs erscheint:Sie werden darauf hingewiesen, dass beim Schwenken des Clusters sämtliche Clients getrenntwerden. Diese können zwar kurze Zeit später die Verbindung wieder aufbauen, die Verbin-dung ist aber in jedem Fall kurz »weg«.

Dies gilt übrigens auch beim Ausfall eines Knotens: Der Funktionalität wird zwar auf einenanderen Knoten verschoben, die Clients verlieren aber kurzzeitig die Verbindung. Im denmeisten Fällen ist das zwar kein Problem, Sie sollten sich aber darüber im Klaren sein!


1253

Network Load Balancing 20.3

Abbildung 20.40 … allerdings gibt es dabei eine kurze Funktionsunterbrechung für die Clients.

20.2.5 Feinkonfiguration des Clusters und weitere Vorgehensweise

Das Verwaltungswerkzeug für den Failover-Cluster hält viele, viele Konfigurationsmöglichkei-ten bereit. Ich möchte diese hier nicht im Detail besprechen. Wenn Sie einen lauffähigen Clus-ter haben, sollten Sie in der Failover-Clusterverwaltung die Konfigurationsdialoge durchsehenund sich einen Überblick verschaffen. Die Optionen sind im Großen und Ganzen selbsterklä-rend, so dass seitenlange Beschreibungen in der Tat nicht notwendig sind.

Weiterhin möchte ich Ihnen dringend empfehlen, das Wiederherstellen des Clusters und ein-zelner Clusterknoten mit der von Ihnen verwendeten Sicherungssoftware auszuprobieren –und zwar in einer ruhigen Stunde und nicht erst, wenn der Notfall da ist.

20.3 Network Load BalancingNicht alle Aspekte der Verfügbarkeit lassen sich sinnvoll mit dem Failover-Cluster abdecken.Das Verfahren kommt immer dann zum Einsatz, wenn eine Ressource nicht »dupliziert« wer-den kann, sondern genau der eine Applikationsserver vorhanden sein muss. Typische Bei-spiele sind ein Exchange-Postfachserver oder eine SQL Server-Datenbank: Wenn ein Postfachauf dem Server Exchange01 liegt, hilft es dem Anwender bei einem Ausfall wenig, dassExchange02 und Exchange03 noch funktionieren – auf sein Postfach kann er nicht zugreifen.Es muss also dafür gesorgt werden, dass genau die Ressource Exchange01 möglichst schnellwieder verfügbar wird. Dies kann, wie beim Failover-Cluster der Fall, durchaus auf andererHardware sein, die sich dann aber als Exchange01 meldet.

Andere Serverdienste werden nicht geclustert, obwohl sie nicht weniger wichtig sind. EinigeBeispiele:

� Das Active Directory können Sie sehr einfach dadurch redundant auslegen, dass Sie weitereDomänencontroller implementieren. Fällt ein Domänencontroller aus, greifen die Clientsautomatisch auf die verbliebenen zu. Der Anwender bemerkt den Ausfall nicht einmal. ImAD-Umfeld sind als Ausnahmen die Server zu nennen, die FSMO-Rollen ausführen. Stehteine FSMO-Rolle nicht zur Verfügung, leidet der »normale« Betrieb aber nicht darunter.


1254


� DNS: Auch in diesem Fall basiert das Redundanzkonzept auf der Fähigkeit der Clients, ein-fach den nächsten DNS-Server zu kontaktieren.

Die Dienste aus dem zuvor genannten Beispiel sind deshalb relativ einfach redundant auszu-legen, weil die »Redundanz-Intelligenz« (d.h. »Wie verhalte ich mich beim Ausfall der Res-source?«) in den jeweiligen Clients implementiert ist.

Nun gibt es aber noch eine dritte Gruppe von Diensten, die durch folgende Kriterien zubeschreiben ist:

� Der einzelne Server ist ersetzbar, d.h., der Dienst ist nicht so »einzigartig«, dass nicht einanderer Server den Benutzer weiter bedienen könnte.

� Der Client verfügt nicht über integrierte Failover-Mechanismen.

� Neben dem Thema der Verfügbarkeit kommen die Anforderungen der Lastverteilung mitins Spiel.

Der Dienst, der optimal durch diese Anforderungen beschrieben wird, ist die Bereitstellungvon Webapplikationen:

� Eine Webapplikation kann von mehreren Servern gleichzeitig bereitgestellt werden. Dereinzelne Webserver holt im Endeffekt nur Daten aus Datenbanken, bereitet diese auf undschickt sie via HTTP an den Benutzer. Ob dieser mit Webserver01 oder Webserver02 verbun-den ist, ist unerheblich.

� Ist ein Client mit Webserver01 verbunden, kann er nicht erkennen, dass er die Webapplika-tion genauso gut von Webserver02 oder Webserver03 bekommen könnte.

� Wenn viele Anwender auf einen Webserver zugreifen, kann diese Last von einem einzel-nen Server (Hardware) unter Umständen nicht mehr getragen werden. Demnach muss einVerfahren zur Lastverteilung gefunden werden. Der Punkt, ab dem ein einzelner Servernicht mehr ausreicht, verschiebt sich immer weiter nach unten. Zwar wird die Serverhard-ware leistungsfähiger, allerdings werden Webapplikationen deutlich komplexer – es reichtschon lange nicht mehr, statische Seiten anzuzeigen.

Ein zweites Beispiel sind die Terminaldienste. Für einen Benutzer ist es zunächst unerheblich,auf welchem Terminalserver »seine« Applikation läuft. Im Gegensatz zum Webserver-Beispielkann innerhalb einer Sitzung nicht ohne Unterbrechung derselben der Server gewechselt wer-den, zunächst sind Terminaldienste aber ein typisches »Load-Balancing«-Szenario. Im Umfeldder Terminaldienste ist das Load Balancing der Microsoft Terminaldienste und des Citrix Pre-sentation Servers (vormals Metaframe) zu unterscheiden:

� Microsoft Terminaldienste nutzen ein netzwerkbasiertes Load Balancing, eben das NetworkLoad Balancing.

� Citrix verwendet ein applikationsabhängiges Load Balancing, bei dem in die Entscheidung,welchem Server die Anfrage zugeleitet wird, Kriterien wie die Auslastung von Servern etc.einbezogen werden.


1255


20.3.1 Funktionsweise des Network Load Balancings

In Abbildung 20.41 ist die Funktionsweise des Network Load Balancings vereinfacht dar-gestellt:

� Auf der rechten Seite sehen Sie vier Server, beispielsweise Webserver. Diese verfügenjeweils über eine eigene IP-Adresse (.191, .192 etc.).

� Gewissermaßen »vor« den physikalischen Servern steht ein virtueller Server mit einer IP-Adresse. Hierbei handelt es sich allerdings im Grunde genommen nur um eine IP-Adresse,mit der die Clients Kontakt aufnehmen. Da aus Sicht eines Clients eine IP-Adresse stetseinem Server zugeordnet ist, habe ich auf der Skizze einen solchen eingezeichnet – NLB istaber letztendlich nur ein Algorithmus, der auf den »tatsächlichen Servern« ausgeführtwird.

� Bei einer Anfrage eines Clients treffen die Server im Load-Balancing-Verbund eine Ent-scheidung, welcher Server die Anfrage bedient.

Abbildung 20.41 Funktionsweise des Network Load Balancing

Im Fall einer Webserver-Farm würde sozusagen hinter den Webservern noch ein Datenbank-server vorhanden sein, auf dem die Sitzungsinformationen der Benutzer gespeichert werden.

In einer Terminalserver-Farm würde ebenfalls eine zusätzliche Komponente gebraucht, näm-lich der Server mit dem Session Directory (Sitzungsbroker).

Im Gegensatz zu einem Failover-Cluster sind für einen NLB-Cluster keine dedizierten LAN-Verbindungen für den Heartbeat o. Ä. notwendig. Außerdem gibt es keine gemeinsamenSpeicherbereiche.

Cluster IP-Adresse192.168.2.190

.191

.192

.193

.194


1256


Wie bereits erwähnt wurde, benötigt Network Load Balancing keine weitere Hardware. DieLoad-Balancing-Entscheidung, also welcher Server die Anfrage bearbeiten soll, wird durcheinen Algorithmus getroffen, der unabhängig auf jedem Server des NLB-Verbunds ausgeführtwird.

Fällt ein Server des Verbunds aus, sendet er keine Heartbeat-Informationen mehr. Die übrigenServer werden dies bei der Berechnung berücksichtigen. Bis der Ausfall von den anderen Sys-temen bemerkt wird, vergehen in etwa 5 Sekunden.

Ein Network Load Balancing-Cluster ist durch seine verteilte Berechnungslogik bereits »perDesign« sehr viel redundanter als eine Lösung, bei der der komplette Netzwerkverkehr durcheine »Blackbox« geleitet wird.

Network Load Balancing berücksichtigt nicht den Zustand der einzelnen Server in Hinblickauf Prozessor- und Speicherauslastung. Es ist aber deutlich intelligenter als ein einfachesRound-Robin-Verfahren.

Ein NLB-Cluster kann bis zu 32 Server umfassen.

20.3.2 Installation und Konfiguration

Die Installation eines NLB-Clusters ist im Normalfall unproblematisch. Im nächsten Abschnittzeige ich Ihnen die notwendigen Schritte – nebst einiger Erläuterungen.

NLB-Cluster einrichten

Der erste Schritt zur Einrichtung eines NLB-Clusters besteht darin, dass Sie das FeatureNetzwerklastenausgleich auf allen Servern installieren, die dem NLB-Cluster hinzugefügtwerden sollen. Prinzipiell wäre es zunächst nur auf dem ersten Knoten erforderlich, aberwarum es nicht direkt überall erledigen? Die Installation besteht lediglich aus dem Hinzufü-gen des Features: Es werden bei diesem Schritt keinerlei Konfigurationen vorgenommen(Abbildung 20.42).

Hinweis

Es ist darauf hinzuweisen, dass es »ohne Weiteres« nicht möglich ist, auf einem einzigen physikali-schen VMware Server oder ESX Server mehrere Knoten eines NLB-Clusters im Unicast-Modus zuinstallieren. Das Szenario macht in einer produktiven Umgebung auch herzlich wenig Sinn. Eskönnte aber in der einen oder anderen Testumgebung ein Thema werden.

Zum Fehlerbild: Der NLB-Cluster kann zwar problemlos installiert werden, allerdings verlieren alleKonten bis auf einen die Netzwerkverbindungen.

Es gibt drei Möglichkeiten zur Abhilfe:

� Man sorgt dafür, dass nicht zwei Knoten des NLB-Clusters auf demselben physikalischen Hostlaufen.

� Oder: Man konfiguriert den NLB-Cluster als Multicast-Knoten.

� Oder: Man nimmt Einstellungen am ESX-Server vor (meines Wissens gibt es keine vergleich-bare Möglichkeit beim VMware Server). Es gibt dazu einen VMware-Knowledgebase-Artikel:http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=dis-playKC&externalId=1556


1257


Abbildung 20.42 Der erste Schritt ist die Installation des Features »Netzwerklastenausgleich«. Diese muss auf allen beteiligten Servern erfolgen.

Die eigentliche Einrichtung des Clusters erfolgt im Netzwerklastenausgleich-Manager.Dieser findet sich bei Systemen mit installiertem NLB-Feature in der Verwaltung. Sie könnendie Einrichtung (und spätere Administration) übrigens auch ganz bequem vom Admin-PC auserledigen – die Windows Server 2008-Administrationswerkzeuge für Windows Vista (Stich-wort für die Suche im Download Center: Remote Server Administration Tools) enthalten eben-falls den Netzwerklastenausgleich-Manager.

Die Einrichtung beginnt mit dem Aufruf der Funktion Neuer Cluster (Abbildung 20.43).Dort wählen Sie zunächst den ersten Server aus, der ein NLB-Clusterknoten werden soll. Aufder zweiten Seite des Assistenten führen Sie die für das NLB relevanten IP-Adressen des Ser-vers auf (Abbildung 20.44). Das Network Load Balancing von Windows Server 2008 unter-stützt – im Gegensatz zu den Vorgängerversionen – auch IPv6-Netzwerkadressen.

Abbildung 20.43 Die Einrichtung des Clusters erfolgt im »Netzwerklastenausgleich-Manager«.


1258


Abbildung 20.44 Im Assistenten wählen Sie zunächst den ersten Knoten und die IP-Adressen aus.

Der Eintrag Priorität (eindeutige Host-ID) wird auf 1 festgelegt sein, und im Normalfallbesteht kein Grund, dies zu ändern.

Auf der dritten Seite des Assistenten weisen Sie dem NLB-Cluster beliebig viele IP-Adressenzu. Dies können IPv4-Adressen, manuell eingegebene IPv6-Adressen oder automatisch gene-rierte IPv6-Adressen sein. Wichtig ist, dass diese IP-Adressen noch nicht in Verwendung seindürfen – sonst erscheint eine Fehlermeldung, und nichts funktioniert (Abbildung 20.45).

Abbildung 20.45 Eine oder mehrere IP-Adressen werden als Cluster-IP-Adressen angegeben. Diese Adressen dürften natürlich noch nicht anderweitig verwendet werden. Neu in Windows Server 2008 ist die Möglichkeit, auch IPv6-Adressen anzugeben.


1259


Auf der nächsten Dialogseite des Assistenten entscheiden Sie im Bereich Clusterausfüh-

rungsmodus, ob als Modus Unicast, Multicast oder IGMP-Multicast verwendet werdensoll (Abbildung 20.46):

� Multicast stellen Sie dann ein, wenn Sie Multicast-Anwendungen über die Cluster-IP-Adresse fahren möchten – das sagt ja auch der Name. Bei der Einrichtung des Clusters wirddann automatisch eine Multicast-Adresse erzeugt.

� Weiterhin haben Sie die Möglichkeit, das IGMP (Internet Group Management Protocol) fürden Multicast-Betrieb zu aktivieren. Dadurch wird erreicht, dass der für einen NLB-Clustervorgesehene Datenverkehr nur durch die Ports geleitet wird, die für die Clusterhostsbestimmt sind, und nicht durch alle Switchports.

Abbildung 20.46 Wahl des »Clusterausführungsmodus«

Sofern Sie keine Multicast-Anwendungsszenarien implementieren, wählen Sie die EinstellungUnicast.

Ein weiterer wesentlicher Konfigurationsschritt ist die Festlegung der Portregeln (Abbildung20.47). Sie definieren damit, auf welche Ports auf der Cluster-IP-Adresse reagiert wird, undvor allem, wie reagiert werden soll. Standardmäßig ist der Bereich von 0 bis 65 535 (also allePorts) eingestellt, Sie können aber durchaus selektiver konfigurieren. In der Abbildung wird,da ich für das Beispiel einen NLB-Cluster für die Verwendung mit dem Internet InformationServer baue, nur auf Port 80 »gelauscht«.

Mit dem Filtermodus wird angegeben, wie der NLB-Cluster sich für diesen Portbereichgrundsätzlich verhalten soll:

� Mehrfachhost: Eingehender Netzwerkverkehr, auf den diese Portregel zutrifft, wird überalle Knoten verteilt. Es findet also Load Balancing statt.

� Einzelhost: Eingehender Netzwerkverkehr, auf den diese Portregel zutrifft, wird nureinem Knoten zugewiesen.


1260


� Die letzte Option ist das Deaktivieren des Portbereichs; wie nicht anders zu erwarten, führtdas zum Blockieren der entsprechenden Pakete.

Abbildung 20.47 Sehr wichtig ist die Definition der Portregeln.

Beim Modus Mehrfachhost kann (bzw. muss) noch die Affinität konfiguriert werden:

� Keine: In diesem Modus werden mehrere Verbindungen, die von einer IP-Adresse aufge-baut werden, zu verschiedenen Knoten gesendet.

� Einfach: Bei dieser Einstellung, die übrigens die Standardeinstellung ist, werden die voneiner IP-Adresse eingehenden Verbindungen immer demselben Knoten zugewiesenm.

� Netzwerk: Diese Einstellung bewirkt, dass die Pakete, die aus einem Netz kommen, immerdemselben Knoten zugewiesen werden. Diese Einstellung macht Sinn, wenn in einemExtranet-oder Internet-Szenario die Verbindungen von einem Kommunikationspartnerüber verschiedene Proxy-Server (die aber vermutlich alle in demselben Netz stehen) ein-gehen. In einem Intranet-Szenario, in dem vermutlich alle Anfragen aus demselben Netzkommen, ist diese Einstellung wenig sinnvoll, weil sie unter Umständen das Load Balan-cing völlig aufhebt.

Anzumerken wäre, dass Sie beliebig viele Portregeln definieren können. Der Gültigkeitsbe-reich einer Portregel lässt sich auf eine einzelne Cluster-IP-Adresse beschränken, so dass alledenkbaren Konfigurationsszenarien abzudecken sein sollten.


1261


Nach Abschluss des Assistenten werden der Cluster und sein erster Knoten erzeugt. Wennalles »richtig« gelaufen ist – und da gibt es normalerweise keine Probleme – sollte nach einerkurzen Dauer (5 bis 30 Sekunden) das in Abbildung 20.48 gezeigte Ergebnis zu sehen sein.

Abbildung 20.48 Der Cluster nebst erstem Knoten ist erfolgreich installiert worden.

Die Parameter des Clusters, wie beispielsweise die Portregeln, können über den MenüpunktClustereigenschaften im Kontextmenü des Clusters konfiguriert werden (Abbildung 20.49).

Abbildung 20.49 Mit dem Kontextmenü des Clusters kann ein Host hinzugefügt werden.

Clusterknoten hinzufügen

Das Hinzufügen von weiteren Knoten zum Cluster ist erfreulich simpel. Im Netzwerklasten-ausgleich-Manager wählen Sie im Kontextmenü des Clusters den Menüpunkt Host dem Clus-

ter hinzufügen (Abbildung 20.49) – und schon befinden Sie sich in dem Assistenten, derletztendlich den Rest erledigt.


1262


Zunächst möchte der Assistent von Ihnen den Namen des Servers wissen, der der neue Clus-terknoten werden soll. In dem dann folgenden Dialog wählen Sie, welche IP-Adressen desServers verwendet werden sollen. Die Einstellung Priorität (eindeutige Host-ID) kann imNormalfall auf dem vorgeschlagenen Wert belassen werden (Abbildung 20.50).

Auf der folgenden Dialogseite werden die Portregeln angezeigt. Sie können hier keine Portre-geln hinzufügen oder löschen bzw. – auch wenn eine entsprechend benannte Schaltfläche vor-handen ist – bearbeiten (Abbildung 20.51). Die Schaltfläche Bearbeiten zeigt die Details dergewählten Portregel an.

Nach dem Hinzufügen des neuen Clusterknotens, was durchaus »ein Weilchen« dauern kann,sollten alle Knoten im Netzwerklastenausgleich-Manager zu sehen sein und mit dem StatusZusammengeführt angezeigt werden. Ein guter Test ist übrigens, den neuen Clusterknotenherunterzufahren und neu zu starten; wenn alles in Ordnung ist, müsste sich der in Abbildung20.52 gezeigte Zustand von selbst wieder einstellen.

Abbildung 20.50 Hier wählen Sie den Knoten, den Sie hinzufügen wollen, und geben seine IP-Adressen an.

Hinweis

Sie können das Hinzufügen des weiteren Clusterknotens von jeder beliebigen Maschine aus ausfüh-ren, auf der der Netzwerklastenausgleich-Manager läuft – beispielsweise auch vom Admin-PC.


1263


Abbildung 20.51 Die Port-Regeln des Clusters werden hier gezeigt, können aber beim Hinzufügen eines weiteren Knotens nicht geändert werden.

Abbildung 20.52 So sieht ein NLB-Cluster mit zwei Clusterknoten im »Netzwerklastenausgleich-Manager« aus.


1264


Cluster-IP im DNS eintragen

Für einen ersten Test können Sie natürlich die Cluster-IP-Adresse eintragen und schauen, obder gewünschte Dienst, beispielsweise Webserver oder Terminalserver, reagiert. Da dasdirekte Eintragen von IP-Adressen irgendwie doch sehr archaisch ist, bietet es sich natürlichan, einen DNS-Eintrag für die Cluster-IP-Adresse(n) zu erzeugen.

Die Vorgehensweise:

� Öffnen Sie den DNS-Manager, und wählen Sie im Kontextmenü der entsprechenden Zonedas Hinzufügen eines neuen Hosts. Ein A-Eintrag steht für eine IPv4-Adresse, ein AAAA-Eintrag für eine IPv6-Adresse (Abbildung 20.53).

Abbildung 20.53 Im DNS-Manager wird ein neuer Host-Eintrag für die NLB-Cluster-IP-Adresse vorgenommen. Im Kontextmenü der Zone findet sich der entsprechende Menüpunkt.

� In dem sich öffnenden Dialog tragen Sie den gewünschten Namen sowie die IP-Adresse ein– ganz einfach (Abbildung 20.54).

Abbildung 20.54 In diesem simplen Dialog tragen Sie die IP-Adresse und den gewünschten Namen ein.


1265


20.3.3 Ein paar Hintergründe

Nachdem das Network Load Balancing erfolgreich eingerichtet worden ist, werden die meis-ten Leser vermutlich nach ein paar Hintergründen verlangen. Ich möchte zwar nicht zu sehrin die Tiefe gehen, einige Aspekte zu beleuchten kann aber für ein nachhaltiges Verständnisder Technologie nicht schaden.

Veränderung der Netzwerkkonfiguration der NLB-Clusterknoten

Wenn ein Server zu einem NLB-Cluster hinzugefügt wird, gibt es in der Netzwerkkonfigura-tion zwangsläufig einige Änderungen, die Sie kennen sollten. Im Normalfall werden dieseAnpassungen automatisch vorgenommen, es kann aber nicht schaden, in etwa zu wissen, wassich wann, wo, wie und warum ändert.

Kommen wir zunächst zur offensichtlichsten Änderung. In der Konfiguration der Netzwerk-karte ist das Element Netzwerklastenausgleich (NLB) vorhanden und aktiviert (Abbildung20.55). Es gibt hier keine Konfigurationsmöglichkeiten (die Schaltfläche Eigenschaften istdeaktiviert), so dass wir direkt zum nächsten Aspekt übergehen können.

Abbildung 20.55 In der Konfiguration der Netzwerkkarte ist der »Netzwerklastenausgleich« vorhanden und aktiviert.

Im Gegensatz zu Hardware-Load-Balancern ist das Microsoft NLB in die Server integriert undverfügt »nur« über eine (oder mehrere) virtuelle IP-Adresse(n). Da die IP-Adresse des NLB-Clusters nicht »irgendwie in der Luft hängen« kann, wird sie jedem Knoten als zusätzlicheAdresse hinzugefügt (Abbildung 20.56). Normalerweise würde eine auf mehreren Serverneingetragene IP-Adresse zu einer Adresskonfliktwarnung führen, die aber vom NLB-Treiberunterdrückt wird – in diesem Fall ist es ja auch kein Adresskonflikt.


1266


Abbildung 20.56 Die virtuelle IP-Adresse des NLB-Clusters wird jedem Clusterknoten hinzugefügt.

Die Knoten des NLB-Clusters haben weiterhin dieselbe physikalische Adresse (MAC-Adresse).Wenn ein Server einem NLB-Cluster hinzugefügt wird, nimmt die Installationsroutine auchdiese Änderung automatisch vor. Sie können das beispielsweise kontrollieren, indem Sieipconfig /all aufrufen (Abbildung 20.57). Die Eigenschaft Physikalische Adresse wird aufallen Clusterknoten identisch sein. Zum Vergleich finden Sie sie auch in den Eigenschaften desClusters (zu sehen in Abbildung 20.46 und Abbildung 20.60).

Abbildung 20.57 Mit »ipconfig /all« werden Sie feststellen, dass alle NLB-Clusterknoten dieselbe physikalische Adresse haben.


1267


Falls eine Netzwerkkarte bzw. deren Treiber nicht das Überschreiben der »eingebauten«MAC-Adresse unterstützt, ist diese für die Verwendung mit Network Load Balancing ungeeig-net. Die Konfiguration einer alternativen Hardwareadresse findet sich übrigens in den Eigen-schaften der Netzwerkkarte (nicht der Netzwerkverbindung, Abbildung 20.58). Kurzer Hin-weis: Ich zeige Ihnen den Dialog aus Abbildung 20.58, um Ihnen ein Gefühl für dieZusammenhänge zu vermitteln – nicht, dass mir jemand da andere Werte einträgt! Das würdeden NLB-Cluster in einem inkonsistenten Zustand hinterlassen.

Abbildung 20.58 Bei den meisten Karten kann die Hardwareadresse überschrieben werden – wenn nicht, ist die Karte für die Verwendung mit NLB nicht geeignet.

Was sieht der Netzwerkmonitor?

Der NLB-Cluster ist für den Client, der auf einen dahinterliegenden Serverdienst zugreift, völ-lig transparent – der Client benötigt also keine zusätzliche Software oder dergleichen. Das lässtsich auch leicht »nachweisen«, wenn man den Verbindungsaufbau mit dem Netzwerkmonitorbeobachtet.

In Abbildung 20.59 sehen Sie einen Mitschnitt des Netzwerkverkehrs, bei dem der Browsereine Website aufruft, die via Network Load Balancing von zwei Webservern gehostet wird.Vor Beginn der Aufzeichnung wurden der ARP-Cache (arp -d) und der DNS-Cache (ipconfig/flushdns) geleert. Sie können folgende Verhaltensweisen beobachten:

� Pakete 43,44: Zunächst muss der Client die Hardwareadresse des DNS-Servers auflösen.Dies geschieht mithilfe des ARP-Protokolls (siehe auch Abschnitt 4.3.2).

Hinweis

Einige allgemeine Hinweise zur Arbeit mit dem Netzwerkmonitor finden Sie in Kapitel 4.


1268


Abbildung 20.59 Verbindungsaufbau zu einem NLB-Cluster (Webserver) aus Sicht eines Clients

� Paket 45, 46: Nun fragt der Client beim DNS-Server nach der IP-Adresse des NLB-Clusters.In diesem Fall lautet der Name ubinfwebnlb.ubinf.intra.

� Paket 47–49: Nun wird es spannend: Der Client fragt (ARP Request) nach der Hardware-adresse der IP-Adresse des Clusters (Paket 47). Wie Sie zuvor erfahren haben, ist diese IP-Adresse bei allen Knoten des NLB-Clusters als zusätzliche Adresse eingetragen, und weiter-hin haben alle Server (bzw. die »beteiligten« Netzwerkkarten) dieselbe Hardwareadresse.

So erklärt sich, warum es in diesem Fall zwei gleichlautende ARP-Responses gibt (zwei Ser-ver arbeiten in dem NLB-Cluster). Die zurückgegebene Adresse entspricht natürlich derCluster-IP des NLB-Clusters, wie man in Abbildung 20.60 vergleichen kann.

Abbildung 20.60 Die physikalische Adresse des NLB-Clusters wird bei der ARP-Auflösung der Adresse zurückgegeben.


1269


� In den folgenden Paketen sehen Sie den Aufbau einer TCP-Verbindung, die Initiierungeiner HTTP-Session und die Authentifizierung.

Authentifizierung

Bleiben wir ruhig noch ein wenig bei dem Thema »Webapplikationen und NLB«, was ja dasmeistgenutzte Szenario für NLB-Konfigurationen ist (gefolgt von den Terminaldiensten).

Bei Intranet-Anwendungen ist häufig die Authentifizierung ein extrem wichtiges Thema, umbeispielsweise Szenarien realisieren zu können, wie sie in Abbildung 4.40 (weiter vorn inAbschnitt 4.4.3) gezeigt sind.

Meine kleine Web-Testapplikation zeigt, dass beim Zugriff auf den NLB-Cluster im Normalfalleine NTLM-Authentifizierung erfolgt.

Abbildung 20.61 Beim Zugriff auf den NLB-Cluster wird, wenn Sie nicht gezielt etwas daran tun, NTLM verwendet – nicht Kerberos.

Mit dem Netzwerkmonitor kann man auch leicht erkennen, warum das so ist. Abbildung20.62 zeigt den entscheidenden Auszug aus der schon zuvor besprochenen Sitzung:

� Der Client initiiert die HTTP-Sitzung und bekommt einen 401-Fehler (unauthorized)zurück (Paket 69 in Abbildung 20.59).

� Der Client baut daraufhin eine Verbindung zum Domänencontroller auf und fordert dortein Ticket zum Zugriff auf die Ressource HTTP/ubinfwebnlb an (HTTP/ubinfwebnlb istder Service Principal Name (SPN). Sie sehen diese Anforderung in Paket 81.

� In Paket 84 teilt der Domänencontroller mit, dass ihm dieser SPN unbekannt ist (KRB_ERROR – KDC_ERR_S_PRINCIPAL_UNKNOWN).

� Da Kerberos nicht möglich ist, fällt der Client auf die NTLM-Authentifizierung zurück(Paket 88 ff.).


1270


Der Benutzer wird zwar zunächst glücklich sein, denn er kann auf die Website zugreifen.Sofern die Webapplikation aber darauf angewiesen ist, dass die Delegierung der Identitätfunktioniert, gibt es ein Problem.

Abbildung 20.62 Die Kerberos-Authentifizierung kommt nicht zustande, weil der angeforderte »Service Principal Name« nicht existiert.

Bleibt noch die Frage zu klären, warum der Service Principal Name nicht gefunden wird?Ganz einfach:

� Die Standard-SPNs (Servername und FQDN) werden automatisch registriert. Der Name desNLB-Clusters ist aber kein Servername und wurde »nur« dadurch erzeugt, dass er im DNSeingetragen wurde.

� Wenn der Client eine Authentifizierung anfordert, übergibt er den Namen, über den er aufdie Ressource zugreift, was ja in Abbildung 20.62 (Paket 81) sehr schön zu sehen ist.

� Und wenn der zum DNS-Namen passende SPN nicht registriert worden ist, gelingt die Ker-beros-Authentifizierung eben nicht.

Mehr zum Thema Service Principal Name finden Sie auch in Abschnitt 4.4.4.

Die Lösung ist nun auf den ersten Blick ganz einfach: Man registriert »einfach mal ebenschnell« den SPN für den DNS-Namen des NLB-Clusters. Und damit sind wir in unsererbeliebten Rubrik »Echte Probleme von echten Kunden aus echten Projektsituationen« – undich habe dem Thema einen eigenen Abschnitt, nämlich den nun folgenden gewidmet.

20.3.4 Webserver, Kerberos und NLB

Die Webapplikationen, die heute auf Webservern ausgeführt werden, zeigen keine statischenSeiten mehr, sondern sind komplexe Business-Applikationen. Es ist mehr als einleuchtend,dass solche Applikationen auch auf weitere Server im Netz zugreifen müssen. Wenn dies mit


1271


der Windows-Identität des angemeldeten Benutzers geschehen soll, sieht das Szenario so aus,wie in Abbildung 20.63 gezeigt:

� Der Benutzer greift mit seiner Windows-Identität auf den NLB-Cluster zu.

� In der Konfiguration der Webapplikation ist festgelegt, dass die Identität des angemeldetenBenutzers angenommen wird (Impersonation).

� Wenn die Webapplikation auf andere Server im internen Netz zugreifen soll, soll dies auchmit der Identität des angemeldeten Benutzers geschehen.

Wir befinden uns hiermit in einem Szenario, in dem die Kerberos-Delegierung funktionierenmuss. Die Voraussetzungen sind:

� Der Benutzer muss sich am Webserver mit Kerberos anmelden.

� Dem Server muss für Delegierung vertraut werden. Genauer gesagt muss es heißen: DemComputerkonto des Servers oder dem Konto, unter dem der Anwendungspool läuft, mussfür Delegierung vertraut werden. Der letztgenannte Fall trifft nur dann zu, wenn derAnwendungspool nicht unter einem der eingebauten Konten (Netzwerkdienst etc.) läuft.

� Der Service Principal Name muss »richtig« registriert sein.

� Der Browser des Clients muss den Webserver in der Lokales Intranet-Zone einsortieren.

Abbildung 20.63 In diesem NLB-Szenario muss Kerberos-Delegierung funktionieren – das ist nicht ganz trivial.

SQL Server

Exchange Server 2007

AD Domänencontroller

Anwender greift mit seiner Windows-Identität

auf den NLB-Cluster zu.

ubinf\uboddenberg ubinf \

uboddenberg

Der Prozess auf dem Webserver nimmt die Identität des angemeldeten Benutzers an. Mit dieser soll die

Webapplikation auf weitere Server zugreifen.


1272


Kerberos in einem NLB-Szenario zum Laufen zu bringen, ist nun wirklich kein unlösbares Pro-blem – so ganz trivial ist es aber auch nicht, weshalb ich Ihnen erstens die Ursache und zwei-tens die Lösung zeigen möchte.

Kurze Analyse des Problems

Wie ich bereits im vorherigen Abschnitt gezeigt habe, kommt die Kerberos-Authentifizierungin einem NLB-Cluster nicht zustande, weil kein Service Principal Name vorhanden ist (sieheAbbildung 20.62, Paket 84). Wenn Sie einen Service Principal Name (SPN) registrieren, müs-sen Sie diesen einem Konto (im einfachsten Fall einem Computerkonto) zuordnen, mit dessenSchlüssel das Zugriffsticket verschlüsselt wird.

In Abbildung 20.64 sehen Sie nun das Problem:

� Letztendlich wird der Client auf den Server ubinfWebNlb1, ..2 oder ..3 zugreifen. Welcheres wird, kann man zum Zeitpunkt der Kerberos-Ticket-Anforderung nicht vorhersagen.

� Da der Domänencontroller das Ticket nicht für alle drei Computerkonten gleichzeitig ver-schlüsseln kann, wird der Zugriff nur in einem Drittel der Fälle erfolgreich sein.

Abbildung 20.64 Für welches Computerkonto soll der Domänencontroller das Kerberos-Ticket ausstellen?

Kerberos

Einen einigermaßen ausführlichen Überblick über Kerberos finden Sie in Abschnitt 4.4.2 ff. Falls Siemit Kerberos und der Delegierung nicht so sehr vertraut sind, möchte ich Ihnen dringend empfeh-len, vorab diese Abschnitte zu lesen.

ubinfWebNlb.ubinf.intra

ubinfWebNlb1.ubinf.intra



Ticket zum Zugriff auf dieRessource anfordern. SPN ist

HTTP/ubinfWebNlb.ubinf.intra.

???

Kerberos-Ticket muss für ein Konto verschlüsselt werden. Im Normalfall ist das ein Computerkonto. In einem NLB-Szenario kommen aber mehrere Computer, also auch mehrere Computerkonten, infrage.


1273


In Abbildung 20.65 können Sie sehen, was passiert, wenn ein Client einem Server ein Kerbe-ros-Zugriffsticket präsentiert, das der Server nicht entschlüsseln kann. Der Server wird drei-mal nach der Anmeldung fragen und schließlich einen Zugriffsfehler ausgeben.

Abbildung 20.65 So sieht es aus, wenn ein Kerberos-Ticket von der Ressource nicht verarbeitet werden kann, weil es für ein anderes Konto verschlüsselt worden ist.

Die Lösung ist so einfach wie einleuchtend: Man muss »nur« dafür sorgen, dass die Webappli-kation auf allen beteiligten Servern unter demselben Dienstkonto läuft. Das Dienstkonto mussdabei ein Domänenkonto sein. Das Kerberos-Ticket wird dann für dieses Dienstkonto erstellt,so dass der Zugriff auf alle Server gelingt. Abbildung 20.66 zeigt die Funktionsweise in sche-matischer Darstellung.

Da für die Realisierung der in Abbildung 20.66 gezeigten Lösung diverse Konfigurations-schritte notwendig sind, zeige ich Ihnen die Vorgehensweise und durchzuführenden Schrittein etwas ausführlicherer Form. Da die Vorgehensweise direkt mehrere Bereiche berührt (IIS,Active Directory, NLB) riskiere ich ein paar »Doubletten« und zeige Ihnen die Konfiguration»en bloc«.


1274


Abbildung 20.66 Die Lösung: Die Webapplikation nutzt ein Domänenkonto.

Vorbereitung und Testapplikation

Damit man sehen kann, ob die Anmeldung mit Kerberos erfolgt und ob tatsächlich eine Dele-gierung möglich ist, verwende ich die bereits bekannte selbst gebastelte Webapplikation, dieich Ihnen auf Wunsch gern zusende ([email protected]).

Zunächst müssen Sie aber dafür sorgen, dass auf den Webservern des NLB-Clusters die Win-dows-Authentifizierung möglich ist: Dazu muss der entsprechende Rollendienst installiertwerden (Abbildung 20.67).

Dann kopieren Sie die Testapplikation in ein Verzeichnis auf den Servern, am einfachsten inc:\inetpub\wwwroot.

Im Internetinformationsdienste-Manager müsste das neue Verzeichnis direkt zu sehensein, zumindest dann, wenn Sie es in den vorgeschlagenen Pfad kopiert haben. Machen Sieaus dem Verzeichnis eine Anwendung, indem Sie den Menüpunkt In Anwendung konver-

tieren aufrufen (Abbildung 20.68). Es wird ein Dialog erscheinen, in dem Sie einige Grund-einstellungen für die neue Anwendung vornehmen können; bestätigen Sie die vorbelegtenWerte – wir werden sie später anpassen (Abbildung 20.69).

ubinfWebNlbubinf.intra.




Ticket zum Zugriff auf dieRessource anfordern. SPN ist

HTTP/ubinfWebNlb.ubinf.intra.

ServiceAccount

Kerberos-Ticket muss für ein Konto verschlüsselt werden. Im Normalfall ist das ein Computerkonto, für NLB muss aber notwendiger Weise ein Dienstkonto (normales Domänenkonto) verwendet werden.

ServiceAccount

ServiceAccount

ServiceAccount


1275


Abbildung 20.67 »Windows-Authentifizierung« muss als Rollendienst hinzugefügt werden.

Abbildung 20.68 Konvertieren Sie das Verzeichnis in eine Anwendung.


1276


Abbildung 20.69 In diesem Dialog werden einige Grundeinstellungen beim Konvertieren der Anwendung abgefragt – bestätigen Sie die vorbelegten Werte.

Wechseln Sie nun in den Dialog Authentifizierung für die neu angelegte Anwendung – nichtfür die Website! Dort nehmen Sie folgende Einstellungen vor (Abbildung 20.70):

� Anonyme Authentifizierung wird deaktiviert.

� ASP.NET-Identitätswechsel müsste bereits aktiviert sein und muss dies auch bleiben.

� Formularauthentifizierung wird deaktiviert.

� Windows-Authentifizierung wird aktiviert.

Abbildung 20.70 Die Steuerung der Authentifizierung für die Anwendung

Rollendienst hinzufügen

Falls die Windows-Authentifizierung in der Auflistung nicht vorhanden ist, müssen Sie sie noch alsRollendienst hinzufügen (siehe Abbildung 20.67).


1277


Bereiten Sie alle Server des NLB-Clusters (in diesem Beispiel sind es zwei) wie beschriebenvor. Sie können die Anwendung auf dem jeweiligen Server direkt aufrufen, indem Sie denNamen des Servers und nicht des NLB-Clusters angeben. Sie werden das in Abbildung 20.71gezeigte Ergebnis sehen:

� Die Authentifizierung wird mit Kerberos durchgeführt.

� Der Impersonation Level wird Impersonation sein – wir benötigen zwar für den NLB-Clus-ter den Level Delegation, das braucht uns aber hier noch nicht zu stören.

Abbildung 20.71 Wenn Sie die neue Webanwendung direkt, also mit der URL des Servers und nicht mit der URL des NLB-Clusters aufrufen, müssten Sie zu diesem Ergebnis kommen.

Konfiguration verändern

Jetzt geht’s richtig los. Wir werden folgende Anpassungen durchführen:

� Anlegen eines neuen Anwendungspools: Die Poolidentität wird ein Domänenbenutzer-konto sein.

� Die Anwendung wird in den neuen Anwendungspool verschoben.

� Für den DNS-Namen des NLB-Clusters wird ein Service Principal Name angelegt.

� Dem Benutzerkonto, das als Identität des Anwendungspools eingetragen ist, wird für dieDelegierung vertraut.

Falls Sie alle Schritte auch ohne die Hilfe dieses Buchs durchführen können, sind Sie bereitsein IIS-Profi. Top! Alle anderen werden diesen Status nach der Durchführung der nachfolgendim Detail beschriebenen Schritte erreicht haben.

Los geht’s:

� Fügen Sie im Internetinformationsdienste-Manager einen neuen Anwendungspool

hinzu (Abbildung 20.72).

Hinweis

Beachten Sie, dass der Internet Explorer die aufgerufene URL in die Zone Lokales Intranet einsor-tieren muss. Eventuell müssen Sie die Zonen anpassen. Weiterhin muss im Browser die Windows-Authentifizierung aktiviert sein.


1278


� Vergeben Sie einen beliebigen aussagekräftigen Namen, und akzeptieren Sie ansonsten dieVoreinstellungen (Abbildung 20.73).

Abbildung 20.72 Hinzufügen eines Anwendungspools

Abbildung 20.73 Die vorgeschlagenen Einstellungen können Sie übernehmen.

� Falls nicht bereits eines vorhanden ist, legen Sie ein neues Domänenbenutzerkonto an (mitdem Snap-In Active Directory-Benutzer und -Computer).

� Öffnen Sie die Eigenschaften des neu angelegten Anwendungspools, und geben als Identi-tät das Domänenbenutzerkonto an (Abbildung 20.74).

Der neue Anwendungspool kann nun verwendet werden. Nun muss noch die Anwendungangepasst werden:

� Rufen Sie die Grundeinstellungen der Anwendung auf, und legen Sie als Anwendungs-pool den neu erstellten Pool fest (Abbildung 20.75).

� Rufen Sie den Authentifizierung-Dialog der Anwendung auf, und deaktivieren Sie in denEigenschaften der Windows-Authentifizierung die Kernelmodus-Authentifizierung

(Abbildung 20.76)

� Führen Sie ein iisreset aus.


1279


Abbildung 20.74 In den Eigenschaften des neuen Anwendungspools tragen Sie das Domänen-benutzerkonto ein, das als Identität verwendet werden soll.

Abbildung 20.75 In den Grundeinstellungen der Anwendung wählen Sie den neu angelegten Anwendungspool aus.


1280


Abbildung 20.76 In den Eigenschaften der Windows-Authentifizierung der Anwendung deaktivieren Sie die Kernelmodus-Authentifizierung.

Sie können, sozusagen als Zwischenergebnis, einen kleinen Test durchführen, indem Sie dieWebanwendung über den Namen des NLB-Clusters angeben. Wenn Sie alles richtig gemachthaben, wird die Testapplikation erscheinen. Die Authentifizierung wird aber noch nicht mitKerberos durchgeführt werden, sondern »nur« mit NTLM (Abbildung 20.77).

Abbildung 20.77 Kurzer Test für das erste Zwischenergebnis: Der Zugriff auf den NLB-Cluster funktioniert, allerdings nur mit NTLM.

Hinweis

Neben einigen anderen Features (z.B. Performance bei der Authentifizierung) sorgt die Kernel-modus-Authentifizierung dafür, dass Kerberos-Tickets nicht von dem als Identität des Anwendungs-pools eingetragenen Konto entschlüsselt werden, sondern mit dem Computerkonto. Das ist zwar invielen Fällen durchaus hilfreich – im Moment benötigen wir aber wirklich genau das Gegenteil.

Das Abschalten der Kernelmodus-Authentifizierung führt schnell zum gewünschten Ergebnis undist aus der grafischen Konfigurationsoberfläche heraus zu erledigen. Der bessere Weg ist allerdings,das Attribut useAppPoolCredentials auf true zu setzen. Das müssen Sie allerdings in der XML-Konfigurationsdatei der Anwendung erledigen.


1281


Kleines Quiz:

� Frage:Warum nur mit NTLM?

� Antwort (bitte rückwärts lesen): nednahrov eman lapicnirp ecivres niek

Nun geht es an die Registrierung der Service Principal Names. In meinem Beispiel lauten dieNamen des NLB-Clusters ubinfWebNlb bzw. ubinfWebNlb.ubinf.intra. Der Anwendungspoolläuft unter dem Konto ubinf\WebService.

Die SPNs werden wie in Abbildung 20.78 mit dem Werkzeug setspn.exe registriert.

Abbildung 20.78 Registrieren der Service Principal Names für den Servernamen und den FQDN

Als Nächstes rufen Sie die Eigenschaften des »Identität-des-Anwendungspools-Domänenbe-nutzerkontos« im Snap-In Active Directory-Benutzer und -Computer auf. Dort, und zwarauf der Registerkarte Delegierung, konfigurieren Sie, dass dem Konto für Delegierung ver-traut werden soll. Es gibt dabei letztendlich zwei Möglichkeiten (Abbildung 20.79):

� Wenn Sie sich für die in der Abbildung gewählte Einstellung (Benutzer bei Delegierun-

gen aller Dienste vertrauen [nur Kerberos]) entscheiden, gibt es bei der Delegierungkeine Einschränkungen, d.h., der unter diesem Konto laufende Dienst kann auf sämtlicheRessourcen des Netzes mit der Identität des angemeldeten Benutzers zugreifen.

� Alternativ können Sie die dritte Option, Benutzer bei Delegierungen angegebener

Dienste vertrauen, selektieren und genau die Dienste angeben, auf die per Delegierungzugegriffen werden kann. Es werden die SPNs der Dienste angegeben, beispielsweiseLDAP/ubinfdc10 oder MSSQLSvc/ubinfcsql01. Man spricht dabei von einer Constrained Dele-gation, also eingeschränkter Delegierung. Es ist hierbei sogar möglich, eine Delegierung zuermöglichen, obwohl der Anwender nur mit NTLM angemeldet ist. Ich würde aber immerversuchen, Kerberos zum Laufen zu bringen, anstatt Constrained Delegation mit NTLM zuverwenden.

Hinweis

Es ist übrigens vollkommen klar, dass die Nutzung von Constrained Delegation (also die dedizierteVorgabe, an welche Dienste das Konto delegieren darf) die empfohlene Variante ist.

Wenn das Vertrauen bei Delegierung neu eingerichtet ist, muss der delegierende Server (also derWebserver) neu gestartet werden.


1282


Abbildung 20.79 Hier wird konfiguriert, dass dem Domänenbenutzerkonto, das als Identität des Anwendungspools verwendet wird, für Delegierung vertraut wird.

Wenn Sie die Eigenschaften des Kontos schon geöffnet haben, können Sie einen anderenAspekt überprüfen. Auf der Registerkarte Attribut-Editor haben Sie die Möglichkeit, jedesAttribut eines Active Directory-Objekts einzusehen und zu modifizieren – Sie brauchen alsonicht extra ASDI-Editor zu starten.

Im Attribut servicePrincipalName müssten die beiden neu angelegten SPNs zu finden sein(Abbildung 20.80). setspn.exe macht also nichts anderes, als in dieses Attribut zu schreiben.

Nun kommt der spannende Moment: Rufen Sie, mit mehr oder weniger zitternden Knien etc.,die Adresse des NLB-Clusters auf. Sie sollten die Ausgabe aus Abbildung 20.81 erhalten:

� Das Authentifizierungsprotokoll ist Kerberos.

� Als Impersonation Level ist Delegation angegeben.

Was tun Sie, wenn es nicht funktioniert?

Wenn Sie alle Schritte durchgeführt haben, kann es eigentlich nicht sein, dass die Konfigura-tion nicht funktioniert. Wenn Sie hinreichend schnell nach der Ausführung der letzten Ein-stellungen den Browser gestartet haben, werden Sie vermutlich doch eine Enttäuschung erle-ben. Die Änderungen sind aus mehreren Gründen nicht sofort aktiv: Wenn Sie mehrere DCseinsetzen, dauert es mehr oder weniger lange, bis alle Änderungen repliziert sind. Auch beinur einem DC dauert es ein Weilchen, bis die Änderungen wirklich greifen. Eine weitereUrsache ist, dass der Client gegebenenfalls noch die alte NTLM-Anmeldung im Zwischenspei-cher hat. Einmal Ab- und Anmelden hilft. Dies gilt übrigens auch, wenn Sie zuvor eine Kerbe-ros-Anmeldung ohne Delegierung durchgeführt haben.


1283


Abbildung 20.80 Im Attribut-Editor können Sie sehen, dass die beiden neuen SPNs im Attribut »servicePrincipalName« eingetragen sind.

Gehen Sie also nach dem Abschluss der Änderung in die Teeküche, oder rufen Sie Ihre Part-nerin oder Partner an, um zu besprechen, in welchem Restaurant Sie heute die Kerberos-Erfolge feiern wollen – und dann sollte es eigentlich klappen.

Abbildung 20.81 Hurra, es hat funktionert!


1284


Interessant ist auch, mit dem Kerbtray-Utility, das Sie bereits aus Abschnitt 4.4.2 ff. kennen,die Kerberos-Tickets auf dem Client anzeigen zu lassen. Wenn die Kerberos-Authentifizierunggelungen ist, wird dort ein Ticket vorhanden sein, das zum Zugriff auf den NLB-Clusterberechtigt (Abbildung 20.82).

Abbildung 20.82 Mit »Kerbtray.exe« können Sie das ausgestellte Kerberos-Ticket bewundern.

20.3.5 NLB-Troubleshooting allgemein

Wer sich bereits länger mit IT beschäftigt, weiß, dass alles grundsätzlich ganz einfach ist, derTeufel dann aber doch im Detail steckt.

Meiner Erfahrung nach zählt NLB in den meisten Fällen zwar nicht zu den hauptsächlichenVerursachern von grauen Haaren, aber es gibt auch hier hinreichend viele Dinge, die einfachschiefgehen können.

Unter der URL http://technet.microsoft.com/en-us/library/cc732592.aspx hat das Microsoft Tech-net-Team eine ausführliche Liste von möglichen Fehlerszenarien zusammengestellt, die ichIhnen im Ernstfall empfehlen möchte.

20.3.6 NLB im Terminalserver-Umfeld

Für das Load Balancing im Terminalserver-Umfeld kommt ebenfalls NLB zum Einsatz. DiesesAnwendungsszenario finden Sie im Terminaldienste-Kapitel.


1391

Index

64-Bit-Welt 576to4 1364802.1X 491

A

Active Directory 207Best Practice Analyzer 395Core-Installationsoption 203Drucken 789DSQuery 791Durchsuchen 791Modul für Windows-Powershell 418Offline-Domänenbeitritt 423Papierkorb 397Verwaltungscenter 405

Active Directory Application Mode 455Active Directory Best Practice Analyzer XE 395Active Directory Federation Services

Claims-Aware 479Federation Service 478Federation Service Proxy 479

Active Directory Lightweight Directory Services 455Active Directo 455AD LDS 455, 457Administration 465, 469ADSI-Editor 466Ereignisanzeige 472Featurevergleich 455Installation 457Instanz einrichten 458LDIF 463Objekt anlegen 468Portnummern 461Replikation 472Update Sequence 476X.500-Kürzel 462

Active Directory Web Services 415Active Directory Zertifikatdienste

CAPolicy.inf 554iPhone 585OCSP 543Offline-CA installieren 553Online-Responder 544Zweistufige Architektur implementieren 552

Active Directory-Domänendienste 207Active Directory 207ADDS 207Administrative Vorlagen 289ADSI-Editor 218, 219Änderungen erkennen 255Aufbau 208Betriebsmasterrollen 225Betriebsmasterrollen verschieben 229, 373Betriebsmasterrollen verteilen 233, 235Bridgeheadserver 274Client-Perspekte 353DEFAULTIPSITELINK 268Delegieren der Verwaltung 350Design 240Direct Up-to-dateness Vector 259DNS-Einträge 353Domain Naming Master 228Domäne 209Domänencontroller 209durchsuchen 354Einrichtung 280Ersten Domänencontroller einrichten 280Erweitern 356Forest 212FSMO-Rollen 225, 373GC 221Gesamtstruktur 212Globale Katalogserver verteilen 235Globaler Katalog 221Globaler Katalog und Infrastruktur 227Gruppen 215, 348Gruppenrichtlinien 284High-watermark 259Infrastrukturmaster 226Infrastuktur Master und global 227Intersite Replikation 264Intersite Topology Generator 261Intrasite Replication 263ISTG 276KCC 261, 276Knowledge Consistency Checker 261Login-Skripts 214Logische Struktur 208Namenskontext 219Namensraum 213


1392

Index

Neues AD einrichten 280Organisationseinheit 213OUs vs. Gruppen 215Partition 219PDC-Emulator 225Planung 240Read Only Domain Controller 236Replikation 251Replikationsablauf 254Replikationskonflikte 260Replikationstopologie 261, 265RID-Master 226RODC 236Schema 217Schema-Manager 220, 233Schemamaster 228Schreibgeschützte Domänencontroller 236Standorte 246Standorte und Domänen 246Standortverknüpfungen 268Standortverknüpfungsbrücken 271Struktur 208Transitivität 272Tree 210Troubleshooting 377Übersichtlichkeit 243Überwachung 278Umstrukturieren 383Universal Group Membership Caching 223Update Sequence Number (USN) 255Upgrade 361Up-to-dateness-Vector 259Verbindungen 266Verfügbarkeit 228Verschieben der Betriebsmaster 229Verteilung der Betriebsmasterrollen 233Verwaltung Delegieren 350Zeitdienst 357Zeitsynchronisation 357Zusätzliche Domänencontroller 284

Active Directory-GruppenBenutzerverwaltung 1006

Active Directory-Papierkorb 397aktivieren 398Gelöschte Objekte anzeigen 399Ldp.exe 399PowerShell 405Voraussetzungen 398

Active Directory-Rechteverwaltungsdienste 587Abschlussbemerkung 605AD RMS 587Anwendung 597E-Mail schützen 600Funktionsweise 589Gruppenrichtlinien 605Installation 590IRM 587Konfiguration 604Licensor Certificate 589Lizenzierung 589Publishing License 589Rights Management Services 587RMS 587Use License 589Word-Dokument schützen 597

Active Directory-Verbunddienste 477ADFS 477Federation Services 477

Active Directory-Verwaltungscenter 405Attribute anzeigen 408Benutzer suchen 408Filtern 409Kennwort zurücksetzen 407Navigationsknoten 412Navigieren 409Neuanlage von Objekten 412Voraussetzungen 415

Active Directory-Verwaltungscenter � Active Directory

Active Directory-Verwaltungscenter � Verwal-tungscenter

Active Directory-Webdienste 415Active Directory-Webdienste � Active Directory

Web ServicesActive Directory-Zertifikatdienste 483

AD CS 483Anwendungsrichtlinien 510Anwendungsszenarien 483Architekturen 517Autoenrollment 519Autoenrollment, Konfiguration 521Automatische Zertifikatanforderung 519Clientsicht 500Doppelte Vorlage 507Enterprise-Zertifizierungsstelle 493Erweiterte Zertifikatsanforderung 514Gültigkeit des Stammzertifikats 497


1393

Index

Installation 491Intermediate CA 516Internetinformationsdienste 885Issuing CA 516Mehrstufige Architekturen 515Public Key Infrastructure 491Rollen 515Root CA 494, 515Stammzertifizierungsstelle 515Standalone-Zertifizierungsstelle 493Subordinate CA 494Weboberfläche 512Windows Mobile 582Zertifikat anfordern 502Zertifikatdatenbank wiederholen 498Zertifikatssperrlisten 525Zertifikatvorlagen 505Zertifizierungspfad 505Zertifizierungsstelle 494

AD CS 483AD LDS 455, 457AD RMS 587Address Resolution Protocol 153ADDS 207ADFS 477ADM 309Administration

IIS 904ADMX 309Adressierung

IPv6 141Adresssyntax

IPv6 141Adresstypen

IPv6 142Adressvergabe

IPv6 147ADSI-Editor 219ADWS 415Aero-Design 1084Affinität

Netzwerklastenausgleich 1260AJAX 800Aktivieren 193Alias 1345Aliase 1348Allocation Unit Size 708, 709Anforderungsverarbeitung 815Animal Farm 225

Anonyme Authentifizierung 839Anschlüsse

Drucken 784Ansichten 978

Eintragsgrenze 985Anwendung 827, 836

installieren 1092Anwendungspool 817, 827, 830, 865, 866Anycast 142Applikationsvirtualisierung 1095App-V 1076, 1095Arbeitsprozess 815Architektur

IIS 814System Center Virtual Machine Manager 2008

1325ARP 153

Address Resolution Protocol 153Netzwerkmonitor 155Netzwerkprotokolle 153

ASP.NET 800Anonyme Authentifizierung 839Entwicklungsumgebung 801Identitätswechsel 851IIS 800JavaScript 804Kompilierung 807Sicherheit 811Vorkompilierung 807, 809web.config 804

ASP.NET-Runtime 180Attribute anzeigen

Active Directory-Verwaltungscenter 408Ausführungsrichtlinie 1350Authentifizierung 159

IIS 838Kerberos 159Netzwerklastenausgleich 1269

Authentifizierungsdelegierung 856Autoenrollment 521

Active Directory-Zertifikatdienste 519Automatische Genehmigung

WSUS 666Automatische Zertifikatanforderung 519Automatischer Modus (VPN) 695Autorisierung 160

IIS 881Average Seek Time 62AWE 58


1394

Index

B

BackOffice 29Baselining 95Basis-Datenträger 710Bedingte Weiterleitungen

DNS 434Begriffsdefinition

Webapplikation vs. Webservice 797Webseite vs. Website 799Webservice vs. Webapplikation 797

BenachrichtigenListen 985

Benutzer administrierenHost für Remotedesktopvirtualisierung 1212

Benutzer suchenActive Directory-Verwaltungscenter 408

Benutzerdefinierte Liste 966Benutzereffizienz 929Benutzer-spezifische GPOs 304Benutzerverwaltung

Active Directory-Gruppen 1006Berechtigungsstufen 1005Formularbasierte Authentifizierung 1001Gruppenberechtigungen 1002Listenelemente 1014SharePoint 1000Sicherheitsaspekte bei Gruppen 1004Websitesammlungsadministratoren 1001

BenutzerzugriffRemotedesktopdienste 1087

Berechtigungssatz 186Berechtigungsstufen

Benutzerverwaltung 1005Berichte

WSUS 672Besprechungsarbeitsbereich 927Best Practice Analyzer

Webserver 916Betriebsmasterrollen 225

Active Directory-Domänendienste 225Domain Naming Master 228FSMO-Rollen 225Infrastrukturmaster 226PDC-Emulator 225RID-Master 226Schemamaster 228verschieben 229, 373verteilen 233

BitLocker 1360

Blockgröße 122, 708, 709Bottom-Up-Ansatz 926BPA

Webserver 916BranchCache 1359, 1376

Clients konfigurieren 1389Editionen 1377Funktionsweise 1377Gehosteter Cache 1379Hosted Cache 1387Server konfigurieren 1387Verteilter Cache 1377Voraussetzungen 1377

C

Cache, Zertifikate 539CAL 52CAPI2 533CAPolicy.inf 554Capture Filter

Netzwerkmonitor 130CardSpace 188CASpol 184change user 1094Client Access License 52Clients und ADDS 353Cluster schwenken 1252CMAK 696Cmdlets 1345, 1346Code Access Security 184

CASpol 184Codegruppe 186Codesignatur 488Common Language Runtime 179Connection Manager Administration Kit 696Constained Delegation 869Constrained Delegation 169, 870Consumer-Webpart 1022Content Manager 925, 929Core

Hyper-V 1307Core-Installationsoption 197

Active Directory 203Computer umbenennen 200DNS-Server 203Domäne beitreten 201Erste Schritte 199Installationsoption Core 197IP-Adresse 199


1395

Index

OCList 202OCSetup 202Remotedesktop 201Rollen 198Rollen hinzufügen 202Statische IP-Adresse 199Vorteile 198

Cross Page Connections 1025

D

DAS 65Dateianhänge in Listen 972Dateidienste 701Dateiprüfungsverwaltung 731Dateiserver

Ausfallsicherheit 740Dateiprüfungsverwaltung 731EFS 759Encrypting File System 759Failover-Cluster 1247File Screening 725File Screening Management 731Installation der Rolle 724Kontingentverwaltung 726Quota Management 726Quotas 725Speicherberichteverwaltung 734

DateistrukturSharePoint 949

Dateisystem 701Attribute 720Aufbau 701Basis-Datenträger 710Blockgröße 708Diskpart 703Dynamische Datenträger 710EFS 721GPT 705MBR 705Mirrored Volume 710Partitionieren 706Platten verwalten 702Schattenkopien 721Self-Healing NTFS 724Spanned Volume 710Spiegeln 711Stripesetvolume 710Transactional NTFS 724Volume Manager 702

Volume Shadow Copy Service 721Volumes vergrößern 715Volumes verkleinern 715

DatenblattansichtListen 985

Datengrab-Effekt 922Datenmengen 921Datensicherung 1285

Server wiederherstellen 1292Sicherung 1287Wiederherstellung 1289

Datenträgerverwaltung 702Datenverlustzeit 1221Delegierung 869

DNS 283, 433, 434IIS 856Kerberos 165, 168, 171Kernelmodus-Authentifizierung 174Netzwerklastenausgleich 1270

Desktopdarstellung 1083Remotedesktopdienste 1081

Desktopvirtualisierung 1201Device-CAL 53DFS 737

Basiskonfiguration 745DFS im Active Directory 749DFS-Replikation 739DFS-Replikation konfigurieren 753Distributed File System 737Domänen-basierter Namespace 747Domänenstamm 738Eigenständiger Stamm 738Grundfunktion 737Installation 744Namespace konfigurieren 745Namespaceserver 745Redundanz des Namespaceservers 758Replikationsgruppen 753Replikationstopologie 756Replikationstopologien 756Sicherung von Daten 743Stand-alone Namespace 747Standortübergreifendes DFS 741Verteiltes Dateisystem 737Voraussetzungen 738, 740

DFS-Replikation 739konfigurieren 753Replikationstopologie 756

DHCP 149, 44180/20-Regel 450


1396

Index

Adressbereich 444Adressbereich, Eigenschaften 447Autorisierung 444Bereichsoptionen 450Clustering 450DHCPv6 444DNS 442Dynamische DNS-Updates 446Eigenschaften 446Funktionsweise 149IPv6 444NAP 622Netzwerkmonitor 151Netzwerkprotokolle 149Optionen 449Redundanz 450Scope 444Serveroptionen 450Statische Adresszuweisung 448WINS 443

DHCP-ServerNAP (Vorbereitung) 631

DHCPv6 444Digestauthentifizierung 849Dimensionierung 55, 98, 110

Festplatten 111Hauptspeicher 124IOPS 113, 116Netzwerkkonnektivität 125Prozessor 124RAID-Level 117RAID-Set 116Warteschlange 113

DirectAccess 1359, 13606to4 1364Client-Perspektive 1371DNS-Registrierung 1373Editionen 1361Funktionsweise 1361IP-HTTPS 1365IP-Konfiguration 1371IPSec 1366IPv6 1363ISATAP 1364Name Resoultion Policy Table 1366Namensauflösung 1366NAT 1364NAT-PT 1363Network Location Server 1367

NRPT 1366, 1372Technologiegrundlagen 1362Teredo 1364Tunnelmechanismen 1363Voraussetzungen 1361Zertifikate 1368Zertifikatssperrlisten 525

DISCOVER-BroadcastDHCP 151

Disk Aligning 709Disk-Layout 111Diskpart 703Diskpart-Utility 709Display Filter

Netzwerkmonitor 130Distinguished Name 398Distributed File System 737DNS 156, 425

Bedingte Weiterleitungen 434Delegierung 283, 433, 434DHCP 442Domain Name System 156Netzwerkdienste 425Netzwerkmonitor 159Reverse-Lookupzone 438Server 431Stammhinweise 434TimeToLive 158Weiterleitungen 433Zonen 426Zonentypen 426

DNS Round Robin 1168DNS-Registrierung

DirectAccess 1373DNS-Server

Core-Installationsoption 203Dokumentbibliotheken 963, 989

Dokumentvorlage 990Eingehende E-Mails 999

Domain Name System 156Domain Naming Master 228Domäne 209

beitreten, Core-Installationsoption 201Domänen-lokale Gruppe 348Druckdienste 778Drucken 773

Active Directory 789Anschlüsse 784Druckdienste 778


1397

Index

Drucker 774Drucker bereitstellen 789Drucker installieren 780Druckerobjekte 774Druckerpool 775Druckerstandards 786Druckserver 774Druckserver, Konfiguration 785Druckverwaltung 780DSQuery 791Filter 787Gruppenrichtlinien 792In Verzeichnis auflisten 789Installation 778Internetdrucken 779Konfiguration importieren/exportieren 787LPD-Dienst 778Optimieren 773printQueue-Objekt 789PushPrinterConnections.exe 794Remotedesktopdienste 1134Rollendienste 778Treiber 782Überwachen 787XPS 776

Drucker 774bereitstellen 789installieren 780

Druckerobjekte 774Druckerpool 775Druckerstandards 786Druckertreiber 782Druckserver 774

Konfiguration 785Druckverwaltung 780DSQuery 791Dynamische Datenträger 710

E

EAP 687Easy Print 1134Editionen 49

BranchCache 1377DirectAccess 1361Vergleich Rollen 51Vergleich Spezifikationen 50

EFI-Boot-Partition 706EFS 490, 759

cipher.exe 772

Dateien auf Servern 762Dateiserver 759Datenwiederherstellungs-Agent 766Datenwiederherstellungs-Agenten erstellen 767Delegierung 763Encrypting File System 759Fehlerbehandlung bei Verschlüsselung auf

Dateiserver 763Gruppenrichtlinien 771Konfiguration 759Verschlüsseln einer Datei 761Zertifikate 759Zugriff für mehrere Benutzer 763

Eingehende E-MailsDokumentbibliotheken 999Exchange Connector einrichten 995SharePoint 992Verzeichnisverwaltungsdienst 999

Eingeschränkte Delegierung 169, 869, 870Einmalsicherung 1286Einwahlberechtigung 684E-Mail schützen 600EMT64 58Encrypting File System 490, 759Enterprise Virtual Array 715Entwicklungsumgebung 1355EPIC 57Ersten Domänencontroller einrichten 280Erstkonfiguration 193Erzwingungsclient 614Extensible Authentication Protocol 687Extranet 923

F

Failover-Cluster 1227Aktiv vs. Passiv 1230Anwendungen hinzufügen 1247Cluster aware 1229Cluster schwenken 1252Clusterressourcen 1229Dateiserver 1247Hochverfügbarkeit 1227Installation 1231, 1239iSCSI 1231Konnektivität 1232n+1 1230Paralleles SCSI 1228Shared Storage 1228, 1231Support 1244


1398

Index

Fair Share CPU Scheduling 1070Features 44Federation Services 477Festplatten 60

Blockgröße 122Dimensionierung 111Disk-Layout 111IOPS 113Leistungsindikatoren 114RAID-Level 117Systempartition 111Warteschlange 113

File Screening 725File Screening Management 731Filter

Gruppenrichtlinien 300Netzwerkmonitor 130

FiltermodusNetzwerklastenausgleich 1259

Forest 212Formularauthentifizierung 871Formularbasierte Authentifizierung

Benutzerverwaltung 1001Freigegebene Konfiguration 903FrontPage 1043fSMORoleOwner 382FSMO-Rollen 225, 373Funktionsweise

Active Directory-Rechteverwaltungsdienste 589BranchCache 1377DirectAccess 1361Zertifikatssperrlisten 527

G

Gateway-Architektur 675GC 221Gehosteter Cache 1379Geleitwort 21Gelöschte Objekte anzeigen

Active Directory-Papierkorb 399Gemeinsamer Geheimer Schlüssel 618Genehmigungsstatus 971Gesamtstruktur 212Global Unicast Addresses 143, 146Globale Gruppe 348Globaler Katalog 221, 233GPT 705Grundlagen

Windows PowerShell 1345

Gruppen 348SharePoint 1001WSUS 662

Gruppen für diese Website einrichtenBenutzerverwaltung 1007

GruppenberechtigungenBenutzerverwaltung 1002

Gruppenrichtlinien 284Abarbeitungsreihenfolge 300Active Directory-Domänendienste 284Active Directory-Rechteverwaltungsdienste 605ADM 309ADMX 309Anwendungsbeispiel 285bearbeiten 321Benutzer-spezifische GPOs 304Drucken 792EFS 771Filter 300gPLink 293Gruppenrichtlinienergebnisse 334Gruppenrichtlinienmodellierung 330Lokale GPOs 301Lokales Richtlinienobjekt 302Loopback-Verarbeitung 342, 1124Preferences 343Remotedesktopdienste 1113Sicherheit 298Softwareverteilung 340Starter-Gruppenrichtlinienobjekte 304Vererbung 294Verknüpfungen 328Verteilung 290Voreinstellungen 343Vorrang 298WMI-Filter 336WSUS 669Zentraler Speicherort 313Zuweisen 321

Gruppenrichtlinienergebnisse 334Gruppenrichtlinienmodellierung 330Gruppenrichtlinien-Voreinstellungen 343Gültigkeit eines Zertifikats überprüfen 533

H

Hardware 55Festplatten 60Hauptspeicher 60


1399

Index

RAID-Controller 61Serverarchitektur 59

Hauptspeicher 60, 124Hochverfügbarkeit 1217

Failover-Cluster 1227Hyper-V 1340Vorüberlegungen 1218

Holzpferd 21Host für Remotedesktopvirtualisierung 1077,

1201Benutzer administrieren 1212Desktopvirtualisierung 1201Funktionsweise 1202Hyper-V 1205Installation 1205Persönlicher virtueller Desktop 1213Remotedesktopdienste 1201Remotedesktopvirtualisierung 1201Testen und verwenden 1214Virtuelle Maschinen konfigurieren 1211

Host-basiertes Spiegeln 711Hosted Cache 1387Hostheader 833http mit SSL-Verschlüsselung 484Hyper-V 51, 1297

Core-Installationsoption 1307Hochverfügbarkeit 1340Host für Remotedesktopvirtualisierung 1205Hyper-V Manager 1310Hyper-V Server 2008 R2 1308Installation 1312Installationsmöglichkeiten 1306Live-Migration 1341Netzwerkeinstellungen 1313Neue virtuelle Maschine 1316Neues in R2 1341Snapshot 1321Vorteile 1300

Hyper-V Manager 1310, 1316Hyper-V � ServervirtualisierungHyper-V Server 2008 R2 1308

I

IA64 57IIS 795

.NET-Benutzer 880

.NET-Vertrauensebenen 889Administration 904

Anforderungsverarbeitung 815Anonyme Authentifizierung 839Anwendung 827, 836Anwendungspool 817, 827, 830, 865, 866Arbeitsprozess 815Architektur 814ASP.NET 800Authentifizierung 838Authentifizierungsdelegierung 856Autorisierung 881Datenbankserver 904Delegierung 856, 869Delegierung von Features 912Digestauthentifizierung 849Eingeschränkte Delegierung 869Features delegieren 912Formularauthentifizierung 871Freigegebene Konfiguration 903Host Header 833Identität des Anwendungspools 865, 866IIS-Manager-Benutzer 910IIS-Manager-Berechtigungen 909Installation 812Integrierter Modus 819Internet Information Server 795IP- und Domäneneinschränkungen 895Kerberos 857Kernelmodus-Authentifizierung 865, 866Klassischer Modus 818Load Balancing 900Modularer Aufbau 821Negotiate 169NTFS-Berechtigungen 882Protokollierung 914Protokollübergang 869Redundanz 900Remote-Administration 904Remoteanforderungen 901Service Principal Names 859Sicherheit 885Sitzungszustand 896SPN 859SSL-Verschlüsselung 885Standardauthentifizierung 843URL-Autorisierung 883Verarbeitungsreihenfolge 820Verwalteter Pipelinemodus 817Virtuelles Verzeichnis 827, 838Webserver 829


1400

Index

Website 827, 832Webverwaltungsdienst 906Windows Authentifizierung 852

IIS-Manager-Benutzer 910IIS-Manager-Berechtigungen 909IKEv2 674IKEv2-VPN 1359Ilias 21Informationstypen

Spalten 975Infrastrukturmaster 226Inhalt des Buchs 23Inhaltstypen

Listen 972Websiteinhaltstypen 972

Initial Configuration Tasks 193Initiator 69Innere Sicherheit 607In-Place-Upgrade

R2-Domänencontroller 392Installation 189

Active Directory-Rechteverwaltungsdienste 590Aktivieren 193DFS 744Drucken 780Erstkonfiguration 192Failover-Cluster 1239Host für Remotedesktopvirtualisierung 1205Hyper-V 1312IIS 812Netzwerklastenausgleich 1256R2-Domänencontroller 387Remotedesktopdienste 1076Remotedesktopgateway 1171SharePoint 933

Installationsoption Core 197Integrierter Modus

IIS 819Integritätsrichtlinien 614, 629Intermediate CA 516Internet 923Internet Information Server 795Internet-Authentifizierung 483Internetdrucken 779Internetinformationsdienste

.NET Vertrauensebenen 890ASP.NET-Zustandsdienst 899Cookies 897Richtliniendateien 894

Sicherheitskonfiguration 892URL-Rewriting 897

Intranet 923IOPS 62, 113, 116, 122IP- und Domäneneinschränkungen 895IP-Adresse

Core-Installationsoption 199iPhone 585

Remotedesktopdienste 1088IP-HTTPS 1365IPSec 688

DirectAccess 1366IPv4 139IPv6 139

Abschalten 148Adressierung 141Adresssyntax 141Adresstypen 142DHCP 444DirectAccess 1363Global Unicast Addresses 146Link-Local Addresses 143Protokolle 139Stateful 147Stateless 147Unique Local Addresses 145Unterschiede zu IPv4 140Vergabe von Adressen 147

IP-Verschlüsselung 490IRM 587ISA Server 540

OCSP 551Sperrlisten-Verteilungspunkt 582

ISATAP 1364iSCSI 65, 68, 1231

Initiator 1233, 1235Target 1233

ISE 1355Issuing CA 516Itanium 58IWebPartField 1023IWebPartParameters 1023IWebPartRow 1023IWebPartTable 1023

J

JavaScript 804


1401

Index

K

KDC 162Kein Vorrang 299Kennwort zurücksetzen

Active Directory-Verwaltungscenter 407Kerberos 159, 162

Authentifizierung 159Constrained Delegation 169Delegierung 165, 168, 171Eingeschränkte Delegierung 169Funktionsweise 162IIS 857Kerbtray.exe 165Kernelmodus-Authentifizierung 174Netzwerklastenausgleich 1270Netzwerkprotokolle 159Service Principal Name 166setspn.exe 166SPN 166Toubleshooting 171Webanwendungen 857

Kerberos Two Way Transitive Trusts 210Kerbtray.exe 165Kernelmodus-Authentifizierung 865, 866

Delegierung 174Kerberos 174

Key Distribution Center 162Klassischer Modus

IIS 818Kommandozeile 1343Kompilierung

ASP.NET 807Konfiguration

Active Directory-Rechteverwaltungsdienste 604Konfiguration des Remotedesktop-Sitzungshost

1106Konfiguration des Remotedesktop-Sitzungshosts

1107Kontingent anwenden 728Kontingentverwaltung 726Kontingentvorlage 726

L

L2TP 674, 687LDAP 455Ldp.exe

Active Directory-Papierkorb 399

Leistungsindikatoren 96Festplatten 114

LeistungsmonitorSystemmonitor 95

Lew Platt 922Licensor Certificate 589Link-Local Addresses 143Listen 963

Benachrichtigen 985Benutzerdefinierte Liste 966Dateianhänge 972Datenblattansicht 985Genehmigungsstatus 971Inhaltstypen 972RSS-Feed 985Standardansicht 980Versionsverlauf 972Vorlagen 966

Live-Migration 1341Lizenzierung 52, 930

Active Directory-Rechteverwaltungsdienste 589CAL 52Client Access License 52Device-CAL 53SharePoint 933User-CAL 53

Load BalancingIIS 900

Lokale GPOs 301Lokale Richtlinienobjekt 302Loopback-Verarbeitung 342Loopback-Verarbeitungsmodus 342, 1124LPD-Dienst 778

M

MAC-AdresseNetzwerklastenausgleich 1266

MAK 194Managed Applications 180Managed Web Applications 180MBR 705Mehrstufiges NAP-Konzept 617Messbarkeit 920MetaFrame 1072Microsoft Application Virtualization 1076Microsoft Network Monitor 128Migration

R2-Domänencontroller 389


1402

Index

Migration von VMs 1330Mirrored Volume 710Multi Activation Key 194Multicast 142Multipathing 71Multipfad-E/A 702

N

Name Resolution Policy Table 1366Namensauflösung

DirectAccess 1366Namenskontext 219Namensraum 213NAP 609

Agent 614Client vorbereiten 614Client-Perspektive 633DHCP 622DHCP-Server vorbereiten 631Funktionsweise 610Gemeinsamer Geheimer Schlüssel 618Integritätsrichtlinien 629Kommunikationsvorgänge 612Mehrstufiges Konzept 617Network Access Protection 609Netzwerkmonitor 637Netzwerkrichtlinien 626Netzwerkrichtlinienserver 613RADIUS-Proxy-Server 620RADIUS-Remoteservergruppe 620Remotedesktopgateway 1181, 1189Remotedesktopgateway, Clients 1197Systemintegritätsprüfungen 630Verbindungsanforderungsrichtlinien 626

NAP Enforcement Points 609NAP-Agent 614NAP-Erzwingungspunkte 609NAS 65NAT 1364NAT-PT 1363Navigationsknoten

Active Directory-Verwaltungscenter 412Navigieren

Active Directory-Verwaltungscenter 409Negotiate 169.NET

CardSpace 188WCF 187

Windows Communication Foundation 187Windows Presentation Foundation 187Windows Workflow Foundation 187WPF 187WWF 187

.NET Framework 181

.NET-Benutzer 880

.NET-Vertrauensebenen 889NetBIOS über TCP/IP 452Network Access Protection 609Network Load Balancing 1253

Remotedesktopdienste 1153Network Location Server

DirectAccess 1367Network Policy Server 613Netzwerk

Ausfallsicherheit 88Entfernte Benutzer 86Layer-2-Switching 84Layer-3-Switching 84Management 88Metropolitan Area Network 85Sicherheit 88Strukturen und Verfügbarkeit 81VPN-Verbindungen 86WAN-Verbindungen 86

Netzwerkdienste 425DHCP 441DNS 425WINS 451

Netzwerkkonnektivität 125Netzwerklastenausgleich 1253

Affinität 1260Authentifizierung 1269Clusterknoten hinzufügen 1261Delegierung 1270Filtermodus 1259Funktionsweise 1255Hintergründe 1265Installation 1256Kerberos 1270MAC-Adresse 1266Network Load Balancing 1253Netzwerklastenausgleich 1267NLB 1253Remotedesktopdienste 1153

Netzwerkmonitor 128ARP 155Capture Filter 130


1403

Index

DHCP 151Display Filter 130DNS 159Filter 130Kurzüberblick 128Microsoft Network Monitor 128NAP 637Netzwerklastenausgleich 1267Parser 131Schnelleinstieg 132

Netzwerkprotokolle 149ARP 153DHCP 149DNS 156Kerberos 159

Netzwerkrichtlinen- und Zugriffsdienste 677Netzwerkrichtlinien 614, 626Netzwerkrichtlinien- und Zugriffsdienste 608Netzwerkrichtlinienserver 613

Installation 622NAP 613Network Policy Server 613NPS 613Remotedesktopgateway 1191

Neuanlage von ObjektenActive Directory-Verwaltungscenter 412

NeuerungenRemotedesktopdienste 1070

NLB 1253NPS 613NRPT

DirectAccess 1366, 1372NT 3.1 Advanced Server 27NT 4 Server 31NT Server 3.5 29NTFS-Berechtigungen

IIS 882Nutzungsrecht 930

O

OCList 202OCSetup 202OCSP 543

ISA Server 551Offline-CA installieren 553Offline-Domänenbeitritt 423Online Certificate Status Protocol 543Online-Responder 544

Optimierung der Druckumgebung 773Organisationseinheit 213

Active Directory-Domänendienste 213Organizational Unit 213OU 213

Organizational Unit 213OU 213

P

PapierkorbActive Directory 397SharePoint 987

ParserNetzwerkmonitor 131

Partition 219Partitionieren 706PDC 210PDC-Emulator 225Performance 110

Blockgröße (Festplatten) 122RAID-Level 117Richtwerte 94Servervirtualisierung 1304

Performance-Analyse 97Performancemonitor

Systemmonitor 95Persönlicher Virtueller Desktop 1213Pipelines 1353Planung

Servervirtualisierung 1304Platt, Lew 922PowerShell 1343

Active Directory-Papierkorb 405Modul für Active Directory 418

PPTP 674, 686Pre Shared Key 688Preferences

Gruppenrichtlinien 343printQueue-Objekt 789Profile.ps1 1352Protocol Transition 871Protokoll erstellen

Systemmonitor 101Protokolle 127

IPv4 139IPv6 139Netzwerkmonitor 128

ProtokollierungIIS 914


1404

Index

Protokollübergang 869, 871Provider-Webpart 1022Prozessoren 55, 124

EMT64 58Itanium 58Stepping 59x64 58

PSK 688Public Key Infrastructure 491Publishing License 589Pull-Replikation

WINS 451PushPrinterConnections.exe 794

Q

Quota Management 726Quotas 725

R

R2-Domänencontroller 385dcpromo 387In-Place-Upgrade 392installieren 387Migration 389Schema-Erweiterung 386

RADIUS-Proxy-Server 620RADIUS-Remoteservergruppe 620RAID 60RAID-Controller 61RAID-Level

Einfluss auf die Performance 117RDP-Protokoll 1087Read Only Domain Controller 236Rechenzentrum 89

Feuer, Wasser ... 91Räumliche Anforderungen 91Redundanz 94Stromversorgung 92Zugangskontrolle 89

Rechnen macht erfolgreich 116Rechteverwaltungsdienste 587Redundanz

IIS 900regsvr32 schmmgt.dll 220Remote-Administration

IIS 904Remoteanforderungen 901

RemoteApp- und Desktopverbindungen mit Windows 7 1148

RemoteApp-Benutzerzuweisung 1100RemoteApp-Manager 1098, 1106RemoteApp-Programme 1097Remotedesktop

Core-Installationsoption 201Remotedesktopdienste 1069, 1360

1126Administration 1106Aero-Design 1084Aktivieren des Lizenzservers 1127Anmeldeeinstellungen 1110Anwendungen installieren 1092Benennung 1069Benutzeradministration 1119Benutzergruppe 1081Benutzerzugriff 1087change user 1094Clearinghouse 1132Dauer einer Sitzung 1112Desktop bereitstellen 1096Desktopdarstellung 1081, 1083DNS-Round Robin 1168Drucken 1134Drucken, Gruppenrichtlinien 1141Easy Print 1134Fair Share CPU Scheduling 1070Farmen 1153Fernsteuerung 1122Gruppe für Benutzer 1081Gruppenrichtlinien 1092, 1113, 1124Gruppenrichtlinien, Drucken 1141Host für Remotedesktopvirtualisierung 1201Installation 1076Installationsmodus 1094iPhone 1088Konfiguration 1107Lizenzierung 1125Lizenzmodell wählen 1079Lizenzserver 1125Lokale Gruppe Remotedesktopbenutzer 1089Lokale Ressourcen 1116Loopback-Verarbeitungsmodus 1124Network Load Balancing 1153Netzwerklastenausgleich 1153Neue Namen 1069Neuerungen 1070Office installieren 1095


1405

Index

RDP-Protokoll 1087Remote Control 1115, 1122RemoteApp-Benutzerzuweisung 1100RemoteApp-Programme 1097Remotedesktopdienste, Drucken 1141Remotedesktopdienste-Manager 1121Remotedesktopgateway 1168Remotedesktopgateway, Architektur 1169Remotedesktopgateway-Manager 1179Remotesteuerung 1115Remoteüberwachung 1120, 1122Rollendienste, Überblick 1077RPC over HTTPS 1168Schlussbemerkung 1215Shadowing 1115Sicherheitsvorkehrungen 1093Startmenü, Windows 7 1148Terminaldienste 1069Thin Clients 1088Überblick 1072Verbindungsbroker 1153Verwaltung 1106Vorteile 1073Web Access für Remotedesktop 1142Werkzeuge 1106Windows 7 1148XPS-Viewer 1137

Remotedesktopdienste-Farmen 1153Remotedesktopdienste-Manager 1106Remotedesktopdienste-Verbindungsbroker 1153Remotedesktopgateway 1077, 1168

Architektur 1169Clientkonfiguration 1184Installation 1171, 1174Konfiguration 1179NAP 1181, 1189NAP, Clientkonfiguration 1197Netzwerkrichtlinienserver 1191Ressourcenautorisierungsrichtlinien 1182Überwachung 1188Verbindungsautorisierungsrichtlinien 1181

Remotedesktoplizenzierung 1077Remotedesktop-lizenzierungs-Manager 1106Remotedesktoplizenzierungs-Manager 1126Remotedesktop-Sitzungshost 1076, 1077Remotedesktop-Verbindungsbroker 1077Remotedesktopvirtualisierung 1201Remoteserver-Verwaltungstools

Active Directory-Verwaltungscenter 406

Replikation einrichtenActive Directory Lightweight Directory 472

ReplikationstopologieDFS 756

RessourcenautorisierungsrichtlinienRemotedesktopgateway 1182

Ressourcen-Manager für Dateiserver 720, 725Ressourcenmonitor 96Reverse-Lookupzone 438Richtwerte zur Performance 94RID-Master 226Rights Management Services 587RMDS 720, 725RMS 587RocketDivision 1233RODC 236Rollen 42

Core-Installationsoption 198, 202Root CA 515Rotational Latency 62Routing und RAS 677RPC over HTTPS 1168RSS-Feed

Listen 985Rückblick 25

DOS 25Microsoft BackOffice 29Windows 3.0 27Windows Server 2003 R2 34Wolfpack 31

S

Sammlungssatz 102SAN 65

Servervirtualisierung 1302SAN Storage 715SAN-Architektur 69Scale-out 1301Scale-up 1301Schattenkopien 721Schema 217Schema-Erweiterung

R2-Domänencontroller 386Schema-Manager 220Schemamaster 228schmmgt.dll 220Schreibgeschützte Domänencontroller 236SCSI-Protokoll 66


1406

Index

SCVMM 1324Secure Socket Tunneling Protocol 690Self-Healing NTFS 724Self-Service-Portal 1329Server

DNS 431wiederherstellen 1292

Serverarchitektur 59Serverhardware 55

64-Bit-Welt 57Architektur 59EMT64 58Festplatten 60Hauptspeicher 60IA32-Prozessoren 56Itanium 58Prozessoren 55RAID-Controller 61x64 58

ServersystemeAWE 56ECC 60EM64T 58EPIC 57IA64 57IOPS 62RAID 60SAS 63SATA 63SCSI 63Stepping 59x64 57

Servervirtualisierung 1297, 1300Hyper-V 1306Marktüberblick 1299Performance 1304Planung 1304SAN 1302Scale-out vs. Scale-up 1301Vorteile 1298

Service Locator Records 353Service Principal Names 166, 169, 859Service Resource Records 440setspn.exe 166SHA 611SharePoint

Abschlussbemerkung 1066Ansichten 978Benutzerverwaltung 1000Berechtigungsstufen 1010

Dateistruktur 949Dokumentbibliotheken 963, 989Editionen 930Eingehende E-Mail 992Enterprise Edition 930Gruppen 1001Initiales Projekt 931Installation 933Listen 963Lizenzierung 933Papierkorb 987Standard-Edition 930Teamwebsite 945Vererbung 1012Vorlagen 1065Warum SharePoint? 920Webanwendung 951Webpartkatalog 1020Webparts 986, 1015Webpartzone 1015Website 945, 951Websitesammlung 951Workflows 1027WSS 919Zentraladministration 942

SharePoint DesignerGruppen 1046

SharePoint Designer Workflows 1042.xoml-Datei 1055Aktionen 1051, 1058Aktionen entwickeln 1063Aufgabe zuordnen 1058Eigene Aktionen entwickeln 1063Speicherort 1054Verzweigung 1052Windows SharePoint Services 919Workflow überprüfen 1054Workflowdaaten 1060Workflowdaten 1064

Sichere E-Mail 485signieren 487verschlüsseln 486

SicherheitASP.NET 811Gruppenrichtlinien 298IIS 885

Sicherheitsaspekte, GruppenBenutzerverwaltung 1004

Sicherung 1287Sicherungszeitplan 1286


1407

Index

SignaturWindows PowerShell 1351

Single Sign On 477Site-Local Addresses 143Sitzungszustand 896Skripts 1349slmgr 196Smartcard 490Snapshot

Hyper-V 1321SOAP-Protokoll 798Softgrid 1076Softwareverteilung

Gruppenrichtlinien 340SoH 611Spalten

Informationstypen 975Spanned Volume 710Special Addresses 143Speicherberichteverwaltung 734Sperrliste 564Sperrlisten-Einträge 529Sperrlisteneinträge 530Sperrlisten-Verteilungspunkt 531Spiegeln 711SPN 166, 169, 859SSL-Verschlüsselung 885SSoH 611SSTP 674, 690

Troubleshooting 694Zertifikatssperrlisten 525

StammhinweiseDNS 434

Stammzertifizierungsstelle 515Standardauthentifizierung 843Standardkompilierung

ASP.NET 807Standardkompilierung 807

Standort, ADS 246Starter-Gruppenrichtlinienobjekte 304StarWind 1233Stateful 147Stateless 147Statement of Health 611Statische IP-Adresse

Core-Installationsoption 199Stelleninformationen 533, 562Stepping 59Storage

Blocklevel-Zugriff 66Cloning 78

Controller-basierte Spiegelung 72Controller-basierte Virtualisierung 79Copy-on-Write-Snapshot 75DAS 65FibreChannel 66Host-basierte Spiegelung 73In-Band-Virtualisierung 80Initiator 69iSCSI 65, 68Multipathing 71NAS 65Out-of-Band-Virtualisierung 81Redundante Storage-Systeme 71SAN 65SAN-Architektur 69SAN-basierte Virtualisierung 79SCSI-Protokoll 66Snapshotting 75Target 69Virtualisierung 79Volume Shadow Copy Services 76Write Penalty 117

Störfall vs. Notfall 1223Stripesetvolume 710System Center Virtual Machine Manager 2008

1324Architektur 1325Bibliotheken 1328Hosts verwalten 1326Migration von VMs 1330Self-Service Portal 1329Verschieben von VMs 1337Virtuelle Maschinen verwalten 1327

System Center Virtual Machine Manager 2008 � SCVMM

System Center Virtual Machine Manager 2008 � VMM

System Health Agents 611Systemintegritätsprüfungen 614, 630Systemmonitor 94

Protokoll erstellen 101Sammlungssatz 102

Systempartition 111

T

Target 69Teamwebsite 945Technologiegrundlagen

DirectAccess 1362


1408

Index

Teredo 1364Terminaldienste 1069

Gruppenrichtlinien 343Loopback-Verarbeitungsmodus 342

TGT 162Ticket Granting Service 162Ticket Granting Ticket 162Top-Down-System 926Transactional NTFS 724Transformer 1023Transition Addresses 143Tree 210Treiber

Drucken 782Trojaner 21Troubleshooting

Active Directory-Domänendienste 377Tunneling-Protokolle 674Tunnelmechanismen

DirectAccess 1363

U

ÜberblickEditionen 49

UmstrukturierenActive Directory-Domänendienste 383

Unicast 142Unique Local Addresses 143, 145Universal Group Membership Caching 223Universelle Gruppen 216, 348Unmanaged Applications 179Unternehmenswissen 921, 922Updates genehmigen 666Upgrade

Active Directory-Domänendienste 361URL-Autorisierung 883Use License 589useAppPoolCredentials 1280User-CAL 53

V

VDI 1201, 1360Verbindungsanforderungsrichtlinien 613, 626Verbindungsautorisierungsrichtlinien

Remotedesktopgateway 1181Verbindungs-Manager-Verwaltungskit 696Vererbung

aktivieren 1013

Gruppenrichtlinien 294Listen 1014Listenelemente 1014

VerfügbarkeitActive Directory-Domänendienste 228

VergleichEditionen 50, 51

Verschieben der Betriebsmasterrollen 229Verschlüsselung 483Versionsverlauf

Listen 972Verteilter Cache 1377Verteiltes Dateisystem 737Vertriebsleiterbeispiel 929Verwalteter Pipelinemodus 817Verwaltungscenter 405Verzeichnisverwaltungsdienst

Eingehende E-Mails 999Virtual Desktop Infrastructure 1201Virtualisierung

Storage 79Virtuelle Maschinen

Migration 1330verschieben 1337

Virtuelles Verzeichnis 827, 838Visual Studio Professional 801Visual Web Developer 801VMM 1325Volume Shadow Copy Service 76, 721Volumenlizenz-Datenträger 196Volumes

vergrößern 715verkleinern 715

VoraussetzungenActive Directory-Papierkorb 398Active Directory-Verwaltungscenter 415BranchCache 1377DirectAccess 1361

Vorinstallierter Schlüssel 688Vorkompilierung

ASP.NET 807, 809Vorlagen 1065Vorrang

Gruppenrichtlinien 298Vorteile

Windows PowerShell 1343Voß, Johann Heinrich 21VPN

Automatischer Modus 695CMAK 696


1409

Index

Connection Manager Administration Kit 696EAP 687Einwahlberechtigung 684Extensible Authentication Protocol 687Gateway-Architektur 675IKEv2 674IPSec 688L2TP 674, 687PPTP 674, 686Pre Shared Key 688PSK 688Routing und RAS 677Secure Socket Tunneling Protocol 690Server, Grundkonfiguration 677SSTP 674, 690Tunneling-Protokolle 674Verbindungs-Manager-Verwaltungskit 696Vorinstallierter Schlüssel 688VPN einrichten 680VPN-Server, Grundkonfiguration 677

VPN der nächsten Generation 1360VPN Reconnect 1359VPN-Einrichten 680VPN-Verbindungen 86VSS � Volume Shadow Copy Service

W

W3SVC 814w3wp.exe 815WAN-Miniport-Treiber 674Warteschlange 113Wartungsservergruppen 614Warum eine neue Server-Version? 25Warum SharePoint? 920WAS 814WCF 187WDS 1360Web Access für Remotedesktop 1077, 1142

Konfiguration 1145web.config 804Webanwendung 951Weboberfläche

Active Directory-Zertifikatdienste 512Webpart

Consumer-Webpart 1022Provider-Webpart 1022Seitenübergreifende Verbindungen 1025Transformer 1023Webpartzone 1015, 1018

Webpart Connections 1022Webpartkatalog 1020Webparts 986, 1015Webpartverbindungen 1022Webpartzone 1015, 1018Webserver 795, 829

Best Practice Analyzer 916BPA 916IIS 795

Website 827, 832SharePoint 945, 951

Website/WebseiteBegriffsdefinition 799

Websiteinhaltstypen 972Websitesammlung 951Websitesammlungsadministratoren

Benutzerverwaltung 1001Webverwaltungsdienst 906Weiterleitungen

DNS 433Wiederherstellung 1289

eines Servers 1292Wiederherstellzeit 1219Windows 1, 2 und 3 25Windows 2000 Server 32Windows 7 1359

Remotedesktopdienste 1148Windows Bereitstellungsdienste 1360Windows Communication Foundation 187Windows Deployment Services 1360Windows Firewall

Basiskonfiguration 642Gruppenrichtlinien 650Isolierungsregel 647Konfigurationshinweise 652Profile 642Regeln 641

Windows NT 3.1 Advanced Server 27Windows NT 4 Server 31Windows NT Server 3.5 29Windows PowerShell 1343

Alias 1345Aliase 1348Ausführungsrichtlinie 1350Cmdlets 1345, 1346Entwicklungsumgebung 1355Grundlagen 1345Pipelines 1353profile.ps1 1352Signatur 1351


1410

Index

Skripts 1349Vorteile 1343

Windows PowerShell Integrated Scripting Environment 1355

Windows PowerShell � PowerShellWindows Presentation Foundation 187Windows Script Host 1343Windows Server 2003 32Windows Server Update Services 653Windows SharePoint Services 919Windows Workflow Foundation 187, 1027Windows-Authentifizierung 852Windows-Firewall 640

Regeln im Detail 644Windows-PowerShell

Modul für Active Directory 418Windows-Prozessaktivierungsdienst 814WINS 451

DHCP 443Wireless Authentification 491WMI-Filter 336Wolfpack 31Word-Dokument schützen 597Workflows 1027

Workflowstatus 1041Workflowvorlage 1031

Worst-Case-Fall 1219WPF 187Write Penalty 117WS-Federation 477WSH 1343WSS 919WSUS 653

Automatische Genehmigung 666Berichte 672Erstkonfiguration 658Funktionsweise 654Gruppen 662Gruppenrichtlinien 669Installation 655Konfiguration 661Updates genehmigen 666Updates manuell genehmigen 667Windows Server Update Services 653wuauclt 672

WWF 187WWW-Publishing-Dienst 814

X

x64 57, 58XenApp 1072.xoml-Datei 1055XPS 776XPS-Viewer 1137

Z

Zeitdienst 357Zeitsynchronisation 357Zentraladministration 942Zentraler Netzwerkrichtlinienserver 618Zentraler Speicherort

Gruppenrichtlinien 313Zertifikat überprüfen 535Zertifikatdatenbank wiederherstellen 498Zertifikate

Cache 539DirectAccess 1368

Zertifikatgültigkeit überprüfen 533Zertifikatsdienste 483Zertifikatssperrliste 554Zertifikatssperrlisten 525

DirectAccess 525Funktionsweise 527Gültigkeit 533ISA Server 540

Zertifikatssperrlisten � Active Directory-Zertifi-katdienste

Zertifikatvorlagen 505Zertifizierungspfad 505Zertifizierungsstelle

OCSP, anpassen 550Zonen

Netzwerkdienste 426Zonentypen

DNS 426Zugriff auf Stelleninformationen 533Zusammenspiel mit anderen Microsoft-

Produkten 45Zusätzliche Domänencontroller einrichten 284Zuverlässigkeit und Leistung 95Zweistufige Architektur implementieren 552


Windows Server 2008 R2 - Amazon S3 · 2018-03-26 · 24 Windows 7 und Windows Server 2008...

Documents

Transcript of Windows Server 2008 R2 - Amazon S3 · 2018-03-26 · 24 Windows 7 und Windows Server 2008...