Windows-Testumgebung
Netzwerke, Betriebssysteme, Sicherheit ... hierzu bietet Ihnen die Reihe net.com umfassende, praxisnahe Information. Neben Fragen der Systemverwaltung greift sie auch Themen wie Protokolle, Technologien und Tools auf. Profitieren Sie bei Ihrer täglichen Arbeit vom Praxiswissen unserer erfahrenen Autoren.
Windows PowerShell Holger Schwichtenberg 456 Seiten, € 29,95 [D] ISBN 3-8273-2533-4 Mit der neuen Windows PowerShell lassen sich Aufgaben bequem per Kommandozeile automatisieren. Der bekannte Scripting-Experte Dr. Holger Schwichtenberg bietet mit diesem Buch eine fundierte Einführung in die automatisierte Windows-Administration.
Windows Server 2008 Eric Tierling 1184 Seiten, € 59,95 [D] ISBN 3-8273-2637-9 Dieses Buch zu Windows Server 2008 knüpft an den Bestseller zu Windows Server 2003 an und widmet sich eingehend den Neuerungen der 2008er-Serverversion. Erstkonfiguration, Rollen und Features, überarbeiteter Server-Manager, Server Core-Installationsoption, BitLocker-Laufwerksverschlüsselung, Read-Only-Domänencontroller (RODC), Netzwerkzugriffsschutz (NAP), RemoteApp-Programme für die Terminaldienste, Failover-Clustering sowie die Servervirtualisierung mittels der neuen Technologie Hyper-V sind einige der Highlights, die im Buch beschrieben sind.
Thomas Joos
Windows-Testumgebung Für Ausbildung und Beruf
An imprint of Pearson Education München • Boston • San Francisco • Harlow, England Don Mills, Ontario • Sydney • Mexico City Madrid • Amsterdam
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hard- und Softwarebezeichnungen und weitere Stichworte und sonstige Angaben, die in diesem Buch verwendet werden, sind als eingetragene Marken geschützt. Da es nicht möglich ist, in allen Fällen zeitnah zu ermitteln, ob ein Markenschutz besteht, wird das ®-Symbol in diesem Buch nicht verwendet. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt.
10 9 8 7 6 5 4 3 2 1 11 10 09 ISBN 978-3-8273-2791-8
© 2009 by Addison-Wesley Verlag, ein Imprint der Pearson Education Deutschland GmbH, Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Einbandgestaltung: Marco Lindenbeck,
[email protected] Fachlektorat: Jochen Ruhland,
[email protected] Lektorat: Sylvia Hasselbach,
[email protected] Korrektorat: René Wiegand,
[email protected] Herstellung: Claudia Bäurle,
[email protected] Satz: mediaService, Siegen, www.media-service.tv Druck und Verarbeitung: Bercker Graphischer Betrieb, Kevelaer Printed in Germany
Inhaltsverzeichnis
Vorwort
1
Einführung
11
1.1
Struktur der Testumgebung
12
1.2
Virtuelle Maschinen mit VMware erstellen
15
1.2.1 1.2.2
15
1.3
2
9
Erstellen der virtuellen Maschine Installation des Betriebssystems auf der virtuellen Maschine
19
VMware-Maschine nach Ablauf der Testphase nutzen
23
1.3.1
23
Sun xVM VirtualBox 1.6
Windows Server 2008 installieren
29
2.1
Installation durchführen
29
2.2
Treiber und Hardware installieren und verwalten
36
2.3
Aktivierung von Windows Server 2008
38
2.3.1 2.3.2
40 40
Aktivierung mit dem Skript Slmgr.vbs Aktivieren eines Core-Servers
2.4
Anpassen des Bootmenüs – Es gibt keine boot.ini mehr
41
2.5
Erste Schritte nach der Installation
43
2.5.1 2.5.2 2.5.3
44 47
2.5.4
2.6 2.7
Arbeiten mit dem Server-Manager Server über das Netzwerk verwalten – Remote-Desktop Remote-Desktopverbindungen effizient mit Royal TS und VisionApp Remote Desktop verwalten Fazit
52 56
Windows Server an ein Netzwerk anbinden
56
2.6.1
Das Netzwerk- und Freigabecenter
57
Core-Server Installieren und verwalten
64
2.7.1
64
Verwalten eines Core-Servers
5
Inhaltsverzeichnis
2.8
2.9
3
Wichtige Administrationsaufgaben
66
2.8.1 2.8.2 2.8.3 2.8.4 2.8.5 2.8.6
66 66 66 68 70 70
Remoteverwaltung eines Core-Servers
71
2.9.1 2.9.2
72 72
Konfigurieren eines Core-Servers mit scregedit.wsf Aktivieren des Remote-Desktops auf einem Core-Server
Active Directory installieren
75
3.1
Vorbereitungen für Active Directory
75
3.1.1
Konfigurieren der IP-Einstellungen des Servers
76
DNS in Windows Server 2008 installieren und verwalten
82
3.2.1 3.2.2
82
3.2
3.3
DNS-Rolle installieren Erstellen der notwendigen DNS-Zonen für das Active Directory
83
Installation der Active Directory-Domänendienste-Rolle
87
3.3.1
3.4
3.5
Installation von Active Directory über den Server-Manager
Active Directory-Diagnose und Fehlerbehebung 3.4.1
Verwenden der Domänen-Controller-Diagnose (dcdiag.exe)
Zusätzlichen Domänen-Controller (Read-Only-Domänen-Controller) installieren 3.5.1 3.5.2 3.5.3 3.5.4
6
Sprach- und Zeiteinstellungen konfigurieren Ändern des Administrator-Kennwortes Konfigurieren einer statischen IP-Adresse Mit einem Core-Server einer Domäne beitreten Server über die Befehlszeile umbenennen Gruppenmitgliedschaften in der Befehlszeile konfigurieren
Vorbereitungen für die Integration eines zusätzlichen Domänen-Controllers in eine Domäne Integration eines neuen Domänen-Controllers Notwendige Nacharbeiten nach der Integration eines zusätzlichen Domänen-Controllers Bereinigung des Active Directory und Entfernen von Domänen-Controllern
87
103 103
110 111 111 116 117
Inhaltsverzeichnis
4
Active Directory erweitern
121
4.1
121
Erstellen einer neuen untergeordneten Domäne 4.1.1 4.1.2 4.1.3
5
Exchange Server 2007 in einer Testumgebung installieren 5.1 5.2 5.3
134
139
Installation von Exchange Server 2007 unter Windows Server 2008
150
Erste Schritte mit Exchange Server 2007
154
5.3.1 5.3.2
154
5.3.6
Die Exchange-Verwaltungskonsole verstehen Einrichten von Connectoren zwischen Exchange-Organisationen Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren Einführung in die Exchange-Verwaltungsshell Erster Einblick in die neuen Strukturen der Exchange-Datenbanken Clientzugriff testen
Cluster und Hochverfügbarkeit
6.2
130
139
5.3.4 5.3.5
6.1
122
Beitreten eines Windows Servers 2003/2008 zu einer Domäne
5.3.3
6
Anpassen der DNS-Infrastruktur an untergeordnete Domänen Heraufstufen eines Domänen-Controllers für eine neue untergeordnete Domäne Einführen einer neuen Domänenstruktur in einer Gesamtstruktur
168 171 175 183 190
191
Allgemeine Informationen zu Clustern mit Exchange Server 2007
191
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
193
6.2.1 6.2.2 6.2.3
193 196 208
Neuerungen von Clustern unter Windows Server 2008 Installation eines Clusters mit iSCSI-Testumgebung Exchange Server 2007 SP1 im Cluster installieren
7
Inhaltsverzeichnis
7
Exchange Server und ISA Server
213
7.1
Vorbereitungen für die Installation
214
7.2
Erstellen der Firewall-Regeln
218
7.3
Sichere Veröffentlichung von OWA über SSL
226
7.4
Erstellen einer neuen Webveröffentlichung
231
Stichwortverzeichnis
8
235
Vorwort Die Installation von Microsoft-Serverprodukten sieht häufig einfach aus, allerdings verbergen sich oft wichtige Einstellungen, hinter den grundsätzlich einfach zu bedienenden Assistenten. Vor allem IT-Profis, die eine Testumgebung aufbauen möchten oder sicherstellen wollen, dass eine Installation korrekt abläuft, müssen sich durch eine Vielzahl von Internetseiten und Whitepapern kämpfen. All jenen möchte ich mit diesem Buch eine gut verständliche Anleitung an die Hand geben, wie Sie schnell und unkompliziert eine Testumgebung für ein Microsoft-Netzwerk aufbauen können. Die Anleitungen lassen sich natürlich auch für die Installation einer produktiven Umgebung verwenden. Sie erhalten für die einzelnen beschriebenen Serverprodukte die optimale und richtige Installationsreihenfolge und zwar nicht nur für jedes einzelne Produkt, sondern auch für das Zusammenspiel der Lösungen. Der Fokus des Buches liegt dabei nicht im Vertiefen von Wissen um die einzelnen Produkte, sondern eindeutig in Installation und Inbetriebnahme. Dabei gehe ich Schritt für Schritt vor, sodass auch Auszubildende und Quereinsteiger ein solches Netzwerk installieren können. Ziel der einzelnen Workshops ist es, ein Windows-Netzwerk eingeständig zu installieren und auf diese Weise praktisches Wissen aufzubauen. Da ich auch zeige, wie die einzelnen Produkte in virtuellen Maschinen zu installieren sind, wird für den Aufbau einer Testumgebung nicht unbedingt teure Hardware benötigt. Darüber hinaus stehen alle beschriebenen Microsoft-Produkte auch als Testversionen zur Verfügung, sodass wirklich jeder interessierte Leser sich schnell, unkompliziert und vor allem kostenlos eine komplexe Microsoft-Testumgebung installieren und deren Vorteile nutzen kann. Viel Erfolg mit Ihrem Microsoft Windows-Netzwerk wünscht Thomas Joos
9
1
Einführung
In diesem Kapitel zeige ich Ihnen, was die Bestandteile der Testumgebung sind und welche Vorbereitungen Sie treffen sollten. Alle Microsoft-Produkte, die Sie für eine Testumgebung benötigen, können Sie kostenlos von der Microsoft-Webseite als Testversionen herunterladen. Auch die notwendigen Virtualisierungslösungen für den Aufbau stehen teilweise kostenlos zur Verfügung. Welches Produkt Sie zur Virtualisierung verwenden, bleibt Ihnen überlassen. Die Bedienung ist bei den meisten Produkten recht ähnlich; und alle liefern gute Leistungen. Die meisten Anwender bevorzugen sicherlich VMware Workstation. Aber auch VirtualBox und Virtual PC 2007 sind interessante Produkte. Alle diese Lösungen unterstützen die Installation von Windows Server 2008 und Windows Vista. VMware Workstation ist sicherlich der »Platzhirsch«, mit einem Preis von 200 € aber auch recht teuer. Die Software kann 30 Tage lang kostenlos und uneingeschränkt getestet werden. Danach können Sie die erstellten virtuellen Maschinen mit dem kostenlosen VMware Player starten. Dieser ermöglicht zwar nicht das Erstellen neuer virtueller Maschinen, aber mit der VMware-Testversion erstellte virtuelle Computer lassen sich nach der Testphase uneingeschränkt mit dem VMware Player nutzen. VirtualBox ist vollkommen kostenlos und kann ebenfalls VMware-Festplatten lesen. Allerdings funktioniert das nicht immer uneingeschränkt. Auch der Microsoft Virtual Server 2005 R2 steht kostenlos zur Verfügung und ermöglicht den Aufbau einer virtuellen Infrastruktur. VMware stellt mit dem VMware Server ebenfalls ein kostenloses Produkt für die Virtualisierung zur Verfügung. Für sehr geübte Administratoren bietet VMware seine Lösung VMware ESXi ebenfalls kostenlos an. Diese läuft betriebssystemunabhängig und lässt sich nur auf dem eigenen Computer betreiben. Dieser kann
11
Kapitel 1 Einführung
dann allerdings für keinen anderen Zweck mehr verwendet werden, sondern ausschließlich für die Virtualisierung. In diesem Buch gehe ich von der Virtualisierung mit VMware Workstation aus. Virtualisierungsprodukt
Website
Vor- und Nachteile
Microsoft Virtual http://www.microsoft.com/ kostenlos, leichter Aufbau Server 2005 R2 SP1 germany/virtualserver/ einer Testumgebung mit vielen Servern komplex zu bedienen, benötigt Webserver zur Verwaltung oder ein zusätzliches Tool VMWare Workstation
http://www.vmware.com
sehr teuer, aber umfangreich englische Benutzeroberfläche, Standard im Bereich der Desktopvirtualisierung
VirtualBox
http://www.virtualbox.org
kostenlos, unterstützt VMWare-Festplatten gut für Testumgebungen, aber weniger stabil als VMware
Virtual PC 2007
http://www.microsoft.com
kostenlos, aber nicht sehr umfangreich Virtuelle Maschinen werden in einzelnen Fenstern verwaltet und nicht als Registerkarte.
Tabelle 1.1: Standardprodukte im Bereich der Desktopvirtualisierung zum Aufbau von Testumgebungen
1.1
Struktur der Testumgebung
Die Testumgebung besteht aus einer Active Directory-Gesamtstruktur auf Basis von Windows Server 2008. Die Gesamtstruktur ist in verschiedene Strukturen und Domänen aufgeteilt. Innerhalb der Struktur befindet sich ein Mail-Server mit Exchange Server 2007 sowie ein ISA-Server 2004/2006, der das Netzwerk mit dem Internet verbindet. Optional können Sie im Netzwerk noch einen Cluster mit Exchange Server 2007 installieren. In Abbildung 1.1 finden Sie eine Illustration der wichtigsten Bereiche als Beispiel der virtuellen Testumgebung. Die Installation und Einrichtung von ISA Server 2004/2006 sind nahezu identisch. Daher zeige ich Ihnen die Installation beider Produkte.
12
Struktur der Testumgebung
Abbildung 1.1: Aufbau der virtuellen Testumgebung
13
Kapitel 1 Einführung
Die meisten Microsoft-Produkte finden Sie auf der Seite http://technet. microsoft.com/de-de/evalcenter zum Download. Die Produkte liegen meistens im CD- bzw. DVD-Abbild im ISO-Format vor und lassen sich leicht als CD/DVD-Laufwerk in die virtuelle Maschine einbinden. Die verschiedenen Editionen von Windows Server 2008 Wie bereits seine Vorgänger ist Windows Server 2008 in verschiedenen Editionen erhältlich. Abhängig von der Edition werden verschiedene Rollen und Funktionen unterstützt. Die Installation von Windows Server 2008 kann jetzt, wie bei Exchange Server 2007 auch, rollenbasiert erfolgen. Die neuen Editionen von Windows Server 2008 orientieren sich an Windows Server 2003. Für die Installation wird mindestens ein 1 GHz-Prozessor und 512 MB Arbeitsspeicher sowie mindestens 12 GB freier Festplattenplatz empfohlen. Allerdings sollten nur in Testumgebungen solche kleinen Festplatten verwendet werden. Auf produktiven Servern empfiehlt Microsoft mindestens 40 bis 80 GB. Windows Server 2008 Standard Edition, Windows Server 2008 Enterprise Edition, Windows Server 2008 Datacenter Edition und Windows Server 2008 für Itanium-basierte Systeme gibt es auch in 64-Bit-Versionen. Die Editionen von Windows Server 2008 im Einzelnen: 왘
Windows Server 2008 Standard Edition: Diese Version ist vor allem für mittelständische Unternehmen gedacht und unterstützt die meisten Funktionen und Rollen von Windows Server 2008. Auch die neue Core-Server-Rolle ist in dieser Edition bereits integriert. Die Standard Edition unterstützt maximal 4 GB Arbeitsspeicher in der 32-Bit-Version und 32 GB in der 64-Bit-Version.
왘
Windows Server 2008 Enterprise Edition: Wie auch unter Windows Server 2003 dient diese Funktion zur Unterstützung größerer Unternehmen. Die Version unterstützt alle Rollen und Funktionen und ist im Gegensatz zur Standard Edition clusterfähig und unterstützt die Active Directory Federation Services. Außerdem erlaubt diese Edition mehr Arbeitsspeicher. Die Enterprise Edition unterstützt maximal 64 GB Arbeitsspeicher in der 32-Bit-Version und 2 TB in der 64-Bit-Version.
왘
Windows Server 2008 Datacenter Edition: Diese Version ist für sehr große Rechenzentren gedacht und wird nur zusammen mit entsprechender Hardware verkauft. Die Funktionen sind mit denen der Enterprise Edition identisch, es werden aber mehr Arbeitsspeicher, mehr Prozessoren und eine optimale Virtualisierung geboten. Die Datacenter Edition unterstützt maximal 64 GB Arbeitsspeicher in der 32-Bit-Version und 2 TB in der 64-Bit-Version.
14
Virtuelle Maschinen mit VMware erstellen 왘
Windows Web Server 2008: Dieser Server dient ausschließlich zum Aufbau von Webserver-Applikationen und -Infrastrukturen. Der Windows Web Server 2008 unterstützt im Gegensatz zu den anderen Editionen keine Core-ServerInstallation. Als Serverrollen wird nur der Webserver und der Anwendungsserver unterstützt, die anderen Rollen sind nicht aktivierbar. Damit ist es insbesondere nicht möglich, diesen Server als Active Directory-Domain-Controller einzusetzen.
왘
Windows Server 2008 für Itanium-basierte Systeme: Diese Version unterstützt die 64-Bit-Intel-Itanium-Prozessoren. Der Funktionsumfang ist mit dem von Windows Web Server 2008 identisch; andere Rollen werden nicht unterstützt. Die Itanium-Edition unterstützt maximal 2 TB Arbeitsspeicher. Für Windows Server 2008 für Itanium-basierte Systeme ist ein Intel Itanium 2-Prozessor erforderlich.
1.2
Virtuelle Maschinen mit VMware erstellen
Allgemein ist das von Ihnen gewählte Produkt zur Virtualisierung beliebig, da alle über Assistenten verfügen, mit denen Sie die virtuellen Maschinen erstellen. Im folgenden Abschnitt gehe ich auf die Erstellung mit VMware Workstation ein. Ich zeige Ihnen im Kapitel zur Installation eines Exchange-Clusters, wie Sie virtuelle Maschinen mit Virtual PC 2007 erstellen.
1.2.1
Erstellen der virtuellen Maschine
Nach der Installation von VMware Workstation können Sie neue virtuelle Maschinen über FILE • NEW • VIRTUAL MACHINE erstellen. Es startet daraufhin ein Assistent, mit dem Sie die wichtigsten Einstellungen für die virtuelle Maschine vornehmen.
15
Kapitel 1 Einführung
Abbildung 1.2: Erstellen einer neuen virtuellen Maschine mit VMware
Da der Fokus dieses Buches auf Windows Server 2008 liegt, gehe ich im folgenden Abschnitt von der Installation eines Servers mit Windows Server 2008 aus. Nachdem der Assistent gestartet ist, geben Sie auf den einzelnen Seiten die wichtigsten Daten für die virtuelle Maschine ein. Auf der ersten Seite des Assistenten belassen Sie die Einstellung bei TYPICAL.
Abbildung 1.3: Auswählen der Konfiguration für die virtuelle Maschine
16
Virtuelle Maschinen mit VMware erstellen
Auf der nächsten Seite wählen Sie das Betriebssystem aus, dass Sie installieren möchten. In diesem Fall also Windows Server 2008. Anschließend geben Sie den Namen für den neuen Server ein. Wählen Sie hier am besten die gleiche Bezeichnung, die Sie auch später für den Server unter Windows verwenden wollen. An dieser Stelle geben Sie auch den Speicherplatz für die Dateien des virtuellen Servers an. Hier wählen Sie am besten für alle Server ein gemeinsames Verzeichnis und für jeden einzelnen Server ein eigenes Unterverzeichnis. Auf der nächsten Seite bestimmen Sie die Netzwerkverbindung, die dem Server zugewiesen wird. Ihnen stehen an dieser Stelle vier Optionen zur Verfügung: 왘
USE BRIDGED NETWORKING – In diesem Fall verwendet die virtuelle Maschine die physische Netzwerkkarte des Host-Systems, kommuniziert aber mit einer eigenen IP-Adresse, unabhängig vom Host-Betriebssystem. Diese Einstellung ist die am meisten verwendete. Der Server kann dadurch mit den anderen Servern im Netzwerk kommunizieren.
왘
USE NETWORK ADDRESS TRANSLATION (NAT) – Bei dieser Option kommuniziert die virtuelle Maschine mit der IP-Adresse des Host-Systems mit dem Netzwerk. Das Host-System arbeitet somit wie ein NAT-Router.
왘
USE HOST-ONLY NETWORKING – Bei dieser Option ist eine Netzwerkkommunikation nur auf dem Host-System möglich. Alle anderen Server sind im Netzwerk nicht erreichbar, und das virtuelle System kann auch nicht mit dem restlichen Netzwerk kommunizieren.
왘
DO NOT USE A NETWORK CONNECTION – Bei dieser Auswahl findet keine Netzwerkkommunikation statt.
Abbildung 1.4: Auswählen der Netzwerkverbindung für den neuen virtuellen Server
17
Kapitel 1 Einführung
Als Nächstes wählen Sie den zugewiesenen Speicherplatz für die Festplatte des virtuellen Servers aus. Wenn Sie für den Festplattenplatz die Option ALLOCATE ALL DISK SPACE NOW zuweisen, erhält die Datei direkt die Größe der virtuellen Festplatte, auch wenn noch kein Inhalt auf die Platte geschrieben wurde. Durch diese Option erhöht sich die Leistung der virtuellen Maschine, allerdings wird viel Platz verschwendet. Außerdem dauert der Vorgang sehr lange. Sie sollten diese Option daher nur dann aktivieren, wenn Sie einen produktiven Server installieren; in Testumgebungen sollten Sie diese Option deaktivieren. Die einzelnen Server benötigen nur exakt soviel Platz, wie Daten vorhanden sind. Achten Sie darauf, dass Windows Server 2008 während der Installation überprüft, ob mindestens 16 GB freier Festplattenplatz vorhanden sind. Durch einen Klick auf FERTIG STELLEN ist die virtuelle Maschine verfügbar und wird im Fenster angezeigt. VMWare Workstation zeigt alle erstellten Maschinen als Registerkarten an. Per Doppelklick auf die einzelnen eingebundenen Geräte lassen sich die Einstellungen ändern.
Abbildung 1.5: Erstellte virtuelle Maschine in der VMware-Konsole
18
Virtuelle Maschinen mit VMware erstellen
1.2.2
Installation des Betriebssystems auf der virtuellen Maschine
Wie bei anderen Virtualisierungslösungen auch können Sie bei VMware Workstation eine ISO-Datei als CD-Rom-Laufwerk hinterlegen. In diesem Fall kann die Installation des Betriebssystems deutlich schneller durchgeführt werden als mit einem herkömmlichen Laufwerk. 1. Klicken Sie dazu doppelt auf den Menüpunkt für das CD-ROM-Laufwerk der virtuellen Maschine. Sie finden das Symbol im Bereich DEVICES, wenn Sie die Registerkarte der virtuellen Maschine aufrufen. 2. Wählen Sie die Option USE ISO IMAGE aus und klicken Sie auf BROWSE. 3. Bestimmen Sie anschließend die ISO-Datei, die Sie installieren wollen.
Abbildung 1.6: Auswählen einer ISO-Datei als CD-/DVD-Laufwerk
Danach können Sie diese virtuelle Maschine mittels eines Klicks auf den Startknopf aktivieren und das Betriebssystem installieren. Klicken Sie dazu in das Fenster mit der Ansicht des Servers. Sie kehren über die Tastenkombination (Strg) + (Alt) wieder zum Host-System zurück. Sobald die Installation des Betriebssystems abgeschlossen ist, können Sie sich mit der Tastenkombination (Strg) + (Alt) + (Einfg) an Windows anmelden. Beim Start des virtuellen Computers erscheint ab und zu eine Meldung, dass ein Diskettenlaufwerk nicht verbunden werden kann. Dies tritt dann auf, falls Sie dem virtuellen Computer ein Laufwerk zugewiesen haben, im Host-Rechner aber kein Diskettenlaufwerk vorhanden ist. Durch Klicken auf NEIN versucht der virtuelle Server zukünftig nicht mehr, das Diskettenlaufwerk zu verbinden. Anschließend beginnt der Ser-
19
Kapitel 1 Einführung
ver mit der Installation des Betriebssystems. Die Installation läuft wie bei einem herkömmlichen Server ab. Nachdem Sie sich am virtuellen Server angemeldet haben, sollten Sie die VMware Tools über VM • INSTALL VMWARE TOOLS installieren. Nach der Installation erhöht sich die Leistung des virtuellen Servers und wird die Auflösung vergrößert. Sie können dann durch einfache Bewegungen mit der Maus die virtuelle Maschine verlassen.
Abbildung 1.7: Installation der VMware Tools auf einer virtuellen Maschine
Die Tools sind ein Treiber- und Programmpaket von VMware, das in den Gästen installiert werden kann. Die Installation der VMware Tools auf der virtuellen Maschine kann immer erst nach der Installation des Betriebssystems folgen. 왘
Es werden verschiedene Treiber für die Grafikkarte, die Maus, für die Netzwerkkarten und die SCSI-Controller in der VM installiert.
왘
Diese Treiber beschleunigen das Gast-System und ermöglichen verschiedene Funktionen, wie beispielsweise die stufenlose Skalierung der Bildschirmauflösung und den Fokuswechsel zwischen Gast und Host durch Bewegen der Maus.
왘
Der Gast kann über die Tools mit dem Host die Uhrzeit synchronisieren.
왘
Der Platzverbrauch der virtuellen Festplatte wird optimiert.
20
Virtuelle Maschinen mit VMware erstellen
Klonen einer virtuellen Maschine mit VMware Server Um unter VMware Workstation eine virtuelle Maschine zu klonen, gibt es mehrere Wege. Die effizienteste Möglichkeit ist das Ausführen der Datei sysprep.exe und das anschließende Kopieren des Verzeichnisses der virtuellen Maschine. Nach dem Kopiervorgang können Sie eine neue virtuelle Maschine erstellen und die kopierte Festplatte dieser neuen virtuellen Maschine zuordnen. Bei Windows Server 2008 gehört Sysprep zu den Bordmitteln. Rufen Sie das Tool aus dem Verzeichnis \Windows\System32 auf. Aktivieren Sie die beiden Optionen OUT-OFBOX-EXPERIENCE und VERALLGEMEINERN. Durch einen Klick auf OK startet der Server die Vorbereitung für das Klonen. Natürlich muss die Quell-Maschine erst fertig gestellt sein. Bei Windows Server 2003 sieht der Vorgang etwas anders aus: Sobald Sie die Installation des virtuellen Servers abgeschlossen haben, sollten Sie den Inhalt der Datei deploy.cab im Verzeichnis \support\tools auf dem Windows Server 2003-Installationsmedium in das Windows-Verzeichnis des virtuellen Servers entpacken. Klicken Sie dazu doppelt auf die Datei deploy.cab, markieren Sie alle enthaltenen Dateien und klicken Sie diese mit der rechten Maustaste an. Wählen Sie aus dem Kontextmenü die Option EXTRAHIEREN aus. Nachdem Sie die Datei in das Verzeichnis kopiert haben, rufen Sie die Datei sysprep.exe aus dem Windows-Verzeichnis auf. Es öffnet sich der Assistent, der den Server für das Klonen vorbereitet. Verwalten der virtuellen Maschinen über die Symbolleiste der VMware Workstation Console Wenn Sie eine virtuelle Maschine erstellt und das Betriebssystem installiert haben, können Sie diese starten. Sie können die Maschine über die VMware Workstation Console auch herunterfahren lassen, indem Sie auf das rote Viereck oben links klicken.
Abbildung 1.8: Verwalten von virtuellen Maschinen über die Symbolleiste
Mit dem Pause-Symbol wird der Inhalt des Arbeitsspeichers der virtuellen Maschine auf die Festplatte geschrieben. Sobald Sie die Maschine wieder starten, wird diese exakt im gleichen Modus wie vor der Pause gestartet, ähnlich wie die Option RUHEZUSTAND bei einem Laptop. Neben dem Symbol zum Starten des virtuellen Servers finden Sie das Symbol zum Neustarten des virtuellen Servers.
21
Kapitel 1 Einführung
Konfiguration der Bildschirmgröße von virtuellen Maschinen Über das Menü VIEW in der VMware Workstation Console können Sie die Fenstergröße einer virtuellen Maschine einstellen. Es ist zum Beispiel möglich, dass eine bestimmte virtuelle Maschine als Vollbildschirm angezeigt wird. Ihnen stehen in diesem Menü folgende Optionen zur Verfügung: FIT WINDOWS NOW – Das VMware-Fenster wird an die Auflösung des Computers des Gastes angepasst. Besitzt dieser eine höhere Auflösung, als das Fenster darstellen kann, so erscheinen Scrollbalken.
Abbildung 1.9: Anpassen der Auflösung für die virtuelle Maschine
FIT GUEST NOW – Die Auflösung des Computers des Gastes wird an die Größe des VMware-Fensters angepasst. AUTO FIT WINDOW – Bei Aktivierung dieser Option erfolgt die Anpassung der Auflösung und der Fenstergröße automatisch. FULL SCREEN – Mit dieser Option wird der Computer des Gastes in die Vollbildschirm-Darstellung geschaltet. Mittels (Strg) + (Alt) wird die Größe wieder zurückgesetzt. QUICK SWITCH – Bei diesem Modus können Sie zwischen verschiedenen Gästen in der Vollbildschirm-Darstellung umschalten. Zusätzlich erscheint am oberen Rand des Bildschirms die Menüleiste, sobald Sie den Mauszeiger ganz nach oben bewegen. Darüber können Sie den Quick Switch-Modus auch wieder beenden.
22
VMware-Maschine nach Ablauf der Testphase nutzen
1.3
VMware-Maschine nach Ablauf der Testphase nutzen
Haben Sie Ihre Testumgebung mit VMware Workstation erstellt und wollen Sie die Software nicht erwerben, stehen Ihnen generell zwei Möglichkeiten zur Verfügung. Sie können entweder mit dem kostenlosen VMware Player die virtuellen Maschinen weiter nutzen oder mit VirtualBox arbeiten. Im Gegensatz zum VMware Player ermöglicht VirtualBox auch das nachträgliche Erstellen und Bearbeiten der virtuellen Maschinen. Da VirtualBox das VMware-Format für Festplatten lesen kann, können Sie mit der Software die VMware-Festplatten in neue virtuelle Maschinen integrieren.
1.3.1
Sun xVM VirtualBox 1.6
Neben der Servervirtualisierung spielen auch Anwendungen eine wichtige Rolle, mit denen sich virtuelle Computer zu Testzwecken installieren lassen. Einsatzzwecke sind zum Beispiel Testrechner, Präsentationsrechner für Vertriebsmitarbeiter oder virtuelle Computer mit einem anderen Betriebssystem als dem des Hostes, um inkompatible Anwendungen zu betreiben. Auf dem Markt gibt es hierzu eine Fülle von Produkten, teilweise sogar kostenlos. Diese Produkte, zum Beispiel Microsoft Virtual PC oder VMware Workstation, bieten die Möglichkeit, virtuelle Rechner zu erstellen, die aber im Gegensatz zu Serverlösungen nicht automatisch als Dienst mit dem Betriebssystem mit starten. Eines der wichtigsten Produkte für diesen Bereich stellt die Open-Source-Lösung VirtualBox dar.VirtualBox ist auf dem Gebiet der Virtualisierungslösungen seit Langem bekannt und gehört mittlerweile zu Sun. Ursprünglich als OpenSource-Lösung erhältlich, bietet Sun die Anwendung kostenlos in seiner xVMReihe an, zu der auch der ESX-Server gehört. Der ursprüngliche Entwickler Innotek hat vor der Übernahme durch Sun zusammen mit Connectix an Virtual PC gearbeitet, bevor Microsoft Connectix übernahm. Seit der Beendigung der Zusammenarbeit hat Innotek an seiner eigenen Virtualisierungslösung VirtualBox gearbeitet. VirtualBox hat seine Ursprünge in Linux und unterstützt wesentlich mehr Betriebssysteme als zum Beispiel Microsoft Virtual PC 2007. Neben Windows unterstützt VirtualBox auch Linux, Mac OS X und Solaris als Host-System. In der neuen Version unterstützt VirtualBox jetzt die als Seamless Windows bekannte Funktion nicht nur unter Windows, sondern auch bei Solaris und Linux. Mit dieser Funktion integriert sich das Gastsystem optimal in den Desktop des Hosts. Dies ist vor allem bei Testumgebungen von Bedeutung oder wenn aus Kompatibilitätsgründen Anwendungen in einer virtuellen Maschine installiert werden müssen. Der Gastcomputer verhält sich dann wie ein normales Programm. Dadurch laufen unter Linux problemlos Windows-Programme in einer virtuellen Windows-Maschine und umgekehrt.
23
Kapitel 1 Einführung
Abbildung 1.10: VirtualBox bietet eine effiziente Möglichkeit, virtuelle Computer auf Desktops zu erstellen.
Die Windows-Version von VirtualBox unterstützt Windows 2000 SP4, Windows XP SP2, Windows Server 2003/2008 und Windows Vista. Auch auf Hosts mit Linux (Kernel 2.4 und 2.6), MAC OS X, OS/2 und Solaris lässt sich VirtualBox betreiben. Als Gast-Betriebssysteme unterstützt die Anwendung Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003/2008, DOS, Windows 3.x, OS/2 und Linux (Kernel 2.2). Auch Novell NetWare oder Exoten wie L4 und einige BSD-Derivate unterstützt die Software. Hier liegt auch einer der größten Vorteile von VirtualBox. Durch die zahlreichen unterstützten Betriebssysteme eignet sich das Tool vor allem bei der Softwareentwicklung für plattformübergreifende Anwendungen oder Tests solcher Anwendungen. VirtualBox verwendet die Hardware-Virtualisierungserweiterungen von Intel und AMD. Allerdings bietet die Nutzung dieser Funktionen derzeit noch keinerlei Vorteile in der Anwendung. Aus diesem Grund ist diese Funktion nach der Installation noch nicht aktiviert. Wer aber mit den Funktionen experimentieren will, kann sie aktivieren. Wie VMware Workstation kann VirtualBox mehrere Monitore im MultimonitorBetrieb verwenden. Auch PXE-Netzwerkboot ist möglich, sodass Systemverwalter mit der Software auch Automatisierungslösungen testen können. VirtualBox ist mit einer Downloadgröße von etwa 23 MB sehr schlank. Auch nach der 24
VMware-Maschine nach Ablauf der Testphase nutzen
Installation benötigt das Programm weniger als 50 MB auf der Festplatte. VirtualBox kommt mit virtuellen Disks von VMware (*.vmdk) zu Recht. Interessierte Anwender können so die Software parallel zu VMWare einsetzen oder als Ersatz. Das kann zum Beispiel sinnvoll sein, wenn Systemverwalter VMware Workstation lediglich testen, aber ihre virtuellen Computer weiterhin verwenden wollen. Allerdings kann es bei der Verwendung von VMware-Festplatten manchmal zu Problemen kommen, da VirtualBox diese nicht immer zuverlässig erkennt. Diese Probleme äußern sich dann darin, dass die virtuellen Computer nicht starten. Interessant ist diese Funktion auch daher, weil sich mit VirtualBox die virtuellen Appliances von VMware nutzen lassen. Diese stellt VMware auf der Seite http://www.vmware.com/appliances teilweise kostenlos zur Verfügung. Die Bedienung der Anwendung sowie das Erstellen von virtuellen Maschinen läuft ähnlich ab wie bei anderen Lösungen und ist ohne Weiteres auch von Anfängern zu bewerkstelligen. Bei der Erstellung helfen Assistenten, mit denen die üblichen Einstellungen (Name, Pfad, Arbeitsspeicher usw.) eingestellt werden. Allerdings ist das nachträglich Hinzufügen von Hardware teilweise unübersichtlich und aufgrund der vielen verschachtelten Menüs oftmals nicht einfach.
Abbildung 1.11: Bei der Erstellung der virtuellen Computer helfen Assistenten.
25
Kapitel 1 Einführung
Man merkt der Anwendung bei der Bedienung schnell die Linux-Ursprünge an. Die Menüs sind manchmal nicht sehr benutzerfreundlich gestaltet und verschachtelt. Außerdem gestaltet sich die Verwaltung nicht gerade intuitiv. Dafür bietet die Anwendung aber extrem viele Möglichkeiten, die anderen Programmen (wie beispielsweise Virtual PC) fehlen. Außerdem benötigen Systemverwalter nicht immer alle Menüs. Wer sich einmal mit der Anwendung auskennt, muss dann nicht mehr lange suchen. Die Konfiguration und Daten der virtuellen Maschinen speichert VirtualBox in XML-Dateien ab. Festplatten lassen sich dynamisch oder mit einer festen Größe anlegen. Die Leistung in den virtuellen Maschinen ist sehr gut, und auch für VirtualBox gibt es eine Zusatzsoftware für die virtuellen Maschinen, die die Geschwindigkeit und Treiberunterstützung verbessert. Diese Software sollten Sie nach der Installation einer virtuellen Maschine installieren, analog zu anderen Virtualisierungslösungen wie Virtual PC oder VMware Workstation. Diese GASTERWEITERUNGEN finden Sie im Menü GERÄTE bei gestarteten virtuellen Computern. Startet die Installation nicht automatisch, so verbinden Sie die ISODatei der Erweiterung am besten als CD-Laufwerk über GERÄTE • CD/DVDROM EINBINDEN • CD/DVD-ROM-ABBILD. Sie finden die Datei mit der Bezeichnung VBoxGuestAdditions.iso im Verzeichnis C:\Programme\Sun\xVM VirtualBox. Bei der Installation der Gasterweiterungen erhält der Gast einige neue Funktionen. Wie üblich kann der Mauszeiger zwischen dem Desktop des Hosts und der virtuellen Maschine hin und her wechseln, ohne die Host-Taste zu benötigen. Die maximale Auflösung beträgt nach der Installation der Gasterweiterungen 64.000 × 64.000 Pixel und 32-Bit Farbtiefe. Dies ermöglicht einen MehrmonitorBetrieb. Über GEMEINSAME ORDNER lassen sich leicht Daten zwischen Host und Gast austauschen. Außerdem synchronisiert sich die Zeit zwischen den virtuellen Computern und dem Host automatisch. Neben der grafischen Oberfläche lässt sich VirtualBox auch in der Befehlszeile steuern. Hierzu befindet sich im Installationsverzeichnis die Datei VBoxManage.exe. Auch hier merkt man der Anwendung schnell die Linux-Wurzeln an. Die Befehlszeile bietet Ihnen sehr viele Möglichkeiten, virtuelle Maschinen zu konfigurieren und zu steuern. Auch einen eigenen Webserver bringt die Anwendung mit. Wer die Anwendung mit einer Simple DirectMedia Layer (SDL)-Anwendung steuern will, findet mit dem Tool VBoxSDL.exe ein wertvolles Hilfsmittel vor. Die Software hat im Vergleich zu VMware Workstation noch etwas Probleme. Beispielsweise verwenden die virtuellen Maschinen nach dem Start immer den kompletten zugewiesenen Arbeitsspeicher und nicht den tatsächlich benötigten. Dadurch lassen sich unter Umständen auf einem Host weniger virtuelle Computer starten, was bei größeren Testumgebungen problematisch sein kann. Selbst bei kleineren Umgebungen verbrauchen virtuelle Computer so mehr RAM als erorderlich.
26
VMware-Maschine nach Ablauf der Testphase nutzen
Abbildung 1.12: VirtualBox lässt sich auch in der Befehlszeile steuern.
Auch die fehlende 64-Bit-Unterstützung für Gastbetriebssysteme kann in professionellen Umgebungen ein Problem darstellen. VirtualBox verwendet ausschließlich einen virtuellen x86-Prozessor für die virtuellen Computer. Für kleinere Testumgebungen ist die Anwendung allerdings bereits mehr als ausreichend. Erfreulicherweise beherrscht VirtualBox auch Snapshots für virtuelle Computer. Mit diesen Snapshots stellen Systemverwalter schnell und einfach den Status virtuelle Computer zu einem bestimmten früheren Zeitpunkt wieder her. Auch professionelle Anwender, die über den einen oder anderen Fehler in der aktuellen Version hinwegsehen können, finden in VirtualBox eine schnelle, stabile und kostengünstige Lösung vor.
27
2
Windows Server 2008 installieren
Nachdem Sie die virtuelle Maschine für die Testumgebung erstellt haben, können Sie das Betriebssystem installieren. Verbinden Sie dazu die ISO-Datei, wie in Kapitel 1 beschrieben, als CD-Laufwerk und starten Sie die virtuelle Maschine. Der Computer durchläuft sein ROM-BOOT-Programm und startet jetzt von der Windows Server 2008-ISO-Datei. Sie können dann die Installation beginnen. Die Installation von Windows Server 2008 findet bereits beim Starten in einer grafischen Oberfläche statt, es gibt keinen textorientierten Teil mehr.
2.1
Installation durchführen
Die Installation von Windows Server 2008 ist weit weniger aufwendig als noch unter Windows Server 2003. Es gibt weniger Fenster und es sind weniger Eingaben für die Installation erforderlich. Außerdem werden die meisten Eingaben bereits vor Beginn der Installation durchgeführt, sodass der Server während der Installation nicht ständig beaufsichtigt werden muss. Sie benötigen für die Installation ein bootfähiges DVD-Laufwerk.
29
Kapitel 2 Windows Server 2008 installieren
Abbildung 2.1: Starten der Windows Server 2008-Installation
Auf der nächsten Seite des Assistenten können Sie neben dem Fortführen der Installation die Computerreparaturoptionen aufrufen, um eine vorhandene Windows Server 2008-Installation zu reparieren. Dazu werden verschiedene Reparaturprogramme zur Verfügung gestellt. Klicken Sie auf die Schaltfläche JETZT INSTALLIEREN, um die Installation fortzusetzen.
Abbildung 2.2: Starten der Installation oder Auswählen der Computerreparaturoptionen
30
Installation durchführen
Indem Sie auf COMPUTERREPARATUROPTIONEN klicken, können Sie entweder eine Eingabeaufforderung starten, um ein bestehendes Betriebssystem zu reparieren, oder den Arbeitsspeicher des Servers testen.
Abbildung 2.3: Starten der Systemwiederherstellungsoptionen
Außerdem können Sie ein Image des Servers aus einer Sicherung mit der Funktion WINDOWS COMPLETE PC-WIEDERHERSTELLUNG über den Server installieren. Um einen Server neu zu installieren, gehen Sie auf die nächste Seite des Assistenten und geben gegebenenfalls die Seriennummer ein.
Abbildung 2.4: Eingabe des Produktschlüssels für die Installation von Windows Server 2008
31
Kapitel 2 Windows Server 2008 installieren
Es ist nicht notwendig, dass Sie die Bindestriche zwischen den einzelnen Abschnitten abtippen, diese werden automatisch hinzugefügt. Unter Umständen kann es vorkommen, dass der deutsche Tastaturtreiber nicht richtig installiert wurde. In diesem Fall sind die Tasten (Y) und (Z) miteinander vertauscht. Wenn in Ihrer Seriennummer diese beiden Zeichen enthalten sind und der Tastaturtreiber die Zeichen nicht richtig angibt, wird die Seriennummer nicht übernommen. Verwenden Sie dann einfach die Taste (Z) für das (Y) und umgekehrt. Neben dem Eingabefeld der Seriennummer wird ein kleines blaues Symbol für eine Tastatur angezeigt. Klicken Sie auf das Symbol, so öffnet sich eine Bildschirmtastatur und Sie können die Seriennummer auch durch Klicken mit der Maus eingeben. Sie müssen allerdings nicht zwingend eine Seriennummer eingeben und können auf der nächsten Seite des Assistenten festlegen, welche Version von Windows Server 2008 installiert werden soll. In diesem Fall müssen Sie aber spätestens nach 60 Tagen eine gültige Seriennummer für eine Windows Server 2008-Lizenz eintragen. Es besteht die Möglichkeit, diesen Testzeitraum mit dem Befehl slmgr.vbs -rearm auf bis zu 240 Tage zu verlängern, nachdem die erste Testphase abgelaufen ist. Sie haben so die Möglichkeit, eine Testumgebung mit einer anderen Windows Server 2008-Lizenz zu testen, also zum Beispiel auch mit der Enterprise-Edition oder der des Web Servers. Die Seriennummer kann jederzeit nachträglich eingetragen werden. Ich zeige Ihnen diese Vorgehensweise im Abschnitt »Aktivierung von Windows Server 2008« weiter hinten in diesem Kapitel.
Abbildung 2.5: Geben Sie keine Seriennummer während der Installation ein, können Sie die Testversion aus allen Editionen auswählen.
32
Installation durchführen
Haben Sie die Seriennummer eingetragen, gelangen Sie mit WEITER zur nächsten Seite des Setup-Assistenten, auf der Sie die Installationsvariante festlegen. Falls Sie die Server Core-Installation auswählen, erhalten Sie ein Betriebssystem, das bis auf rudimentäre Anzeigen, wie zum Beispiel Task-Manager und NotepadEditor, komplett ohne grafische Benutzeroberfläche auskommt und in der Befehlszeile verwaltet wird. Wird diese Variante ausgewählt, findet die gesamte Installation und Konfiguration über die Befehlszeile in einer Eingabeaufforderung oder von einem Remote-Server aus statt. Mit dieser Version steht Ihnen eine kompakte Servervariante zur Verfügung. Ein Core-Server ermöglicht auf diese Weise den Betrieb von Systemen, die als DHCP- und DNS-Server, Domänen-Controller oder Dateiserver konfiguriert sind. Bei Bedarf können Sie noch optionale Features wie Datensicherung, Failover-Cluster, Netzwerklastenausgleich usw. zusätzlich installieren. In diesen Fällen werden lediglich die für diese Rollen erforderlichen Systemdateien auf dem Server installiert; die grafische Benutzeroberfläche zählt nicht dazu. Dieser Ansatz bietet mehrere Vorteile: Da nur sehr wenige Dienste zur Verfügung stehen, reduziert sich der Konfigurationsaufwand auf die damit verbundenen Rollen. Des Weiteren gewährt der Core-Modus Hackern und Viren nur minimale Angriffsflächen, wodurch die potenziellen Sicherheitsrisiken deutlich verringert werden. Installieren Sie die Core-Variante des Servers, so stehen Ihnen allerdings nicht alle Rollen nach der Installation zur Verfügung. Ein Core-Server verfügt über keine grafische Oberfläche, keine Media-Funktionen sowie keinerlei Zusatzkomponenten, außer den notwendigen Serverdiensten. Die Anmeldemaske sieht identisch aus wie bei der herkömmlichen Installation von Windows Server 2008. Sie müssen sich nach der Installation über die Tastenkombination (Strg) + (Alt) + (Entf) anmelden. Sobald Sie sich angemeldet haben, sehen Sie nur eine Befehlszeile. Zur Bearbeitung des Servers können Sie den Editor (Notepad.exe) öffnen, aber beispielsweise weder den Windows-Explorer oder Internet Explorer noch den Registrierungseditor (Regedit.exe). Durch diese Funktion können die beschriebenen Standardfunktionen von Windows Server 2008 betrieben werden, ohne dass der Server durch unwichtige Komponenten belastet wird. Über den Befehl setup /unattend:
\unattend.xml können Sie auch einen Core-Server unbeaufsichtigt installieren. Eine unattend.xml-Datei erstellen Sie mit dem Windows System Image Manager aus dem Windows Automated Installation Kit (WAIK). Sie können das WAIK kostenlos bei Microsoft herunterladen. Speziell für Windows Server 2008 und Windows Vista SP1 gibt es eine neue Version des WAIK.
33
Kapitel 2 Windows Server 2008 installieren
Es gibt keine Möglichkeit, von einem Core-Server zu einem normalen Windows Server 2008 zu aktualisieren. Der umgekehrte Weg ist ebenfalls nicht möglich. Es muss immer neu installiert werden. Auch eine Aktualisierung von Windows Server 2003 auf einen Windows Server 2008-Core-Server ist nicht möglich. Nachdem Sie die Lizenzbedingungen bestätigt haben, gelangen Sie mit WEITER zur nächsten Seite des Assistenten. Hier wählen Sie aus, ob Sie einen Windows Server 2003 auf Windows Server 2008 aktualisieren oder eine Neuinstallation durchführen möchten. Möchten Sie eine Neuinstallation durchführen, so klicken Sie bitte auf BENUTZERDEFINIERT (ERWEITERT). Durch diese Auswahl haben Sie auch die Möglichkeit, erweiterte Einstellungen für die Partitionierung durchzuführen. Die Upgrade-Option steht nur dann zur Verfügung, wenn Sie das Setup-Programm aus jener Windows-Installation heraus starten, die Sie aktualisieren wollen. Booten Sie das Windows Server 2008-Installationsprogramm von einer DVD aus, können Sie nur die Option BENUTZERDEFINIERT auswählen.
Abbildung 2.6: Auswählen der Installationsart
Nachdem Sie die Installationsart ausgewählt haben, gelangen Sie zum nächsten Fenster der Installationsoberfläche. Hier wählen Sie die Partition aus, auf der Windows Server 2008 installiert werden soll. In diesem Fenster können Sie auch zusätzliche Treiber laden, falls die Controller für die Festplatten nicht erkannt werden. Im Gegensatz zu Windows Server 2003 benötigen Sie diese Treiber nicht mehr in Diskettenform, sondern können diese direkt per CD/DVD oder USB-Stick in die Installation einbinden. Klicken Sie dazu auf den Link TREIBER LADEN.
34
Installation durchführen
Abbildung 2.7: Auswählen der Partition für die Installation
Wollen Sie die Partitionierung ändern oder eine Partition löschen, so klicken Sie auf LAUFWERKOPTIONEN (ERWEITERT). In diesem Fall erscheinen weitere Menüs. Mit diesen neuen Optionen können Sie bequem Partitionen auf Ihren Laufwerken erstellen, Partitionen löschen und bestehende Partitionen um zusätzlichen Festplattenplatz erweitern.
Abbildung 2.8: Konfigurieren von Partitionen
Anschließend beginnt die Installation. Diese ist wie bei Windows Vista Imagebasiert und wird so deutlich schneller durchgeführt als noch die Installation von Windows Server 2003. Abhängig von der Leistung des Rechners startet die Installationsroutine den Server nach 10 bis 20 Minuten automatisch neu. Sie müssen keine Eingaben vornehmen und keine Taste drücken. Sollten Sie versehentlich eine Taste gedrückt haben und die Installation startet wieder von der DVD, so schalten Sie den Rechner aus und starten ihn erneut. Der Computer bootet und es wird ein Fenster geöffnet, das Sie informiert, dass der Rechner für den ersten Start von Windows vorbereitet wird. Lassen Sie den Rechner am besten ungestört weiter arbeiten. Es kann sein, dass der Bildschirm während der Installation der Monitor- und Grafikkartentreiber ein paar Mal flackert oder schwarz wird. Dies ist normal und muss Sie nicht beunruhigen. 35
Kapitel 2 Windows Server 2008 installieren
Nach der Installation muss zunächst ein Kennwort für den Administrator festgelegt werden. Erst dann ist eine Anmeldung möglich. Bestätigen Sie die Meldung.
Abbildung 2.9: Nach der Installation muss zunächst ein Kennwort für das lokale Administratorkonto festgelegt werden.
Legen Sie ein Kennwort für den Administrator fest, damit die erste Anmeldung erfolgen kann. Standardmäßig sind bereits die Komplexitätsvoraussetzungen für Kennwörter aktiviert und müssen beachtet werden. Im Kennwort sollten daher auch Sonderzeichen und Zahlen berücksichtigt werden. Sie werden daraufhin angemeldet und können mit den ersten Schritten zur Serverkonfiguration beginnen.
2.2
Treiber und Hardware installieren und verwalten
Auch wenn Windows Server 2008 – wie alle neuen Betriebssysteme von Microsoft – bereits Treiber für eine Vielzahl von Geräten mitbringt, so müssen einige Anwender manuell ins System eingreifen, um die Treiber anzupassen oder neue Treiber zu installieren. Ein Gerät, das an den PC angeschlossen ist, funktioniert erst dann, wenn es Windows bekannt gemacht wurde und im Geräte-Manager angezeigt wird. Sie sollten aus Leistungs- und Stabilitätsgründen immer die wichtigsten Treiber (also Chipsatz, Grafikkarte und Netzwerkkarte) direkt vom jeweiligen Hersteller herunterladen und verwenden. Diese Treiber sind meist besser an das System angepasst als jene, die das Betriebssystem mitbringt. Sie finden die entsprechenden Treiber entweder auf den Herstellerseiten oder übersichtlicher auf den Webseiten www.heise.de/ct/treiber sowie www.treiber.de. Sobald Sie eine neue Komponente mit dem Server verbinden, startet der Assistent für die Installation von Hardware. Kann Windows keinen Treiber finden, erhalten Sie ein Informationsfenster angezeigt, über das Sie auswählen können,
36
Treiber und Hardware installieren und verwalten
wie Windows mit der Komponente verfahren soll. Ihnen stehen drei Optionen zur Verfügung: 왘
Treibersoftware suchen und installieren (empfohlen)
왘
Später nachfragen
왘
Diese Meldung nicht noch einmal für dieses Gerät anzeigen
Neben den beiden Optionen TREIBERSOFTWARE SUCHEN UND INSTALLIEREN und DIESE MELDUNG NICHT NOCH EINMAL FÜR DIESES GERÄT ANZEIGEN zeigt das Fenster ein Schutzschild in den Windows-Farben an. Dieses Schild zeigt Windows Server 2008 an jeder Stelle an, in der administrative Berechtigungen für das System notwendig sind. Wählen Sie die Option TREIBERSOFTWARE SUCHEN UND INSTALLIEREN aus, versucht Windows noch einmal, einen passenden Treiber zu installieren. Findet das Betriebssystem keinen internen Treiber, erhalten Sie die Anforderung, Windows einen Treiber bereitzustellen. Laden Sie in diesem Fall einen passenden Treiber aus dem Internet beim Hersteller des Gerätes herunter. Achten Sie aber darauf, möglichst einen Windows Server 2008-Treiber zu verwenden. Windows Server 2008 kommt zwar teilweise auch mit Windows Server 2003-Treibern zurecht, diese sollten Sie aber aus Leistungs- und Stabilitätsgründen nur dann verwenden, falls kein Windows Server 2008-Treiber zur Verfügung steht. Wählen Sie die Option SPÄTER NACHFRAGEN aus, installiert Windows keinen Treiber und zeigt auch keine weiteren Warnungen an. Erst beim nächsten Systemstart oder dem Suchen von neuer Hardware fordert Sie Windows erneut dazu auf, einen Treiber bereitzustellen. Verwenden Sie die Option DIESE MELDUNG NICHT NOCH EINMAL FÜR DIESES GERÄT ANZEIGEN, kennzeichnet Windows das Gerät in Windows als nicht aktiv. Wenn in Windows Server 2008 kein Treiber für eine Hardwarekomponente enthalten ist und Sie auch keinen Treiber auf der Herstellerseite finden, haben Sie unter Umständen Chancen, bei einem Windows-Update über das Internet einen Treiber zu finden. Ein manuelles Windows-Update können Sie zum Beispiel im Internet Explorer über EXTRAS • WINDOWS UPDATE anstoßen. Die Konfiguration des Downloads von Treibern über Windows-Update kann über START • SYSTEMSTEUERUNG • SYSTEM • ERWEITERTE SYSTEMEINSTELLUNGEN, Registerkarte HARDWARE, Schaltfläche TREIBEREINSTELLUNGEN für Windows Update gesteuert werden. Über die gleiche Registerkarte können Sie auch den Geräte-Manager starten. Zu dieser Registerkarte gelangen Sie auch, wenn Sie mit der rechten Maustaste im Startmenü oder auf dem Desktop auf COMPUTER klicken und EIGENSCHAFTEN auswählen. Das Computer-Symbol kann nach einem Klick mit der rechten Maustaste darauf und der Auswahl des Eintrags AUF DEM DESKTOP ANZEIGEN im Kontextmenü auf dem Desktop angezeigt werden.
37
Kapitel 2 Windows Server 2008 installieren
Abbildung 2.10: Konfigurieren des automatischen Treiber-Downloads über ein Windows-Update
Nach der Installation des Betriebssystems sollten Sie die VMware Tools oder die entsprechende Software installieren, die zu Ihrem Virtualisierungsprodukt gehört. Startet die Installation nicht automatisch wie in Kapitel 1 beschrieben, so starten Sie diese bitte über den Explorer, da die ISO-Datei der Tools als CD-Laufwerk verbunden wird.
2.3
Aktivierung von Windows Server 2008
Wird Windows Server 2008 nicht aktiviert bzw. der Testzeitraum nicht verlängert, wird der Betrieb nach 60 Tagen faktisch eingestellt. Sie können Windows Server 2008 entweder über das Internet aktivieren oder per Telefon. Möchten Sie Windows Server 2008 über das Internet aktivieren, sollten Sie zunächst den Server an das Internet anbinden. Dazu muss normalerweise die Netzwerkkonfiguration von Windows Server 2008 durchgeführt werden. Ist der Server mit dem Internet verbunden, finden Sie den Aktivierungslink von Windows Server 2008 über START • SYSTEMSTEUERUNG • SYSTEM. Klicken Sie dazu auf den Link AKTI-
38
Aktivierung von Windows Server 2008 VIEREN SIE WINDOWS JETZT. Im Anschluss öffnet sich das Windows-Aktivierungsfenster. Klicken Sie auf den Link WINDOWS JETZT ONLINE AKTIVIEREN. Bei der
Aktivierung per Telefon werden Sie mit einem automatischen Telefonsystem verbunden. Folgen Sie den Anweisungen des Sprachcomputers. Wählen Sie bei der Aktivierung über das Telefon die Option ANDERE AKTIVIERUNGSMETHODEN ANZEIGEN. Falls die Auswahl zur Aktivierung nicht angezeigt wird, schließen Sie alle Fenster und starten Sie die Aktivierung über START • AUSFÜHREN • SLUI 0X5. Im nächsten Fenster wählen Sie die Option AUTOMATISCHES TELEFONSYSTEM VERWENDEN und danach im Listenfeld den Eintrag DEUTSCHLAND aus. Als Nächstes erhalten Sie die zur Aktivierung notwendigen Informationen. Wählen Sie entweder die gebührenfreie Rufnummer 0800-2848283 oder die gebührenpflichtige Rufnummer 069-5007 0025. Der Telefoncomputer fordert Sie auf, die angegebene Installations-ID anzugeben. Im Anschluss teilt Ihnen der Telefoncomputer die Zahlenreihenfolge mit, die Sie ganz unten im Fenster eingeben müssen. Wenn Sie eine Zahl nicht verstehen, ist es nicht schlimm, da Sie sich die Zahlenkolonne nochmals vorlesen lassen können. Klicken Sie danach auf WEITER, um die Aktivierung abzuschließen. Im Anschluss aktiviert Windows das Betriebssystem auf Basis dieser Nummer. Nach einigen Sekunden wird das Betriebssystem als aktiviert angezeigt, und Sie können das Fenster schließen. Sollten Sie Probleme bei der Aktivierung bekommen, überprüfen Sie bitte die Uhrzeit und die Zeitzone Ihres Servers. Sind die notwendigen Einstellungen nicht korrekt, können Sie Windows nicht aktivieren. Sie können das Programm zur Aktivierung auch über START • AUSFÜHREN • SLUI starten. Dieser Weg hilft oft, wenn die herkömmliche Vorgehensweise zur Aktivierung nicht funktioniert. Oft liegt hier ein Problem mit dem Produktschlüssel vor. Über diesen Weg können Sie einen neuen Schlüssel eingeben. Über den Befehl slui 0x03 wird ein Dialogfeld geöffnet, um einen neuen Produktschlüssel einzugeben, während der Befehl slui 0x05 die Produktaktivierung startet. Über slui 0x5 erhalten Sie darüber hinaus noch die Möglichkeit, alternative Aktivierungsmethoden auszuwählen. Weitere Möglichkeiten der Anwendung sind: 왘
slui.exe 4 – Öffnet die Auswahl der Aktivierungshotlines.
왘
slui.exe 8 – Nach diesem Befehl muss Windows Server 2008 sofort neu aktiviert werden.
왘
slui.exe 7 – Damit aktivieren Sie wieder den Original-Timerwert vor der Option 8.
39
Kapitel 2 Windows Server 2008 installieren
2.3.1
Aktivierung mit dem Skript Slmgr.vbs
Für die Verwaltung und die Abfrage von Lizenzinformationen auf Windows Vista-PCs und Windows Server 2008 stellt Microsoft das Skript slmgr.vbs zur Verfügung, welches Sie über START • AUSFÜHREN aufrufen können. Die folgenden Optionen für das Lizenzmanagement-Skript cscript c:\windows\system32\ slmgr.vbs sollten Sie kennen: 왘
–ato – Windows online aktivieren.
왘
–rearm – Mit dieser Option können Sie den Testzeitraum dreimal verlängern, in dem Sie mit Windows Server 2008 ohne Aktivierung arbeiten können, also von 60 auf bis zu 240 Tage.
왘
–dli – Zeigt die aktuellen Lizenzinformationen an.
왘
–dlv – Zeigt noch mehr Lizenzdetails an.
왘
–dlv all – Liefert detaillierte Infos für alle installierten Lizenzen.
Möchten Sie den Status der Aktivierung von Windows Server 2008 anzeigen, so geben Sie unter START • AUSFÜHREN den Befehl slmgr.vbs –dli ein und führen Sie diesen mit einem Klick auf OK aus. Anschließend werden der Name und die Beschreibung des Betriebssystems sowie auch ein Teil des Product-Keys und der Lizenzstatus angezeigt.
2.3.2
Aktivieren eines Core-Servers
Da ein Core-Server über keine grafische Oberfläche verfügt, müssen Sie einen solchen Server über die Befehlszeile aktivieren. Eine automatische Aktivierung ist für Core-Server nicht möglich. Verwenden Sie zur lokalen Aktivierung des Servers den Befehl Slmgr.vbs –ato. Nach Eingabe des Befehls wird die Aktivierung durchgeführt, allerdings erhalten Sie keine Rückinfo in der Befehlszeile. Sie können einen Windows Server 2008 auch remote über das Netzwerk aktivieren. Verwenden Sie dazu den Befehl slmgr.vbs <ServerName> –ato. Um einen Server lokal über das Telefon zu aktivieren, verwenden Sie den Befehl Slmgr –dti. Notieren Sie sich die ID, die generiert wird, und rufen Sie die Aktivierungsnummer von Microsoft an. Geben Sie über die Telefontasten die ID ein, Sie erhalten dann vom Telefoncomputer eine Aktivierungs-ID. Geben Sie diese bitte mit dem Befehl Slmgr –atp ein.
40
Anpassen des Bootmenüs – Es gibt keine boot.ini mehr
2.4
Anpassen des Bootmenüs – Es gibt keine boot.ini mehr
Installieren Sie Windows Server 2008, wird automatisch ein Bootmenü angelegt. Beim Booten wird nicht mehr der unter Windows Server 2003 verwendete NTLDR (NT-Loader) verwendet, sondern das Programm bootmgr. Beide liegen in der Partition, von der aus gebootet wird. Installieren Sie Windows Server 2008 parallel zu Windows Server 2003 und verwenden Sie dazu eine zusätzliche Festplatte, so liegen die beiden Dateien im Stammverzeichnis der Festplatte. Damit diese Dateien angezeigt werden, müssen Sie im Windows-Explorer zunächst über ORGANISIEREN • ORDNER- UND SUCHOPTIONEN auf der Registerkarte ANSICHT das Kontrollkästchen GESCHÜTZTE SYSTEMDATEIEN AUSBLENDEN deaktivieren und die Option ALLE DATEIEN UND ORDNER ANZEIGEN im Bereich VERSTECKTE DATEIEN UND ORDNER aktivieren. Wird im Bootmenü von Windows Server 2008 der Start des älteren Windows-Betriebssystems ausgewählt (also Windows Server 2003), übergibt der Bootmanager (bootmgr) den Startvorgang an den NT-Loader (ntldr), der dann wiederum die alte Windows-Version startet. Das neue Bootsystem von Windows Server 2008 ist in drei Komponenten aufgeteilt. Es gibt den Windows Bootmanager, die Routine für das Betriebssystem sowie die Routine zum Fortsetzen von Windows aus dem Ruhezustand, was für einen Server eher selten eine Rolle spielen wird. In Windows Server 2003 und Windows XP wurden diese Aufgaben komplett von ntldr erledigt. Verwenden von bcdedit.exe Beim Starten des Servers wird automatisch Windows Server 2008 geladen. Es ist es jetzt nicht mehr möglich, einfach die Datei boot.ini zu ändern, um den Bootmanager anzupassen. Die neuen Boot-Optionen werden in einer speziellen Datenbank, dem Boot Configuration Date Store, gespeichert. Hierbei handelt es sich im Grunde genommen um eine normale Datei im Binärformat, die nicht mehr von einem normalen Texteditor bearbeitet werden kann. Windows Server 2008 bietet (ebenso wie Windows Vista) zur Konfiguration des Bootmenüs das Befehlszeilenprogramm bcdedit.exe an. Die wichtigsten Optionen des Programms sind folgende: bcdedit /? – Informationen über die Parameter bcdedit /enum all – Zeigt die aktuelle Konfiguration an. Mit dem Befehl bcdedit.exe /enum –v erhalten Sie eine Übersicht aller Objekte im BCD-Store. Die verschiedenen Einträge werden anhand einer 32-stelligen GUID unterschieden. bcdedit /export – Erstellt eine Sicherung der aktuellen Konfiguration. Bevor Sie Änderungen an der BCD vornehmen, sollten Sie mit bcdedit /export eine Sicherung anlegen. Diese Sicherung können Sie mit bcdedit /import wieder einspielen.
41
Kapitel 2 Windows Server 2008 installieren
Abbildung 2.11: Abfragen der Bootinformationen in Windows Server 2008
bcdedit /import – Stellt den Bootmanager aus einer erstellten Sicherung wieder her. bcdedit /timeout 10 – Wartezeit bis zum automatischen Starten des Standardbetriebssystems bcdedit /default – Diese Option legt das Standardbetriebssystem fest. ({current} = Windows Server 2008 oder Windows Vista und {legacy}= Windows Server 2003 oder Windows 2000/Windows XP). Wenn Sie also Windows Server 2003 als Standardsystem festlegen möchten, so verwenden Sie die Option bcdedit /default {legacy}. Grundsätzlich sollten Optionen mit bcdedit /set {GUID} Element Wert gesetzt werden. Die 32-stellige GUID, die zu ändernde Option und den Wert ersetzen Sie durch den neuen Eintrag. Um zum Beispiel die Anzeigedauer des Boot-Menüs auf 10 Sekunden zu ändern, geben Sie den Befehl bcdedit /set {9dea862c-5cdd-4e70-
42
Erste Schritte nach der Installation
acc1-f32b344d4795} timeout 10 ein. Die GUID stimmt bei den meisten Windows Server 2008-Installation mit diesem Beispiel überein. Mit dem Platzhalter {bootmgr} erreichen Sie den Windows Server 2008-Bootmanager, mit {ntldr} einen eventuell vorhandenen Eintrag für Windows Server 2003 und über {current} das aktuell gestartete Betriebssystem. Den Standardeintrag des Bootstores erreichen Sie über {default}. Ein Beispiel hierfür wäre bcdedit /set {bootmgr} timeout 10. Viele Optionen sind direkt als Parameter verfügbar, auch timeout. Sie erreichen daher mit bcdedit /timeout 10 die gleichen Ergebnisse. Haben Sie Windows Server 2008 parallel zu Windows Server 2003 installiert, wird der dafür notwendige Eintrag automatisch erzeugt. Manuell können Sie diesen mit dem Befehl im folgenden Listing erzeugen, vorausgesetzt Windows Server 2003 wurde auf der Partition D: installiert. In der letzten Zeile wird der Eintrag von Windows Server 2003 am Ende des Auswahlmenüs angezeigt. bcdedit bcdedit bcdedit bcdedit bcdedit
/create {legacy} /d "Windows Server 2003" /set {legacy} device partition=D: /set {legacy} osdevice partition=D: /set {legacy} path \ntldr /displayorder {legacy} /addlast
Listing 2.1: Manuelles Hinzufügen und Sortieren von Windows Server 2003 zum Windows Server 2008-Bootmanager
2.5
Erste Schritte nach der Installation
Nachdem Sie den Server installiert haben, können Sie sich mit der Verwaltung vertraut machen. In den folgenden Abschnitten zeige ich Ihnen die ersten Schritte, die zur Verwaltung eines Windows Servers 2008 notwendig sind. Für den Aufbau einer Testumgebung bietet es sich an, zunächst einen herkömmlichen Server mit Windows Server 2008 zu installieren und diesen dann zum Domänen-Controller heraufzustufen. Eine der wichtigsten Neuerungen zur Verwaltung in Windows Server 2008 sind der neue Server-Manager sowie die Aufgaben für die Erstkonfiguration. Mit diesen neuen Funktionen wird die Verwaltung eines Servers erheblich erleichtert und übersichtlicher gestaltet. Der Server-Manager ist das neue zentrale Verwaltungsinstrument von Windows Server 2008. Die Aufgaben der Erstkonfiguration (Initial Configuration Tasks, ICT) werden nach der Installation automatisch gestartet und dienen zur Einrichtung der wichtigsten Funktionen eines Servers direkt nach dem Start. Nach der Installation des Servers werden in den Aufgaben der Erstkonfiguration die gegenwärtigen Einstellungen angezeigt. Zusätzlich können Sie hier die Konfiguration verändern und zugehörige Informationen aus der Online-Hilfe aufrufen. Bei dieser neuen Verwaltungsoberfläche handelt es sich um ein wert-
43
Kapitel 2 Windows Server 2008 installieren
volles Instrument zur ersten Einrichtung eines Servers. Im Gegensatz zu Windows Server 2003 sind keine unterschiedlichen Werkzeuge zur ersten Einrichtung notwendig, sondern alle Aufgaben können jetzt direkt über die ICT durchgeführt werden. An dieser Stelle kann zum Beispiel der Name des Servers festgelegt oder das Netzwerk konfiguriert werden. Auch zusätzliche Rollen und Features lassen sich auf diesem Weg direkt nach der Installation aktivieren und konfigurieren. Während der Installation legt Windows Server 2008 automatisch einen Namen für den Server fest, der nachträglich angepasst werden sollte. Über die ICT kann der Server auch gleich in eine Domäne aufgenommen werden. Auch der Remote-Desktop und die Einstellungen für Windows Update sind direkt nach der Installation aktivierbar und konfigurierbar. Die Links in den Aufgaben für die Erstkonfiguration sind bewusst einfach gehalten; es werden entsprechende Assistenten gestartet, die Administratoren bei der Einrichtung unterstützen. Die Bedienung von Windows Server 2008 lehnt sich an Windows Vista an. Beispielsweise enthält das Startmenü ein Suchfeld, über das Sie Menüeinträge schneller finden können. Mit dem überarbeiteten Windows-Explorer ist auch beim Serversystem der Wechsel zu häufig benötigten Ordnern über den linken Favoritenbereich möglich. Auf diese Weise sollten sich Administratoren, die sich bereits mit Windows Vista beschäftigt haben, auch auf dem neuen Server-Release zurechtfinden. Im Unterschied zu Windows Vista erfolgt die Anzeige der Benutzeroberfläche beim Server standardmäßig nicht im Look der Aero-Oberfläche mit durchsichtigen Fensterrahmen, sondern hier zeigt das System die von Windows Server 2003 her gewohnte Ansicht, was die Einarbeitung vieler Administratoren deutlich erleichtern dürfte.
2.5.1
Arbeiten mit dem Server-Manager
Der Server-Manager ist das neue einheitliche Verwaltungsportal von Windows Server 2008, das mit der zusätzlichen Installation von Rollen und Features mitwächst. Nach dem Start erhalten Administratoren sofort einen Überblick über alle Rollen und Features eines Servers. Über dieses Portal kann der Server vollständig überwacht und verwaltet werden. Auch die Fehlerdiagnose mit den einzelnen Diagnoseprogrammen kann über dieses zentrale Verwaltungsinstrument gestartet werden. Im Vergleich zu Windows Server 2003 haben die Entwickler hier einige Veränderungen im Server-Manager vorgenommen: Im Detailbereich der Verwaltungskonsole zeigt der Server-Manager unter anderem grundlegende Informationen über den Server, seine Sicherheitskonfiguration sowie die installierten Funktionen an. Der Server-Manager listet zudem auf, welche Rollen das System derzeit ausübt und integriert notwendige Snap-ins für die Verwaltung automatisch. Solche Rollen haben bei Windows Server 2008 eine
44
Erste Schritte nach der Installation
große Bedeutung. Mit ihrer Hilfe sind Administratoren in der Lage, einen Server für bestimmte Aufgaben zu konfigurieren. Dadurch entfällt die separate Installation und Einrichtung der für eine Rolle erforderlichen Komponenten, was gleichzeitig zur Vereinfachung der Verwaltung beiträgt. Werden zusätzliche Rollen oder Funktionen installiert, werden die zusätzlichen Verwaltungsoberflächen automatisch in den Server-Manager integriert. Administratoren müssen daher nicht für jeden Server manuell eine Microsoft Management Console (MMC) erstellen, sondern können bequem in einer einheitlichen Verwaltungsoberfläche arbeiten, die alle notwendigen Programme enthält. Der Server-Manager wird nach der Anmeldung automatisch gestartet. Sie können den Server-Manager entweder über das Symbol in der Schnellstartleiste, über die Programmgruppe VERWALTUNG oder über START • AUSFÜHREN • SERVERMANAGER.MSC starten. Der Server-Manager kann immer nur zur Verwaltung des lokalen Servers verwendet werden. Es ist keine Verbindung zu anderen Servern im Netzwerk möglich. Administratoren sehen im Server-Manager auf einen Blick, ob die einzelnen Rollen des Servers funktionieren, und es werden Fehlermeldungen aus den Ereignisanzeigen angezeigt, die diese Rolle betreffen. Neben der Überwachung können die installierten Rollen und Funktionen auch optimal verwaltet werden, da die entsprechenden Snap-ins automatisch hinzugefügt werden. Im mittleren Bereich des Server-Managers wird eine Zusammenfassung angezeigt, über welche die wichtigsten Informationen zum Server an zentraler Stelle angezeigt werden. Die Informationen in der Mitte des Server-Managers untergliedern sich in mehrere Bereiche. Diese Bereiche können zur besseren Übersicht ein- oder ausgeklappt werden. Der Bereich SERVERÜBERSICHT untergliedert sich in die beiden Bereiche COMPUTERINFORMATIONEN und SICHERHEITSINFORMATIONEN. An dieser Stelle sehen Sie den Computernamen, die IP-Adresse, die Domäne, die Netzwerkverbindungen und die Produkt-ID. Über diesen Bereich können auch die dazugehörigen Konfigurationsfenster geöffnet werden, um die Servereinstellungen zu verwalten. Durch diese neue Struktur wird eine perfekte Symbiose von Einrichtung und Verwaltung der Serverrollen erreicht. Die Sicherheitsinformationen zeigen die aktivierte Windows-Firewall und Windows-Updates an. Auch kann die Konfiguration dieser wichtigen Serverfunktionen direkt über diesen Bereich vorgenommen werden. Mit dem kleinen Pfeilsymbol neben den Informationsbereichen werden die Informationen und Konfigurationsmenüs ein- oder ausgeblendet. Neben der Serverübersicht sind die beiden Bereiche ROLLENÜBERSICHT und FEATUREÜBERSICHT dafür zuständig, die auf dem Server installierten Rollen und zusätzlichen Funktionen anzuzeigen.
45
Kapitel 2 Windows Server 2008 installieren
Abbildung 2.12: Anzeigen von Serverinformationen im Server-Manager
Über diese beiden Bereiche können auch zusätzliche Rollen oder Features hinzugefügt werden. Serverrollen bestimmen den primären Verwendungszweck eines Servers. Mit den Features im Server-Manager werden untergeordnete Funktionen zu Rollen hinzugefügt. Features erweitern installierte Serverrollen um zusätzliche Möglichkeiten. Zum Beispiel kann das Feature FAILOVER-CLUSTERING auch nach der Installation der Serverrolle DATEIDIENSTE installiert werden. Es stehen neben den verschiedenen Rollen über 30 unterschiedliche Features zur Verfügung. Manche Rollen haben nur ein Konfigurationsfenster, andere Rollen, wie zum Beispiel die Dateidienste, müssen ausführlicher konfiguriert werden und werden im Server-Manager daher mit mehreren Snap-ins repräsentiert. Mit Hilfe des Assistenten zur Installation einer Rolle können weitere, untergeordnete Rollendienste und Rollen-Features hinzugefügt werden. Werden Rollendienste ausgewählt, die von anderen abhängig sind, werden diese ebenfalls automatisch zur Installation vorgeschlagen. Zusätzlich wird in diesen beiden Bereichen ein Überblick angezeigt, aus dem schnell ersichtlich wird, ob eine Rolle fehlerfrei funktioniert oder ob Fehlermeldungen in den Ereignisanzeigen protokolliert werden.
46
Erste Schritte nach der Installation
Weist eine Rolle Fehler auf, wird diese in der Rollenübersicht als fehlerhaft dargestellt. Entsprechende Ereignisse können dann direkt über den Server-Manager angezeigt und Verwaltungsaufgaben durchgeführt werden. Administratoren können entweder über den entsprechenden Link die Ereignisanzeige gefiltert nach Ereignissen dieser Rolle anzeigen oder über den Menüpunkt VERWALTEN die jeweilige Rolle konfigurieren, um die Fehler zu beseitigen. Es sind keine unterschiedlichen Werkzeuge dazu mehr notwendig, sondern alle diese Aufgaben können direkt im Server-Manager durchgeführt werden. Im Bereich RESSOURCEN UND SUPPORT können die Fehlerberichterstattung und die Einstellungen für das Programm zur Verbesserung der Benutzerfreundlichkeit konfiguriert werden. Außerdem lässt sich über diesen Bereich direkt die Microsoft TechNetSeite von Windows Server 2008 öffnen, um zum Beispiel Informationen über bestimmte Ereignisse in der Ereignisanzeige zu überprüfen. Neben den Rollen und Features lassen sich im Server-Manager auch die Diagnoseprogramme sowie die Systemkonfiguration an zentraler Stelle vornehmen. Da Windows Server 2008 bereits standardmäßig sehr ressourcenschonend installiert wird, sind am Anfang noch keinerlei Serverrollen und Features installiert. Neben der grafischen Oberfläche bietet der neue Server-Manager auch eine Befehlszeilenoberfläche, über die Sie Rollen und Features in der Befehlszeile und skriptbasiert installieren können. Das Tool hat die Bezeichnung ServerManagerCMD.exe. Mit dem Tool können Sie unbeaufsichtigte Installationen von Serverrollen und Features durchführen. Antwortdateien können mit XML übergeben werden. Mit dem Server-Manager können Sie sich auch die installierten Rollen und Features eines Servers anzeigen lassen. Mit dem Befehl servermanagercmd – query können Sie sich eine Übersicht des Servers in der Befehlszeile anzeigen lassen. Installierte Rolle und Features werden besonders hervorgehoben.
2.5.2
Server über das Netzwerk verwalten – Remote-Desktop
Sobald Sie einen neuen Server installiert haben, ist auch in virtuellen Maschinen manchmal der bequemste und effizienteste Weg die Verwaltung über das Netzwerk. In diesem Fall können Sie den Server von Ihrem Arbeitsplatz aus verwalten und müssen nicht vor dem Server sitzen, um einzelne Einstellungen vorzunehmen. Damit Sie über das Netzwerk auf einen Server effizient zugreifen können, müssen Sie nach der Installation zunächst noch eine Maßnahme durchführen. In Windows Server 2008 wurde der Remote-Desktop von Windows Vista integriert. Aktivieren Sie diesen Remote-Desktop, können Sie mit einem Zusatzprogramm unter Windows XP oder Windows Vista bequem auf den Server zugreifen. Wenn Sie sich mit einem Remote-Desktop über das Netzwerk verbinden, ist die Geschwindigkeit beinahe so schnell, als säßen Sie direkt vor dem Server am Bildschirm. Bei Windows Server 2008 besteht keine Notwendigkeit mehr, unbedingt ein Fernwartungstool zu verwenden. Die Bordmittel sind dazu vollkommen ausreichend.
47
Kapitel 2 Windows Server 2008 installieren
Aktivieren des Remote-Desktops Um sich mit einem Server verbinden zu können, aktivieren Sie daher zunächst die Funktion des Remote-Desktops über die Systemsteuerung. Klicken Sie auf der linken Seite auf STARTSEITE der Systemsteuerung, dann auf SYSTEM UND WARTUNG und dann auf REMOTEZUGRIFF ZULASSEN bei SYSTEM. Aktivieren Sie dann die Option REMOTEEINSTELLUNGEN AUF DIESEM COMPUTER AKTIVIEREN. Aktivieren Sie im Dialogfeld SYSTEMEIGENSCHAFTEN im Bereich REMOTEDESKTOP die Option VERBINDUNGEN VON COMPUTERN ZULASSEN, AUF DENEN EINE BELIEBIGE VERSION VON REMOTEDESKTOP AUSGEFÜHRT WIRD. Bei der anderen Option dürfen nur Computer mit Windows Vista oder Windows Server 2008 auf den Server zugreifen. Nachdem Sie eine Sicherheitsmeldung bestätigt und das Dialogfeld über OK verlassen haben, ist der Server für den Zugriff über das Netzwerk bereit. Standardmäßig dürfen sich die Benutzer verbinden, die entweder in der lokalen Gruppe ADMINISTRATOREN oder REMOTEDESKTOPBENUTZER Mitglied sind.
Abbildung 2.13: Aktivieren des Remote-Desktops unter Windows Server 2008
48
Erste Schritte nach der Installation
Verbindungsaufbau über Remote-Desktop Wenn Sie den Remote-Desktop aktiviert haben, können Sie auf einem Windows XP-PC oder einem Vista-PC oder einen anderen Server mit Windows Server 2000/2003/2008 über START • ALLE PROGRAMME • ZUBEHÖR • KOMMUNIKATION • REMOTEDESKTOPVERBINDUNG das entsprechende Client-Programm starten. Alternativ können Sie das Programm auch über START • AUSFÜHREN • MSTSC.EXE und OK starten. Über die Schaltfläche OPTIONEN können Sie zahlreiche weitere Optionen einstellen. Für die Verwaltung eines Servers reicht die Standardeinstellung hier allerdings vollkommen aus. Wenn Sie im Eingabefeld die IP-Adresse oder den Namen des Servers eingeben, können Sie sich direkt mit dem Server verbinden. Sie müssen sich in der Anmeldemaske authentifizieren, damit die Verbindung aufgebaut wird. Windows Server 2008 erlaubt standardmäßig nicht die gleichzeitige Verbindung von zwei Sitzungen des gleichen Benutzers auf einem Server. Wenn an der Konsole ein Administrator angemeldet war, wird der Bildschirm durch den Verbindungsaufbau mit der Remote-Desktop-Konsole automatisch gesperrt. Diese Option kann aber in der TERMINALDIENSTEKONFIGURATION angepasst werden. Entsperrt ein Administrator an der Konsole den Bildschirm wieder, wird die Remote-Desktop-Sitzung wieder getrennt. Es kann daher standardmäßig immer nur ein Administrator an der Konsole arbeiten. Wollen Sie mit mehreren Sitzungen auf einem Server arbeiten, müssen Sie sich mit einem anderen Administrator-Konto anmelden oder die Konfiguration anpassen. Diese Remote-Sitzung ist übrigens vollkommen unabhängig vom Desktop auf dem Server. Sie sehen daher in dieser Sitzung zunächst keinerlei Fehlermeldungen, die unter Umständen auf der Konsole des Servers angezeigt werden, wenn Sie sich mit dem Benutzer ADMINISTRATOR anmelden. Wenn ein Administrator über den Remote-Desktop mit dem Server verbunden ist, kann er die gleichen Aufgaben durchführen, wie wenn er direkt am Server lokal angemeldet ist. Seine Tätigkeit wird allerdings nicht am Bildschirm des Servers angezeigt, wenn er sich mit einem eigenen Benutzerkonto anmeldet. Melden sich mehr als zwei verschiedene Administratoren über das Netzwerk an, und versucht ein dritter, eine Verbindung aufzubauen, erscheint bei der letzten Anmeldung eine Warnmeldung, da die maximale Anzahl der Verbindungen erreicht ist. In der oberen Bildschirmhälfte wird Ihnen eine Menüleiste angezeigt, mit der Sie die Sitzung minimieren können. Diese Leiste können Sie über das entsprechende Symbol auch ausblenden. Standardmäßig wird die Sitzung in der Vollbilddarstellung aufgebaut. Sie können eine Remote-Desktop-Sitzung parallel zu mehreren Servern aufbauen. In dieser Hinsicht gibt es keinerlei Einschränkungen. Wenn Sie die Arbeit im Remote-Desktop beendet haben, können Sie sich regulär über das Startmenü abmelden. Von dieser Abmeldung ist nur Ihre Sitzung betroffen, dagegen nicht die Sitzungen der anderen Administratoren oder der Konsole.
49
Kapitel 2 Windows Server 2008 installieren
Abbildung 2.14: Konfigurieren des Remote-Desktops
Trennen Sie nur die Sitzung, also schließen Sie das Remote-Fenster einfach, bleibt die Sitzung auf dem Server aktiv. Beachten Sie, dass in diesem Fall die Sitzung zu den maximalen Sitzungen auf dem Server dazuzählt. Wenn auf dem Server mehr als zwei getrennte Sitzungen laufen, können Sie sich von einem anderen Computer nicht mehr per Remote-Desktop verbinden, da der Server Sie nicht mit der laufenden Sitzung verbindet, sondern eine neue aufbauen will. Wenn Sie daher aus Bequemlichkeit Sitzungen immer nur trennen, besteht die Möglichkeit, dass Sie sich selbst vom Server aussperren. Sie können getrennte Sitzungen auf dem Server wieder freigeben und auch Einstellungen für den Remote-Desktop auf dem Server vornehmen. Zurücksetzen von getrennten Verbindungen Sie können die Sitzungen eines Servers mit Hilfe des Verwaltungsprogramms (Aufruf über START • VERWALTUNG • TERMINALDIENSTE / TERMINALDIENSTEVERWALTUNG) steuern. Allerdings müssen dazu die Verwaltungstools der Terminaldienste installiert werden. Installieren Sie dazu am besten auf einem Server das Feature Remoteserver-Verwaltungstools. Hier kann ausgewählt werden, welche Verwaltungswerkzeuge installiert werden sollen.
50
Erste Schritte nach der Installation
Abbildung 2.15: Anzeige der Sitzungen auf einem Server
Wenn Sie in der Terminaldiensteverwaltung den lokalen Server markieren, werden Ihnen alle Sitzungen angezeigt. Die getrennten Sitzungen werden mit dem Status Getrennt oder Disconnected angezeigt. Klicken Sie die Sitzung mit der rechten Maustaste an, können Sie diese Sitzung im Kontextmenü über die Option ZURÜCKSETZEN wieder freigeben. In diesem Fall ist die Sitzung sofort wieder frei, und Administratoren können sich wieder mit dem Server über einen RemoteDesktop verbinden. Sie können sich auch mit der Terminaldiensteverwaltung von einem Server mit einen anderen Server verbinden lassen und dort Sitzungen freigeben. Klicken Sie dazu in der Konsolenstruktur mit der rechten Maustaste auf TERMINALDIENSTEVERWALTUNG und wählen Sie die Option VERBINDUNG MIT COMPUTER HERSTELLEN. Wenn Sie über genügend Rechte auf dem anderen Server verfügen, können Sie auf diese Weise die Sitzungen auf mehreren Servern wieder freigeben. Konfigurieren der Verbindungsmöglichkeiten Sie können aber auch generelle Einstellungen vornehmen, damit Sitzungen nach gewisser Zeit automatisch freigegeben werden. Denken Sie aber daran, dass auch die Programme beendet werden, die in dieser Sitzung erstellt worden sind. Sie finden diese Konfiguration über START • VERWALTUNG • TERMINALDIENSTE • TERMINALDIENSTEKONFIGURATION. Rufen Sie mit der rechten Maustaste die Eigenschaften der Verbindung RDP-Tcp auf. Sie finden an dieser Stelle zahlreiche Verwaltungsmöglichkeiten. Auf der Registerkarte SITZUNGEN können Sie das Zeitlimit für getrennte Sitzungen aktivieren und diese nach zwei Stunden automatisch beenden lassen. Sie können hier auch Zeitlimits für verbundene und aktive Sitzungen sowie für Sitzungen, die zwar verbunden sind, über die aber kein Netzwerkverkehr läuft, festlegen.
51
Kapitel 2 Windows Server 2008 installieren
Abbildung 2.16: Konfigurieren der Verbindungseinstellungen über RDP
2.5.3
Remote-Desktopverbindungen effizient mit Royal TS und VisionApp Remote Desktop verwalten
Viele Administratoren kennen das Problem: Im Unternehmen müssen zahlreiche Server verwaltet werden – und zwar meistens auch noch gleichzeitig. Vor allem wenn mehrere Verbindungen parallel geöffnet werden, wird die Arbeit schnell unübersichtlich. Zwar gibt es das MMC-Snap-in REMOTEDESKTOPS, allerdings ist dieses Werkzeug nicht so komfortabel wie kostenlose Zusatzprogramme. Optimal geeignet sind die beiden Freeware-Produkte Royal TS und VisionApp Remote Desktop. Royal TS – Freeware-Verwaltung des Remote-Desktops Das Tool Royal TS kann von der Internetseite www.code4ward.net heruntergeladen werden. Auf der Seite gibt es auch ein Forum, in welchem Fehler und neue Funktionen des Tools besprochen werden, und der Programmierer direkt antwortet. Die Größe des Tools beträgt rund 900 KB. Für die Installation wird .NET Framework 2.0 oder 3.0 vorausgesetzt, welches zu den Features von Windows Server 2008 gehört. Außerdem wird der Remote-Desktop-Verbindungs-Client von Microsoft benötigt. Ist dieser auf dem Computer nicht bereits installiert, kann dieser Client kostenlos von der Internetseite http://support.microsoft.com/kb/ 925876 heruntergeladen werden. Der größte Nutzen des Tools ist die gemein-
52
Erste Schritte nach der Installation
same Verwaltung von mehreren Remote-Desktops, die auch parallel geöffnet sein können. Administratoren können durch einen Mausklick zwischen den verschiedenen geöffneten RDP-Sitzungen wechseln. Der geöffnete Remote-Desktop wird in der Mitte der Konsole als Vollbild angezeigt. Wem das nicht gefällt, kann einzelne Verbindungen so konfigurieren, dass diese in einem eigenen Fenster geöffnet werden. Alle gespeicherten Verbindungen zu anderen Servern werden auf der linken Seite der Oberfläche angezeigt. Die einzelnen RemoteDesktop-Verbindungen lassen sich über einen Assistenten erstellen. Neben den Verbindungsoptionen wie Auflösung, verbundene Laufwerke, IP-Adresse oder Name des Servers lässt sich auch eine Authentifizierung hinterlegen. So kann beispielsweise eine RDP-Verbindung per Doppelklick geöffnet werden.
Abbildung 2.17: Mit Royal TS können effizient Remote-Desktop-Verbindungen unter Windows Server 2003, Windows Server 2008 und Windows Server 2000 parallel verwaltet werden.
Die einzelnen Verbindungen lassen sich auch gruppieren. Weiter können mehrere Gruppen in einer sogenannten RTS-Datei zusammengefasst werden. Royal TS lässt sich so konfigurieren, dass eine bestimmte Datei mit den enthaltenen Gruppen automatisch geöffnet wird. Die einzelnen Verbindungen lassen sich jederzeit umgruppieren. Die Authentifizierungsdaten werden verschlüsselt in der Verbindungsdatei gespeichert. Die Verschlüsselung ist allerdings nicht sehr
53
Kapitel 2 Windows Server 2008 installieren
zuverlässig und kann über die Windows PowerShell oder von .NET-Programmierern leicht ausgehebelt werden. Aus diesem Grund sollte die Datei, welche die Verbindungen enthält, extrem sicher aufbewahrt oder vom Speichern der Kennwörter abgesehen werden. Wer die Authentifizierungsoptionen speichert, muss diese für alle Verbindungen einzeln hinterlegen. Wird das Kennwort des hinterlegten Benutzerkontos geändert, müssen auch die einzelnen Verbindungen nachträglich angepasst werden. Leider ist eine sichere zentrale Speicherung für Authentifizierungsdaten nicht vorgesehen. Bei aufgebauten Verbindungen kann die Größe des Fensters dynamisch vergrößert oder verkleinert werden, der Remote-Desktop wird daraufhin automatisch angepasst. Diese Funktion wird in Royal TS AutoExpand genannt und automatisch aktiviert. Wer das nicht will, kann für die einzelnen Verbindungen auch eine Auflösung für den RemoteDesktop vorgeben. Für jede Verbindung können die Einstellungen über das Kontextmenü nachträglich angepasst werden. Auch der RDP-Port, standardmäßig auf TCP 3389 konfiguriert, lässt sich ändern. Für alle Verbindungen stehen über den Menübefehl TOOLS • OPTIONS Möglichkeiten zur Verfügung, um die Standardauflösung und die Verbindungsoptionen zentral zu bearbeiten. Das Tool unterstützt neben Windows XP auch Windows Vista. Über die Datei RTSApp.exe.config im Installationsverzeichnis von Royal TS können zusätzlich einige Einstellungen angepasst werden, die nicht in der grafischen Benutzeroberfläche zur Verfügung stehen. So lässt sich in dieser Datei zum Beispiel über die Einstellung CONFIGURATIONPATH der Pfad zu den Benutzereinstellungen anpassen, was Unternehmen entgegenkommt, die mit servergespeicherten Profilen arbeiten. Standardmäßig werden die Benutzereinstellungen des Tools im Profil des Anwenders gespeichert. Treten nach Windows-Updates Fehler mit dem Tool auf, besonders unter Windows Vista, hilft oft das Löschen dieser Benutzerdateien, die anschließend automatisch neu erstellt werden. visionapp Remote Desktop – Effiziente Gruppering von Remote-DesktopVerbindungen Ähnlich wie Royal TS arbeitet die Software visionapp Remote Desktop. Das Programm kann von der Internetseite http://www.visionapp.com nach erfolgter Registrierung kostenlos heruntergeladen werden. Auch dieses Programm benötigt das .NET Framework in der Version 1.1 oder neuer von Microsoft. Wie bei Royal TS lassen sich die Verbindungsinformationen und Authentifizierungsdaten für die Verbindungen hinterlegen. Die Einstellungsmöglichkeiten sind nahezu identisch. Hier zeigt sich auch der Vorteil von visionapp Remote Desktop im Vergleich zu Royal TS: Authentifizierungsinformationen lassen sich zentral vorgeben. Bei den einzelnen Verbindungen wird die einzelne Authentifizierungsinformation nur noch ausgewählt. Wird so ein Kennwort zentral geändert, müssen nicht alle Serververbindungen angepasst werden, sondern es reicht das Ändern der zentralen Authentifizierungsinformationen, die dadurch auch nur an einer Stelle gespei-
54
Erste Schritte nach der Installation
chert werden. Mit visionapp Remote Desktop können die Verbindungen auch effizienter gruppiert werden als mit Royal TS. Verbindungen können in Ordner zusammengefasst werden, ebenso ist auch eine Verschachtelung dieser Ordner möglich. Royal TS bietet keine Verschachtelung an, sondern nur eine einfache Ordnerstruktur. Für jeden Ordner kann eine Authentifizierungsinformation hinterlegt werden, die aus dem zentralen Bereich CREDENTIALS übernommen wird.
Abbildung 2.18: visionapp Remote Desktop unterstützt die zentrale Verwaltung von Authentifizierungsoptionen.
Für einzelne Verbindungen kann auch eine eigene Authentifizierung hinterlegt werden. Unternehmen, die auch für Administratoren regelmäßig das Kennwort ändern, profitieren von dieser Möglichkeit. Beim Beenden einer Sitzung werden Änderungen automatisch gespeichert. Über das Menü FILE können die aktuellen Verbindungsinformationen in einer Datei gesichert werden. Auf die gleiche Weise ist auch eine Wiederherstellung möglich. visionapp Remote Desktop sichert den Zugriff auf die Datei mit einem Kennwort ab, sodass ein Unbefugter, der die Datei kopiert, die Verbindungen darin nicht nutzen kann. Das Tool unterstützt ab der Version 1.5 offiziell Windows Vista. Springt bei einer geöffneten Sitzung der Bildschirmschoner an, ist die Maus leider auch bei den anderen geöffneten Sitzungen deaktiviert. Hier hilft es, wenn in die Sitzung mit aktiviertem Bildschirmschoner geklickt wird, damit dieser deaktiviert wird. Bei vielen gleichzeitig geöffneten Verbindungen kann dieses Problem aber sehr störend sein, da erst die Verbindung mit dem aktivierten Bildschirmschoner gefunden werden muss. visionapp Remote Desktop bietet im Hauptfenster noch die Registerkarte OVERVIEW an. Hier werden alle geöffneten
55
Kapitel 2 Windows Server 2008 installieren
Verbindungen in einer kleinen Übersicht angezeigt, sodass schnell erkannbar ist, wenn in einer Sitzung zum Beispiel ein Meldungsfenster erscheint. Über diese zentrale Sicht der Verbindungen kann per Doppelklick auch direkt zu einer einzelnen Verbindung gesprungen werden. Alle geöffneten Verbindungen werden nicht nur auf der linken Seite angezeigt, sondern zusätzlich als eigene Registerkarte. So verliert ein Administrator nie die Übersicht, welche Verbindungen aktuell geöffnet sind. Durch die Registerkarten wird die Navigation zwischen den verschiedenen Sitzungen extrem erleichtert. Zusätzlich bietet die Software auch die Unterstützung für Mehr-Monitor-Systeme an.
2.5.4
Fazit
Beide Programme sind kostenlos, bieten aber eine Menge Funktionen. Administratoren und Consultants, die mit vielen Remote-Desktop-Verbindungen arbeiten, profitieren von beiden Lösungen. Im Vergleich zu Royal TS überzeugt visionapp Remote Desktop etwas mehr. Zum einen erlaubt die bessere Gruppierungsmöglichkeit mit verschachtelten Ordnern und den Registerkarten eine bessere Übersicht. Zum anderen sind die zentralen Authentifizierungsinformationen ein klarer Vorteil, falls häufiger das Kennwort geändert werden muss. Auch die Möglichkeit, die Verbindungsdatei mit einem Kennwort abzusichern, spricht für visionapp. Gelangt ein Unbefugter an eine Royal TS-Datei, kann er diese uneingeschränkt nutzen, was vor allem bei hinterlegten Authentifizierungsinformationen ein großes Problem darstellen kann. Bei visionapp ist allerdings der Bildschirmschoner-Bug etwas störend.
2.6
Windows Server an ein Netzwerk anbinden
Auch in virtuellen Maschinen verfügen Server mit Windows Server 2008 über eine Netzwerkkarte, sofern der VM eine zugewiesen wurde. Damit Sie die Testumgebung aufbauen können, müssen Sie den Server über diese Netzwerkverbindung an das restliche Netzwerk anbinden. Microsoft hat im Bereich der Konfiguration der Netzwerkschnittstellen einige Verbesserungen vorgenommen, um die Anbindung von Windows Server 2008 an ein Netzwerk effizienter zu gestalten. Die wichtigste Neuerung ist, dass sowohl in Windows Server 2008 als auch in Windows Vista standardmäßig IPv6 installiert und aktiviert ist. Windows Server 2008 und Windows Vista versuchen, untereinander möglichst immer mit IPv6 zu kommunizieren. Gelingt dies nicht, wird für die Kommunikation IPv4 verwendet. Für Anwender und Administratoren ändert sich dabei
56
Windows Server an ein Netzwerk anbinden
nichts, diese Kommunikation läuft transparent ab. Windows Server 2008 beinhaltet eine aktualisierte Implementierung des TCP/IP-Stacks mit signifikanten Verbesserungen, die sich speziell an mehrere wichtige Netzwerkprobleme richten und Verbesserungen bei der Leistung und dem Durchsatz, eine allgemeine Wi-Fi-Achitektur und APIs zur Inspizierung von Netzwerkpaketen bieten. Die Maximierung der Netzwerkauslastung erfordert eine komplexe Optimierung der TCP/IP-Konfigurationseinstellungen. Wenn Windows Server 2008 auf den Domänen-Controller über das Netzwerk zugreifen kann, wechselt es automatisch in das Domänen-Profil. Bei diesem Profil werden Netzwerkeinstellungen für Domänen optimiert. Sie finden die Einstellungen im Netzwerk- und Freigabecenter. Dank Netzwerk-Awareness können Anwendungen, wie die Windows-Firewall, mit erweiterter Sicherheit unterschiedliche Konfigurationen auf Grundlage des Netzwerktyps haben, mit dem gegenwärtig eine Verbindung besteht, und automatisch zwischen den Konfigurationen wechseln, falls sich der Netzwerktyp ändert. In Windows Server 2008 kann auch eine Gruppenrichtlinie das Netzwerk erkennen: sie erkennt automatisch, wenn sich der Computer am Domänennetzwerk befindet und beginnt mit der Verarbeitung aller neuen Gruppenrichtlinieneinstellungen, ohne auf den nächsten Aktualisierungszyklus zu warten. Das bedeutet, Windows Server 2008 überprüft automatisch, ob neue Einstellungen der Gruppenrichtlinie vorliegen, wenn es eine Verbindung mit dem Domänennetzwerk aufnimmt. Administratoren sind dadurch in der Lage, Sicherheitseinstellungen schneller bereitzustellen. Windows Server 2008 verwendet auch den Server Message Block (SMB) in der Version 2.0. Die Kommunikation zwischen Windows Server 2008-Computern und Windows Vista-Computern wird dadurch extrem beschleunigt. Microsoft plant Aktualisierungen, damit auch die Kommunikation mit Windows Server 2003 und Windows XP beschleunigt wird. Derzeit ist allerdings die Geschwindigkeit zwischen den neuen und den alten Windows-Versionen noch langsamer als zwischen Windows Server 2008 und Windows Vista.
2.6.1
Das Netzwerk- und Freigabecenter
Die Konfiguration der Netzwerkeinstellungen von Windows Server 2008 nehmen Sie im neuen Netzwerk- und Freigabecenter vor. Wenn Sie mit der rechten Maustaste auf das Netzwerksymbol im Infobereich der Taskleiste klicken, öffnet sich ein Kontextmenü, und Sie können das Netzwerk- und Freigabecenter öffnen.
57
Kapitel 2 Windows Server 2008 installieren
Abbildung 2.19: Öffnen des Netzwerk- und Freigabecenters
Unter Windows Server 2008 erkennen Sie bereits an diesem Symbol die Netzwerkverbindung: 왘
Werden zwei Computer angezeigt, ist das ein Zeichen, dass der Server mit dem Netzwerk verbunden ist und eine IP-Adresse erhalten hat.
왘
Wird ein Computer mit einem roten Kreuz angezeigt, wurde der Server physikalisch nicht mit dem Netzwerk verbunden.
왘
Wird ein Computer mit einem Ausrufezeichen angezeigt, ist der Computer zwar mit dem Netzwerk verbunden, hat aber noch keine IP-Adresse vom DHCP-Server erhalten.
왘
Werden zwei Computer mit einer Weltkugel angezeigt, ist der Computer mit dem Netzwerk und mit dem Internet verbunden.
Verwalten der Netzwerkverbindungen Haben Sie das Netzwerk- und Freigabecenter geöffnet, sehen Sie bereits die Netzwerkverbindung des Servers oder müssen feststellen, dass diese nicht hergestellt werden konnte. Sie müssen zunächst die Netzwerkverbindung richtig konfigurieren. Klicken Sie dazu links im Fenster im Bereich AUFGABEN auf den Link NETZWERKVERBINDUNGEN VERWALTEN und rufen Sie dann im neuen Fenster mit
58
Windows Server an ein Netzwerk anbinden
der rechten Maustaste die Eigenschaften Ihrer LAN-Verbindung auf. Es öffnet sich ein neues Fenster, in dem Sie die Eigenschaften der Netzwerkverbindung konfigurieren. Die Konfiguration an dieser Stelle ist wiederum nahezu identisch mit der in Windows Server 2003. Sie können die Verwaltung der Netzwerkverbindungen auch über START • AUSFÜHREN • NCPA.CPL starten.
Abbildung 2.20: Konfigurieren der Netzwerkverbindungen in Windows Server 2008
Markieren Sie als Nächstes den Eintrag INTERNETPROTOKOLL VERSION 4 (TCP/ IPV4) und klicken Sie auf die Schaltfläche EIGENSCHAFTEN. Hier können Sie jetzt eine ordnungsgemäße IP-Adresse vergeben. Wenn Sie die IP-Adresse manuell vergeben, setzen Sie die Markierung auf die Option FOLGENDE IP-ADRESSE VERWENDEN sowie die Option FOLGENDE DNS-SERVERADRESSEN VERWENDEN und tragen die notwendigen Daten ein. Entweder verwenden Sie die Daten im Schaubild zur Testumgebung aus Kapitel 1 oder Sie verwenden einen eigenen Adressbereich. Im Anschluss öffnet sich ein neues Fenster für den Netzwerkstandort, und Sie müssen auswählen, wo Sie den Server betreiben möchten. Wählen Sie die entsprechende Option aus und schließen Sie dieses Fenster. In Unternehmen wählen Sie entweder die Option ZU HAUSE oder ARBEITSPLATZ aus. Wird der Server in eine Domäne aufgenommen, wird der Netzwerkplatz automatisch auf den Domänenbetrieb umgestellt. Abhängig von diesen Einstellungen können Daten auf dem Server im Netzwerk freigegeben werden. Wollen Sie auf dem Server Freigaben erstellen, müssen Sie diese noch im Bereich FREIGABE VON DATEIEN aktivieren. Erst dann ist der Zugriff über das Netzwerk möglich. Der Assistent aktiviert dazu in den Ausnahmen der Windows-Firewall den
59
Kapitel 2 Windows Server 2008 installieren
Zugriff auf den Server über Dateifreigaben. Diese Einstellungen werden auch vorgenommen, wenn Sie die Rolle eines Dateiservers installieren.
Abbildung 2.21: Aktivieren der Dateifreigabe unter Windows Server 2008
Neben Dateien können auch Drucker im Netzwerk freigegeben werden. Normalerweise ist ein Drucker direkt mit einem Server im Netzwerk verbunden. Damit andere Benutzer auf diesen Drucker zugreifen können, muss dieser auf dem Server freigegeben werden. Dazu schließen Sie den Drucker zunächst an einem Rechner an und installieren den dazu passenden Treiber. Stellen Sie sicher, dass der Drucker lokal drucken kann. Im nächsten Schritt können Sie diesen Drucker im Netzwerk freigeben. Auch die Freigabe von Druckern müssen Sie im Netzwerk- und Freigabecenter zunächst aktivieren. Diese Einstellungen werden vorgenommen, wenn Sie die Rolle eines Druckservers installieren. Verwalten der Netzwerkstandorte Bei der Einrichtung der Netzwerkverbindung haben Sie festgelegt, mit welcher Art von Netzwerk sich Ihr Server verbunden hat. Sie konnten festlegen, ob es sich um ein privates Netzwerk oder ein öffentliches Netzwerk handelt. Diese Einstellungen können nachträglich angepasst werden. Über den Link ANPASSEN im Bereich der Netzwerkstandorte lässt sich festlegen, um welches Netzwerk es sich handelt. Ist der Server Mitglied einer Domäne, müssen Sie in diesem Bereich keine Anpassungen vornehmen, da der Netzwerkstandort automatisch für eine Windows-Domäne konfiguriert wird. 60
Windows Server an ein Netzwerk anbinden
Abbildung 2.22: Anpassen und überprüfen des Netzwerkstandortes
Über den Link GESAMTÜBERSICHT ANZEIGEN öffnet sich ein neues Fenster, in dem Windows alle Server und Netzwerkgeräte anzeigt, sofern Ihr Server diese im Netzwerk findet. Dieser Bereich ist extrem hilfreich, wenn Sie auf einem Server Netzwerk- oder Verbindungsprobleme untersuchen wollen. Allerdings können Sie sich nur dann eine Gesamtansicht anzeigen lassen, wenn die Netzwerkerkennung im Netzwerk- und Freigabecenter aktiviert ist. Solche Einstellungen sind in Domänen üblicherweise in den Gruppenrichtlinien hinterlegt. Die dazu notwendigen Einstellungen finden sich unter COMPUTERKONFIGURATION • ADMINISTRATIVE VORLAGEN • NETZWERK • VERBINDUNGSSCHICHT-TOPOLOGIEERKENNUNG. Die Einstellungen sind selbsterklärend. Auf der Internetseite http://www.windowsnetworking.com/articles_tutorials/Enabling-Network-Mapping-Windows-Vista.html finden Sie weitere Hinweise über die Aktivierung dieser Funktion. Über den Link DIAGNOSE UND REPARATUR können Sie eventuell vorhandene Fehler von Windows überprüfen lassen und erhalten Hilfestellung oder Vorschläge zur Behebung von Fehlern. Über den Link COMPUTER UND GERÄTE ANZEIGEN im linken Bereich des Netzwerk- und Freigabecenters werden Ihnen alle Server und PCs angezeigt, die im Netzwerk gefunden wurden.
61
Kapitel 2 Windows Server 2008 installieren
Wenn Sie auf einen Server doppelt klicken, werden die Freigaben auf dem Server angezeigt und können geöffnet werden. Klicken Sie im Netzwerk- und Freigabecenter auf die einzelnen Symbole, welche die Verbindungen in Ihrem Netzwerk darstellen, so können Sie direkt die notwendigen Programme starten, um den Teil des Netzwerkes zu durchsuchen. Klicken Sie zum Beispiel auf das Symbol INTERNET, öffnet sich der Internet Explorer mit der Startseite. Auf diese Weise können Sie schnell überprüfen, ob die Verbindung zum Internet tatsächlich hergestellt werden kann. Ein Klick auf das Computer-Symbol öffnet den Windows-Explorer, ein Klick auf das Netzwerk-Symbol öffnet die Netzwerkumgebung. Erweiterte Verwaltung der Netzwerkverbindungen Wenn eine Netzwerkverbindung aktiviert ist, aber keine Netzwerkverbindung herstellen kann, wird die entsprechende Verbindung mit einem roten X angezeigt. Sie sollten beim Einsatz mehrerer Netzwerkverbindungen diese entsprechend benennen, da Windows selber die Bezeichnung lediglich durchnummeriert. Der Name einer Netzwerkverbindung beeinflusst nicht ihre Konnektivität, sondern lediglich deren Bezeichnung und Überblick in Windows. Sie können die Bezeichnung von Netzwerkverbindungen über das Kontextmenü ändern. Klicken Sie eine Netzwerkverbindung mit der rechten Maustaste an, stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Ich erkläre Ihnen hier nur die für die Testumgebung relevanten Funktionen.
Abbildung 2.23: Netzwerkverbindungen über das Kontextmenü verwalten
62
Windows Server an ein Netzwerk anbinden
DEAKTIVIEREN – Wählen Sie diese Option aus, wird die Verbindung vom Netzwerk getrennt, auch wenn sie konfiguriert wurde und eine Verbindung besteht. Die Verbindung verursacht keinerlei Fehlermeldungen mehr, und die entsprechende Netzwerkkarte wird im Geräte-Manager deaktiviert. Die Karte verhält sich so, als ob sie nicht installiert wäre. STATUS – Wenn Sie diesen Menüpunkt auswählen, werden Ihnen ausführliche Informationen über die Konfiguration der Netzwerkverbindung sowie die Datenpakete, die über das Netzwerk gesendet wurden, angezeigt. Möchten Sie eine Netzwerkverbindung ausführlicher überprüfen, bietet sich dieser Menüpunkt an. Es öffnet sich ein neues Fenster, über das Sie zahlreiche Informationen erhalten und Konfigurationen vornehmen können. Sie erkennen zunächst, mit welcher Geschwindigkeit die Verbindung aufgebaut worden ist, wie lange die Netzwerkverbindung besteht und wie viele Datenpakete empfangen und gesendet wurden.
Abbildung 2.24: Status von Netzwerkverbindungen anzeigen
Klicken Sie auf die Schaltfläche DETAILS, werden Ihnen ausführlichere Informationen über die Konfiguration der Netzwerkverbindung angezeigt. Sie erkennen die IP-Adresse, die physikalische (MAC-)Adresse sowie eine Vielzahl weiterer Informationen, die vor allem bei der Fehlersuche hilfreich sein können. Neben dieser Schaltfläche stehen Ihnen noch drei weitere Schaltflächen zur Verfügung, über die Sie die Netzwerkverbindung konfigurieren: EIGENSCHAFTEN, DEAKTIVIEREN und DIAGNOSE. Die beiden Schaltflächen EIGENSCHAFTEN und DEAKTIVIEREN erfordern administrative Berechtigungen, was durch das Windows-Schutzschild auf den Schaltflächen symbolisiert wird. Zu den Eigenschaften der Netzwerkverbin-
63
Kapitel 2 Windows Server 2008 installieren
dung gelangen Sie auch über das Kontextmenü. Die Schaltfläche DEAKTIVIEREN hat die gleiche Auswirkung wie die Auswahl der entsprechenden Option aus dem Kontextmenü. Klicken Sie im Status-Dialogfeld auf die Schaltfläche DIAGNOSE, versucht Windows Server 2008 festzustellen, warum eine bestimmte Netzwerkverbindung nicht funktioniert. Auch diese Option ist über das Kontextmenü der Verbindung zu erreichen. Sobald Sie die Diagnose gestartet haben, schlägt Windows eine Fehlerbehebungsmaßnahme vor. Lesen Sie sich die Meldung durch, bevor Sie eine andere Maßnahme durchführen, und überprüfen Sie, ob der entsprechende Fehler bereits durch die Hinweise gelöst werden kann. Sie können auf die einzelnen Optionen der Diagnose klicken, um die vorgeschlagene Option automatisch durchführen zu lassen. Im Anschluss versucht Windows Server 2008 automatisch, den Fehler zu beheben und die Netzwerkverbindung wiederherzustellen.
2.7
Core-Server Installieren und verwalten
Die Installation eines Core-Servers läuft identisch ab wie die Installation eines herkömmlichen Servers. Nur bei der Auswahl des Betriebssystems ist es notwendig, dass Sie die Installation als Core-Server aktivieren. Der Unterschied offenbart sich erst nach der Installation. Statt der grafischen Oberfläche erscheint lediglich eine Eingabeaufforderung. Die Anmeldemaske ist identisch mit der bei einem herkömmlichen Server.
2.7.1
Verwalten eines Core-Servers
Die Verwaltung eines Core-Servers läuft hauptsächlich über die Befehlszeile ab. Mit dem Befehls start cmd /separate öffnen Sie ein neues Befehlszeilenfenster. Wird das eine Fenster geschlossen, lässt sich über den Task-Manager durch Erstellen eines neuen Tasks mit dem Befehl cmd ein neues Fenster starten. Mit einem zweiten Fenster allerdings ersparen Sie sich diese Arbeit. Alle Tools, die eine grafische Oberfläche verwenden oder sogar den Windows-Explorer benötigen, funktionieren auf einem Core-Server nicht. Aus diesem Grund werden auch keine Meldungen angezeigt, wenn neue Updates zur Verfügung stehen oder das Kennwort eines Benutzers abgelaufen ist. Einige Programme, die im Fenster ablaufen, funktionieren auch auf einem Core-Server. So kann zum Beispiel der Editor (notepad.exe) verwendet werden, um Skripts oder Dateien zu bearbeiten. Sie können auch einen Core-Server über die Terminaldienste verwalten. In diesem Fall wird in der Sitzung als Shell ebenfalls nur die Befehlszeile angezeigt. Als Befehlszeilenfenster für
64
Core-Server Installieren und verwalten
einen Core-Server wird nicht die PowerShell verwendet, sondern die herkömmliche Befehlszeile, die auch unter Windows Server 2003 benutzt wird. Grundlegende Optionen müssen zunächst direkt auf dem System eingestellt werden, damit dieses über das Netzwerk ansprechbar ist. Neben einem sicheren Kennwort für das Administratorkonto gehören dazu der Servername und natürlich die IP-Adresse. Eine Auflistung aller Netzwerkadapter können Sie mit dem Befehl netsh interface ipv4 show interface durchführen. Die LAN-Anbindung lässt sich zum Beispiel durch folgende Befehle durchführen: netsh interface ipv4 set address "Local Area Connection" static 10.0.0.2 255.255.255.0 192.168.217.1
Verwenden Sie eine passende IP-Adresse aus dem Subnetz der Testumgebung (siehe Kapitel 1). Den Namen in Anführungszeichen, also die Bezeichnung der Netzwerkverbindung, sehen Sie, wenn Sie den Befehl netsh interface ipv4 show interface ausführen. Auf dieselbe Weise lassen sich DNS- und WINS-Server eintragen. Die Online-Hilfe von netsh gibt die nötigen Auskünfte. Um den Server umzubenennen, verwenden Sie den Befehl netdom. Ein Beispiel könnte sein: netdom renamecomputer /newname: /force /reboot:30
Für einige Aktionen existieren keine Befehle. Hierfür verfügt Windows Server 2008 über einen Satz von VBS-Skripts. Dazu zählt zum Beispiel SCregEdit.wsf, mit dem Sie über die Registrierungsdatenbank Funktionen wie den administrativen RDP-Zugriff oder die automatischen Updates freischalten sowie die Konfiguration von DNS-Einträgen für Active Directory vornehmen. Die Systemsteuerung beruht auf dem normalen Explorer und ist daher nicht verfügbar. Ausnahme ist die Zeitzone, welche sich über den Befehl control timedate.cpl aufrufen lässt. Auch die Regions- und Sprachoptionen können Sie mit dem Befehl control intl.cpl setzen. Haben Sie sich für die Installation eines Core-Servers entschlossen, helfen Ihnen die folgenden Internetseiten weiter, auf denen Sie ausführliche Informationen zur Verwaltung des Servers in der Befehlszeile erhalten: 왘
Befehlszeilen-Referenz: http://go.microsoft.com/fwlink/?LinkId=20331. Alle diese Befehle können auch in der Befehlszeile eines Core-Servers verwendet werden.
왘
Netsh-Befehl zur Konfiguration der Netzwerkeinstellungen: http://go.microsoft .com/fwlink/?LinkId=49654
65
Kapitel 2 Windows Server 2008 installieren
2.8
Wichtige Administrationsaufgaben
Für die Einrichtung eines Servers sollten Sie noch einige Punkte anpassen. Im folgenden Abschnitt gehe ich genauer auf diese wichtigen ersten Konfigurationsmaßnahmen ein.
2.8.1
Sprach- und Zeiteinstellungen konfigurieren
Da es für die Konfiguration der Spracheinstellungen noch keine Möglichkeit in der Befehlszeile gibt, steht für diese Konfiguration eine grafische Oberfläche zur Verfügung. Geben Sie zur Konfiguration der Sprach- oder Tastatureinstellungen in der Befehlszeile den Befehl control intl.cpl ein. Anschließend öffnet sich ein Fenster, über das die Spracheinstellungen vorgenommen werden. Sind auf einem Server mehrere Sprachen installiert, kann mit der Tastenkombination (ª) + (Alt) die jeweilige Sprache umgeschaltet werden. Die Zeiteinstellungen werden über control timedate.cpl eingestellt. Auch hier steht eine grafische Oberfläche zur Konfiguration der Uhrzeit, des Datums und der Zeitzone zur Verfügung.
2.8.2
Ändern des Administrator-Kennwortes
Um das lokale Administrator-Kennwort eines Servers anzupassen, gehen Sie folgendermaßen vor: 1. Geben Sie in der Befehlszeile den Befehl net user administrator * ein. Durch die Eingabe des Platzhalters * wird das eingegebene Kennwort nicht in Klartext angezeigt. 2. Geben Sie das neue Kennwort ein und bestätigen Sie. 3. Geben Sie das Kennwort nochmals ein und bestätigen Sie erneut.
2.8.3
Konfigurieren einer statischen IP-Adresse
Eine weitere wichtige Aufgabe besteht darin, dem Core-Server eine statische IPAdresse zuzuweisen. Standardmäßig wird dem Server eine dynamische IP-Adresse per DHCP zugewiesen: 1. Lassen Sie sich mit dem Befehl netsh interface ipv4 show interfaces die Konfiguration der Netzwerkkarte anzeigen. Notieren Sie sich in der Spalte Idx die ID der Netzwerkkarte, deren Konfiguration Sie anpassen wollen. 2. Um eine statische IP-Adresse zuzuweisen, geben Sie den Befehl netsh interface ipv4 set address name="" source=static address= mask=<Subnetzmaske> gateway=<Standardgateway> ein.
66
Wichtige Administrationsaufgaben
3. Geben Sie als Nächstes den Befehl netsh interface ipv4 add dnsserver name="" address= index=1. Wollen Sie weitere DNS-Server hinterlegen, gehen Sie analog vor und erhöhen jeweils den Index in Abhängigkeit davon, in welcher Reihenfolge die DNS-Server befragt werden sollen.
Abbildung 2.25: Konfiguration der Netzwerkverbindung für einen Core-Server
Mit dem Befehl netsh interface ipv4 set address name="" source=dhcp setzen Sie die Konfiguration wieder zurück. Nachdem Sie die IP-Konfiguration vorgenommen haben, sollten Sie mit nslookup überprüfen, ob Sie den DNS-Server erreichen können und Namen aufgelöst werden. Zusätzlich sollten Sie den DomänenController oder andere Server im gleichen Netzwerk per Ping erreichen können. Nachdem Sie einen Core-Server installiert haben, können Sie zwar ohne Weiteres auf andere Server im Netzwerk zugreifen, aber der eingehende Netzwerkverkehr, einschließlich Ping, wird durch den Core-Server blockiert. Damit Sie mit den verschiedenen Verwaltungsprogrammen über das Netzwerk zugreifen können, müssen Sie auf dem Core-Server zunächst die Firewall so konfigurieren, dass die Verwaltungswerkzeuge über das Netzwerk zugelassen werden. Verwenden Sie dazu den Befehl netsh advfirewall set allprofiles settings remotemanagement enable oder den Befehl netsh advfirewall firewall set rule group="remoteverwaltung" new enable= yes. Auf englischen Servern heißen die Regeln "Remote Administration". Den kompletten Netzwerkverkehr auf einem Core-Server können Sie über netsh advfirewall set allprofiles firewallpolicy allowinbound,allowoutbound freischalten. Um die Firewall-Regeln für Core-Server zu steuern, bietet es sich an, dass Sie den Core-Server im Active-Directory in eine eigene Organisationseinheit (OU) legen, auf die Sie eine Gruppenrichtlinie verknüpfen. In dieser Richtlinie können Sie die Regeln für die Firewall hinterlegen, damit die Kommunikation funktioniert. Anschließend kann zum Beispiel das Snap-in COMPUTERVERWALTUNG auf einem anderen Server so konfiguriert werden, dass der Core-Server verwaltet werden kann.
67
Kapitel 2 Windows Server 2008 installieren
Abbildung 2.26: Damit von anderen Servern mit Verwaltungswerkzeugen auf den Core-Server zugegriffen werden kann, müssen zunächst die Firewall-Regeln angepasst werden.
Die Computerverwaltung starten Sie zum Beispiel über das Snap-in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Klicken Sie den Core-Server in der Konsole mit der rechten Maustaste an und wählen Sie im Kontextmenü den Eintrag VERWALTEN. Anschließend kann der Server über eine grafische Oberfläche konfiguriert werden. Über diesen Weg lassen sich zum Beispiel wesentlich einfacher Freigaben und Systemdienste verwalten als über die Befehlszeile des Core-Servers.
2.8.4
Mit einem Core-Server einer Domäne beitreten
Ein weiterer wichtiger Schritt ist das Beitreten zu einer Windows-Domäne. Wie Sie für die Testumgebung eine solche erstellen, zeige ich Ihnen im nächsten Kapitel. Auch diese Aufgabe müssen Sie über die Befehlszeile durchführen. Zunächst sollten Sie sicherstellen, dass Sie, wie im vorangegangenen Abschnitt besprochen, die IP-Adresse richtig einstellen und mit Ping und Nslookup überprüfen, ob der Domänen-Controller und DNS-Server erreicht werden können. Ist dies gewährleistet, können Sie der Domäne beitreten. Gehen Sie dazu folgendermaßen vor: 1. Geben Sie den Befehl hostname ein und notieren Sie sich den standardmäßig gesetzten Namen. Diesen können Sie später umbenennen. Alternativ können Sie auch set c eingeben. Dann erscheint auch der Computername. Auch über ipconfig /all oder Systeminfo kann der Name angezeigt werden. 2. Geben Sie den Befehl netdom join /domain: /userd:\ /passwordd:* ein. Wollen Sie später einen Server wieder aus der Domäne entfernen, so verwenden Sie den Befehl netdom remove.
68
Wichtige Administrationsaufgaben
3. Anschließend müssen Sie das Kennwort für den Administrator eingeben, mit dem Sie den Server in die Domäne aufnehmen wollen. Nach einigen Sekunden sollte der erfolgreiche Domänenbeitritt angezeigt werden. Sollten Sie hier eine Fehlermeldung erhalten, überprüfen Sie zunächst, ob Sie mit Ping den Domänen-Controller mit NetBIOS-Namen und IP-Adressen erreichen können, damit sichergestellt ist, dass die IP-Konfiguration stimmt. Da Sie für den Domänenbeitritt auch den Namen des Servers angeben müssen, sollten Sie überprüfen, ob Sie diesen richtig eingegeben haben. In der Befehlszeile wird oft die Null »0« mit einem großen »O« verwechselt. Sie können überprüfen, ob Sie den Namen richtig eingegeben haben, indem Sie lokal auf dem Server den Befehl ping <Servername> eingeben. Wird auf den Ping erfolgreich geantwortet, haben Sie den korrekten Namen verwendet.
Abbildung 2.27: Erfolgreicher Domänenbeitritt eines PC
Nach der erfolgreichen Aufnahme in die Domäne müssen Sie den Server neu starten. Geben Sie dazu den Befehl shutdown /r /t 0 ein. Nach dem Neustart können Sie sich über die Schaltfläche ANDERER BENUTZER an der Domäne anmelden. Sie können über den Befehl set in der Befehlszeile überprüfen, ob die Domänenaufnahme funktioniert hat. Mit Nslookup können Sie überprüfen, ob sich der Server korrekt in die DNS-Zone eingetragen hat.
69
Kapitel 2 Windows Server 2008 installieren
Abbildung 2.28: Überprüfen der Domänenmitgliedschaft mit dem Befehl »set«
2.8.5
Server über die Befehlszeile umbenennen
Nachdem Sie der Domäne mit dem Standardnamen des Servers beigetreten sind, können Sie den Namen des Servers ändern: 4. Geben Sie in der Befehlszeile den Befehl netdom renamecomputer /newname: ein. 5. Bestätigen Sie das Umbenennen mit der Taste (Y), falls die Taste (J) nicht funktioniert. 6. Starten Sie den Server mit shutdown /r /t 0.
2.8.6
Gruppenmitgliedschaften in der Befehlszeile konfigurieren
Nehmen Sie einen Server in die Domäne auf, wird die Domänengruppe der Domänen-Administratoren automatisch in die lokale Administrator-Gruppe aufgenommen. Wollen Sie neben dieser Gruppe einzelne Benutzerkonten oder zusätzliche Gruppen aufnehmen, können Sie diese Aufgabe ebenfalls in der Befehlszeile durchführen. Mit dem Befehl net localgroup administratoren /add \ wird der konfigurierte Benutzer der lokalen Administrator-Gruppe auf dem Server hinzugefügt. Mit dem Befehl net localgroup administratoren können Sie sich alle Gruppenmitglieder anzeigen lassen. Bei einem System in englischer Sprache heißt die betreffende Gruppe statt administratoren dann administrators.
70
Remoteverwaltung eines Core-Servers
Abbildung 2.29: Überprüfen und Konfigurieren der lokalen Administrator-Gruppe auf einem Core-Server
Mit dem Befehl net localgroup können Sie sich alle lokalen Gruppen auf dem Server anzeigen lassen. So können Sie mit diesem Befehl schnell feststellen, welche Gruppen es gibt und welche Benutzerkonten enthalten sind. Außerdem können Sie neue Benutzerkonten hinzufügen. Mit dem Befehl net localgroup administratoren /delete \ entfernen Sie ein Benutzerkonto wieder aus der Gruppe.
2.9
Remoteverwaltung eines Core-Servers
Neben der lokalen Administration können Sie, wie bei herkömmlichen Windows Server 2008-Servern auch über das Netzwerk auf einen Core-Server zugreifen. Dazu stehen Ihnen mehrere Möglichkeiten zur Verfügung, die ich Ihnen auf den folgenden Seiten zeige. Zur Verwaltung der installierten Serverrollen können Sie auch die MMC-Snap-ins auf anderen Servern verwenden und sich über das Snap-in mit dem Core-Server verbinden. Die Administration ist in diesem Fall identisch mit der Verwaltung eines lokalen Servers. Achten Sie bitte darauf, vorher das Remote-Management in der Firewall freizuschalten. Die Computerverwaltung auf einem Server starten Sie am besten über START • AUSFÜHREN • COMPMGMT.MSC. Um sich mit einem anderen Server zu verbinden, zum Beispiel einem Core-Server, klicken Sie mit der rechten Maustaste auf den obersten Eintrag COMPUTERVERWALTUNG und wählen im Kontextmenü den Eintrag VERBINDUNG MIT EINEM ANDEREN COMPUTER HERSTELLEN aus. Anschließend können Sie sich mit jedem anderen Server der Domäne verbinden, auch mit Core-Servern.
71
Kapitel 2 Windows Server 2008 installieren
2.9.1
Konfigurieren eines Core-Servers mit scregedit.wsf
Sie können allerdings nicht alle Funktionen auf einem Core-Server über das Netzwerk aktivieren. Dazu gehören zum Beispiel die Aktivierung und Verwaltung der automatischen Updates oder die Aktivierung des Remote-Desktops. Für diese Funktionen existiert auf einem Core-Server im Verzeichnis \Windows\System32 das Skript scregedit.wsf. Mit diesem Skript können verschiedene Verwaltungsaufgaben durchgeführt werden. Hauptsächlich bearbeiten Sie mit diesem Tool die Registry-Datenbank des Servers für folgende Funktionen: 왘
Konfiguration der automatischen Updates
왘
Aktivierung des Remote-Desktops
왘
Aktivierung der Funktion, dass sich Clients mit dem Remote-Desktop verbinden können, auf denen nicht Windows Server 2008 oder Windows Vista installiert ist
왘
Gewichtung und Priorität von DNS-SRV-Records
왘
Remote-Verwaltung des IPSec-Monitors über das Netzwerk
Sie können sich eine ausführliche Hilfe zu den einzelnen Funktionen anzeigen lassen, wenn Sie in das Verzeichnis \Windows\system32 wechseln und den Befehl cscript scregedit.wsf /? eingeben. Geben Sie bitte den Befehl cscript scregedit.wsf /cli ein, um sich eine Liste wichtiger Befehlszeilen-Tools anzeigen zu lassen, mit denen Sie neben scregedit.wsf zusätzlich den Server verwalten können.
2.9.2
Aktivieren des Remote-Desktops auf einem Core-Server
Wollen Sie per Remote-Desktop auf einen Core-Server zugreifen, müssen Sie zunächst mit scregedit.wsf diese Funktion aktivieren. Greift ein Administrator über den Remote-Desktop auf einen Core-Server zu, erhält er in seiner Sitzung ebenfalls die Befehlszeile angezeigt. Damit der Remote-Desktop funktioniert, müssen Sie diesen mit scregedit.wsf aktivieren. Gehen Sie dazu folgendermaßen vor: 1. Geben Sie auf dem Core-Server in der Befehlszeile den Befehl cscript scregedit .wsf /ar 0 ein, um den Remote-Desktop zu aktivieren. 2. Mit dem Befehl cscript scregedit.wsf /cs 0 aktivieren Sie die Remote-DesktopVerbindung für Windows XP- und Windows Server 2003-Clients. 3. Mittels cscript scregedit.wsf /ar /v und cscript scregedit.wsf /cs /v können Sie sich den aktuellen Eintrag anzeigen lassen.
72
Remoteverwaltung eines Core-Servers
Ereignisanzeige auf einem Core-Server anzeigen Um sich die Ereignisanzeige auf einem Core-Server anzeigen zu lassen, können Sie sich entweder von einem normalen Server aus mit der Ereignisanzeige des Core-Servers verbinden oder Sie lassen sich die Ereignisanzeige in der Befehlszeile des Servers anzeigen. Über den Befehl wevtutil el rufen Sie eine Liste der Ereignisanzeigen auf. Um sich Informationen anzeigen zu lassen, stehen Ihnen folgende Möglichkeiten zur Verfügung: Um sich den Inhalt eines Protokolls anzeigen zu lassen, verwenden Sie den Befehl wevtutil qe /f:text . Da normalerweise in einem Protokoll zahlreiche Einträge erstellt werden, können Sie mit der zusätzlichen Option |more durch die Anzeige scrollen.
73
3
Active Directory installieren
In diesem Kapitel gehe ich auf die neuen Active Directory-Funktionen im Einsatz mit Windows Server 2008 ein. Die Funktion eines Domänen-Controllers wird in Windows Server 2008 durch die neuen Active Directory-Domänendienste dargestellt.
3.1
Vorbereitungen für Active Directory
Der erste Schritt bei der Installation von Active Directory besteht darin, den Namen des Servers festzulegen und den NetBIOS-Namen und das DNS-Suffix des ersten Domänen-Controllers so zu wählen, wie später die Active Directory-Domäne benannt werden soll. Konfigurieren Sie daher zunächst über SYSTEMSTEUERUNG • SYSTEM • ERWEITERTE SYSTEMEINSTELLUNGEN, Registerkarte COMPUTERNAME, Schaltfläche ÄNDERN den NetBIOS-Namen des neuen Domänen-Controllers, zum Beispiel dc01. Klicken Sie dann in diesem Fenster auf die Schaltfläche WEITERE und geben Sie das DNS-Suffix des Servers an. Geben Sie an dieser Stelle den exakten DNS-Namen an, den Ihre Active Directory-Domäne später erhalten soll, zum Beispiel contoso.com.
75
Kapitel 3 Active Directory installieren
Abbildung 3.1: Definieren des Computernamens und des DNS-Suffixes eines DomänenControllers
Der vollständige Name des Servers (FQDN) setzt sich aus dem Computernamen und dem primären DNS-Suffix zusammen. Der vollständige Computername des Domänen-Controllers lautet in unserem Beispiel somit dc01.contoso.com. Nachdem Sie die Änderungen vorgenommen haben, müssen Sie den Server neu starten.
3.1.1
Konfigurieren der IP-Einstellungen des Servers
Haben Sie den vollständigen Computernamen festgelegt, sollten Sie als Nächstes die IP-Einstellungen des Servers anpassen. Wichtig ist an dieser Stelle, dass Sie die lokale IP-Adresse des Servers als primären DNS-Server festlegen. Da dieser Server der erste Domänen-Controller des neuen Active Directory werden soll, wird er auch der erste DNS-Server. Die IP-Einstellungen für Netzwerkverbindungen erreichen Sie über den Link NETZWERKVERBINDUNGEN VERWALTEN im Netzwerk- und Freigabecenter. Am schnellsten gelangen Sie an diese Konfiguration über START • AUSFÜHREN • NCPA.CPL.
76
Vorbereitungen für Active Directory
Abbildung 3.2: Verwalten der Netzwerkverbindungen über »Netzwerk- und Freigabecenter«
Rufen Sie die Eigenschaften des IPv4-Protokolls auf, um die IP-Einstellungen für die Domäne vorzunehmen. Tragen Sie in den Eigenschaften des IP-Protokolls die IP-Adresse des Servers als bevorzugten DNS-Server ein. Da ein DNS-Server vom Client nur über die IP-Adresse und nicht über den Namen gefunden wird, sollte ein DNS-Server immer mit einer statischen IP-Adresse konfiguriert werden. An dieser Stelle müssen Sie noch keinen alternativen DNS-Server eintragen. Der alternative DNS-Server wird erst von einem Client befragt, wenn der bevorzugte DNS-Server nicht mehr antwortet. Wählen Sie eine beliebige IP-Adresse, die sich im Subnetz der Testumgebung befindet.
77
Kapitel 3 Active Directory installieren
Abbildung 3.3: Konfigurieren derIP-Einstellungen
Erweiterte Netzwerkeinstellungen für die Domänenaufnahme Über die Schaltfläche ERWEITERT erreichen Sie weitere Einstellungen, um die Namensauflösung per DNS oder WINS im Netzwerk einzustellen. Normalerweise werden Sie hier keine Einstellungen vornehmen müssen, da bereits die Standardeinstellungen ausreichen. Für manche Netzwerke kann jedoch eine Anpassung sinnvoll sein. Ob dies für Sie erforderlich ist, erfahren Sie auf den folgenden Seiten. Wenn Sie die erweiterten Einstellungen anpassen, sollten Sie darauf achten, sich die Standardeinstellungen zu notieren, da diese später nicht einfach nachzuvollziehen sind, falls Sie erneut Änderungen vornehmen müssen. Auf der Registerkarte WINS können Sie einen WINS-Server eintragen, sofern Sie einen solchen im Netzwerk betreiben. WINS steht für Windows Internet Name Service und ist der Vorgänger der dynamischen DNS-Aktualisierung. Während DNS für die Namensauflösung mit vollqualifizierten Domänennamen zuständig ist, werden mit WINS NetBIOS-Namen aufgelöst. Auf den Arbeitsstationen können Sie diese Einstellungen auch mit Hilfe eines DHCP-Servers verteilen. Ich beschreibe die Installation eines solchen Servers im Anschluss an die Erstellung des Active Directory.
78
Vorbereitungen für Active Directory
Auf der Registerkarte DNS werden schließlich notwendige Einstellungen vorgenommen, um Windows Server 2008 besser in eine Windows-Domäne einzubinden. Für eine generelle Aufnahme von Windows Vista oder Windows Server 2008 in eine Domäne sind hier keine Änderungen vorzunehmen. Auf den folgenden Seiten erfahren Sie jedoch an Hand von Beispielen, wann hier Änderungen sinnvoll sein können. Zunächst sind standardmäßig immer nur die folgenden Optionen bzw. Kontrollkästchen aktiviert: 왘
Primäre und verbindungsspezifische DNS-Suffixe anhängen
왘
Übergeordnete Suffixe des primären DNS-Suffixes anhängen
왘
Adressen dieser Verbindung in DNS registrieren
Abbildung 3.4: Erweiterte DNS-Einstellungen für Windows Server 2008
Die einzelnen Optionen spielen bei der Namensauflösung in einer DNS-Infrastruktur eine erhebliche Rolle: PRIMÄRE UND VERBINDUNGSSPEZIFISCHE DNS-SUFFIXE ANHÄNGEN – Durch die Aktivierung dieser Option wird festgelegt, dass der Rechner versucht, bei der Auflösung von Rechnernamen immer automatisch das konfigurierte primäre DNSSuffix des eigenen Computernamens anzuhängen. Wollen Sie zum Beispiel einen Rechnernamen mit der Bezeichnung dc01 auflösen, versucht der Rechner eine Namensauflösung nach dc01.contoso.com, falls das primäre DNS-Suffix des Servers contoso.com ist.
79
Kapitel 3 Active Directory installieren
ÜBERGEORDNETE SUFFIXE DES PRIMÄREN DNS-SUFFIXES ANHÄNGEN – Diese Option bedeutet, dass auch die Namen von übergeordneten Domänen bei der Namensauflösung verwendet werden. Wenn Sie zum Beispiel in einer untergeordneten Domäne mit der Bezeichnung muenchen.de.contoso.com einen Servernamen dc05 auflösen wollen, versucht der Rechner zunächst die Auflösung über dc05.muenchen.de.contoso.com, falls dies das primäre DNS-Suffix des PC oder Servers ist. Im Anschluss wird versucht, den Namen über dc05.de.contoso.com und dann über dc05.contoso.com aufzulösen, da diese Domänen der Domäne muenchen.de.contoso.com übergeordnet sind. DNS-SUFFIX FÜR DIESE VERBINDUNG – Zusätzlich haben Sie noch die Möglichkeit, in diesem Bereich ein weiteres beliebiges DNS-Suffix einzutragen. Wenn der Rechner den eingegebenen Namen bei seinem konfigurierten DNS-Server nicht über sein eigenes primäres DNS-Suffix finden kann, versucht er es mit dem DNSSuffix in diesem Feld. Wollen Sie zum Beispiel den Servernamen dc06 auflösen, versucht der Computer zunächst die Auflösung in dc06.contoso.com, sofern dies sein primäres DNS-Suffix ist. Tragen Sie im Feld DNS-SUFFIX für diese Verbindung noch ein Suffix in der Form muenchen.de.microsoft.com ein, versucht der PC, auch den Namen nach dc06.muenchen.de.microsoft.com aufzulösen. Außerdem haben Sie durch diese Funktion die Möglichkeit, mehrere DNS-Suffixe zu verwenden, sofern Sie im Server verschiedene Netzwerkkarten betreiben. ADRESSEN DIESER VERBINDUNG IN DNS REGISTRIEREN – Auch diese Option ist bereits standardmäßig aktiviert. DNS-Server ab Windows Server 2000 haben die Möglichkeit, Einträge dynamisch zu registrieren. Durch dieses dynamische DNS müssen Hosteinträge nicht mehr manuell durchgeführt werden. Sobald sich ein Rechner im Netzwerk anmeldet, versucht er, seinen FQDN beim konfigurierten DNS-Server automatisch einzutragen, sofern diese Option nicht deaktiviert wurde. Dieser Punkt ist für die interne Namensauflösung in einem Active Directory-Netzwerk von sehr großer Bedeutung. Außer den standardmäßig aktivierten Optionen gibt es noch weitere Einstellungen, die Sie in diesem Fenster konfigurieren können: DIESE DNS-SUFFIXE ANHÄNGEN – Wenn Sie diese Option aktivieren, können Sie DNS-Suffixe konfigurieren, mit denen unvollständige Rechnernamen aufgelöst werden. Aktivieren Sie diese Option, werden weder das primäre DNS-Suffix des Servers noch die DNS-Suffixe dieser Verbindung verwendet. Es werden die DNSSuffixe in der Reihenfolge angehängt, die im Feld DIESE DNS-SUFFIXE ANHÄNGEN (IN REIHENFOLGE) konfiguriert sind. Achten Sie bei der Konfiguration darauf, dass möglichst das DNS-Suffix der Windows-Domäne, in der dieser Server Mitglied ist oder werden soll, als erstes in dieser Liste eingetragen ist. Diese Option wird häufig benutzt, um die Namensauflösung in Gesamtstrukturen mit mehreren Strukturen zu vereinfachen. Dazu werden in der Reihenfolge alle Strukturen der Gesamtstruktur eingetragen, um eine Namensauflösung innerhalb des Active Directory zu gewährleisten. Vor allem beim Einsatz von Exchange Servern ist 80
Vorbereitungen für Active Directory
diese Option sehr nützlich, wenn die Exchange Server über mehrere Strukturen und Domänen verteilt sind. Standardmäßig ist diese Option nicht aktiviert. DNS-SUFFIX DIESER VERBINDUNG IN DNS-REGISTRIERUNG VERWENDEN – Wenn Sie dieses Kontrollkästchen aktivieren, wird der Server im DNS mit seinem Computernamen und seinem primären DNS-Suffix registriert, also seinem FQDN (Fully Qualified Domain Name). Zusätzlich wird der Name mit dem DNS-Suffix auch beim DNS-Server registriert, das im Bereich DNS-SUFFIX FÜR DIESE VERBINDUNG konfiguriert ist. Diese Option ist ebenfalls nicht standardmäßig aktiviert. Falls Sie schnell und effizient Servernamen in verschiedenen DNS-Zonen auflösen wollen, aktivieren Sie auf den Computern in den IP-Einstellungen über die Schaltfläche ERWEITERT auf der Registerkarte DNS die Option DIESE DNS-SUFFIXE ANHÄNGEN (IN REIHENFOLGE). Tragen Sie als Nächstes zuerst den Namensraum der eigenen Struktur ein und hängen Sie danach die Namensräume der anderen Strukturen an. Zweck dieser Konfiguration ist die schnelle Auflösung von Servern in den anderen Strukturen. Wenn Sie zum Beispiel den DomänenController dc1 in der Struktur contoso.com auflösen wollen, müssen Sie stets dc1.contoso.com eingeben, falls Ihr Server nicht Mitglied dieser Struktur ist. Diese Einstellung ist optional, erleichtert aber die Stabilität der Namensauflösung in Ihrem Active Directory. Sie sollten diese Einstellung auf jedem Domänen-Controller sowie auf jedem Exchange Server in Ihrer Gesamtstruktur durchführen sowie auf PCs von Administratoren oder Power Usern, die ständig Verbindung zu anderen Domänen aufbauen müssen. Zuerst sollte immer die eigene Domäne und der eigene Namensraum eingetragen werden, bevor andere Namensräume abgefragt werden. Haben Sie diese Maßnahme durchgeführt, können Sie mit Nslookup den Effekt überprüfen, allerdings erst dann, wenn das Active Directory installiert wurde. Sie können an dieser Stelle lediglich dc1 eingeben. Der Server befragt seinen bevorzugten DNS-Server, ob ein Server mit dem Namen dc1.microsoft.com gefunden wird, wenn es sich hierbei um Ihr primäres DNS-Suffix handelt. Da dieser Server unter Umständen in dieser Domäne nicht vorhanden ist, wird der nächste Namensraum abgefragt. Das ist in diesem Beispiel contoso.com. Viele Administratoren tragen auf ihrem DNS-Server einfach einen neuen statischen Hosteintrag ein, der auf die IP-Adresse des Servers des anderen Namensraumes zeigt. Diese Vorgehensweise ist aber nicht richtig, auch wenn sie grundsätzlich funktioniert. Es wird in diesem Fall nämlich nicht der korrekte DNS-Name des entsprechenden Servers zurückgegeben, sondern der Servername mit der Zone des DNS-Servers, in die der Server als Host eingetragen wurde. Vor allem in größeren Active Directorys sollten Administratoren darauf achten, die Konfigurationen so vorzunehmen, dass sie auch formal korrekt sind. Das hilft oft, unbedachte Probleme zu vermeiden. Wenn Sie zum Beispiel in der Zone microsoft.com einen neuen Eintrag dc1 für den Domänen-Controller dc1.contoso.com erstellen, der auf die IPAdresse des Servers verweist, wird der Name als dc1.microsoft.com aufgelöst,
81
Kapitel 3 Active Directory installieren
obwohl der eigentliche Name des Servers dc1.contoso.com ist. Dadurch funktioniert zwar die Auflösung, aber es wird ein falscher Name zurückgegeben.
3.2
DNS in Windows Server 2008 installieren und verwalten
Der Assistent für die Installation von Active Directory kann zwar auch im Rahmen der Einrichtung die DNS-Funktionalität installieren und konfigurieren, allerdings ist diese Vorgehensweise nicht optimal. Besser ist es, DNS getrennt und vor dem Active Directory zu installieren und zu konfigurieren.
3.2.1
DNS-Rolle installieren
Um DNS auf einem Windows Server 2008 zu installieren, starten Sie den ServerManager und klicken auf ROLLEN. Klicken Sie anschließend auf den Link ROLLE HINZUFÜGEN und wählen Sie die Rolle DNS-SERVER aus. Klicken Sie diese Option bitte an und lassen Sie die notwendigen Komponenten installieren. Nach der Installation müssen Sie den Server nicht neu starten.
Abbildung 3.5: Installieren der DNS-Rolle auf einem Server
82
DNS in Windows Server 2008 installieren und verwalten
Nach der Installation finden Sie das Verwaltungsprogramm für den DNS-Server unter START • VERWALTUNG • DNS. Wenn Sie die Verwaltung starten, sehen Sie zunächst die Einträge, die Sie an dieser Stelle zur Verwaltung verwenden: 왘
Globale Protokolle und die DNS-Ereignisanzeige
왘
Forward-Lookupzonen
왘
Reverse-Lookupzonen
왘
Bedingte Weiterleitungen
Standardmäßig werden Sie mit dem lokal installierten DNS-Server verbunden. Erstellen Sie später eine einheitliche Managementkonsole (MMC), können Sie die Verwaltung mehrerer DNS-Server in Ihrem Unternehmen an einer Stelle verbinden. Klicken Sie mit der rechten Maustaste in der Konsole auf den Eintrag DNS, können Sie sich mit weiteren DNS-Servern verbinden. Für die Testumgebung werden diese Schritte nicht benötigt. Mit den Knoten FORWARD-LOOKUPZONEN und REVERSE-LOOKUPZONEN werden die Zonen angelegt, die das Active Directory für seinen Betrieb benötigt. Im Knoten GLOBALE PROTOKOLLE finden Sie das gleiche Protokoll wie in der Ereignisanzeige des Servers. Über BEDINGTE WEITERLEITUNGEN können Sie Anfragen zu bestimmten DNS-Zonen an fest definierte DNS-Server weiterleiten. Unter Windows Server 2003 war diese Einstellung noch über die Eigenschaften des DNS-Servers verfügbar.
3.2.2
Erstellen der notwendigen DNS-Zonen für das Active Directory
Der nächste Schritt zur Erstellung eines Active Directory besteht in der Erstellung der neuen Zonen, welche die DNS-Domänen des Active Directory verwalten. Starten Sie die DNS-Verwaltung. Erstellen einer Forward-Lookupzone Die erste und wichtigste Zone, die Sie auf einem DNS-Server erstellen, ist die Forward-Lookupzone der ersten Domäne des Active Directory. Diese enthält die Informationen für die Zuordnung von Namen zu IP-Adressen. Klicken Sie dazu in der Managementkonsole mit der rechten Maustaste auf den Eintrag FORWARDLOOKUPZONEN und wählen Sie im Kontextmenü den Befehl NEUE ZONE aus. Es startet daraufhin der Assistent zum Erstellen neuer Zonen. Im nächsten Fenster können Sie festlegen, welche Art Zone Sie erstellen möchten. Wählen Sie die Option PRIMÄRE ZONE aus. Beim Erstellen neuer Zonen im Active Directory werden ausschließlich primäre Zonen benötigt. Eine sekundäre Zone kann eingetragen werden, falls eine lokale Kopie einer DNS-Zone auf dem Server vorgehalten werden soll; der Inhalt der Zone wird dann automatisch von einem für die Zone zuständigen Server kopiert.
83
Kapitel 3 Active Directory installieren
Abbildung 3.6: Erstellen einer primären Forward-Lookupzone
Auf der nächsten Seite des Assistenten legen Sie den Namen der neuen Zone fest. Wird bereits ein Active Directory betrieben, kann auf einer vorhergehenden Registerkarte eingestellt werden, auf welche Server die Daten der neuen Zone repliziert werden sollen. Hier ist es wichtig, dass Sie als Zonennamen exakt den Namen wählen, den Sie zuvor als DNS-Suffix des Servers eingetragen haben. Das DNS-Suffix des Domänen-Controllers wird später in dieser Zone integriert und die erste Active Directory-Domäne speichert ihre SRV-Records ebenfalls in dieser Domäne. In diesem Beispiel lautet die Zone contoso.com. Im Anschluss erscheint das Fenster, in dem Sie die Erstellung einer neuen Datei für die Zone bestätigen müssen. Sie könnten an dieser Stelle den Namen der Datei zwar ändern, sollten ihn aber möglichst immer so belassen, wie er festgelegt wurde.
Abbildung 3.7: Festlegen des Zonennamens für die neue Domäne
Im nächsten Fenster legen Sie die dynamischen Updates der DNS-Zone fest. DNSServer unter Windows Server 2008 arbeiten mit dynamischen Updates. Das heißt, alle Servernamen und IP-Adressen sowie die SRV-Records des Active Directory
84
DNS in Windows Server 2008 installieren und verwalten
werden von dem jeweiligen System automatisch in diese Zone eingetragen. Ohne dynamische Updates können Sie in einer Zone kein Active Directory integrieren. Der Installationsassistent des Active Directory muss in einer Zone Dutzende Einträge automatisch durchführen können. Aktivieren Sie daher im Fenster die Option NICHT SICHERE UND SICHERE DYNAMISCHE UPDATES ZULASSEN. Sichere Updates können Sie nach der Erstellung des Active Directory konfigurieren. Vor der Installation ist diese Einstellung deaktiviert.
Abbildung 3.8: Festlegen der Optionen zur automatischen Aktualisierung der Zone
Im Anschluss erhalten Sie nochmals eine Zusammenfassung Ihrer Angaben. Danach wird die Zone erstellt und in der MMC angezeigt. Innerhalb der Zone sollte bereits der lokale Server als Host (A) mit seiner IP-Adresse registriert sein. Diese Registrierung findet nur statt, sofern das primäre DNS-Suffix des Servers mit der erstellten Zone übereinstimmt und die dynamische Aktualisierung zugelassen wurde. In den IP-Einstellungen des Servers muss außerdem der DNS-Server eingetragen sein, der die Zone verwaltet. Erstellen einer Reverse-Lookupzone Im Anschluss an die Forward-Lookupzone sollten Sie eine Reverse-Lookupzone erstellen. Diese Zone ist dafür zuständig, IP-Adressen in Rechnernamen zu übersetzen. Diese Zonen werden zwar für den stabilen Betrieb eines Active Directory nicht zwingend benötigt, gehören aber dennoch zu einer ordentlichen Namensauflösung im Netzwerk. Klicken Sie mit der rechten Maustaste auf den Knoten REVERSE-LOOKUPZONE und wählen Sie im Kontextmenü den Befehl NEUE ZONE aus. Auf der ersten Seite des Assistenten wählen Sie wieder die Option PRIMÄRE ZONE. Auf der nächsten Seite können Sie festlegen, ob Sie eine IPv4- oder eine IPv6-Reverse-Lookupzone anlegen wollen. Da Windows Server 2008 neben IPv4 auch IPv6 unterstützt, wird dieses neue Dialogfeld eingeblendet. In den meisten Netzwerken wird derzeit noch ausschließlich mit IPv4 gearbeitet. Aus diesem Grund sollten Sie bei einer Testumgebung auch eine IPv4-Reverse-Lookupzone anlegen. Legen Sie auf der nächsten Seite des Assistenten den IP-Bereich fest, der durch diese Zone verwaltet werden soll. Tragen Sie zur Definition des IP-Bereichs unter NETZWERKKENNUNG den IP-Bereich ein, den Sie verwalten wollen. Für jeden eigenständigen IP-Bereich müssen Sie eine eigene Zone anlegen. Falls Sie ein B-Klasse-Netz (Subnetzmaske 255.255.0.0) verwalten, können Sie auch einfach
85
Kapitel 3 Active Directory installieren
die letzte Stelle leer lassen. Hat sich bei einer Zone, die Sie für die Netzwerkkennung 10.0. konfiguriert haben, ein Server mit der IP-Adresse 10.0.1.20 registriert, legt der DNS-Server automatisch einen Ordner 1 unter der Zone 10.0 an. In diesem Ordner wird der Hosteintrag des Servers registriert. Alle weiteren IP-Adressen, wie zum Beispiel 10.0.2.20, werden ebenfalls automatisch als neuer Ordner angelegt. Sie müssen daher bei einem B-Klasse-Netzwerk nicht manuell für jedes Unternetz eine eigene Zone anlegen. Nur wenn sich der IP-Bereich vollständig unterscheidet, zum Beispiel 192.168. und 10.1., müssen Sie zwei getrennte Zonen anlegen. Auf der nächsten Seite des Assistenten legen Sie den Zonennamen fest. Danach müssen Sie die dynamischen Updates zulassen und die Zusammenfassung bestätigen. Als Nächstes wird die neue Zone erstellt. Hat sich der Server noch nicht automatisch registriert, können Sie über die Eingabe des Befehls ipconfig /registerdns in der Befehlszeile die dynamische Registrierung anstoßen. Danach sollte die IP-Adresse des Servers in der Zone registriert sein. Überprüfung und Fehlerbehebung der DNS-Einstellungen Bevor Sie Active Directory auf dem Server installieren, sollten Sie sicherstellen, dass alle DNS-Einstellungen korrekt vorgenommen wurden. Überprüfen Sie, ob sich der Server sowohl in der Forward- als auch in der Reverse-Lookupzone korrekt eingetragen hat. Öffnen Sie danach eine Befehlszeile und geben Sie den Befehl nslookup ein. Die Eingabe des Befehls darf keinerlei Fehlermeldungen verursachen. Es müssen der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden. Sollte das nicht der Fall sein, gehen Sie Schritt für Schritt vor, um den Fehler einzugrenzen: 1. Sollte ein Fehler erscheinen, versuchen Sie es einmal mit dem Befehl ipconfig / registerdns in der Befehlszeile. 2. Sollte der Fehler weiterhin auftreten, überprüfen Sie, ob das primäre DNSSuffix auf dem Server mit dem Zonennamen übereinstimmt. 3. Stellen Sie als Nächstes fest, ob die IP-Adresse des Servers stimmt und der Eintrag des bevorzugten DNS-Servers auf die IP-Adresse des Servers zeigt. 4. Überprüfen Sie in den Eigenschaften der Zone, ob diese die dynamische Aktualisierung zulässt und ändern Sie gegebenenfalls die Einstellung, damit die Aktualisierung stattfinden kann. Die Eigenschaften der Zonen erreichen Sie, wenn Sie mit der rechten Maustaste auf die Zone klicken und die Eigenschaften auswählen. 5. Treten keine Fehler auf, können Sie mit der Erstellung des Active Directory auf diesem Server beginnen.
86
Installation der Active Directory-Domänendienste-Rolle
3.3
Installation der Active DirectoryDomänendienste-Rolle
Nachdem Sie diese Vorbereitungen getroffen haben, können Sie das Active Directory auf dem Server installieren. Dazu stehen Ihnen zwei Möglichkeiten zur Verfügung.
3.3.1
Installation von Active Directory über den Server-Manager
Starten Sie bitte den Server-Manager und klicken Sie in der Konsolenstruktur auf ROLLEN und dann im rechten Fensterbereich auf den Link ROLLEN HINZUFÜGEN. Im Anschluss startet der Assistent zum Hinzufügen neuer Rollen. Bestätigen Sie das Startfenster des Assistenten. Auf der nächsten Seite wählen Sie bitte die Rolle ACTIVE DIRECTORY-DOMÄNENDIENSTE aus. Diese Maßnahme entspricht dem Befehl dcpromo von Windows Server 2003. Ich komme bei der Installation eines zusätzlichen Domänen-Controllers noch auf diese Möglichkeit zurück.
Abbildung 3.9: Auswählen und installieren der Rolle Active Directory-Domänendienste
87
Kapitel 3 Active Directory installieren
Klicken Sie zur Installation der Rolle auf WEITER. Es erscheint ein neues Fenster mit Hinweisen zu Active Directory, welches Sie ebenfalls mit WEITER bestätigen können. Auf der nächsten Seite des Assistenten starten Sie über die Schaltfläche INSTALLIEREN die Installation der Rolle auf dem Server. Nach kurzer Zeit ist die Installation der Rolle abgeschlossen. An dieser Stelle sind noch keine Konfigurationen für die Domäne durchgeführt worden, sondern Sie haben lediglich die notwendigen Dateien zur Erstellung eines Active Directory auf dem Server installiert. Klicken Sie im Server-Manager unter ROLLEN • ACTIVE DIRECTORY-DOMÄNENDIENSTE in der Mitte der Konsole auf den Link FÜHREN SIE DEN ASSISTENTEN ZUM INSTALLIEREN VON ACTIVE DIRECTORY-DOMÄNENDIENSTEN (DCPROMO.EXE) AUS. Dieser Link startet den gleichen Assistenten, den Sie auch (wie unter Windows Server 2003) über START • AUSFÜHREN • DCPROMO starten können. Erst durch die Ausführung dieses Assistenten werden der Server zum Domänen-Controller heraufgestuft und die Daten für das Active-Directory angelegt. Beim Aufrufen wird die Rolle ACTIVE DIRECTORY-DOMÄNENDIENSTE automatisch nachinstalliert, falls sich die entsprechenden Dateien noch nicht auf dem Server befinden.
Abbildung 3.10: Starten des Assistenten für die Installation von Active Directory
Installieren Sie das Active Directory über den bekannten Weg in der Befehlszeile mit dcpromo, ist der Ablauf für die Einrichtung von Active Directory, der nachfolgend beschrieben wird, identisch mit der Einrichtung über den Server-Manager. Fortgeschrittene Benutzer werden den Weg über dcpromo bevorzugen. Es ist also nicht zwingend notwendig, vor der Ausführung von dcpromo die Rolle ACTIVE DIRECTORY-DOMÄNENDIENSTE zu installieren. Aktivieren Sie bitte das Kontrollkästchen INSTALLATION IM ERWEITERTEN MODUS VERWENDEN, damit Sie alle notwendigen Einstellungen für Ihre Domäne konfigurieren können.
88
Installation der Active Directory-Domänendienste-Rolle
Abbildung 3.11: Beim Starten des Assistenten für die Erstellung von Active Directory kann der erweiterte Modus aktiviert werden.
Wird dcpromo über die Befehlszeile gestartet, kann mit der Option dcpromo /adv gleich in den erweiterten Modus gewechselt werden. Durch die Aktivierung des erweiterten Modus können Sie mit dem Assistenten noch folgende Funktionen einstellen: 왘
Erstellen von neuen Domänenstrukturen
왘
Verwenden eines Sicherungsmediums für die Replikation von Active Directory, um Netzwerkverkehr im WAN zu sparen
왘
Auswählen des Quell-Domänen-Controllers für die Installation
왘
Anpassen des NetBIOS-Namens der Domäne
왘
Konfigurieren der Richtlinien für die Kennwortreplikation für schreibgeschützte Domänen-Controller (neu in Windows Server 2008)
Auf der nächsten Seite des Assistenten legen Sie fest, wie das Active Directory installiert werden soll. Da Sie die erste Domäne für Ihre Gesamtstruktur erstellen, wählen Sie die Option NEUE DOMÄNE IN NEUER GESAMTSTRUKTUR aus. Sie erstellen durch diese Auswahl eine neue Domäne sowie die dazugehörige Gesamtstruktur. Insgesamt gibt es im Active Directory die drei Container GESAMTSTRUKTUR, STRUKTUR und DOMÄNE.
89
Kapitel 3 Active Directory installieren
Abbildung 3.12: Installation von Active Directory unter Windows Server 2008
Active Directory-Gesamtstruktur (Forest) Ein Active Directory kann aus mehreren selbstständigen Domänen bestehen, die dennoch zu einer großen gemeinsamen Organisation, auch Gesamtstruktur genannt, gehören. Alle miteinander verbundenen Domänen einer Gesamtstruktur teilen sich eine Datenbank. Eine Gesamtstruktur (Forest) ist die Grenze des Verzeichnisdienstes eines Unternehmens, in dem einheitliche Berechtigungen vergeben und delegiert werden können. Für Anwender ändert sich beim Umgang mit der Domäne so gut wie nichts. Sie können mehrere Domänen in einer Gesamtstruktur hierarchisch aufbauen. Jede Domäne in einem Active Directory stellt eine eigene Partition im Verzeichnis dar. Jede Partition wird von unterschiedlichen Domänen-Controllern verwaltet. Die Partitionierung erfolgt automatisch. Domänenstrukturstamm (Tree) Domänen werden im Active Directory zu Strukturen (Trees) zusammengefasst. Eine Struktur muss über einen einheitlichen Namensraum verfügen. Heißt eine Struktur beispielsweise contoso.com, kann es innerhalb dieser Struktur weitere Einheiten geben, wie beispielsweise marketing .contoso.com, sales.contoso.com und dallas.sales.contoso.com. In einer Struktur werden automatisch gegenseitige Vertrauensstellungen zwischen den beteiligten Domänen erzeugt. Darüber hinaus kann in einer Struktur eine Suche über mehrere Domänen hinweg erfolgen. Eine Active Directory-Gesamtstruktur (Forest) kann aus mehreren Strukturen zusammengesetzt sein. Jede Gesamtstruktur besteht aus mindestens einer Struktur. Der ersten Domäne eines Active Directory kommt eine besondere Bedeutung
90
Installation der Active Directory-Domänendienste-Rolle
zu: Sie bildet die erste Struktur des Active Directory und ist gleichzeitig die Stamm-Domäne (Root-Domäne) der Gesamtstruktur. Planen Sie also ein Active Directory mit nur einer Domäne, so bildet diese Domäne die Gesamtstruktur: die erste und einzige Struktur sowie die Stamm-Domäne des Active Directory. Die Domänen einer Struktur teilen sich einen sogenannten Namensraum. Unter Windows NT hatten Domänen lediglich einen NetBIOS-Namen mit bis zu 15 Zeichen. Im Active Directory gibt es diese NetBIOS-Namen auch. Wichtiger sind jedoch die DNS-Namen, die jeder Domäne einem DNS-Namensraum eindeutig zuweisen. Als Struktur wird ein Namensraum bezeichnet, der vollkommen eigenständig ist. In der nächsten Abbildung bilden zum Beispiel die Domänen microsoft.com und de.microsoft.com jeweils eine eigenständige Domäne innerhalb derselben Struktur. Auch die Domänen contoso.com, sales.contoso.com und dallas.sales.contoso.com sind eine eigene Struktur. Die beiden Strukturen contoso.com und microsoft.com sind trotz ihrer vollständig eigenständigen Namensräume Teil einer gemeinsamen Active Directory-Gesamtstruktur. Jede Domäne kann beliebige untergeordnete Domänen (Child-Domänen genannt) haben, denen ebenfalls weitere Domänen untergeordnet werden. Alle Domänen eines Namensraums werden als eigenständige Struktur (auch Domänenstrukturstamm genannt) bezeichnet. Child-Domänen sind wie die übergeordneten Domänen vollkommen eigenständig, teilen sich jedoch einen Namensraum und eine Active Directory-Gesamtstruktur. Sie bilden jeweils eigene Partitionen im Active Directory, die durch getrennte DomänenController verwaltet werden.
Abbildung 3.13: Beispiel einer Gesamtstruktur
91
Kapitel 3 Active Directory installieren
In diesem Beispiel will ich aber zunächst eine Testumgebung mit einer neuen Gesamtstruktur aufbauen. Die weiteren Schritte bei diesem Aufbau beziehen sich daher auf diesen Bereich. Auf der nächsten Seite des Assistenten legen Sie den DNS-Namen der neuen Domäne fest. Tragen Sie hier genau den gleichen Namen ein, den Sie bereits beim primären DNS-Suffix des Domänen-Controllers verwendet haben, in diesem Beispiel also contoso.com.
Abbildung 3.14: Festlegen des DNS-Namens der Domäne
Im nächsten Fenster müssen Sie den NetBIOS-Namen der neuen Domäne festlegen. Dieser Name wird zum Beispiel in den Anmeldemasken und in den meisten Authentifizierungsfenstern verwendet. Sie sollten möglichst einen NetBIOSNamen wählen, der auch zum DNS-Namen passt, am besten den DNS-Namen ohne die letzte Endung, in diesem Beispiel also CONTOSO.
92
Installation der Active Directory-Domänendienste-Rolle
Abbildung 3.15: Festlegen des NetBIOS-Namens einer neuen Domäne
Auf der nächsten Seite des Assistenten legen Sie die Funktionsebene der Gesamtstruktur fest. Ein Active Directory kann unter verschiedenen Betriebsmodi betrieben werden, die sich jeweils für jede Domäne und jede einzelne Gesamtstruktur einstellen lassen: 왘
Betriebsmodus der einzelnen Domänen in der Gesamtstruktur
왘
Betriebsmodus der Gesamtstruktur
Während die Funktionsebene der Gesamtstruktur nur einmal verändert werden muss, müssen Sie für jede Domäne der Gesamtstruktur deren eigene Funktionsebene anpassen. Diese beiden Ebenen können unabhängig voneinander jeweils drei verschiedene Betriebsmodi annehmen. Diese drei Betriebsmodi haben keine Kompatibilitätsunterschiede für Mitgliedsserver oder PCs. Wichtig ist der Modus nur für die Domänen-Controller. Windows 2000 – In diesem Modus können nur noch Windows 2000-, Windows Server 2003- und Windows Server 2008-Domänen-Controller die Domäne verwalten. Es dürfen aber weiterhin Windows NT 4.0-Server als Mitglied betrieben werden. Ab diesem Modus können universelle Gruppen erstellt werden; die SID-History wird unterstützt. Bei der SID-History können den Benutzerkonten mehrere SIDs aus anderen Domänen zugeordnet werden. Sicherheitsgruppen können in diesem Modus zu Verteilergruppen umfunktioniert werden. Ab diesem Modus kann auch Exchange Server 2007 in der Domäne installiert werden.
93
Kapitel 3 Active Directory installieren
Windows Server 2003 – Ab diesem Modus können Domänen in der Gesamtstruktur umbenannt und umstrukturiert werden. Es können die Gesamtstruktur übergreifende Vertrauensstellungen erstellt werden. Sofern in einer Gesamtstruktur keine Windows 2000-Domänen-Controller unterstützt werden müssen, sollten Sie so schnell wie möglich die Funktionsebene der Domänen und der Gesamtstruktur auf den Windows Server 2003-Modus hochsetzen. Sie erhalten dadurch keinerlei Nachteile, eröffnen sich aber erst hierdurch die vollständigen Möglichkeiten von Active Directory. In diesem Modus werden schreibgeschützte Domänen-Controller (RODC) unterstützt, sofern sich der PDC-Emulator auf einem Domänen-Controller unter Windows Server 2008 befindet. Windows Server 2008 – Dieser Modus hat funktional keine großen Unterschiede zum Windows Server 2003-Modus. Allerdings wird durch die Auswahl dieses Modus sichergestellt, dass alle Domänen der Gesamtstruktur im Windows Server 2008-Modus betrieben werden. In diesem Modus werden Kennwortrichtlinien für mehrere Organisationseinheiten (OUs) unterstützt. Außerdem wird in diesem Modus zur Replikation des Sysvol-Verzeichnisses DFS genutzt, was wesentlich performanter und stabiler funktioniert. In diesem Modus kann auch der Kerberosverkehr mit AES 128 oder 256 verschlüsselt werden.
Abbildung 3.16: Festlegen der Funktionsebene der Gesamtstruktur
Auch später noch können Sie die Funktionsebene der Gesamtstruktur oder einzelner Domänen ändern, aber hierbei ist immer nur ein Wechsel in einem »höheren« Modus möglich.
94
Installation der Active Directory-Domänendienste-Rolle
Auf der nächsten Seite des Assistenten legen Sie fest, dass der Domänen-Controller auch zum DNS-Server konfiguriert wird. Der erste Domänen-Controller in der Gesamtstruktur sollte möglichst auch immer ein DNS-Server sein. Der neue Domänen-Controller wird darüber hinaus auch zwingend der erste globale Katalog-Server. Auf dieser Seite können Sie auch festlegen, ob ein Domänen-Controller zum Read-Only-Domänen-Controller (RODC) werden soll. Hierbei wird auf dem Domänen-Controller ein Replikat der Active Directory-Datenbank gespeichert, das keinerlei Änderungen akzeptiert. Zudem enthält die Datenbank aus Gründen der Sicherheit lediglich die Kennwörter ausgewählter Benutzer. Außerdem lässt sich die Berechtigung zur RODC-Verwaltung an einen beliebigen Domänenbenutzer delegieren, um beispielsweise Aktualisierungen von Gerätetreibern vor Ort rasch durchführen zu können. Der erste Domänen-Controller einer Gesamtstruktur kann nicht zum RODC konfiguriert werden; aus diesem Grund ist diese Option, genau wie die Auswahl zum globalen Katalog, deaktiviert. Ich komme bei der Integration eines zusätzlichen Domänen-Controllers noch auf dieses Thema zurück.
Abbildung 3.17: Konfiguration der Optionen für einen Domänen-Controller
Nachdem Sie die Installation des DNS-Servers ausgewählt haben, erscheint eine weitere Warnmeldung, die etwas verwirrend ist. Obwohl dem Server eine statische IP-Adresse zugewiesen wurde, erscheint die Meldung, dass eine dynamische IP-Adresse verwendet wird. Das liegt daran, dass für die IPv6-Verbindung meistens dynamische Einstellungen verwendet werden. Solange Sie der IPv4Verbindung eine statische Adresse zugewiesen haben, können Sie die Meldung mit JA bestätigen.
95
Kapitel 3 Active Directory installieren
Als Nächstes erscheint eine Meldung, dass bereits DNS installiert ist und der Assistent eine Delegierung für die DNS-Zone erstellen möchte. Diese Meldung erscheint allerdings nur dann, wenn Sie nicht, wie zuvor beschrieben, vor der Installation von Active Directory, die Rolle DNS-SERVER installiert haben und keine Zonen eingerichtet wurden. Diese Meldung besagt, dass der DNS-Server, den Sie in den IPEinstellungen konfiguriert haben, nicht in der Lage ist, die DNS-Zone der neuen Active Directory-Domäne aufzulösen. Da Sie derzeit den ersten DNS-Server und Domänen-Controller installieren, wird diese Zone natürlich zunächst erstellt. Aus diesem Grund erscheint die Meldung, die Sie bitte mit NEIN bestätigen. In diesem Fall übernimmt der Assistent nicht die Einrichtung des DNS-Servers, sondern integriert die Daten für das Active Directory direkt in diejenige Zone, die zuvor angelegt wurde.
Abbildung 3.18: Erstellen einer delegierten DNS-Zone für das Active Directory
Diese Meldung hat Ihren Ursprung bei der Erweiterung eines bestehenden Active Directory um zusätzliche Domänen. Wenn Sie eine untergeordnete Domäne erstellen wollen, zum Beispiel die Domäne de unterhalb der Domäne contoso.com, haben Sie zwei Möglichkeiten, die Namensauflösung und das DNS-Konzept zu erstellen. Sie können auf den primären DNS-Servern der Zone contoso.com eine Unterdomäne de erstellen. In diesem Fall wird die neue Domäne unterhalb der Domäne contoso.com angezeigt. Alle DNS-Server, welche die Zone contoso.com verwalten, sind auch für die Domäne de.contoso.com zuständig. Haben Sie die neue Domäne erstellt, müssen Sie als Nächstes auf dem ersten Domänen-Controller der neuen
96
Installation der Active Directory-Domänendienste-Rolle
untergeordneten Domäne in den IP-Einstellungen den DNS-Server der Hauptzone eintragen. Wenn sich die Domäne in einer anderen Niederlassung befindet, können Sie nach der Erstellung der neuen untergeordneten Domäne die Einstellungen auf den lokalen DNS-Server umstellen. Da bei den meisten Active Directorys die DNS-Zonen im Active Directory integriert sind, können Sie vor dem Heraufstufen eines Domänen-Controllers diesen noch nicht zum DNS-Server innerhalb eines Active Directory konfigurieren. Erstellen Sie eine neue untergeordnete Domäne, und ist in den IP-Einstellungen des neuen Domänen-Controllers der DNS-Server der Hauptzone eingetragen, so können Sie nach der Heraufstufung die komplette Zone zum DNS-Server in der untergeordneten Domäne replizieren. Vor allem bei größeren Unternehmen kann die Erstellung von untergeordneten DNS-Domänen Probleme bereiten. Wenn zum Beispiel in der Zentrale in Dallas die Root-Domäne contoso.com verwaltet werden soll, aber die Administratoren in der deutschen Domäne de diese Zone aus Sicherheitsgründen nicht verwalten sollen, sondern nur ihre eigene, so können Sie nicht einfach eine Unterdomäne anlegen, da sonst jeder Administrator eines DNS-Servers Änderungen in der gesamten Zone vornehmen könnte. Durch falsche Änderungen kann hierdurch ein weltweites Active Directory schnell außer Funktion gesetzt werden. Aus diesem Grund hat Microsoft in seinen DNS-Servern die Delegation von Domänen integriert. Gehen Sie dazu folgendermaßen vor: Auf dem DNS-Server der neuen untergeordneten Domäne wird eine eigene Zone de.contoso.com angelegt und konfiguriert. Zukünftig verwalten die Administratoren der Domäne de ihre eigene Zone de.contoso.com. Damit die DNS-Server und Domänen-Controller der restlichen Niederlassungen ebenfalls eine Verbindung zu der Zone de.contoso.com aufbauen können, wird in der Hauptzone contoso.com eine sogenannte Delegation eingerichtet, in der festgelegt wird, dass nicht die DNS-Server der Zone contoso.com für die Domäne de.contoso.com zuständig sind, sondern die DNS-Server der Niederlassung in Deutschland. Durch diese Konfiguration können weiterhin alle Namen aufgelöst werden; aber die Administratoren der Niederlassungen können nur ihre eigenen Zonen verwalten und nicht die Zonen der anderen Niederlassungen. Nachdem Sie die Delegation eingerichtet haben, wird die Zone unterhalb der Hauptzone als delegiert angezeigt. Dieser DNS-Server ist nun nicht mehr für diese Zone verantwortlich, kann aber Namen in der Domäne durch die Delegation auflösen, indem er Anfragen an die DNS-Server weiterleitet, die in der Delegation angegeben sind.
97
Kapitel 3 Active Directory installieren
Auf Dauer kann diese Konfiguration allerdings kompliziert werden. Einfacher ist es deshalb, innerhalb eines Namensraumes möglichst alle neuen Domänen als Unterdomänen anzulegen. Stellen Sie bei der Replikation der Hauptzone ein, dass diese Zone auf alle DNS-Server des Active Directory repliziert wird. Dadurch ist sichergestellt, dass in jeder Niederlassung alle notwendigen Server aufgelöst werden können. Sie ersparen sich dadurch komplizierte Verwaltungsvorgänge. Wenn jedoch in den Niederlassungen Administratoren sitzen, die ihre eigenen Domänen verwalten sollen, so arbeiten Sie bitte mit der Delegation. Wenn Sie die delegierte Domäne eingeben, müssen Sie nur die neue Zone eingeben, also in diesem Fall de. Der restliche Domänenname, also hier contoso.com, wird durch den Assistenten automatisch eingerichtet. Geben Sie bitte auf der letzten Seite des Assistenten die IP-Adresse des DNS-Servers ein, der zukünftig diese Zone verwalten soll. Sie können jederzeit in den Zoneneinstellungen zusätzliche DNS-Server für die Zone eintragen. Nachdem die Delegation erstellt wurde, können alle PCs und Server, die den DNS-Server der Hauptzone abfragen, auch die Namen der Server in den untergeordneten Zonen auflösen. Sobald der DNS-Server der Zone contoso.com eine Anfrage für die Domäne de.contoso.com erhält, leitet er diese Abfrage an die DNSServer weiter, die in der Delegation hinterlegt sind. Die Zone de.contoso.com wird auf den DNS-Servern, welche die Zone verwaltet, genau so verwaltet wie die Zone contoso.com auf dem Haupt-DNS-Server. Die Delegation auf den DNS-Servern der Zone contoso.com hat keinerlei Auswirkungen auf die Verwaltung der Zone de.contoso.com. Die Delegation ist quasi nur eine Verknüpfung zu den DNSServern in der Zone de.contoso.com. In der Ansicht der DNS-Verwaltung auf den DNS-Servern von contoso.com werden die Delegationen grau angezeigt. Delegationen können jederzeit gelöscht und erneut angelegt werden, da sie keinerlei Auswirkungen auf die Zone haben, zu der sie delegiert sind. In einem eigenen Fenster werden Sie gefragt, ob in der übergeordneten DNS-Zone (dies ist in unserem Beispiel die .com-Zone) eine Delegation zur aktuellen Domäne durchgeführt werden soll. Dies spielt nur bei der Installation von untergeordneten Domänen eine Rolle. Da Sie die erste Domäne in der Gesamtstruktur erstellen, können Sie an dieser Stelle die Option NEIN, KEINE DNS-DELEGIERUNG ERSTELLEN auswählen. In diesem Fall erstellt der Assistent die notwendigen Daten in der Zone, die Sie erstellt haben. Im nächsten Fenster legen Sie den Speicherort der Datenbank und der Protokolle fest, die das Active Directory zum Speichern der Informationen benötigt. Sie sollten hier den Ordner an der Stelle, die vorgeschlagen wird, belassen. Im Anschluss müssen Sie noch den Ordner festlegen, der als netlogon- und sysvol-Freigabe verwendet wird. In diesem Ordner werden die Anmeldeskripte und später die Gruppenrichtlinien gespeichert. Belassen Sie auch an dieser Stelle den Standardpfad.
98
Installation der Active Directory-Domänendienste-Rolle
Abbildung 3.19: Festlegen des Speicherortes für die Active DirectoryDatenbank und das SYSVOL-Verzeichnis
Im nächsten Fenster legen Sie das Kennwort für den Verzeichnisdienstwiederherstellungsmodus fest. In diesem Modus können Sie einzelne Objekte aus dem Active Directory oder auch ein ganzes Active Directory wiederherstellen. Für die Testumgebung spielt dieses Kennwort keine größere Rolle. Anschließend wird Ihnen eine Zusammenfassung angezeigt, und der Assistent beginnt mit seiner Arbeit. Sie können den Server entweder automatisch neu starten, nachdem die Installation durchgeführt wurde, oder den Neustart manuell durchführen. Unter Umständen erhalten Sie noch eine Fehlermeldung, in der der Assistent Ihnen mitteilt, dass keine DNS-Zone erstellt werden kann, da Sie bereits eine Zone mit der gleichen Bezeichnung erstellt haben. Bestätigen Sie diese Meldung. Der Assistent integriert in diesem Fall die notwendigen Daten des Active Directory in Ihre bereits erstellte Zone. DNS in das Active Directory integrieren und sichere Updates konfigurieren Die erste Maßnahme, die Sie nach der Installation des Active Directory durchführen sollten, ist die Integration der DNS-Zonen in das Active Directory. Durch diese Integration werden die kompletten Daten der DNS-Zonen über die Active Directory-Replikation verteilt. Haben Sie die Installation des DNS-Servers nicht manuell vorgenommen, sondern durch den Assistenten für das Active Directory, so sind die Zonen bereits automatisch in das Active Directory integriert. Um die DNS-Zonen-Daten manuell in das Active Directory zu integrieren, rufen
99
Kapitel 3 Active Directory installieren
Sie zunächst das DNS-Snap-in auf. Wenn Sie die Zone erweitern, sehen Sie die Erweiterungen, die das Active Directory hinzugefügt hat. In den einzelnen Unterdomänen der Zone finden Sie die verschiedenen SRV-Records. 1. Klicken Sie mit der rechten Maustaste auf die Zone und wählen Sie EIGENSCHAFTEN. 2. Auf der Registerkarte ALLGEMEIN können Sie durch Klicken auf die Schaltfläche ÄNDERN im Bereich TYP die Zone in das Active Directory integrieren. 3. Aktivieren Sie im Fenster ZONENTYP ÄNDERN das Kontrollkästchen ZONE IN ACTIVE DIRECTORY SPEICHERN. 4. Haben Sie diese Einstellung vorgenommen, können Sie noch im Bereich DYNAMISCHE UPDATES die Option NUR SICHERE aktivieren.
Abbildung 3.20: Integration der DNS-Daten in das Active Directory
Bei dieser Einstellung können sich nur Computer, die sich erfolgreich im Active Directory authentifizieren, dynamisch beim DNS registrieren. Haben Sie die Zone in das Active Directory integriert, können Sie auch die Replikation der DNS-Daten anpassen: Indem Sie in den Eigenschaften einer Zone im Bereich REPLIKATION auf ÄNDERN klicken, können Sie konfigurieren, auf welche Server die DNS-Daten repliziert werden sollen. Standardmäßig werden die Daten einer DNS-Zone nur auf den Domänen-Controllern der Windows-Domäne repliziert. Die Replikation kann jedoch ohne Weiteres auf weitere Server ausgedehnt werden. Es ist möglich, die
100
Installation der Active Directory-Domänendienste-Rolle
Zone auf alle DNS-Server der Gesamtstruktur, auf alle DNS-Server der aktuellen Domäne oder auf alle Domänen-Controller der aktuellen Domäne zu replizieren.
Abbildung 3.21: Konfiguration der DNS-Daten-Replikation
DNS-IP-Einstellungen anpassen Windows Server 2008 hat die Eigenart, die Konfiguration Ihrer Netzwerkverbindungen automatisch zu ändern, sodass die Einstellungen für manche Administratoren verwirrend sein können. Im folgenden Abschnitt erfahren Sie, wie Sie die Einstellungen wieder an Ihre Bedürfnisse anpassen. Geben Sie nach der Fertigstellung der Installation von Active Directory auf dem Domänen-Controller in der Befehlszeile nslookup ein, so erhalten Sie unter Umständen eine etwas verwirrende Ausgabe.
Abbildung 3.22: Ausgabe von »nslookup« nach der Installation von Active Directory
101
Kapitel 3 Active Directory installieren
Der Fehler wird durch eine Konfiguration der Netzwerkverbindungen verursacht. Rufen Sie zunächst die Verwaltung Ihrer Netzwerkverbindungen auf. Der schnellste Weg ist, ncpa.cpl in das Suchfeld des Startmenüs einzugeben. Rufen Sie dann die Eigenschaften des IPv6-Protokolls auf. Wie Sie sehen, hat Windows Server 2008 die Option FOLGENDE DNS-SERVERADRESSEN VERWENDEN aktiviert und den Eintrag ::1 hinterlegt. Dies entspricht bei IPv6 dem Eintrag 127.0.0.1 (LOCALHOST) bei IPv4. Durch diesen Eintrag fragt der DNS-Server bei ReverseAbfragen per IPv6 den lokalen DNS-Server ab. Haben Sie keine IPv6-ReverseLookup-Zone erstellt, weil Sie in Ihrem LAN noch kein IPv6 einsetzen, wird durch diese Konfiguration ein Fehler verursacht. Legen Sie daher entweder eine IPv6-Reverse-Lookup-Zone an oder stellen Sie sicher, dass ein Zeiger zur IPv6Adresse des Servers eingetragen wird. In den meisten Fällen ist diese Konfiguration allerdings nicht erforderlich, vor allem dann nicht, wenn im Unternehmen nicht mit IPv6 gearbeitet wird. Aktivieren Sie in diesem Fall die Option DNSSERVERADRESSE AUTOMATISCH BEZIEHEN. Durch diese Konfiguration vermeiden Sie die irreführende Meldung bei nslookup.
Abbildung 3.23: Konfiguration des DNS-Servers für IPv6-Abfragen
102
Active Directory-Diagnose und Fehlerbehebung
Rufen Sie anschließend die Eigenschaften für das IPv4-Protokoll auf. Auch hier hat der Assistent als bevorzugten DNS-Server die Adresse des lokalen Hosts hinterlegt (127.0.0.1). In diesem Fall funktionieren zwar Abfragen per DNS, aber diese Konfiguration ist nicht sauber und resultiert in einer fehlerhaften Ausgabe bei nslookup. Tragen Sie daher auch hier bitte die richtige IPv4-Adresse des Servers ein. Anschließend sollte die Eingabe von nslookup in der Befehlszeile keinen Fehler mehr verursachen.
3.4
Active Directory-Diagnose und Fehlerbehebung
Nachdem Sie das Active Directory auf dem Server installiert haben, sind noch einige Nacharbeiten notwendig. Tritt in Ihrem Active Directory ein Problem auf, so können Sie oft leicht bereits mit Bordmitteln eine Diagnose durchführen und die Lösung für das Problem finden. Ebenso beim Installieren neuer DomänenController, oder wenn Sie sich einen Überblick über die Replikation der Domänen-Controller verschaffen wollen, helfen Ihnen Bordmittel. Vor allem nach der Installation eines Domänen-Controllers ist eine Diagnose sinnvoll, um die Stabilität zu gewährleisten.
3.4.1
Verwenden der Domänen-Controller-Diagnose (dcdiag.exe)
Das wichtigste Tool für die Diagnose von Domänen-Controllern ist dcdiag.exe. Sie können das Tool in der Befehlszeile aufrufen, indem Sie dcdiag eingeben. Unter Windows Server 2003 mussten Sie dieses Tool noch nachträglich installieren. Eine ausführliche Diagnose erhalten Sie durch die Eingabe von dcdiag /v. Wollen Sie eine ausführlichere Diagnose durchführen, sollten Sie die Ausgabe jedoch in eine Datei umleiten, da Sie dadurch das Ergebnis besser lesen und eventuell auch an einen Spezialisten versenden können. Die Befehlszeile könnte dann zum Beispiel dcdiag/v >c:\dcdiag.txt lauten. Für eine erste Überprüfung reicht die normale Diagnose mit dcdiag jedoch vollkommen aus. Im Folgenden gehe ich die wichtigsten Informationen durch, die bei der Diagnose mit dcdiag eine Rolle spielen. *** Warning: could not confirm the identity of this server in the directory versus the names returned by DNS servers. If there are problems accessing this directory server then you may need to check that this server is correctly registered with DNS. ......................... DC01 passed test Connectivity
103
Kapitel 3 Active Directory installieren
Diese Fehlermeldung erscheint, wenn in der DNS-Zone keine IPv6-Namensauflösung stattfinden kann. Verwenden Sie im internen Netz noch kein IPv6, können Sie diesen Fehler ignorieren: Die Verbindung zum Active Directory ist vorhanden. Der Test muss auf jeden Fall Passed stehen. Mit dem obigen Test wird überprüft, ob der Domänen-Controller im DNS registriert ist. Zusätzlich wird überprüft, ob der Server per Ping, RPC und LDAP erreichbar ist. Die IPv6-Verbindung ist keine zwingende Voraussetzung für das Bestehen des Tests, wie Sie sehen. Doing primary tests Testing server: Default-First-Site-Name\DC01 Starting test: Advertising ......................... DC01 passed test Advertising
Eine Verbindung zum Active Directory ist mit Anmeldung möglich, daher muss auf jeden Fall auch hier Passed stehen. Damit ist sichergestellt, dass sich der DC im Active Directory als Domänen-Controller angemeldet hat. Starting test: FrsEvent ......................... DC01 passed test FrsEvent Starting test: FrsSysVol ......................... DC01 passed test FrsSysVol
Diese beiden Tests sind nicht ganz so wichtig, sollten aber auch bestanden werden. FRS (File Replication Service) ist dafür zuständig, dass Anmeldeskripte im Sysvol-Verzeichnis zwischen den verschiedenen DCs repliziert werden. Hier kann durchaus auch mal Failed stehen – die Replikation funktioniert meistens trotzdem. Überprüfen Sie dies aber bitte anhand des Inhalts. Schauen Sie auch im Server-Manager unter ROLLEN • DATEIDIENSTE in der Mitte des Bildschirms, ob der Systemdienst DATEIREPLIKATION gestartet ist und auf AUTOMATISCH steht. Falls nicht, starten Sie bitte den Dienst und führen Sie dcdiag nochmals aus. Der Test sollte jetzt bestanden werden. Starting test: kccevent Starting test: KccEvent ......................... DC01 passed test KccEvent Listing 3.1: Diagnose von Domänen-Controllern mit »dcdiag«
Der Knowledge Consistency Checker stellt fest, dass der DC alle anderen DCs finden kann, um Replikationsverbindungen herzustellen. Der Test muss bestanden werden. Neben dcdiag.exe kann auch netdiag.exe zur Diagnose herangezogen werden. Auch hier liefert das System aussagekräftige Fehlermeldungen. Im Gegensatz zu dcdiag kann netdiag auch auf Mitgliedsservern zur Diagnose verwendet wer-
104
Active Directory-Diagnose und Fehlerbehebung
den. Erscheinen bei dcdiag Fehler bezüglich der Replikation des Sysvol-Verzeichnisses, sollte, wie im Listing beschrieben, ein Blick auf den Systemdienst DATEIREPLIKATION geworfen werden. Starting test: systemlog Starting test: KnowsOfRoleHolders ......................... DC01 passed test KnowsOfRoleHolders
Der DC kann alle notwendigen FSMO-Rollen im Active Directory finden (PDCEmulator, RID-Master, Infrastrukturmaster, Schemamaster, Domänennamenmaster). An dieser Stelle muss Passed stehen. Werden einzelne Rollen nicht gefunden, liegt nicht zwingend ein Problem mit dem lokalen Domänen-Controller vor, sondern eventuell mit dem Rolleninhaber. Starting test: MachineAccount ......................... DC01 passed test MachineAccount
Das Computerkonto für den getesteten Rechner im Active Directory ist in Ordnung. Hier muss auf jeden Fall Passed stehen. Es wird geprüft, ob das Computerkonto im Active Directory ordentlich integriert ist und ob das Computerkonto sich richtig registriert hat. Sie können über die Option dcdiag /RecreateMachineAccount eine Fehlerbehebung versuchen, falls der Test fehlschlägt. Über dcdiag /FixMachineAccount können Sie ebenfalls eine Fehlerbehebung versuchen. Eine weitere Option, die Fehler in diesem Bereich behebt, ist dcdiag /fix. MachineAccount Starting test: NCSecDesc ......................... DC01 passed test NCSecDesc Starting test: NetLogons ......................... DC01 passed test NetLogons
Die Anmeldung am Active Directory ist möglich, auch hier muss auf jeden Fall Passed stehen. Starting test: ObjectsReplicated ......................... DC01 passed test ObjectsReplicated
Der DC hat alle Objekte des Active Directory mit anderen DCs repliziert. Dieser Test muss bestanden werden, da hier die Replikation überprüft wird. Starting test: Replications ......................... DC01 passed test Replications Starting test: RidManager ......................... DC01 passed test RidManager Starting test: Services ......................... DC01 passed test Services
Mit diesem Test wird überprüft ob die notwendigen Systemdienste auf dem Domänen-Controller gestartet wurden. Auch dieser Test muss erfolgreich bestanden werden.
105
Kapitel 3 Active Directory installieren
Starting test: SystemLog ......................... DC01 passed test SystemLog
Bei diesem Test werden Fehler aus der Ereignisanzeige geprüft. Genauere Informationen erhalten Sie, indem Sie im Systemprotokoll der Ereignisanzeige nachschauen. Schlägt dieser Test fehl, ist das nicht weiter schlimm, da er nur besagt, dass es Fehler in der Ereignisanzeige gibt. Sie sollten diese aber dennoch überprüfen und abstellen. Starting test: VerifyReferences ......................... DC01 passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Running partition tests on : DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Running partition tests on : Schema Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Running partition tests on : Configuration Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Running partition tests on : contoso Starting test: CheckSDRefDom ......................... contoso passed test CheckSDRefDom Starting test: CrossRefValidation ......................... contoso passed test CrossRefValidation Running enterprise tests on : contoso.com Starting test: FsmoCheck ......................... contoso.com passed test FsmoCheck Starting test: Intersite ......................... contoso.com passed test Intersite Listing 3.2: Überprüfen eines Windows Server 2008-Domänen-Controllers mit dcdiag.exe
106
Active Directory-Diagnose und Fehlerbehebung
Alle Tests seit dem letzten Kommentar sollten auf jeden Fall auf Passed stehen. Hier werden wichtige Elemente von DNS und Active Directory getestet. Falls an dieser Stelle Fehler auftreten, geben Sie bitte den Namen des Tests und das Ergebnis Failed in eine Suchmaschine ein. Sie erhalten dadurch gezielt Hinweise, wo das Problem liegen könnte. Sie sollten keinesfalls einzelne Fehler ignorieren. Die Tests überprüfen verschiedene Querverweise der einzelnen Domänen und Anwendungspartitionen im Active Directory Testen der Namensauflösung mit nslookup.exe Ein weiterer wichtiger Test besteht darin, in der Befehlszeile nslookup aufzurufen. An dieser Stelle sollte kein Fehler auftreten: C:\Users\Administrator>nslookup Standardserver: DC1.contoso.com Address: 10.1.1.20 Listing 3.3: Fehlerfreie Ausgabe von »nslookup«
Tritt ein Fehler auf, so lesen Sie bitte den Abschnitt »DNS-IP-Einstellungen anpassen« weiter vorne in diesem Kapitel. Dieser Test zeigt, dass der bevorzugte DNSServer erreicht wird und sein Computername sowie seine IP-Adresse im DNS registriert sind. Erhalten Sie hier bereits eine Fehlermeldung, sollten Sie überprüfen, ob die IP-Adresse des DNS-Servers in der Reverse-Lookupzone registriert ist. Sollte der Server noch nicht registriert sein, versuchen Sie bitte mit ipconfig /registerdns in der Befehlszeile eine erneute automatische Registrierung beim DNS-Server. Das ist eine häufige Fehlerquelle. Danach sollten Sie durch die Eingabe des vollständigen Computernamens aller restlichen Domänen-Controller feststellen, dass alle notwendigen Domänen-Controller per DNS aufgelöst werden können. Standard-OUs per Active Directory-Benutzer und -Computer überprüfen Nach einer Neuinstallation sollten Sie überprüfen, ob sich das Snap-in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER im Server-Manager fehlerfrei öffnen lässt und die fünf wichtigsten OUs angezeigt werden. Diese OUs sind in jeder Domäne identisch und müssen vorhanden sein: Builtin – Im Container Builtin befinden sich vom System vordefinierte Gruppen Computers – Der Container Computers enthält Computerkonten für alle Computer, die in die Domäne aufgenommen wurden. Jeder Computer wird mit einem eigenen Konto im Active Directory verwaltet. Users – Im Container Users befinden sich die Benutzer und Gruppen, die von Windows Server 2008 automatisch angelegt werden.
107
Kapitel 3 Active Directory installieren
ForeignSecurityPrincipals – Der Container ForeignSecurityPrincipals enthält Informationen über SIDs, die mit Objekten aus entfernten, vertrauten Domänen verbunden sind. Domain Controllers – Im Container Domain Controllers befinden sich Computerkonten für alle Domänen-Controller der Domäne. Sie müssen nicht den Inhalt der Container überprüfen, sondern lediglich testen, ob diese tatsächlich angelegt wurden. Achten Sie bitte darauf, im Snap-in den Befehl ERWEITERTE FEATURES im Menü ANSICHT zu aktivieren. Überprüfen der Active Directory-Standorte Sie sollten bei Problemen oder nach einer Installation von Domänen-Controllern überprüfen, ob die Domänen-Controller dem jeweils richtigen Standort zugewiesen sind, und ob an jedem Standort ein Server als globaler Katalog konfiguriert wurde. Haben Sie bereits mehrere Domänen-Controller installiert, sollten Sie überprüfen, ob bei allen Domänen-Controllern automatisch konfigurierte Replikationsverbindungen eingerichtet wurden und ob diese funktionieren. Alle installierten Domänen-Controller sollten angezeigt werden und sich ohne Fehler mit ihren Replikationspartnern replizieren lassen. Installieren Sie einen neuen Domänen-Controller oder auch einen Mitgliedsserver, sollten Sie vor allem dann, wenn dieser auch Exchange Server werden soll, in der Befehlszeile testen, ob der Server seinen Standort auflösen kann und richtig konfiguriert ist. Geben Sie dazu den Befehl nltest /dsgetsite ein. Es darf hierbei kein Fehler auftreten, sondern der Server muss seinen richtigen Standort ausgeben. Treten an dieser Stelle Fehler auf, sollten Sie die IP-Einstellungen des Servers und die DNS-Konfiguration des bevorzugten DNS-Servers überprüfen. Auch die IPSubnetze und deren korrekte Zuordnung zu den richtigen Standorten sollte hier überprüft werden. Den Standardnamen des ersten Standortes passen Sie am besten im Server-Manager über ROLLEN • ACTIVE DIRECTORY-DOMÄNENDIENSTE • ACTIVE DIRECTORY-STANDORTE UND -DIENSTE an. Klicken Sie dazu den Standort mit der rechten Maustaste an und wählen Sie UMBENENNEN. Überprüfen der Domänen-Controller-Liste Geben Sie in der Befehlszeile den Befehl nltest /dclist: ein, zum Beispiel konkret: nltest /dclist:contoso. Alle Domänen-Controller sollten daraufhin mit ihren vollständigen Domänennamen ausgegeben werden. Werden einzelne Domänen-Controller nur mit ihrem NetBIOS-Namen angezeigt, so überprüfen Sie bitte ihre DNS-Registrierung auf den DNS-Servern.
108
Active Directory-Diagnose und Fehlerbehebung
Überprüfen der Active Directory-Dateien Die Active Directory-Daten werden in einer Datenbank gespeichert. Diese Datenbank ist eine Datei im Dateisystem auf den Domänen-Controllern. Die Active Directory-Datenbank wird in der Datei ntds.dit in dem Verzeichnis gespeichert, das Sie bei der Heraufstufung zum Domänen-Controller festgelegt haben. Standardmäßig wird die Active Directory-Datenbank im Verzeichnis C:\windows\ntds abgelegt. Überprüfen Sie, ob die Dateien auf dem Domänen-Controller vorhanden sind, und ob noch genügend Festplattenplatz frei ist, damit die Datenbank wachsen kann. Sie können die Größe der Active Directory-Datenbank jederzeit feststellen, indem Sie die Größe dieser Datei überprüfen. Bei den *.jrs-Dateien handelt es sich um die Transaktionsprotokolle der Datenbank. Die Datei edb.chk ist die Checkpoint-Datei. Diese Datei enthält die Informationen, welche Transaktionsprotokolle bereits in die Datenbank geschrieben wurden. Domänenkonto der Domänen-Controller überprüfen Die Domänen-Controller sollten im Snap-in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER in der OU DOMAIN CONTROLLERS angezeigt werden. Von diesem Konto sollten Sie fehlerfrei die Eigenschaften aufrufen können. Die Informationen auf den einzelnen Registerkarten sollten fehlerfrei dargestellt werden und die korrekten Daten enthalten. Außerdem können Sie mit dem Befehl net accounts in der Befehlszeile den Status des Domänenkontos eines Domänen-Controllers überprüfen. Innerhalb der Ausgabe von net accounts sollte die Rolle des Computers PRIMÄR lauten, falls es sich um den PDC-Emulator handelt. Bei allen anderen Domänen-Controllern wird an dieser Stelle die Rolle SICHERUNG angezeigt. Überprüfen der administrativen Freigaben Vor allem die beiden Freigaben netlogon und sysvol sollten fehlerfrei dargestellt werden. Überprüfen Sie die Freigaben mit Hilfe des Befehlszeilenprogrammes net share. Standardmäßig werden die beiden Verzeichnisse ... 왘
C:\Windows\sysvol\sysvol\\Scripts als Freigabe netlogon
왘
C:\Windows\sysvol\sysvol als Freigabe SYSVOL
freigegeben. Beide Freigaben werden durch net share in der Befehlszeile angezeigt. Alternativ überprüfen Sie die administrativen Freigaben im Server-Manager über ROLLEN • DATEIDIENSTE • FREIGABE- UND SPEICHERVERWALTUNG. Auch hier werden die Freigaben angezeigt.
109
Kapitel 3 Active Directory installieren
DNS-Einträge von Active Directory überprüfen Nach der Installation von Active Directory werden in der Forward-Lookupzone der entsprechenden Domäne zahlreiche Einstellungen vorgenommen. Überprüfen Sie in der DNS-Verwaltung, ob die Einträge von Active Directory fehlerfrei vorgenommen worden sind. Sie brauchen nicht alle Einträge zu überprüfen, können allerdings schon in der Übersicht erkennen, ob überhaupt Einträge erstellt wurden. Alle notwendigen Dienste von Active Directory werden als SRV-Record im DNS gespeichert.
Abbildung 3.24: Überprüfen der DNS-Daten von Active Directory im Server-Manager
3.5
Zusätzlichen Domänen-Controller (Read-Only-Domänen-Controller) installieren
Wenn Sie eine neue Domäne installiert haben, sollten Sie immer so schnell wie möglich einen zusätzlichen Domänen-Controller installieren. In einer Testumgebung ist dies zwar nicht unbedingt nötig, aber durch mehrere Domänen-Controller können Sie das Verhalten von Active Directory besser testen, vor allem hinsichtlich der Replikation. Die Installation ist schnell durchgeführt, und Sie können somit sicher sein, dass die Daten der Active Directory-Domäne bei Ausfall des ersten Servers nicht verloren gehen. Ich zeige Ihnen im folgenden Abschnitt, wie zusätzliche Domänen-Controller in einer Domäne installiert werden. Dabei muss es sich nicht notwendigerweise um einen schreibgeschützten Domänen-Controller handeln; ich gehe aber in diesem Beispiel davon aus. Wollen Sie einen schreibgeschützten Domänen-Controller installieren, achten Sie bitte darauf, dass der PDC-Emulator auf einem Windows Server 2008-DC positioniert sein muss. Außerdem muss sich die Gesamtstruktur mindestens im Windows Server 2003-Betriebsmodus befinden.
110
Zusätzlichen Domänen-Controller (Read-Only-Domänen-Controller) installieren
3.5.1
Vorbereitungen für die Integration eines zusätzlichen Domänen-Controllers in eine Domäne
Der erste Schritt bei der Integration eines zusätzlichen Domänen-Controllers in eine Domäne besteht in der Installation des Betriebssystems. Achten Sie darauf, dass Sie den Server mit den Einstellungen des Betriebssystems installieren, damit Sie eine homogene Umgebung erhalten. Computername und primäres DNS-Suffix Geben Sie dem zusätzlichen Domänen-Controller zunächst einen passenden Namen, zum Beispiel dc02, und konfigurieren Sie das primäre DNS-Suffix auf dem Server. Gehen Sie bei diesem Schritt so vor wie bei der Erstellung des ersten Domänen-Controllers. DNS-Erweiterung installieren Installieren Sie auf dem Rechner nach dem Neustart des Servers, wie beim ersten Server, ebenfalls die DNS-Erweiterung. Wurde der Server als Domänen-Controller in das Active Directory mit aufgenommen, steht er ebenfalls als DNS-Server für die Mitgliedsserver und Arbeitsstationen zur Verfügung. Konfigurieren der IP-Einstellungen Weisen Sie dem zusätzlichen Domänen-Controller zunächst den ersten Domänen-Controller, den Sie installiert haben, als bevorzugten DNS-Server zu. Später kann diese Einstellung noch geändert werden. Für den Beitritt zur Domäne muss der Server einen DNS-Server in der Domäne erreichen können.
3.5.2
Integration eines neuen Domänen-Controllers
Rufen Sie im Anschluss über START • AUSFÜHREN • DCPROMO den Installationsassistenten von Active Directory auf dem neuen Domänen-Controller auf. Aktivieren Sie auch in diesem Fall wieder die erweiterte Konfiguration. Im ersten Fenster wählen Sie die Option VORHANDENE GESAMTSTRUKTUR und dann DOMÄNEN-CONTROLLER VORHANDENER DOMÄNE HINZUFÜGEN. Auf der nächsten Seite des Assistenten ist automatisch die Option ALTERNATIVE ANMELDEINFORMATIONEN aktiviert. Über die Schaltfläche FESTLEGEN müssen Sie das Konto eines Administrators festlegen, der über die Rechte verfügt, Domänen-Controller zu einer Domäne hinzuzufügen. Außerdem müssen Sie auf dieser Seite den DNS-Namen der Domäne angeben, in die Sie den Domänen-Controller hinzufügen wollen. Sie können zwar auch mit dem NetBIOS-Namen der Domäne arbeiten, aber die Auflösung per DNS geht schneller und ist zuverlässiger. Wichtig ist an dieser Stelle nicht, dass Sie dieser hier angegebenen Domäne einen zusätzlichen Domänen-Controller hinzufügen, sondern dass Sie sich an 111
Kapitel 3 Active Directory installieren
der Gesamtstruktur authentifizieren. Um sicherzustellen, dass die Authentifizierung und die Verbindung zur Domäne passen, der Sie einen Domänen-Controller hinzufügen wollen, ist hier die Angabe der Domäne der beste Weg.
Abbildung 3.25: Hinzufügen eines Domänen-Controllers zu einer bestehenden Domäne
Abbildung 3.26: Festlegen der Domäne, der Sie einen zusätzlichen Domänen-Controller hinzufügen wollen
112
Zusätzlichen Domänen-Controller (Read-Only-Domänen-Controller) installieren
Als Nächstes wählen Sie den physikalischen Standort aus, in welcher der Domänen-Controller positioniert wird. Diese Möglichkeit ist neu in Windows Server 2008. Bei Windows Server 2003 wurde die Zuweisung automatisiert durchgeführt, eine manuelle Zuweisung während des Heraufstufens war nicht möglich. Das Active Directory bietet die Möglichkeit, eine Gesamtstruktur in mehrere Standorte zu unterteilen, die durch verschiedene IP-Subnetze voneinander getrennt sind. Durch diese physische Trennung der Standorte ist es nicht notwendig, für jede Niederlassung eine eigene Domäne zu erstellen. Auf der nächsten Seite des Assistenten legen Sie fest, ob der neue Domänen-Controller zum globalen Katalog konfiguriert werden soll. Außerdem können Sie an dieser Stelle festlegen, dass der Domänen-Controller nur als schreibgeschützter Domänen-Controller (RODC) verwendet wird, also dieser Server keine Änderungen entgegennimmt – außer als Replikation von seinem übergeordneten Domänen-Controller.
Abbildung 3.27: Konfiguration des zusätzlichen Domänen-Controllers als Read-Only-Domänen-Controller (RODC)
Auf der nächsten Seite wählen Sie die Benutzergruppen oder direkt die Benutzer aus, deren Kennwörter auf den RODC repliziert werden dürfen. Wird für eine Gruppe die Replikation des Kennwortes verweigert, steht den Mitgliedern dieser Gruppe der RODC nicht direkt als Anmeldeserver zur Verfügung, da er die Kennwörter nicht verifizieren kann. Durch diese Konfiguration können Sie recht leicht festlegen, welche Kennwörter auf diesem DC gespeichert werden dürfen und welche nicht. Diese Richtlinien spielen für die Authentifizierung von Benutzern an einem Domänen-Controller eine wichtige Rolle. Authentifiziert sich ein Benutzer an einem RODC, kontaktiert dieser einen normalen DC, um die Anmeldeinforma-
113
Kapitel 3 Active Directory installieren
tionen zu kopieren. Der DC erkennt, dass die Anforderung von einem RODC kommt und überprüft auf Basis der Richtlinien für die Kennwortreplikation, ob die Daten zu dem jeweiligen RODC übertragen werden dürfen. Wird die Replikation durch die Richtlinie gestattet, werden die Anmeldeinformationen vom DC zum RODC übertragen und dort zwischengespeichert, sodass weitere Anmeldungen deutlich schneller ablaufen. Gedacht ist diese Konfiguration für Anmeldeserver, die in Niederlassungen eines Unternehmens betrieben werden, wo die physikalische Sicherheit des DC nicht gewährleistet werden kann. Bei einem Verlust des Servers kann somit vermieden werden, dass die kompletten Sicherheitsinformationen in fremde Hände geraten.
Abbildung 3.28: Festlegen der Benutzerkonten und Gruppen, deren Kennwörter auf den RODC repliziert werden sollen
In der OU USERS gibt es bereits die standardmäßigen Benutzergruppen ZULÄSSIGE RODC-KENNWORTREPLIKATIONSGRUPPE und ABGELEHNTE RODC-REPLIKATIONSGRUPPE. Benutzerkonten, die Sie diesen Benutzergruppen zuordnen, können sich an diesem Domänen-Controller anmelden, da die Kennwörter repliziert wurden (ZULÄSSIGE RODC-KENNWORTREPLIKATIONSGRUPPE). Andernfalls können Sie sich nicht anmelden, da die Kennwörter nicht zur Verfügung stehen (ABGELEHNTE RODC-REPLIKATIONSGRUPPE). Sie können die Einstellungen, die Sie in diesem Fenster vornehmen, jederzeit über die Eigenschaften des Computerkontos im Server-Manager wieder ändern, nachdem der Server zum Domänen-Controller heraufgestuft worden ist.
114
Zusätzlichen Domänen-Controller (Read-Only-Domänen-Controller) installieren
Auf der nächsten Seite des Assistenten geben Sie eine Benutzergruppe an, welche die Berechtigung erhält, den Domänen-Controller zu verwalten. Mitglieder der angegebenen Gruppe dürfen den Server verwalten beziehungsweise Änderungen auf dem Server vornehmen. Die Gruppe oder die Benutzer, die Sie an dieser Stelle angeben, erhalten lokale Administratorberechtigungen auf dem Controller, verfügen aber über keinerlei Rechte in der Active Directory-Domäne. Sie können für eine Testumgebung allerdings auch den normalen Administrator-Benutzer verwenden.
Abbildung 3.29: Festlegen der Berechtigungen für den RODC
Im nächsten Fenster legen Sie fest, ob der Domänen-Controller die Daten des Active Directory über das Netzwerk oder die WAN-Leitung erhalten soll, oder ob Sie die Datensicherung Ihres Active Directory verwenden. Diese Option ist vor allem sinnvoll, wenn Sie einen neuen Domänen-Controller für eine kleine Niederlassung installieren. Ist diese Niederlassung nur über eine schmalbandige WANLeitung angebunden, kann die Replikation der Active Directory-Daten sehr lange dauern und die Leitung blockieren. Sie können an dieser Stelle auch auf einem Domänen-Controller in der Zentrale eine Datensicherung des Servers vornehmen, diese auf CD brennen und mit der Post verschicken und dann erst auf dem Server einlesen. Auf der nächsten Seite des Assistenten wählen Sie aus, von welchem Domänen-Controller aus Sie die Replikation zum neuen Domänen-Controller für die Installation ausführen wollen. Alle weiteren Fenster sind identisch mit der Installation des ersten Domänen-Controllers.
115
Kapitel 3 Active Directory installieren
Im Anschluss beginnt der Assistent mit der Installation von Active Directory auf dem Domänen-Controller und repliziert die Daten auf den lokalen DomänenController. Hat der Assistent seine Arbeit beendet, können Sie den Server neu starten und sich an der Domäne anmelden. Die Installation des zusätzlichen Domänen-Controllers ist damit abgeschlossen.
3.5.3
Notwendige Nacharbeiten nach der Integration eines zusätzlichen Domänen-Controllers
Haben Sie den Domänen-Controller in die Domäne aufgenommen, sollten Sie zunächst noch einige Nacharbeiten durchführen, um den Domänen-Controller optimal einzubinden. Als Erstes sollten Sie auf dem neuen Domänen-Controller das Snap-in der DNS-Verwaltung starten. Überprüfen Sie, ob die Daten der DNSZonen auf den Domänen-Controller repliziert wurden. Ist sichergestellt, dass die DNS-Daten repliziert wurden, ist die DNS-Funktionalität auf dem zusätzlichen Domänen-Controller vorhanden. Die Replikation kann allerdings durchaus einige Minuten dauern – je nach Umfnag der zu übertragenden Daten. Optimierung der IP-Einstellungen auf den Domänen-Controllern Im nächsten Schritt sollten Sie die IP-Einstellungen auf den Domänen-Controllern anpassen. Tragen Sie in den IP-Einstellungen jeweils den anderen Domänen-Controller als bevorzugten Server und als alternativen Domänen-Controller den Controller selbst ein, zumindest dann, wenn sich beide am selben Standort befinden. Durch diese Konfiguration ist sichergestellt, dass die beiden Domänen-Controller wechselseitig die Namen auflösen können. Wird ein Domänen-Controller neu gestartet, besteht die Möglichkeit, dass der DNS-Dienst vor dem Active Directory beendet wird und das Herunterfahren unnötig lange dauert. In diesem Fall werden darüber hinaus noch Fehlermeldungen in der Ereignisanzeige protokolliert. Um die Ausfallsicherheit zu erhöhen, ist es daher stets vorteilhaft, dass ein DomänenController jeweils einen anderen Domänen-Controller als bevorzugten DNS-Server benutzt und seine eigenen Daten nur dann verwendet, falls dieser bevorzugte Server nicht zur Verfügung steht. Haben Sie diese Einstellungen vorgenommen, können Sie mit nslookup in der Befehlszeile überprüfen, ob die Namensauflösung auf den Domänen-Controllern fehlerfrei funktioniert. Öffnen Sie dazu eine Befehlszeile und geben Sie nslookup ein. Geben Sie danach die Bezeichnung des ersten und dann die des zweiten Domänen-Controllers ein, also in unserem Beispiel dc01.contoso.com und dc02.contoso.com. Auf dem anderen Domänen-Controller sollten Sie diese Aufgaben ebenfalls durchführen. Es sollte kein Fehler auftreten, damit sichergestellt ist, dass die Namensauflösung funktioniert.
116
Zusätzlichen Domänen-Controller (Read-Only-Domänen-Controller) installieren
Replikation der beiden Domänen-Controller überprüfen Nach einigen Minuten sollten Sie die Replikation der beiden Domänen-Controller überprüfen. Starten Sie dazu das Snap-in ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. Navigieren Sie zum Menü des Namens des Standortes und öffnen Sie das Menü SERVERS. An dieser Stelle sollten beide Domänen-Controller angezeigt werden. Wenn Sie bei den Servern auf das Pluszeichen klicken, sehen Sie darunter einen weiteren Menüpunkt mit der Bezeichnung NTDS-SETTINGS. Klicken Sie auf diesen Menüpunkt, so wird auf der rechten Seite jeder Replikationspartner des DomänenControllers angezeigt. Indem Sie auf diese automatisch erstellten Verbindungen mit der rechten Maustaste klicken, können Sie aus dem Menü die Option JETZT REPLIZIEREN auswählen. Im Anschluss daran erscheint ein Fenster, das Sie über die erfolgreiche Replikation informiert. Führen Sie diese Replikation bitte für beide Domänen-Controller durch, damit sichergestellt ist, dass die Active Directory-Replikation zwischen den beiden Domänen-Controllern tatsächlich funktioniert. Damit ist die Erstellung des zusätzlichen Domänen-Controllers abgeschlossen, und Sie haben alle notwendigen Maßnahmen zur Überprüfung durchgeführt.
3.5.4
Bereinigung des Active Directory und Entfernen von Domänen-Controllern
In manchen Fällen ist der Aufwand einer Fehlerbehebung viel größer, als einfach den betroffenen Domänen-Controller neu zu installieren und wieder in das Active Directory zu integrieren. Um einen Domänen-Controller aus dem Active Directory zu entfernen, gibt es grundsätzlich drei Möglichkeiten: 1. Der Domänen-Controller soll zu einem Mitgliedsserver heruntergestuft werden. 2. Der Domänen-Controller läuft zwar noch und verwaltet installierte Applikationen, hat aber seine Verbindung zum Active Directory verloren. Er soll heruntergestuft werden, ohne eine Verbindung mit dem Active Directory zu haben oder neu installiert zu werden. Das Active Directory muss dazu nachträglich bereinigt werden. 3. Der Domänen-Controller ist vollkommen ausgefallen und funktioniert nicht mehr. Dem Active Directory muss mitgeteilt werden, dass der Domänen-Controller nicht mehr verfügbar ist. Auf den folgenden Seiten sind die Abläufe der einzelnen Möglichkeiten beschrieben, um einen Domänen-Controller aus dem Active Directory zu entfernen.
117
Kapitel 3 Active Directory installieren
Vorbereitungen beim Entfernen eines Domänen-Controllers Sie sollten sicherstellen, dass der Domänen-Controller nicht als bevorzugter oder alternativer DNS-Server von einem anderen Rechner der Domäne verwendet wird (auch nicht als DNS-Weiterleitungsserver). Wenn möglich, sollten Sie vor der Herabstufung das DNS von diesem Domänen-Controller entfernen. Haben Sie das DNS entfernt, überprüfen Sie bitte auf einem anderen DNS-Server in den Eigenschaften der DNS-Zone, dass der Server auf der Registerkarte NAMENSSERVER nicht mehr aufgeführt wird. Entfernen Sie aber bitte nicht den Hosteintrag des Servers, da dieser für die Herabstufung noch benötigt wird. Entfernen Sie dann alle Active Directory-abhängigen Dienste wie VPN, ZERTIFIKATSTELLE oder andere Programme, die nach der Herabstufung nicht mehr funktionieren werden. Wenn es sich bei diesem Server um einen globalen Katalog handelt, konfigurieren Sie bitte einen anderen Server im Standort als globalen Katalog und entfernen Sie im Snap-in ACTIVE DIRECTORY-STANDORTE UND -DIENSTE unter SITES • <STANDORT DES SERVERS> • <SERVERNAME> • EIGENSCHAFTEN DER NTDS-SETTINGS den Haken bei GLOBALER KATALOG. Herabstufen eines Domänen-Controllers Starten Sie als nächsten Schritt auf dem Server den Assistenten zum Entfernen von Active Directory über START • AUSFÜHREN • DCPROMO, um den Server zu einem Mitgliedsserver der Domäne herabzustufen. Falls es sich bei dem Domänen-Controller, den Sie herabstufen wollen, um einen globalen Katalog handelt, werden Sie darüber mit einer Meldung informiert. Handelt es sich um einen globalen Katalog, können Sie auf der nächsten Seite auswählen, ob es sich bei diesem Domänen-Controller um den letzten seiner Domäne handelt. In diesem Fall würde nicht nur der Domänen-Controller aus der Gesamtstruktur entfernt, sondern die gesamte Domäne. Haben Sie Ihre Auswahl getroffen, beginnt der Assistent mit der Herabstufung des Domänen-Controllers. Sobald das Active Directory vom Server entfernt wurde, können Sie diesen neu starten. Nach der Herabstufung eines Domänen-Controllers wird dieser als Mitgliedsserver in die Domäne aufgenommen. Erzwungene Herabstufung eines Domänen-Controllers Wenn Sie einen Domänen-Controller, der die Verbindung mit dem Active Directory verloren hat, nicht neu installieren wollen, können Sie das Active Directory trotz fehlender Verbindung entfernen. Starten Sie dazu den Assistenten zum Entfernen des Active Directory über START • AUSFÜHREN • DCPROMO /FORCEREMOVAL. Der Assistent startet und meldet, dass das Entfernen des Active Directory von diesem Server erzwungen wird. Verwaltet der Server FSMO-Rollen oder ist der DNS-Dienst installiert, erscheinen Fehlermeldungen. Starten Sie den Assistenten mit der Option /DEMOTEFSMO:YES, werden diese Meldungen unter-
118
Zusätzlichen Domänen-Controller (Read-Only-Domänen-Controller) installieren
drückt. Nach der erzwungenen Entfernung von Active Directory ist der Domänen-Controller allerdings kein Mitgliedsserver mehr, sondern ein alleinstehender Server. Sie können sich daher an diesem Server nicht mehr bei der Domäne anmelden. Als lokales Kennwort für den Administrator wird das Kennwort verwendet, das Sie auf diesem Server für den Verzeichnisdienstwiederherstellungsmodus beim Erstellen von Active Directory verwendet haben. Nachdem das Active Directory von dem Server entfernt wurde, wird in der Ereignisanzeige eine entsprechende Meldung protokolliert. Der Server wird bei diesem Vorgang allerdings nicht aus dem Active Directory entfernt. Bereinigen der Metadaten des Active Directory Die Metadaten des Active Directory enthalten alle Einträge und Servernamen, die zum Active Directory gehören. Wenn ein Domänen-Controller ausfällt oder erzwungenermaßen aus dem Active Directory entfernt wird, sollten diese Metadaten nachträglich bereinigt werden. Für diese Bereinigung benötigen Sie das Befehlszeilenprogramm ntdsutil.exe. Um die Metadaten von Active Directory zu bereinigen, starten Sie zunächst ntdsutil.exe in der Befehlszeile. Gehen Sie wie in den folgenden Schritten beschrieben vor: 1. Geben Sie nach dem Start von ntdsutil den Befehl metadata cleanup ein. 2. Geben Sie im Anschluss daran connections ein. 3. Geben Sie den Befehl connect to server ein. Verwenden Sie am besten einen globalen Katalog und führen Sie diese Maßnahmen in einer Terminalsitzung auf dem Server aus. 4. Geben Sie dann den Befehl quit ein, damit Sie wieder in das Menü metadata cleanup gelangen. 5. Als Nächstes müssen Sie select operaton target eingeben. 6. Es folgt der Befehl list domains. Damit werden alle Domänen der Gesamtstruktur angezeigt. 7. Geben Sie danach den Befehl select domain ein. Wählen Sie als Nummer diejenige Domäne aus, aus der Sie den Domänen-Controller entfernen wollen. 8. Geben Sie dann list sites ein. Daraufhin werden alle Standorte der Gesamtstruktur angezeigt. 9. Wählen Sie den Standort aus, aus dem Sie einen Domänen-Controller entfernen wollen. Verwenden Sie dazu den Befehl select site . 10. Nachdem Sie den Standort ausgewählt haben, geben Sie den Befehl list servers in site ein. Es werden alle Server in diesem Standort angezeigt. 11. Dann müssen Sie mit select server den Server angeben, den Sie aus dem Active Directory entfernen wollen.
119
Kapitel 3 Active Directory installieren
12.Wenn Sie den Server ausgewählt haben, geben Sie quit ein, um wieder in das Menü metadata cleanup zu gelangen. 13. Wenn Sie wieder im Menü metadata cleanup angelangt sind, geben Sie den Befehl remove selected server ein. Es folgt eine Warnmeldung, in der Sie das Entfernen des Servers bestätigen müssen. Bestätigen Sie diese Meldung, wird der Server aus dem Active Directory entfernt. 14.In ntdsutil werden die einzelnen Vorgänge beim Entfernen des Servers angezeigt. 15. Im Anschluss können Sie ntdsutil mit quit beenden. Die Active Directory-Metadaten sind bereinigt. Nacharbeiten der Bereinigung Nachdem die Metadaten des Active Directory bereinigt wurden, sollten Sie noch die Einträge im DNS bereinigen. Entfernen Sie alle SRV-Records, in denen noch der alte Server steht, aus der DNS-Zone der Domäne. Gehen Sie bei der Entfernung bitte vorsichtig vor und löschen Sie keine Daten anderer Domänen-Controller. Entfernen Sie bitte auch alle Hosteinträge des Servers. In sämtlichen Einstellungen und Einträgen auf dem DNS-Server sowie in der DNS-Zone sollte der Server entfernt sein. Sobald Sie alle DNS-Einträge aus der Zone entfernt haben, können Sie das Computerkonto des Servers löschen, sofern dies noch nicht geschehen ist. Löschen Sie bitte das Konto aus der OU DOMAIN CONTROLLERS im Snap-in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
120
4
Active Directory erweitern
In diesem Kapitel widme ich mich der Erweiterung eines Active Directory mit weiteren Domänen oder Domänenstrukturen.
4.1
Erstellen einer neuen untergeordneten Domäne
Eine sehr häufige Aufgabe ist in einer Active Directory-Gesamtstruktur die Erstellung einer untergeordneten Domäne. Wenn Sie eine Active Directory-Gesamtstruktur durch die Erstellung der ersten Domäne, also dem Heraufstufen des ersten Domänen-Controllers, definieren, ist diese Domäne die Root-Domäne der Gesamtstruktur. Viele Unternehmen binden an diese Domäne weitere Domänen, die als untergeordnete Domänen bezeichnet werden. Ein Beispiel hierfür ist die Domäne contoso.com als erste Domäne in einer Active Directory-Gesamtstruktur. Sie können an diese Domäne beliebig weitere untergeordnete Domänen anbinden, zum Beispiel die Domäne de.contoso.com. Die beiden Domänen agieren vollkommen unabhängig voneinander, teilen sich aber den gleichen Namensraum. Bei der Erstellung der Domäne wird automatisch eine Vertrauensstellung zwischen contoso.com und de.contoso.com eingerichtet. Auf diese Weise werden in vielen Gesamtstrukturen Niederlassungen angebunden, die eine eigene IT-Abteilung haben. In der Zentrale des Unternehmens wird eine Root-Domäne (oft auch als Stammdomäne bezeichnet) erstellt, und die einzelnen Niederlassungen wer-
121
Kapitel 4 Active Directory erweitern
den als untergeordnete Domänen angebunden. Auch wenn die Root-Domäne nicht erreichbar ist, können alle Anwender in den untergeordneten Domänen problemlos weiterarbeiten. Eine dauerhafte Verbindung ist nicht zwingend notwendig.
4.1.1
Anpassen der DNS-Infrastruktur an untergeordnete Domänen
Bei der Erstellung von untergeordneten Domänen werden durch die enge Verzahnung von Active Directory und DNS auch die Anforderungen an die DNS-Infrastruktur komplizierter. Bevor Sie eine neue untergeordnete Domäne erstellen können, müssen Sie zunächst die passende DNS-Infrastruktur dafür erstellen. Wenn Sie untergeordnete Domänen erstellen, haben Sie für die Namensauflösung grundsätzlich zwei Möglichkeiten: 1. Die DNS-Server der Root-Domäne verwalten auch die DNS-Domänen der untergeordneten Domänen. 2. Die untergeordneten Domänen verwalten jeweils ihre eigene DNS-Domäne auf eigenen DNS-Servern. Erstellen Sie eine neue untergeordnete Domäne, sollten Sie zunächst genau planen, wie die DNS-Infrastruktur dafür erstellt wird. Falls die DNS-Server der RootDomäne auch für die Namensauflösung in der untergeordneten Domäne zuständig sind, sollten Sie die Replikationseinstellungen für die Zone so ändern, dass sie auf alle DNS-Server und Domänen-Controller repliziert wird. Da untergeordnete Domänen oft auch physisch durch eine WAN-Leitung von der Root-Domäne getrennt sind, besteht die Notwendigkeit, die DNS-Daten der untergeordneten Domäne in die Niederlassung zu replizieren. In diesem Fall müssen jedoch sehr genaue Berechtigungskonzepte erstellt werden, da ansonsten Administratoren der untergeordneten Domäne Änderungen an der DNS-Infrastruktur der übergeordneten Domäne durchführen können. In vielen Unternehmen wird dieses Sicherheitsproblem dadurch gelöst, dass die untergeordnete Domäne als eigenständige Zone ausschließlich von den Administratoren der untergeordneten Domäne verwaltet wird. Dadurch ist sichergestellt, dass jede Domäne ihre eigene DNS-Zone verwaltet, damit die Administratoren der einzelnen untergeordneten Domänen sich nicht gegenseitig beeinträchtigen. Ich zeige Ihnen im Anschluss die Erstellung beider Varianten. Anhand dieser Fakten können Sie dann selbst entscheiden, welche Möglichkeiten Sie für die einzelnen untergeordneten Domänen einsetzen.
122
Erstellen einer neuen untergeordneten Domäne
Erstellen einer DNS-Domäne für eine neue untergeordnete Domäne Die erste Möglichkeit der Namensauflösung ist die Erstellung einer neuen DNSDomäne unterhalb der Root-Domäne auf den Root-Domänen-Controllern. Diese Domäne befindet sich auf dem DNS-Server in der gleichen Zone wie die DNSDomäne der Root-Domäne. Um eine neue Domäne unterhalb einer DNS-Domäne zu erstellen, müssen Sie zunächst das Snap-in zur Verwaltung von DNS starten. Klicken Sie dann mit der rechten Maustaste auf die Zone, unter der Sie die neue DNS-Domäne erstellen wollen. Wählen Sie aus dem Menü die Option NEUE DOMÄNE aus. Im nächsten Fenster müssen Sie die Bezeichnung der neuen Domäne eingeben.
Abbildung 4.1: Erstellen von neuen, untergeordneten Domänen
Da die neue Domäne unterhalb einer bereits existierenden DNS-Domäne angelegt wird, müssen Sie nur die Bezeichnung der Domäne ohne die Endung der RootDomäne angeben. In diesem Beispiel lautet die Bezeichnung de unterhalb der Zone contoso.com. Nachdem Sie die Erstellung bestätigt haben, wird die neue Domäne unterhalb der Zone angezeigt. Sie brauchen keinerlei zusätzliche Angaben zu machen, da die Einstellungen für die Replikation der dynamischen Updates und Berechtigungen durch die übergeordnete Zone an die untergeordnete Domäne weitergegeben werden.
123
Kapitel 4 Active Directory erweitern
Abbildung 4.2: Neue untergeordnete Domänen können schnell angelegt werden.
Damit Sie auf dem Domänen-Controller der untergeordneten Domäne das Active Directory installieren können, müssen Sie in den IP-Einstellungen des neuen Domänen-Controllers einen DNS-Server der übergeordneten Domäne als bevorzugten Controller eintragen. Zum Erstellen einer untergeordneten Domäne ist eine Kontaktaufnahme zu der übergeordneten Domäne erforderlich. Dieser Kontakt wird über DNS hergestellt und kann nur zustande kommen, wenn der neue Domänen-Controller eine Verbindung aufbauen kann und die Namen der Domänen-Controller der Root-Domäne kennt. Nach der Heraufstufung des neuen Domänen-Controllers der untergeordneten Domäne sollten Sie auf diesem zunächst die DNS-Erweiterung installieren, damit er die DNS-Daten seiner Zone empfangen kann. Zusätzlich müssen Sie in den Eigenschaften der DNSZone die Replikation so anpassen, dass die DNS-Daten nicht nur auf die DNSServer der gleichen Domäne repliziert werden, sondern auf alle DNS-Server der Gesamtstruktur. Da die DNS-Server der neuen untergeordneten Domäne nicht zur gleichen Domäne gehören, ist diese Maßnahme notwendig. Nachdem die DNS-Daten auf den untergeordneten Domänen-Controllern angezeigt werden, können Sie in den IP-Einstellungen der Server die DNS-Server der untergeordneten Domäne als bevorzugte und die der übergeordneten Domäne als alternative DNS-Server konfigurieren. Dadurch ist sichergestellt, dass die Namensauflösung funktioniert, auch wenn unter Umständen die DNS-Server der untergeordneten Domäne nicht zur Verfügung stehen. Da diese Aufgabe erst durchgeführt werden kann, wenn das Active Directory auf den neuen Domänen-Controllern installiert wurde, müssen Sie zunächst die Heraufstufung der untergeordneten Domänen-Controller vornehmen.
124
Erstellen einer neuen untergeordneten Domäne
Abbildung 4.3: Festlegen der Konfiguration für DNS-Zonen
Delegierung von DNS-Zonen Die zweite Variante der Namensauflösung einer neuen untergeordneten Domäne ist die sogenannte Delegierung. Installieren Sie zunächst auf dem neuen Domänen-Controller die DNS-Erweiterung. Nachdem die DNS-Erweiterung installiert ist, erstellen Sie auf dem neuen DNS-Server eine neue Zone. Die neue Zone erhält dieselbe Bezeichnung wie die neue untergeordnete Domäne. In diesem Beispiel wird der Domänen-Controller dc-berlin der erste Domänen-Controller der untergeordneten Domäne de.contoso.com unterhalb der Domäne contoso.com. Sie können natürlich jeden beliebigen Namen verwenden. Gehen Sie dazu folgendermaßen vor: 1. Legen Sie zunächst den Computernamen fest. Auch das primäre DNS-Suffix des neuen Domänen-Controllers kann an dieser Stelle bereits eingegeben werden. Der Computername ist in diesem Beispiel dc-berlin, das primäre DNS-Suffix de.contoso.com. 2. Konfigurieren Sie in den IP-Einstellungen des Domänen-Controllers seine eigene IP-Adresse als bevorzugten DNS-Server. 3. Erstellen Sie in der DNS-Verwaltung eine neue Zone mit der Bezeichnung der neuen untergeordneten Domäne, in diesem Beispiel de.contoso.com. An dieser Stelle spielt die bereits vorhandene DNS-Domäne der Root-Domäne noch keinerlei Rolle. Achten Sie auf die dynamischen Updates der Zone.
125
Kapitel 4 Active Directory erweitern
Abbildung 4.4: Erstellen einer neuen DNS-Zone für eine neue untergeordnete Domäne
4. Nachdem die Zone erstellt wurde, wird sie in der DNS-Verwaltung wie die DNS-Zone der Root-Domäne auf den Root-Domänen-Controllern angezeigt. 5. Im nächsten Schritt müssen Sie dafür sorgen, dass sich beide DNS-Server gegenseitig auflösen können. Es muss in der untergeordneten Domäne möglich sein, Servernamen der übergeordneten Domäne aufzulösen, und in der übergeordneten Domäne muss es möglich sein, Servernamen der untergeordneten Domäne per DNS aufzulösen. Dazu wird die DNS-Zone der Root-Domäne so konfiguriert, dass alle Abfragen an die untergeordnete Domäne an deren Domänen-Controller weitergeleitet werden. Die DNS-Server der übergeordneten Domäne kümmern sich fortan nicht mehr um die Verwaltung der untergeordneten Domäne, sondern haben diese Aufgabe an die Domänen-Controller der untergeordneten Domäne delegiert. Für diesen Vorgang müssen Sie die Delegierung zunächst auf den DNS-Servern der übergeordneten Domäne einrichten. Klicken Sie dazu mit der rechten Maustaste auf die DNS-Zone der übergeordneten Domäne und wählen Sie aus dem Menü NEUE DELEGIERUNG.
126
Erstellen einer neuen untergeordneten Domäne
Abbildung 4.5: Erstellen einer neuen Delegierung innerhalb der übergeordneten Domäne
Es erscheint das Startfenster des Delegierungs-Assistenten. Im nächsten Fenster tragen Sie den Namen der neuen delegierten Domäne ein. Auch hier müssen Sie nur den Namen der untergeordneten Domäne eintragen, in diesem Beispiel de. Der Assistent vervollständigt automatisch den Namen zum FQDN. Dieser Vorgang ist vollkommen unabhängig von der Erstellung der neuen Zone in der untergeordneten Domäne. Die Namensauflösung von der übergeordneten Domäne zu Servern der untergeordneten Domäne funktioniert allerdings erst dann, wenn die Zone in der untergeordneten Domäne erstellt und die Delegierung in der übergeordneten Domäne eingerichtet wurde. Wenn ein Client oder ein Server einen DNS-Server der übergeordneten Domäne als bevorzugten DNS-Server eingetragen hat und einen Namen der untergeordneten Domäne auflösen will (zum Beispiel einen zweiten Domänen-Controller für die Replikation des Active Directory), kann nach der erfolgreichen Einrichtung der Delegierung der übergeordnete DNSServer die Anfrage an den untergeordneten DNS-Server weiterleiten, der die Antwort an den übergeordneten DNS-Server weitergibt. Dieser DNS-Server gibt die entsprechende Antwort an den Client zurück und behält gleichzeitig eine Kopie der Information für eine bestimmte Zeit im lokalen Zwischenspeicher.
127
Kapitel 4 Active Directory erweitern
Abbildung 4.6: Konfigurieren der delegierten Domäne
Auf der nächsten Seite des Assistenten müssen Sie den Namensserver angeben, der für die Auflösung der delegierten Domäne zuständig ist. Da an dieser Stelle die Namensauflösung noch nicht funktioniert, weil Sie diese gerade erst konfigurieren, müssen Sie die einzelnen Eingaben manuell vornehmen. Zunächst müssen Sie auf die Schaltfläche HINZUFÜGEN klicken. Tragen Sie dann im Bereich VOLLQUALIFIZIERTER SERVERDOMÄNENNAME den Namen des Servers ein. Die Auflösung oder das Durchsuchen der Zone funktioniert an dieser Stelle noch nicht. Geben Sie danach im Bereich IP-ADRESSE die IP-Adresse des oben eingetragenen DNS-Servers der untergeordneten Domäne ein und klicken Sie auf OK. Nach dieser Aktion wird dieser DNS-Server als Namensserver für die Delegierung verwendet. Sie können später noch Änderungen vornehmen oder weitere Server hinzufügen, falls zum Beispiel in der untergeordneten Domäne ein weiterer Domänen-Controller hinzugefügt werden soll. Durch das Eintragen von zwei Servern in der delegierten Domäne erzielen Sie eine Ausfallsicherheit bei der Namensauflösung von der übergeordneten zur untergeordneten Domäne.
128
Erstellen einer neuen untergeordneten Domäne
Abbildung 4.7: Eintragen eines DNS-Servers, an den die Auflösung einer Domäne delegiert wird
Überprüfen Sie jetzt mit nslookup, ob die Auflösung fehlerfrei funktioniert. Gehen Sie dazu in die Befehlszeile und geben Sie auf dem DNS-Server der Root-Domäne (oder einem Client der diesen als bevorzugten DNS-Server konfiguriert hat) nslookup ein. Überprüfen Sie den FQDN des DNS-Servers der untergeordneten Domäne, in diesem Beispiel also dc-berlin.de.contoso.com. Die IP-Adresse des Servers muss fehlerfrei zurückgegeben werden.
Abbildung 4.8: Überprüfen der Namensauflösung von der übergeordneten zur untergeordneten Domäne
129
Kapitel 4 Active Directory erweitern
An dieser Stelle ist die Namensauflösung von der übergeordneten zur untergeordneten Domäne hergestellt. Sie müssen noch die Namensauflösung von der untergeordneten zur übergeordneten Domäne herstellen. Die beste Variante hierzu ist die bereits besprochene bedingte Weiterleitung: 1. Klicken Sie dazu mit der rechten Maustaste im Snap-in der DNS-Verwaltung in der Baumdarstellung auf BEDINGTE WEITERLEITUNGEN. 2. Wählen Sie aus dem Kontextmenü die Option NEUER BEDINGTE WEITERLEITUNG… und tragen Sie die übergeordnete DNS-Domäne ein. 3. Tragen Sie die IP-Adresse eines DNS-Servers der übergeordneten Domäne ein. Falls in der übergeordneten Domäne mehrere DNS-Server für die Namensauflösung zuständig sind, tragen Sie alle DNS-Server ein. Nachdem Sie diese Konfiguration vorgenommen haben, öffnen Sie wieder eine Befehlszeile und geben nslookup ein. Überprüfen Sie, ob von der untergeordneten Domäne die Domänen-Controller der übergeordneten Domäne aufgelöst werden können. Auch hier sollten keine Fehler mehr auftreten. In diesem Beispiel ist dc-berlin.de.contoso.com ein untergeordneter Domänen-Controller und dc01. contoso.com ein Domänen-Controller der übergeordneten Domäne contoso.com. Achten Sie darauf, dass beim Einsatz von mehreren untergeordneten Domänen auch die Namensauflösung zwischen den untergeordneten Domänen untereinander funktioniert. Nur durch eine lückenlos konfigurierte Namensauflösung ist die Replikation im Active Directory sichergestellt. Damit haben Sie die Konfiguration der DNS-Einstellungen abgeschlossen. Die Namensauflösung sollte sowohl innerhalb der Domänen als auch zwischen den Domänen reibungslos funktionieren.
4.1.2
Heraufstufen eines Domänen-Controllers für eine neue untergeordnete Domäne
Nachdem Sie sichergestellt haben, dass die Namensauflösung für die neue untergeordnete Domäne funktioniert, und der zukünftige Active Directory-DomänenController der untergeordneten Domäne auch die Namen in der übergeordneten Domäne auflösen kann, können Sie mit dcpromo den Assistenten zum Heraufstufen eines Domänen-Controllers starten. Vor der Ausführung von dcpromo muss auf dem Server aber noch die Serverrolle Active Directory-Domänendienste installiert werden. Haben Sie den Assistenten gestartet, so wählen Sie die Option VORHANDENE GESAMTSTRUKTUR aus. Anschließend wählen Sie die Option NEUE DOMÄNE IN VORHANDENER GESAMTSTRUKTUR ERSTELLEN aus. Die Option NEUEN DOMÄNENSTRUKTURSTAMM ANSTELLE VON… wählen Sie bitte nicht aus! Diese Option
130
Erstellen einer neuen untergeordneten Domäne
benötigen Sie, wenn Sie (wie in Kapitel 1 gezeigt) zu Ihrer Gesamtstruktur einen neuen Namensraum (z. B. microsoft.com) hinzufügen möchten.
Abbildung 4.9: Erstellen einer neuen Domäne in einer vorhandenen Gesamtstruktur
Im nächsten Schritt müssen Sie sich an der Gesamtstruktur authentifizieren, zu der Sie eine neue untergeordnete Domäne hinzufügen wollen. Dazu geben Sie eine DNS-Domäne an, die bereits Mitglied der Gesamtstruktur ist und die vom neuen Domänen-Controller aus aufgelöst werden kann. Am besten verwenden Sie hierbei die Stammdomäne der Gesamtstruktur. Über die Option ALTERNATIVE ANMELDEINFORMATIONEN und die Schaltfläche FESTLEGEN… melden Sie sich an der Gesamtstruktur an. Nachdem Sie sich erfolgreich am Active Directory authentifiziert haben, können Sie die Domäne auswählen, unter der Sie eine untergeordnete Domäne erstellen wollen. In diesem Fenster wählen Sie darüber hinaus auch aus, wie die Bezeichnung der neuen untergeordneten Domäne lauten soll.
131
Kapitel 4 Active Directory erweitern
Abbildung 4.10: Anmelden an der Gesamtstruktur für das Erstellen einer neuen Domäne
Abbildung 4.11: Auswählen der übergeordneten Domäne für die neue untergeordnete Domäne
132
Erstellen einer neuen untergeordneten Domäne
Im nächsten Schritt wird der NetBIOS-Name der neuen Domäne festgelegt. Nachdem der Name festgelegt wurde, kann der Domänen-Controller einem Standort im Active Directory zugewiesen werden. Als Nächstes wird festgelegt ob der neue Server auch als DNS-Server fungieren und ob der globale Katalog ebenfalls auf diesem Server gespeichert werden soll. Oft wird zusätzlich eine Warnung eingeblendet, dass eine Netzwerkverbindung noch eine dynamische IP-Adresse verwendet. Auf dem nächsten Fenster wird ausgewählt, ob der Assistent selbst den Domänen-Controller für die erste Replikation der Daten verwenden soll, oder ob ein bestimmter Domänen-Controller bevorzugt wird. Schließlich müssen noch der Speicherort der verschiedenen Daten, wie bei jedem Domänen-Controller, ausgewählt werden, sowie das Kennwort für den Wiederherstellungsmodus. Auf dem letzten Fenster können die Eingaben für eine Antwortdatei exportiert werden. Anschließend beginnt der Assistent mit der Heraufstufung des DomänenControllers und repliziert die notwendigen Daten. Zum Abschluss muss ein Neustart erfolgen. Sie können sich anschließend an dem Server an der untergeordneten Domäne anmelden und die Domäne wie jede andere auch verwalten. Von der Verwaltung unterscheiden sich untergeordnete Domänen nicht von übergeordneten Domänen, sie erleichtern jedoch die Verteilung der Administration innerhalb des Active Directory. Untergeordnete Domänen werden im Snap-in ACTIVE DIRECTORY-DOMÄNEN UND VERTRAUENSSTELLUNGEN in der Baumstruktur entsprechend unter der übergeordneten Domäne angezeigt. Nachdem Sie den DNS-Server der neuen untergeordneten Domäne zum Domänen-Controller heraufgestuft haben, sollten Sie die Zone der neuen Domäne ebenfalls in das Active Directory integrieren und die Replikation der DNS-Daten so einstellen, wie Sie es wünschen. Standardmäßig werden die Daten auf allen Domänen-Controllern der neuen Domäne bereits repliziert und angezeigt, sobald die DNS-Funktion installiert wird. Sie sollten auch darauf achten, dass in den Netzwerkeinstellungen des neuen Domänen-Controllers er selbst bzw. ein anderer Domänen-Controller mit DNS-Funktionalität dieser Domäne als DNS-Server eingetragen ist. Auch den Betriebsmodus dieser Domäne müssen Sie separat zu den anderen Domänen in Ihrem Active Directory heraufstufen.
133
Kapitel 4 Active Directory erweitern
4.1.3
Einführen einer neuen Domänenstruktur in einer Gesamtstruktur
Neben der möglichen Einführung untergeordneter Domänen können in einer Gesamtstruktur auch neue Domänenstrukturen hinzugefügt werden. Eine Struktur innerhalb einer Gesamtstruktur teilt sich mit allen ihren untergeordneten Domänen einen Namensraum. In diesem Beispiel wäre dies die Struktur contoso.com mit der untergeordneten Domäne de.contoso.com. In manchen Unternehmen kann es jedoch sinnvoll sein, unabhängige Namensräume zu erstellen, die zwar Bestandteil der Gesamtstruktur sind, aber vom Namen her von den anderen Domänen unabhängig sind. Ein Beispiel wäre die neue Struktur microsoft.com in der Gesamtstruktur contoso.com. Neue Strukturen werden vor allem dann geschaffen, wenn Teile des Unternehmens, zum Beispiel durch eine Akquisition, vom Namen her unabhängig erscheinen wollen. Im Grunde genommen ist eine neue Domänenstruktur zunächst nichts anderes als eine neue untergeordnete Domäne der Root-Domäne der Gesamtstruktur, mit dem Unterschied, dass sie einen eigenen Namensraum hat. Bevor Sie eine neue Struktur einführen können, müssen Sie auch hier zunächst die passende DNS-Infrastruktur erstellen. Bei der Erstellung einer neuen Struktur besteht die Möglichkeit, eine neue Delegierung zu erstellen, nicht, da der Namensraum von der bisherigen Struktur komplett unabhängig ist. Auch wenn eine neue Struktur vom Namen her mit der ersten erstellten Struktur einer Gesamtstruktur gleichwertig ist, ist die zweite Struktur stets untergeordnet. Die Gesamtstruktur trägt im Active Directory immer die Bezeichnung der ersten installierten Struktur. In der ersten Struktur und in der in ihr erstellten ersten Domäne befinden sich auch die beiden Betriebsmasterrollen Domänennamenmaster und Schemamaster. Ein wichtiger Punkt bei der Erstellung von mehreren Strukturen innerhalb einer Gesamtstruktur ist auch der Pfad der Vertrauensstellungen. In einem Active Directory vertrauen sich alle Domänen innerhalb einer Struktur untereinander. Diese transitiven Vertrauensstellungen werden automatisch eingerichtet. Es werden allerdings keine Vertrauensstellungen zwischen untergeordneten Domänen verschiedener Strukturen eingerichtet, sondern nur zwischen den Root-Domänen der einzelnen Strukturen. Wenn Anwender auf Daten verschiedener untergeordneter Domänen zugreifen wollen, muss die Authentifizierung daher immer den Weg bis zur Root-Domäne der eigenen Struktur gehen, dann zur Root-Domäne der anderen Struktur und schließlich zur entsprechenden untergeordneten Domäne. Diese Authentifizierung kann durchaus einige Zeit dauern. Es ist allerdings möglich, diese Aufgabe zu beschleunigen. Dazu müssen Sie manuelle Vertrauensstellungen direkt zwischen den untergeordneten Domänen der verschiedenen Strukturen innerhalb der Gesamtstruktur erstellen.
134
Erstellen einer neuen untergeordneten Domäne
Erstellen der DNS-Infrastruktur für eine neue Domänenstruktur Um eine neue Struktur innerhalb einer Gesamtstruktur zu erstellen, müssen Sie zunächst wieder eine passende DNS-Infrastruktur schaffen. Sie können dazu entweder wieder auf den DNS-Servern einer bereits vorhandenen Struktur eine neue DNS-Zone mit der Bezeichnung der neuen Struktur oder auf den neuen DomänenControllern der neuen Struktur eine eigenständige neue Zone erstellen. Gehen Sie dazu genauso vor wie bei der Erstellung der ersten Struktur. Wenn Sie die neue Zone erstellt haben, sollten Sie auf den DNS-Servern der neuen Struktur in den Weiterleitungen eine entsprechende Weiterleitung zur anderen Struktur einrichten, wie sie bereits bei der Delegierung von DNS-Domänen beschrieben wurde. Auf allen DNS-Servern aller Strukturen sollten Weiterleitungen eingerichtet werden, die entsprechende Anfragen an die DNS-Server der jeweiligen Struktur weiterleiten können. Überprüfen Sie die Namensauflösung wieder mit nslookup, damit sichergestellt ist, dass die Auflösung zwischen den verschiedenen Strukturen auch funktioniert. Erst wenn die Namensauflösung zwischen der neuen und der bereits vorhandenen DNS-Domäne funktioniert, können Sie die neue Struktur im Active Directory erstellen. Wenn Sie eine neue Struktur innerhalb einer Gesamtstruktur erstellen, müssen Sie sich bei der Gesamtstruktur authentifizieren; auch muss der neue Domänen-Controller eine Verbindung zum Domänennamenmaster aufbauen können. Tragen Sie in den IP-Einstellungen des ersten Domänen-Controllers der neuen Struktur seine eigene IP-Adresse als bevorzugten DNS-Server ein. In den Eigenschaften des DNSServers tragen Sie die Weiterleitungen zu den DNS-Servern der Root-Domäne ein, in der sich der Domänennamenmaster befindet. Optimieren der IP-Einstellungen beim Einsatz mehrerer Domänen Installieren Sie einen zusätzlichen Domänen-Controller für eine Domäne, so müssen Sie sicherstellen, dass der bevorzugte DNS-Server in den IP-Einstellungen den Namen der Zone auflösen kann, welche die Domäne verwaltet. Sie können in den IP-Einstellungen eines Servers mehrere DNS-Server eintragen. Es wird stets zunächst der bevorzugte DNS-Server verwendet. Die alternativen DNS-Server werden erst dann eingesetzt, wenn der bevorzugte DNS-Server nicht mehr zur Verfügung steht, weil er zum Beispiel gerade neu gestartet wird. Ein Server verwendet nicht alle konfigurierten DNS-Server parallel oder hintereinander, um Namen aufzulösen. Wollen Sie einen DNS-Namen auflösen, und kann der bevorzugte DNS-Server den Namen nicht auflösen und meldet dies dem Client zurück, wird der alternative Server nicht eingesetzt. Auch das Zurückgeben einer nicht erfolgten Namensauflösung wird als erfolgreiche Antwort akzeptiert.
135
Kapitel 4 Active Directory erweitern
Über die Schaltfläche ERWEITERT in den IP-Einstellungen eines Rechners können Sie weitere Einstellungen vornehmen, um die Zusammenarbeit mit DNS zu konfigurieren. Sie können auf der Registerkarte DNS der erweiterten Einstellungen weitere alternative DNS-Server eintragen. Aktivieren Sie auf den Domänen-Controllern in den IP-Einstellungen über die Schaltfläche ERWEITERT auf der Registerkarte DNS die Option DIESE DNS-SUFFIXE ANHÄNGEN (IN REIHENFOLGE). Tragen Sie als Nächstes zuerst den Namensraum der eigenen Struktur ein und hängen Sie danach die Namensräume der anderen Strukturen an.
Abbildung 4.12: Optimieren der Namensauflösung über neue DNS-Suffixe
Der Sinn dieser Konfiguration ist die schnelle Auflösung von Servern in den anderen Strukturen. Wenn Sie zum Beispiel den Domänen-Controller dc01 in der Struktur contoso.com auflösen wollen, müssen Sie immer dc01.contoso.com eingeben. Diese Einstellung ist optional, erleichtert aber die Stabilität der Namensauflösung in Ihrem Active Directory. Sie sollten diese Einstellung auf jedem Domänen-Controller sowie auf jedem Exchange Server in Ihrer Gesamtstruktur durchführen. Zuerst sollten immer die eigene Domäne und der eigene Namensraum eingetragen werden, bevor andere Namensräume abgefragt werden. Wenn Sie diese Maßnahme durchgeführt haben, können Sie mit nslookup den Effekt überprüfen. Sie können an dieser Stelle dc01 eingeben. Der Server befragt seinen bevorzugten DNS-Server, ob ein Server mit dem Namen dc01.microsoft.com gefunden wird. Da dieser Server nicht vorhanden ist (sonst würde dieser Trick nicht funktionieren),
136
Erstellen einer neuen untergeordneten Domäne
wird der nächste Namensraum abgefragt. Das ist in diesem Beispiel contoso.com. Da die Zone contoso.com als Weiterleitung in den DNS-Servern definiert ist, fragt der DNS-Server jetzt beim DNS-Server dieser Zone nach und löst den Namen richtig auf. Erstellen der neuen Domänenstruktur Sobald sichergestellt ist, dass die Namensauflösung funktioniert und die Active Directory-Domänendienste-Rolle auf dem Server installiert ist, können Sie mit dcpromo.exe den Assistenten zum Erstellen neuer Domänen starten. Anschließend werden die Optionen VORHANDENE GESAMTSTRUKTUR, NEUE DOMÄNE IN VORHANDENER GESAMTSTRUKTUR ERSTELLEN und NEUEN DOMÄNENSTRUKTURSTAMM ANSTELLE VON NEUER UNTERGEORDNETER DOMÄNE ERSTELLEN aktiviert.
Abbildung 4.13: Erstellen einer neuen Struktur innerhalb einer Gesamtstruktur
Die weiteren Fenster sind identisch mit dem Erstellen einer untergeordneten Domäne, beziehungsweise dem Erstellen einer neuen Gesamtstruktur. Auch wenn die neue Struktur einen eigenen Namensraum hat, ist diese unterhalb der ersten Domäne in der Gesamtstruktur untergeordnet.
137
5
Exchange Server 2007 in einer Testumgebung installieren
Exchange Server 2007 installieren Sie am besten auf einem Mitgliedsserver. Die Installation auf einem Domänen-Controller wird zwar unterstützt, aber nicht empfohlen. Für die Testumgebung können Sie Exchange Server 2007 auf einem der Domänen-Controller installieren, allerdings ist auch zu Testzwecken die Installation auf einem eigenständigen virtuellen Server besser. Zur näheren Erläuterung lesen Sie bitte die Exchange Server 2007 System Requirements unter http://technet.microsoft.com/en-us/library/aa996719.aspx.
5.1
Beitreten eines Windows Servers 2003/ 2008 zu einer Domäne
Bevor Sie Exchange Server 2007 auf einem Server installieren, müssen Sie diesen Server zunächst zu einem Mitgliedsserver der Domäne machen, in der Sie den Server installieren möchten. Um einen Server zu einem Mitgliedsserver zu machen, aktivieren Sie SYSTEMSTEUERUNG • SYSTEM und klicken in dem Abschnitt EINSTELLUNGEN FÜR COMPUTERNAMEN, DOMÄNE UND ARBEITSGRUPPE auf EINSTELLUNGEN ÄNDERN. Klicken Sie dann auf der Registerkarte COMPUTERNAME auf ÄNDERN.
139
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Achten Sie bitte darauf, dass Sie vor dem Beitreten der Domäne den Namen des Servers bereits passend vergeben haben und dass in den IP-Einstellungen des Servers die DNS-Server des Active Directory eingetragen sind. Haben Sie den Namen der Domäne eingegeben und das Fenster mit OK bestätigt, so erscheint ein Authentifizierungsfenster. Dort müssen Sie die Authentifizierung eines Benutzers eintragen, der über das Recht verfügt, Computer zu dieser Domäne hinzuzufügen. Nachdem Sie sich erfolgreich authentifiziert haben, wird der Server in die Domäne aufgenommen und das primäre DNS-Suffix des Servers automatisch an die Domäne angepasst. Wurde das Computerkonto der Domäne hinzugefügt, erhalten Sie eine Meldung. Dieser Vorgang ist für alle Server oder Arbeitsstationen identisch. Nach dem Beitreten einer Domäne müssen Sie den Server neu starten. Melden Sie sich im Anschluss mit einem Benutzerkonto, das über administrative Rechte verfügt, in der Domäne an. Mit diesem Konto installieren Sie Exchange sowie alle notwendigen Komponenten auf dem Server. Danach wird das Computerkonto in der Organisationseinheit COMPUTERS im Snap-in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER angezeigt. Bevor Sie das Installationsprogramm von Exchange Server 2007 laufen lassen, müssen Sie noch einige Vorbereitungen treffen. Installation der Internetinformationsdienste für Windows Server 2003 Als Nächstes sollten Sie auf dem Server die Internetinformationsdienste installieren. Der IIS wird in Exchange Server 2007 noch immer benötigt. Vor allem die neue Autodiscover-Funktion von Outlook 2007 und die Anbindung mobiler Clients benötigen einen Exchange Server 2007 mit installiertem IIS, um sich verbinden zu können. Für die Installation von Exchange Server 2007 ist es nicht mehr notwendig, ASP, SMTP und NNTP zu installieren, da diese Komponenten nicht mehr benötigt bzw. im Fall von SMTP durch Exchange Server 2007 selbst zur Verfügung gestellt werden und nicht mehr durch das Betriebssystem.
140
Beitreten eines Windows Servers 2003/2008 zu einer Domäne
Es reicht aus, wenn Sie über SYSTEMSTEUERUNG • PROGRAMME ÄNDERN ODER ENTFERNEN • WINDOWS-KOMPONENTEN HINZUFÜGEN die Komponente INTERNETINFORMATIONSDIENSTE (IIS) auswählen.
Abbildung 5.1: Installation der Internetinformationsdienste (IIS) für Exchange Server 2007
Installation der Microsoft Management Console 3.0 Als Nächstes müssen Sie die Microsoft Management Console 3.0 (MMC 3.0) installieren, falls Sie als Testserver nicht Windows Server 2003 R2 verwenden. Beim Einsatz von Windows Server 2003 R2 wurde diese Komponente bereits installiert. Setzen Sie Windows Server 2003 mit SP1 ein, müssen Sie die MMC bei Microsoft herunterladen. Sie wird kostenlos zur Verfügung gestellt. Sie finden die Konsole unter der Adresse http://www.microsoft.com/downloads/details.aspx? displaylang=de&FamilyID=4C84F80B-908D-4B5D-8AA8-27B962566D9F.
141
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Installation der Microsoft PowerShell Der nächste Schritt besteht darin, das Installationsprogramm von Exchange Server 2007 aufzurufen. Auf dem Startbildschirm sehen Sie, welche Komponenten bereits installiert wurden und welche noch installiert werden müssen. Die bereits installierten Komponenten sind deaktiviert. Schritt 3 für die Vorbereitungen zur Installation von Exchange Server 2007 besteht darin, die Windows PowerShell zu installieren. Auf sie können Sie bequem zugreifen, wenn Sie auf den Link SCHRITT 3: INSTALLIEREN SIE MICROSOFT WINDOWSPOWERSHELL klicken. Bei Windows Server 2008 fügen Sie die PowerShell als neues Feature hinzu.
Abbildung 5.2: Installation der Microsoft Command Shell
142
Beitreten eines Windows Servers 2003/2008 zu einer Domäne
Installation der Exchange Server 2007-Komponenten Haben Sie das .NET Framework, die MMC 3.0 und die PowerShell installiert, sollten diese Punkte im Menü deaktiviert sein. Im nächsten Schritt können Sie die Installation von Exchange Server 2007 auswählen. Die Installation besteht aus mehreren Fenstern, auf denen Sie verschiedene Eingaben vornehmen können. Für die Installation in einer Testumgebung ist es nicht notwendig, ausführlichere Eingaben zu machen. Sie sehen am Beispiel der Installationsroutine, wie später die einzelnen Schritte in den verschiedenen Assistenten von Exchange Server 2007 aussehen werden.
Abbildung 5.3: Startseite der Exchange Server 2007-Installation
143
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Auf der nächsten Seite der Exchange Server 2007-Installation müssen Sie die obligatorischen Lizenzbedingungen bestätigen.
Abbildung 5.4: Bestätigen der Lizenzbedingungen von Exchange Server 2007
144
Beitreten eines Windows Servers 2003/2008 zu einer Domäne
Auf der folgenden Seite der Installationsroutine sollten Sie die Fehlerberichterstattung deaktivieren, da diese für Unternehmen keinen Nutzen bringt und unnötig den Server belastet. Bei dieser Funktion werden bei Abstürzen und Fehlern automatisch Daten zu Microsoft übertragen, um Probleme in der Programmierung zu melden.
Abbildung 5.5: Deaktivierung der Fehlerberichterstattung
145
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Im nächsten Fenster können Sie die Installationsart bestimmen. Für die Installation in einer Testumgebung reicht die Installationsvariante TYPISCHE INSTALLATION VON EXCHANGE SERVER aus. Sie müssen keine weiteren Eingaben vornehmen.
Abbildung 5.6: Auswählen der Installationsart
146
Beitreten eines Windows Servers 2003/2008 zu einer Domäne
Auf der nächsten Seite geben Sie den Namen der Exchange-Organisation ein. Dieser Name muss nicht unbedingt mit einer Active Directory-Domäne übereinstimmen, sondern kann beliebig von Ihnen gewählt werden.
Abbildung 5.7: Eintragen des Organisationsnamens
Auf der nächsten Seite der Installationsroutine können Sie auswählen, ob Sie neben Outlook 2007 stattdessen Outlook 2003 oder ältere Versionen einsetzen möchten. Wählen Sie JA aus, erstellt das Setup von Exchange eine öffentliche Ordner-Datenbank. Wählen Sie dagegen NEIN aus, so wird diese Datenbank nicht erstellt. Bei dieser Auswahl handelt es sich nicht um eine Sackgasse. Sie können nach der Installation ohne Weiteres manuell eine Datenbank für öffentliche Ordner erstellen. Diese funktioniert dann wie gewohnt. Weitere Auswirkungen hat dieses Fenster nicht.
147
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Zur Installation einer Testumgebung müssen Sie an dieser Stelle weder weitere Eintragungen vornehmen noch bestimmte Punkte beachten.
Abbildung 5.8: Auswählen der Client-Optionen
148
Beitreten eines Windows Servers 2003/2008 zu einer Domäne
Als Nächstes überprüft die Installationsroutine, ob alle notwendigen Komponenten auf dem Server vorhanden sind und die Installation fortgesetzt werden kann. In einigen Fällen kann es sein, dass das Zusatztool ldifde.exe fehlt. Überprüfen Sie in diesem Fall bitte, ob das Tool auf der Festplatte vorhanden ist und installieren Sie es über die Support-Tools von Windows Server 2003 nach. Bei Windows Server 2008 erscheint dieser Fehler nicht. Sie erhalten für jede Exchange Server 2007-Komponente, die installiert werden soll, einen Statusbericht. Kann eine Komponente nicht installiert werden, erhalten Sie eine entsprechende Information, können dann den Fehler beheben und die Installation mit der Schaltfläche WIEDERHOLEN erneut starten. Sofern Sie die 32-Bit-Version von Exchange Server 2007 installieren, erhalten Sie eine entsprechende Warnung bei den einzelnen Komponenten, die Sie darauf hinweist, dass diese Version von Exchange Server 2007 nicht auf einem produktiven System installiert werden kann. Virtual Server 2005 R2 kann zwar auf einem 64-Bit-System installiert werden, unterstützt allerdings nur ein 32-Bit-Gastsystem.
Abbildung 5.9: Überprüfen der Installationskomponenten
149
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Im nächsten Schritt beginnt Exchange Server 2007 mit der Installation und zeigt Ihnen den aktuellen Installationsstatus für jede einzelne Komponente an. Sie sehen in dem Fenster auch die Dauer der Installation für jede Komponente, die installiert wurde. Ebenso sehen Sie auch, bei welchen Komponenten Fehler oder Warnungen während der Installation aufgetreten sind. Nach einiger Zeit ist die Installation abgeschlossen, und Exchange Server 2007 steht zur Verfügung.
Abbildung 5.10: Ablauf der Installation
5.2
Installation von Exchange Server 2007 unter Windows Server 2008
Damit Exchange Server 2007 unter Windows Server 2008 installiert werden kann, müssen zunächst einige Voraussetzungen geschaffen werden. Auf dem Server muss das Feature PowerShell installiert werden, bevor Exchange installiert werden kann. Die neue Managementkonsole und das .NET Framework 2.0 müssen bei Windows Server 2008 nicht installiert werden – sie sind bereits standardmäßig auf dem System vorhanden.
150
Installation von Exchange Server 2007 unter Windows Server 2008
Die PowerShell wird entweder über den Server-Manager installiert oder über den Befehl servermanagercmd -i powershell in der Befehlszeile. Neben der PowerShell muss unter Windows Server 2008 auch die Serverrolle Webserver (IIS) mit der Standardauswahl installiert werden. Außerdem müssen bei der Installation noch folgende zusätzliche Rollendienste ausgewählt werden: 왘
IIS 6-Verwaltungskompatibilität mit allen Unterdiensten
왘
Komprimierung dynamischer Inhalte
왘
Standardauthentifizierung
왘
Windows-Authentifizierung
왘
Digestauthentifizierung
Abbildung 5.11: Installieren der notwendigen Rollendienste des IIS für die Installation von Exchange Server 2007
Auch wenn die Installation der Rollendienste einen Neustart nicht voraussetzt, sollten Sie diesen dennoch durchführen, bevor das Exchange Server 2007-Installationsprogramm gestartet wird.
151
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Bei einer Neuinstallation einer Organisation auf einem Mitgliedsserver unter Windows Server 2008 müssen zuvor die Active Directory-Verwaltungsprogramme auf dem Server installiert werden. Verwenden Sie dazu den Befehl ServerManagerCmd -i RSAT -ADDS. Andernfalls erhalten Sie Fehlermeldungen, die das Programm ldifde betreffen. Anschließend wird Exchange Server 2007 auf dem Server installiert. Achten Sie bitte darauf, dass die Installation direkt mit dem Installationsprogramm des Service Packs 1 gestartet wird. Auf dem Server muss nicht erst Exchange Server 2007 und dann das Service Pack installiert werden. Der Ablauf der Installation ist identisch zur Installation der Version ohne das Service Pack bei Windows Server 2003. Vor der Installation findet eine Überprüfung statt. Findet der Assistent Fehler, beispielsweise weil Komponenten fehlen, müssen diese zuerst behoben werden, bevor mit der Installation fortgefahren werden kann.
Abbildung 5.12: Installieren eines neuen Exchange Servers direkt mit dem Service Pack 1
Ist die Installation abgeschlossen, befindet sich auf dem Server Exchange Server 2007 mit bereits integriertem Service Pack 1.
152
Installation von Exchange Server 2007 unter Windows Server 2008
Nachträgliche Installation von Service Pack 1 für Exchange Server 2007 unter Windows Server 2003 Wurde auf einem Server mit Windows Server 2003 bereits Exchange Server 2007 installiert, so kann das Service Pack einfach darüber installiert werden. Dazu muss allerdings das Service Pack 2 für Windows Server 2003 installiert werden. Bei der Installation werden einige Dienste neu gestartet, sodass während dieses Vorgangs keine Anwender mit dem Server arbeiten sollten. Die Installation wird mit dem normalen Setup-Programm des Service Packs gestartet. Wie bei Windows Server 2008 kann ein neuer Server auch direkt mit SP 1 installiert werden. Auch unter Windows Server 2003 ist eine vorhergehende Installation von Exchange Server 2007 nicht unbedingt erforderlich. Probleme bei der Installation des Service Packs In manchen Fällen erhalten Administratoren eine Fehlermeldung, wenn das Service Pack 1 installiert werden soll. Der Fehler kann aber leicht durch das Löschen eines Registry Keys behoben werden. Erscheint die Fehlermeldung Setup previously failed while performing the action Install. You cannot resume setup by performing the action BuildToBuildUpgrade, existiert auf Ihrem Server noch ein falsch gesetzter Registry-Eintrag. Öffnen Sie in diesem Fall den Registrierungs-Editor und navigieren Sie zu HKLM\SOFTWARE\MICROSOFT\ EXCHANGE\V8.0. Hier findet sich für jede installierte Rolle ein eigener RegistrySchlüssel. Bei mindestens einem dieser Schlüssel findet sich ein Eintrag mit dem Namen ACTION und dem Wert INSTALL oder ein Eintrag WATERMARK. Löschen Sie in diesem Fall die Werte – die Installation sollte dann problemlos durchgeführt werden können. Achten Sie nach der Installation bitte darauf, dass die Dienste gestartet sind, oder starten Sie diese gegebenenfalls manuell. Der Befehl setup /PrepareAllDomains bereitet alle Domänen in der Gesamtstruktur für Exchange Server 2007 vor. Führen Sie diesen Befehl aus, so erhalten Sie unter Umständen eine Fehlermeldung bei Domänen, die sich an anderen Active Directory-Standorten befinden, falls zum Beispiel die Replikation noch nicht abgeschlossen worden ist. Führen Sie in diesem Fall eine manuelle Replikation durch oder warten Sie, bis die Replikation abgeschlossen worden ist. Starten Sie den Befehl dann noch einmal. Erst danach können Sie Empfänger aus untergeordneten Domänen an den Server anbinden.
153
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
5.3
Erste Schritte mit Exchange Server 2007
Nach der Installation der Testumgebung können Sie sich mit der Konfiguration von Exchange Server 2007 vertraut machen. Die Verwaltungskonsole von Exchange Server 2007 trägt die Bezeichnung Exchange-Verwaltungskonsole und baut auf der MMC 3.0 auf. Die MMC 3.0 muss nachträglich auf Windows Server 2003 mit SP1 installiert werden, in Windows Server 2003 R2 ist sie bereits enthalten. Der wesentliche Unterschied ist die Aufteilung in drei Spalten, von denen die dritte dazu dient, notwendige Aktionen im aktuell markierten Bereich durchzuführen. Windows Vista und Windows Server 2008 werden zusammen mit der MMC 3.0 ausgeliefert. Die Verwaltung von Exchange Server 2007 findet hauptsächlich über die beiden Tools EXCHANGE-VERWALTUNGSKONSOLE und EXCHANGE-VERWALTUNGSSHELL statt.
5.3.1
Die Exchange-Verwaltungskonsole verstehen
Sie starten die Exchange-Managementkonsole über START • PROGRAMME • MICROSOFT EXCHANGE SERVER 2007 • EXCHANGE-VERWALTUNGSKONSOLE.
Abbildung 5.13: Ein erster Blick in die Exchange-Verwaltungskonsole
154
Erste Schritte mit Exchange Server 2007
Haben Sie die Exchange-Verwaltungskonsole zum ersten Mal gestartet, sehen Sie den typischen Aktionsbereich ganz rechts in der Management Console 3.0. Installieren Sie die Testversion ohne Seriennummer, so erhalten Sie eine Fehlermeldung. Diese können Sie allerdings während der Testphase ignorieren. In diesem Bereich werden stets alle verfügbaren Befehle und Aktionen angezeigt, die auch über den Menüpunkt AKTION bzw. mit einem Rechtsklick auf den entsprechenden Menüpunkt zur Verfügung stehen. Auch auf der linken Seite der Managementkonsole sehen Sie, dass die einzelnen Menüpunkte im Baum gegenüber Exchange 2003 deutlich verändert wurden. Zunächst fällt auf, dass der Baum nicht mehr so tief verschachtelt ist, sondern viele Aufgaben der Verwaltung in den mittleren Bereich der Konsole gewandert sind, während auf der rechten Seite die Hauptmenüpunkte zur Verfügung stehen. Die einzelnen Aktionen, die Sie durchführen können, erscheinen erneut im Kontextmenü des entsprechenden Punktes in der Mitte der Konsole oder im Aktionsbereich der Konsole ganz rechts.
Abbildung 5.14: Struktur der Exchange-Verwaltungskonsole
155
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Die Bedienung der Exchange-Verwaltungskonsole wurde von Microsoft komplett überarbeitet, es sind nur noch wenige Ähnlichkeiten zu Exchange 2003 zu erkennen. Es handelt sich bei der Konsole aber noch immer um ein Snap-in für die MMC. Einer der Vorteile ist die bessere Bedienung der Konsole, die ich im Folgenden an ein paar Beispielen zeigen werde. Die Konsole besteht aus vier Bereichen, in denen Sie die einzelnen Komponenten von Exchange verwalten können.
Abbildung 5.15: Struktur der Exchange-Verwaltungskonsole
Die verschiedenen Bereiche der Managementkonsole sind: 왘
Organisationskonfiguration
왘
Serverkonfiguration
왘
Empfängerkonfiguration
왘
Toolbox
Die Konsole ist nicht mehr so tief verschachtelt wie unter Exchange 2003. Administratoren erreichen die einzelnen Optionen direkt unter den einzelnen Menüpunkten. Alle Aktionen, die Sie für die Objekte im Ergebnisbereich durchführen können, erreichen Sie auch durch einen Rechtsklick. Arbeiten Sie lieber mit der rechten Maustaste und benötigen Sie den Aktionsbereich nicht, können Sie diesen über das Menü ANSICHT deaktivieren. Alternativ können Sie auch die Schaltfläche zur Deaktivierung des Aktionsbereichs verwenden.
156
Erste Schritte mit Exchange Server 2007
Abbildung 5.16: Deaktivieren des Aktionsbereichs
Verwalten der Exchange-Organisation über die Organisationskonfiguration Über den Menüpunkt ORGANISATIONSKONFIGURATION erreichen Sie die Einstellungen, welche für die gesamte Organisation, also für alle Exchange-Server, alle Datenbanken sowie alle Empfänger gelten.
Abbildung 5.17: Verwalten der Organisation
Dieser Bereich untergliedert sich in vier weitere Untermenüs. Diese Menüs stellen die vier Serverrollen dar, die in einem internen Netzwerk betrieben werden können. Über diese Serverrollen-Menüs erreichen Sie die globalen Einstellungen für die einzelnen Serverrollen.
157
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Klicken Sie auf den obersten Menüpunkt ORGANISATIONSKONFIGURATION, werden Ihnen im Ergebnisbereich alle Einstellungen angezeigt, die nicht zu einer der vier Serverrollen passen. Hier können Sie zum Beispiel die Administratorrechte delegieren. Es gibt unterhalb dieser Menüs keine weiteren Menüpunkte. Sie erreichen alle Einstellungen über den Ergebnisbereich in der Mitte der Exchange-Verwaltungskonsole. Hier stellen Sie zum Beispiel die Empfängerrichtlinien oder die E-Mail-Domänen ein, die von der Exchange-Organisation empfangen werden können. Auch die Adresslisten sowie die Postfachrichtlinien werden an dieser Stelle gepflegt.
Abbildung 5.18: Globale Organisationskonfiguration
Klicken Sie auf einen der vier Serverrollen-Menüpunkte, so sehen Sie im Ergebnisbereich verschiedene Registerkarten, auf denen Sie die verschiedenen Konfigurationsbereiche der Serverrolle erreichen.
Abbildung 5.19: Verwalten von Exchange Server 2007 über die Registerkarten im Ergebnisbereich der Managementkonsole
158
Erste Schritte mit Exchange Server 2007
Verwalten der Exchange Server in der Organisation über den Menüpunkt »Serverkonfiguration« Über den Menüpunkt SERVERKONFIGURATION auf der linken Seite der ExchangeVerwaltungskonsole erreichen Sie alle serverspezifischen Einstellungen der Serverkonfiguration. Hier verwalten Sie zum Beispiel die Speichergruppen und Postfachdatenbanken aller Exchange Server.
Abbildung 5.20: Verwalten der Serverkonfigurationen
Auch unterhalb des Menüpunktes SERVERKONFIGURATION finden Sie erneut die vier Menüpunkte der internen Serverrollen – wie bereits bei der Organisationskonfiguration. Wenn Sie direkt auf den Menüpunkt SERVERKONFIGURATION klicken, werden Ihnen im Ergebnisbereich die notwendigen Informationen für alle Exchange Server der kompletten Organisation angezeigt. Hier sehen Sie auch, welche Serverrollen die einzelnen Exchange Server zugewiesen bekommen haben. Über die einzelnen Serverrollen-Menüs werden im Ergebnisbereich Registerkarten eingeblendet, die Einstellungen für die markierte Serverrolle zur Verfügung stellen.
Abbildung 5.21: Verwalten der Exchange Server über die Serverkonfiguration
159
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Sie können mit der rechten Maustaste auf den Servereintrag im Ergebnisbereich klicken. Im Kontextmenü verwalten Sie die zugewiesenen Serverrollen, indem Sie diese auswählen.
Abbildung 5.22: Verwalten der Serverrollen
Im Ergebnisbereich werden Ihnen alle Serverobjekte angezeigt, die zu Funktionen auf den Exchange-Servern gehören, also beispielsweise die Datenbanken. Verwalten der Empfänger über den Menüpunkt »Empfängerkonfiguration« Über den Menüpunkt EMPFÄNGERKONFIGURATION erreichen Sie alle Einstellungen, die Ihre Empfänger auf allen Exchange Servern der Organisation betreffen.
Abbildung 5.23: Verwalten der Empfänger
Über diesen Menüpunkt können Sie Postfächer verwalten, Benutzer anlegen (auch Benutzerkonten im Active Directory), Verteilergruppen und E-Mail-Kontakte erstellen und Postfächer erneut verbinden. Verwenden der Zusatztools über den Menüpunkt »Toolbox« Über den Menüpunkt TOOLBOX erreichen Sie die verschiedenen Zusatzprogramme, die Microsoft direkt in Exchange Server 2007 integriert hat, zum Beispiel den Exchange Best Practices Analyzer, der Ihre Exchange Server auf Konfigurationsfehler hin untersucht und Hilfestellung bei der Beseitigung von Problemen leistet.
160
Erste Schritte mit Exchange Server 2007
Abbildung 5.24: Zusatztools von Exchange Server 2007
Beispiel: Verwaltung der Empfänger Klicken Sie zum Beispiel auf den Menüpunkt EMPFÄNGERKONFIGURATION, werden Ihnen in der Mitte der Konsole alle Empfänger innerhalb der Exchange-Organisation angezeigt. Sie sehen hier nicht nur die Empfänger des aktuellen Servers oder der Domäne, sondern alle Empfänger der Organisation innerhalb der Gesamtstruktur.
Abbildung 5.25: Anzeigen der Empfänger innerhalb der Exchange-Organisation
161
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Bei großen Organisationen kann die Ansicht aller Empfänger innerhalb einer einzelnen Konsole natürlich entweder sehr lange dauern oder unübersichtlich sein. Aus diesem Grund können Sie über den Menüpunkt DIE ANZAHL DER MAXIMAL ANZUZEIGENDEN EMPFÄNGER ÄNDERN die Menge der Empfänger in der Ansicht einschränken.
Abbildung 5.26: Ändern der maximal anzuzeigenden Empfänger in der Konsole
Darüber hinaus können Sie noch Filter erstellen, welche die Ansicht der Empfänger Ihrer Organisation an Ihre Bedürfnisse anpassen. Auch diese Funktion lässt sich über einen Link in der Konsole direkt erreichen.
Abbildung 5.27: Erstellen von Anzeigefiltern in Exchange Server 2007
162
Erste Schritte mit Exchange Server 2007
Klicken Sie auf den Link FILTER ERSTELLEN, so erscheint innerhalb der Konsole ein weiterer Eingabebereich, mit dessen Hilfe Sie festlegen können, nach welchem Attribut die Empfänger in der Managementkonsole selektiert werden sollen.
Abbildung 5.28: Konfiguration eines Filters zur Anzeige von Empfängern
Des Weiteren können Sie in den mittleren Fensterbereich klicken, um die einzelnen Konfigurationsmöglichkeiten anzuzeigen. Die entsprechenden Befehle werden in der rechten Seite der Konsole angezeigt. Sie können innerhalb der Exchange-Verwaltungskonsole auch Benutzerkonten im Active Directory anlegen und sogleich ein Postfach in einer beliebigen Speichergruppe erstellen.
Abbildung 5.29: Erstellen von neuen Benutzerkonten und Postfächern in der Exchange-Verwaltungskonsole
163
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Sie können ebenso ein neues Postfach für ein bereits vorhandenes Benutzerkonto erstellen; die Bedienung ist sehr flexibel. Sie sehen an dieser neuen Möglichkeit, dass auch für die Verwaltung von Benutzern und Verteilerlisten keine weiteren Tools mehr erforderlich sind, sondern sich alle Aufgaben bequem in der Konsole erledigen lassen.
Abbildung 5.30: Erstellen von neuen Benutzerpostfächern in Exchange Server 2007
Haben Sie Postfächer erstellt, können Sie diese im gleichen Bereich mit der rechten Maustaste anklicken und ihre EIGENSCHAFTEN aufrufen. Ihnen werden daraufhin alle Informationen zu diesem Benutzerkonto und zum dazugehörigen Postfach angezeigt. Hier lassen sich auch Änderungen vornehmen. Die Informationen, die Sie angezeigt bekommen, sind darüber hinaus wesentlich besser aufbereitet als in früheren Versionen von Exchange.
164
Erste Schritte mit Exchange Server 2007
Sie sehen auf der ersten Registerkarte bereits, auf welchem Server, in welcher Speichergruppe und innerhalb welchen Postfachspeichers sich das Postfach befindet. Zusätzlich sehen Sie, welche Datenmenge bereits im Postfach gespeichert wurde, sowie weitere Informationen, wie zum Beispiel die letzte Anmeldung, um zu erkennen, ob das Postfach überhaupt noch verwendet wird. Innerhalb des Fensters können alle Einstellungen vorgenommen werden, für die bisher das Snap-in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER benötigt wurde.
Abbildung 5.31: Anzeigen von Benutzerpostfächern
Weitere Informationen erhalten Sie, wenn Sie auf den Menüpunkt POSTFACH klicken. Hier sehen Sie bereits im Hauptmenü, auf welchem Server sich ein Postfach befindet und in welcher Organisationseinheit das zu zugrunde liegende Benutzerkonto abgelegt ist. Klicken Sie auf die einzelnen Spalten, so können Sie die Ansicht auch nach dem entsprechenden Bereich sortieren. Außerdem haben Sie die Möglichkeit, die Spalten per Drag & Drop beliebig anzuordnen. Auch hier stehen die Filtermöglichkeiten zur Verfügung, die Sie bereits im Menü EMPFÄNGERKONFIGURATION vorgefunden haben. Im Bild erkennen Sie, dass ein Benutzer, der noch keine E-Mail erhalten oder geschrieben hat, noch kein Postfach eingerichtet bekommen hat – die Angaben zu Anzahl der Elemente und Größe des Postfaches sind leer.
165
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Abbildung 5.32: Anzeigen und Verwalten von Benutzerkonten und Postfächern in der Exchange-Verwaltungskonsole
Beispiel: Serverkonfiguration Auch im Bereich der Serverkonfiguration hat Microsoft in Exchange Server 2007 einiges angepasst. Klicken Sie in der ExchangeVerwaltungskonsole auf den Menüpunkt SERVERKONFIGURATION, so werden Ihnen alle Exchange Server der Organisation angezeigt. Auch hier stehen über das Kontextmenü bzw. den Aktionsbereich in der Konsole alle Aufgaben und Aktionen zur Verfügung, die Sie durchführen können.
Abbildung 5.33: Serververwaltung in der Exchange-Verwaltungskonsole
166
Erste Schritte mit Exchange Server 2007
Rufen Sie im Kontextmenü die Eigenschaften eines Servers auf, so erhalten Sie ausführliche Informationen über die Edition und die Konfiguration des Servers. Sie sehen – ähnlich zu den Benutzerkonten – an zentraler Stelle alle relevanten Informationen über den Server. Da Exchange Server 2007 auf einem Rollenmodell aufbaut, erhalten Sie an dieser Stelle die Angabe, welche Rollen den einzelnen Servern zugewiesen wurden. Auf den Registerkarten können Sie zahlreiche Einstellungen vornehmen, die in Exchange Server 2003 im Exchange System Manager an unterschiedlichen Stellen durchgeführt werden mussten.
Abbildung 5.34: Eigenschaften eines Exchange Servers
Beispiel: Tools Microsoft hat in die Exchange-Verwaltungskonsole im Bereich TOOLBOX zahlreiche neue Werkzeuge integriert, die bisher gesondert heruntergeladen, installiert und verwaltet werden mussten. Hier finden Sie hauptsächlich Troubleshooting- und Optimierungstools, wie zum Beispiel die neue Version des EXCHANGE BEST PRACTICES ANALYZERS. Über den Best Practices Analyzer erhalten Sie mehr als 2000 Regeln, die bei den bekanntesten Konfigurationsfehlern helfen sollen und die durch automatische Updates aus dem Internet ständig aktuell gehalten werden.
167
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Abbildung 5.35: Neue Tools für das Troubleshooting und die Optimierung von Exchange
5.3.2
Einrichten von Connectoren zwischen Exchange-Organisationen
Es würden den Umfang des Buches sprengen, alle Möglichkeiten von ExchangeConnectoren zu besprechen. In diesem Absatz gehe ich auf die wichtigsten Möglichkeiten ein, verschiedene Mail-Systeme mit Exchange Server 2007 zu verbinden. Der Nachrichtenfluss wird ausschließlich von den beiden Exchange-Serverrollen Hub-Transport-Server und Edge-Transport-Server verwendet. Für die Kommunikation zwischen Hub-Transport-Server und Mailboxserver wird MAPI verwendet. Auch Exchange Server 2007 kann, wie seine Vorgänger, keine E-Mails per POP3 abholen, sondern unterstützt ausschließlich SMTP. Haben Sie viele Benutzer, empfehle ich Ihnen, das externe Programm POPBeamer von der Internetseite http://www.dataenter.co.at zu verwenden. Das Programm ist extrem günstig, sehr zuverlässig und kann Sammelpostfächer abholen. Sie können das Programm 30 Tage lang ohne Funktionseinschränkung testen. Das Programm kann online bestellt werden. Schalten Sie das Programm auf jeden Fall vor Ablauf der 30 Tage frei, da ansonsten E-Mails beim Zustellen gelöscht werden können. Die Einrichtung ist sehr einfach. Das Programm kann als Systemdienst laufen und bietet gute Überwachungsmöglichkeiten.
168
Erste Schritte mit Exchange Server 2007
Festlegen und Konfigurieren der E-Mail-Domänen Der erste Schritt bei der Konfiguration des E-Mail-Flusses besteht darin festzulegen, welche E-Mail-Domänen die Exchange Server entgegennehmen und welche über die diversen Connectoren nach extern versendet werden. Bevor Sie Connectoren erstellen oder Empfängerrichtlinien konfigurieren, müssen Sie die SMTP-Namensräume festlegen, welche die Exchange Server Ihrer Organisation entgegennehmen. Diese Domänen werden akzeptierte Domänen genannt. Standardmäßig wird während der Installation als erste SMTP-Domäne der FQDN der Active DirectoryGesamtstruktur festgelegt. Diese wird als akzeptierte Domäne in den Empfängerrichtlinien eingetragen. Hierbei handelt es sich allerdings nur in Ausnahmefällen auch um die E-Mail-Domäne des Unternehmens, daher müssen Sie hier zunächst Anpassungen vornehmen. Für akzeptierte Domänen ist der Exchange Server teilweise autorisierend zuständig, das heißt, die E-Mails bleiben innerhalb der Exchange-Organisation. Alle anderen Domänen werden durch entsprechende SMTP-Connectoren nach extern verschickt. Es müssen aber nicht zwingend alle akzeptierten Domänen auch autorisierende Domänen sein. In diesem Fall wird die akzeptierte Domäne von den Exchange Servern angenommen, kann aber wieder nach extern geschickt werden, bleibt also nicht zwingend in der Exchange-Organisation. Sie müssen auf jeden Fall alle Domänen eintragen, welche die Exchange Server Ihrer Organisation annehmen und zustellen sollen, unabhängig davon, ob die Zustellung nach intern erfolgt oder wieder weiterverschickt wird (Relay). Akzeptierte Domänen werden auf Exchange Servern mit der Hub-Transport-Rolle konfiguriert und verwaltet. Um die als Standard akzeptierte Domäne zu ändern, legen Sie am besten eine neue akzeptierte Domäne an und legen diese dann als neuen Standard fest. Löschen Sie eine akzeptierte Domäne, die in den Empfängerrichtlinien von Exchange Server 2007 verwendet wird, verliert diese Richtlinie ihre Gültigkeit. E-Mails zu Adressen innerhalb dieser Domäne werden dann nicht mehr zugestellt. Konfigurieren der akzeptierten Domänen Um eine neue autorisierende Domäne für eine Exchange-Organisation zu erstellen, gehen Sie folgendermaßen vor: 1. Starten Sie die Exchange-Verwaltungskonsole. 2. Navigieren Sie zum Menüpunkt ORGANISATIONSKONFIGURATION • HUB-TRANSPORT. 3. Klicken Sie auf die Registerkarte AKZEPTIERTE DOMÄNEN. Hier sehen Sie die standardmäßig akzeptierte Domäne, also nach der Installation der FQDN der Gesamtstruktur, bei der es sich aber nicht gezwungenermaßen auch um die E-Mail-Domäne handelt.. 4. Klicken Sie mit der rechten Maustaste in das Fenster und wählen Sie NEUE AKZEPTIERTE DOMÄNE. Ebenso können Sie diese Aktion auch im Aktionsbereich der MMC starten.
169
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
5. Im Anschluss startet der Assistent zum Erstellen neuer akzeptierter Domänen. 6. An dieser Stelle legen Sie zunächst die Bezeichnung der Domäne sowie die Domäne selbst fest. Wählen Sie aus, welchen Typ die neue akzeptierte Domäne haben soll. Sie können hierbei zwischen drei Typen auswählen: Autorisierende Domäne: E-Mails, die zu autorisierenden Domänen gesendet werden, müssen innerhalb der Organisation zugestellt werden können, das heißt, einem Active Directory-Benutzerkonto in der Gesamtstruktur muss diese E-MailAdresse zugeordnet werden, andernfalls ist die E-Mail nicht zustellbar. Sie können bei der akzeptierten Domäne auch mit Platzhaltern arbeiten, um auch Unterdomänen automatisch zu konfigurieren. Geben Sie zum Beispiel *.contoso.com ein, so werden alle Unterdomänen von contoso.com als akzeptierte Domänen konfiguriert. Wollen Sie dagegen einzelne E-Mail-Domänen in den Empfängerrichtlinien verwenden, um E-Mail-Adressen zuzuweisen, dürfen Sie nicht mit Platzhaltern arbeiten, sondern müssen die einzelnen untergeordneten Domänen manuell eintragen. Interne Relaydomäne: Auch bei dieser Auswahl bleibt die E-Mail innerhalb des Unternehmens und kann zwischen fest definierten Gesamtstrukturen versendet werden. Die E-Mail-Adresse muss nicht zwingend in der Gesamtstruktur des Exchange Servers vorhanden sein, sondern kann auch in einer anderen Gesamtstruktur festgelegt werden, die aber zu Ihrem Unternehmen gehört. In diesem Fall wird die E-Mail aus der Organisation per SMTP zu einem anderen E-MailServer versendet. Somit liegen die Adressen der Empfänger als Kontakte im globalen Adressbuch. Die Synchronisation von Exchange-Daten zwischen verschiedenen Gesamtstrukturen kann zum Beispiel über den Microsoft Identity Integration Server (MIIS) erfolgen. Externe Relaydomäne: Bei dieser Auswahl wird die E-Mail angenommen und nach extern über einen Connector versendet. Über diese Domäne haben Sie ansonsten keinerlei Kontrolle, Ihr Server funktioniert in diesem Fall ausschließlich als Relay. Dieser Domänentyp wird nur in Ausnahmefällen eingesetzt, da in Unternehmen Relaying nach extern nicht erwünscht ist. Haben Sie Ihre Auswahl getroffen, können Sie die Erstellung der Domäne über die Schaltfläche NEU fertigstellen. Im Anschluss wird die Domäne als neue akzeptierte Domäne mit dem entsprechenden Typ in der Exchange-Verwaltungskonsole angezeigt. Sie können den Typ einer akzeptierten E-Mail-Domäne jederzeit ändern, indem Sie diese in der Exchange-Verwaltungskonsole doppelklicken. Sie können alle akzeptierten E-Mail-Domänen mit ENTF löschen – außer der Standarddomäne. Die Standarddomäne ist automatisch diejenige Domäne, die bei der Installation erstellt wurde. Wollen Sie sie ändern, so legen Sie am besten eine neue autorisierende Domäne fest und machen diese zur Standarddomäne Danach können Sie die bei der Installation angelegte Standarddomäne löschen.
170
Erste Schritte mit Exchange Server 2007
Verwalten von Remote-Domänen Neben den akzeptierten Domänen können Sie in der Exchange-Verwaltungskonsole unter ORGANISATIONSKONFIGURATION • HUB-TRANSPORT auf der Registerkarte REMOTEDOMÄNE auch Einstellungen für Remote-Domänen festlegen. Während akzeptierte Domänen bestimmen, welche E-Mails die Exchange Server in der Organisation annehmen, legen die Remote-Domänen fest, welche Nachrichten von intern nach extern gesendet werden. Sie können für unterschiedliche Domänen verschiedene Einstellungen vornehmen. Standardmäßig wird während der Installation bereits die Remote-Domäne * angelegt. Durch diese Einstellung werden alle abgesendeten E-Mails mit den hier verwendeten Einstellungen verschickt. Indem Sie diese Domäne mit der rechten Maustaste anklicken, rufen Sie die Eigenschaften auf. Hier stehen Ihnen zur organisationsweiten Konfiguration zwei Registerkarten zur Verfügung. Alle Einstellungen, die Sie auf diesen Registerkarten vornehmen, gelten für alle Exchange Server in Ihrer Organisation. Auf der Registerkarte ALLGEMEIN legen Sie fest, wie mit Abwesenheitsassistenten und -E-Mails verfahren werden soll. Die Einstellungen, die Sie hier vornehmen, gelten für alle externen E-Mails und alle externen Domänen. Sie können natürlich für andere Domänen eigene Remote-Domänen erstellen und entsprechende Einstellungen vornehmen. Auf der Registerkarte NACHRICHTENFORMAT können Sie weitere Einstellungen vornehmen, die automatisch generierte E-Mails und den allgemeinen E-Mail-Fluss in Ihrer Organisation betreffen. Alle Einstellungen, die Sie hier treffen, betreffen E-Mails, die zu dieser Domäne gesendet werden, aber nicht von dieser kommen. Über diese Registerkarte lassen sich zum Beispiel generell E-Mails blocken, die durch Regeln oder automatische Weiterleitungen erstellt wurden und an die besagte Domäne geschickt werden sollen. Hier können Sie auch generell die Übermittlungsberichte ausschalten, die zu Remote-Empfängern gesendet werden. Ebenso lassen sich automatische Zeilenumbrüche hier einfügen, wenn beispielsweise ein Kunde E-Mails in einem bestimmten Format erwartet.
5.3.3
Sende- und Empfangsconnectoren auf Hub-TransportServern konfigurieren
Alle E-Mails, auch interne Mails zwischen verschiedenen Mailboxservern, werden immer über einen Hub-Transport-Server geleitet. Das hat den Vorteil, dass hinterlegte Transportregeln auf den Hub-Transport-Servern immer auf alle E-Mails angewendet werden. Außerdem muss an jedem Active Directory-Standort, an dem ein Mailboxserver betrieben wird, auch ein Hub-Transport-Server installiert sein. Haben Sie die akzeptierten und autorisierten E-Mail-Domänen festgelegt, können Sie Connectoren erstellen, um den Nachrichtenfluss Ihrer Exchange-Organisation zu steuern. Die Basis der Connectoren sind allerdings die akzeptierten Domänen und deren Domänentyp, der aus diesem Grund zunächst angelegt werden muss.
171
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Unter Exchange Server 2007 gibt es hauptsächlich Sende- und Empfangsconnectoren. Diese müssen auf den verschiedenen Hub-Transport-Servern konfiguriert werden, damit der Nachrichtenfluss funktioniert. Sie müssen keinerlei Connectoren erstellen oder konfigurieren, um den Nachrichtenfluss zwischen Hub-Transport-Servern innerhalb des Unternehmens zu steuern. Während der Installation von Exchange Server 2007 werden automatisch Connectoren erstellt, die den Transport zwischen den Hub-Transport-Servern steuern. Diese Connectoren basieren auf den Standorten des Active Directory. Sendeconnectoren Sendeconnectoren werden in der Exchange-Verwaltungskonsole über den Menüpunkt ORGANISATIONSKONFIGURATION • HUB-TRANSPORT auf der Registerkarte SENDECONNECTORS erstellt und verwaltet. Sie können mit der rechten Maustaste in das Fenster klicken und aus dem Menü die Option NEUER SENDECONNECTOR auswählen. Alternativ können Sie auch den entsprechenden Befehl aus dem Aktionsbereich der MMC auswählen. Sendeconnectoren werden im Active Directory als Konfigurationsobjekte abgespeichert. Erhält ein Hub-Transport-Server eine E-Mail, überprüft er im Active Directory, welcher Sendeconnector für die E-Mail-Domäne zuständig ist, und stellt die E-Mail entsprechend zu. Dazu werden im Connector die Hub-Transport-Server angegeben, welche die E-Mails zustellen können. Sind für einen Sendeconnector mehrere Server zuständig, verteilt der Connector die E-Mails lastabhängig. Standardmäßig werden bei der Installation keine Sendeconnectoren erstellt. Sie benötigen mindestens einen Sendeconnector, auf dem hinterlegt ist, welche E-Mail-Domänen über welche HubTransport- bzw. Edge-Transport-Server ins Internet versendet werden. Sie müssen keine Sendeconnectoren zwischen den Hub-Transport-Servern Ihrer Organisation untereinander oder zwischen den Hub-Transport-Servern und den Edge-Transport-Servern erstellen, da diese automatisch erstellt und eingerichtet werden. Haben Sie, wie beschrieben, den Assistenten zum Erstellen eines neuen Sendeconnectors aufgerufen, legen Sie auf der ersten Seite zunächst einen Namen fest. Hier bestimmen Sie auch die Verwendung des Connectors. Durch die Auswahl des Verwendungstyps legen Sie die Authentifizierung für den Connector fest. Sie müssen allerdings nicht zwingend einen Verwendungstyp auswählen, sondern können die Auswahl auch auf der Einstellung BENUTZERDEFINIERT belassen. INTERN: Erstellen Sie einen Sendeconnector für den internen Versand Ihrer Organisation oder einen Sendeconnector zwischen verschiedenen Gesamtstrukturen innerhalb Ihres Unternehmens, so wählen Sie als Verwendungstyp INTERN aus.
172
Erste Schritte mit Exchange Server 2007
LEGACY: Diesen Verwendungstyp wählen Sie aus, wenn Sie einen Sendeconnector zu Exchange 2000/2003-Servern außerhalb Ihrer Organisation, aber innerhalb Ihres Unternehmens erstellen wollen. Auf der nächsten Seite des Assistenten legen Sie den Adressraum fest, der über diesen Connector versendet werden soll. Möchten Sie alle E-Mail-Domänen über diesen Connector versenden, dann wählen Sie als Domäne den Platzhalter *. Alternativ können Sie auch einen eigenen Connector für einzelne E-Mail-Domänen erstellen. Exchange verwendet zum Versenden möglichst immer den Connector mit der hinterlegten E-Mail-Domäne und erst dann Connectoren mit dem Platzhalter. Auf der nächsten Seite legen Sie fest, wohin die E-Mails gesendet werden sollen, die über diesen Connector verschickt werden. Sie können an dieser Stelle entweder eine IP-Adresse, einen FQDN oder die Auflösung über MX-Einträge verwenden. Wählen Sie die direkte Zustellung, müssen Sie zuvor sicherstellen, dass Ihr Exchange Server Internetadressen mit DNS auflösen kann. Sie müssen dazu Ihre internen DNS-Server so konfigurieren, dass Internetadressen aufgelöst werden können. Die direkte Zustellung bietet sich eigentlich nur für größere Firmen an. Das Problem ist, dass viele E-Mail-Server im Internet nicht von allen Servern E-Mails annehmen, sondern nur von großen und bekannten Providern. Haben Sie keine statische IP-Adresse im Internet und arbeiten vielmehr mit einer dynamischen, werden Sie mit vielen E-Mail-Servern Schwierigkeiten haben. Wählen Sie zur Sicherheit die Zustellung zu Ihrem Provider aus. Dieser sendet die E-Mails weiter. Die notwendigen Daten erhalten Sie von Ihrem Provider. Auf der nächsten Seite des Assistenten geben Sie die Authentifizierung ein, mit der sich der Connector beim empfangenden Server authentifizieren soll. Auch hierzu erhalten Sie die entsprechenden Daten normalerweise von Ihrem Provider. Versenden Sie E-Mails ins Internet, wird normalerweise die Standardauthentifizierung verwendet, bei der allerdings Benutzernamen und Kennwort in Klartext über das Netzwerk versendet werden. Auf der nächsten Seite legen Sie die Hub-Transport-Server in der Organisation fest, über welche E-Mails versendet werden, die diesen Connector verwenden. Wählen Sie an dieser Stelle mehrere Server aus, verteilt der Connector das Versenden der E-Mails auf Basis der Last der Server. Als Nächstes können Sie die Erstellung mit FERTIG STELLEN abschließen. Im Fenster wird der entsprechende Befehl zur Erstellung des Connectors über die Exchange-Verwaltungsshell angezeigt.
173
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Empfangsconnectoren Diese Connectoren werden nicht auf Organisationsebene erstellt, sondern direkt für einzelne Exchange Server auf Serverebene. Die Connectoren bilden auf Exchange Servern den SMTP-Endpunkt, zu dem andere Server eine Verbindung aufbauen. Ohne einen Empfangsconnector kann ein Exchange Server 2007-Transport-Server (Hub-Transport oder Edge-Transport) keinerlei E-Mails empfangen. Sie finden die Konfiguration von Empfangsconnectoren in der ExchangeVerwaltungskonsole unter SERVERKONFIGURATION • HUB-TRANSPORT. Die angelegten Empfangsconnectoren werden im Ergebnisfenster der Konsole im unteren Bereich angezeigt. Wenn Sie mit der rechten Maustaste in den Bereich klicken, können Sie über den Menüpunkt NEUER EMPFANGSCONNECTOR einen neuen Connector erstellen. Praxisworkshop: Relaying für Applikationsserver erlauben In vielen Unternehmen gibt es Server, zum Beispiel ERP-, CRM- oder auch SharePoint-Server, die für ihre Funktionen einen E-Mail-Server auf SMTP-Basis ansprechen müssen, um E-Mails zu senden. Was früher ohne Probleme möglich war, ist spätestens seit Exchange Server 2007 vor allem für ungeübte Administratoren eine echte Herausforderung. In diesem Abschnitt gehe ich daher ausführlicher darauf ein, wie Sie für einzelne Server das Relaying über einen Exchange Server 2007 erlauben können. Funktioniert die E-Mail-Funktion Ihres Applikationsservers nicht, so testen Sie bitte die weiter hinten im Kapitel beschriebene Möglichkeit, per Telnet E-Mails zu senden. Ist das Relaying für den Server deaktiviert, erhalten Sie die Meldung »550 5.7.1 Unable to relay«. Die Lösung dieses Problems sollte sein, dem Server das Relaying zu erlauben, aber anderen Servern nicht, auch wenn diese nicht mit dem Internet verbunden sind. Die Relay-Einschränkungen einer ExchangeOrganisation sollten so restriktiv wie möglich sein. Der beste Weg, über einen Exchange Server E-Mails zu senden, besteht darin, dass sich interne Server authentifizieren. In diesem Fall nimmt ein Exchange Server 2007 mit seinem Empfangsconnector schon mal mehr E-Mails an als ohne Authentifizierung. 1. Um einen Empfangsconnector für Ihren Applikationsserver zu erstellen, klicken Sie mit der rechten Maustaste im Ergebnisbereich im Menü SERVERKONFIGURATION auf HUB-TRANSPORT/<SERVERNAME> und wählen die Option NEUER EMPFANGSCONNECTOR (siehe Abbildung 5.66). 2. Geben Sie dem Connector einen passenden Namen und lassen Sie auf dem Startfenster die vorgesehene Verwendung auf BENUTZERDEFINIERT. 3. Auf der folgenden Seite LOKALE NETZWERKEINSTELLUNGEN können Sie alle Einstellungen belassen. Sie legen hier fest, auf welchen IP-Adressen der HubTransport-Server auf neue E-Mails für den Connector hört.
174
Erste Schritte mit Exchange Server 2007
4. Auf der Seite REMOTE-NETZWERKEINSTELLUNGEN fügen Sie die IP-Adressen der internen Server hinzu, denen Sie das Relaying erlauben wollen. Halten Sie den Bereich so klein wie möglich und verwenden Sie am besten nur die IP-Adressen der Server, denen Sie das Relaying erlauben wollen. Löschen Sie alle anderen Bereiche aus dem Connector. Haben Sie die IP-Adressen hinterlegt, können Sie mit WEITER auf die nächste Seite gehen. 5. Schließen Sie die Erstellung des Connectors ab. Anschließend wird der Connector in der Exchange-Verwaltungskonsole angezeigt. 6. Um die notwendige Konfiguration abzuschließen, rufen Sie die Eigenschaften des neuen EMPFANGSCONNECTORS auf. Wechseln Sie zunächst zur Registerkarte BERECHTIGUNGSGRUPPEN und setzen Sie den Haken bei der Option EXCHANGE SERVER. 7. Wechseln Sie dann auf die Registerkarte AUTHENTIFIZIERUNG. Aktivieren Sie die Option EXTERN GESICHERT (ZUM BEISPIEL MIT IPSEC). Bestätigen Sie die Eingaben und testen Sie, ob die konfigurierten Applikationsserver jetzt über Exchange E-Mails senden dürfen.
5.3.4
Einführung in die Exchange-Verwaltungsshell
In der Programmgruppe MICROSOFT EXCHANGE SERVER 2007 gibt es darüber hinaus noch den Link zur EXCHANGE-VERWALTUNGSSHELL, welche die Befehlszeilenoberfläche von Exchange Server 2007 startet. Die meisten neuen ServerProdukte von Microsoft bauen auf der Windows PowerShell auf. Die grafische Oberfläche von Exchange Server 2007 dient nur noch dazu, Befehle zu generieren, sogenannte Cmdlets, die durch die PowerShell ausgeführt werden. Exchange Server 2007 erweitert zum Beispiel die Windows PowerShell um zusätzliche Funktionen. Die neue Kommandozeile hat nichts mehr mit einer DOS-Box gemeinsam und ist extrem mächtig. Die PowerShell baut auf dem .NET Framework auf. Skriptbasierte Aktionen mussten in Exchange Server 2003 noch durch komplizierte VB-Skripte durchgeführt werden, während in Exchange Server 2007 einfache PowerShell-Skripte verwendet werden können. Sie können Cmdlets an ihrem Aufbau erkennen: ein Verb und ein Substantiv, getrennt durch einen Bindestrich (-), beispielsweise Get-Help, Get-Process oder Start-Service. Die meisten Cmdlets sind sehr einfach und für die Verwendung zusammen mit anderen Cmdlets vorgesehen. So werden mit Get-Cmdlets Daten abgerufen, mit Set-Cmdlets Daten erzeugt oder geändert, mit Format-Cmdlets Daten formatiert und mit Out-Cmdlets Ausgaben an ein angegebenes Ziel geleitet. Unter Windows Server 2008 können CMDlets auch für die Automatisierung der neuen Serverrollen, zum Beispiel des IIS 7.0, der Active Directory-Domänendienste und der Terminaldienste, verwendet werden. Auch die Verwaltung der Registry oder die Verwaltung von Zertifikaten und Ereignisanzeigen lässt sich über die PowerShell automatisieren. Windows PowerShell baut auf .NET Frame-
175
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
work und der Common Language Runtime (CLR) von .NET auf und kann .NETObjekte akzeptieren und zurückgeben. Diese grundlegende Änderung ermöglicht neue Tools und Skriptverfahren für die Verwaltung und Konfiguration von Windows. Neben den bekannten Dateisystemlaufwerken wie C: und D: enthält Windows PowerShell auch Laufwerke, welche die Registrierungsstrukturen HKEY_LOCAL_MACHINE (HKLM:) und HKEY_CURRENT_USER (HKCU:), den Speicher für digitale Signaturzertifikate auf Ihrem Computer (Cert:) und die Funktionen in der aktuellen Sitzung (Function:) darstellen. Diese werden als Windows PowerShell-Laufwerke bezeichnet. Mit dem Befehl get-psdrive wird eine Liste der Funktionen angezeigt. In der PowerShell wird mit .NET-Objekten gearbeitet. Technisch gesehen ist ein .NET-Objekt eine Instanz einer .NET-Klasse, die aus Daten und zugeordneten Operationen besteht. Sie können sich ein Objekt als eine Dateneinheit mit Eigenschaften und Methoden vorstellen. Methoden sind Aktionen, die für das Objekt ausgeführt werden können. Wenn beispielsweise ein Dienst aufgerufen werden soll, wird eigentlich ein Objekt, das diesen Dienst darstellt, verwendet. Wenn Informationen über einen Dienst angezeigt werden, werden die Eigenschaften des zugehörigen Dienstobjekts angezeigt; und wenn ein Dienst gestartet wird, so verwendet die PowerShell eine Methode des Dienstobjekts. Um zum Beispiel in die lokale Registry in HKEY_CURRENT_USER zu wechseln, geben Sie in der PowerShell den Befehl cd hkcu: ein. Den Inhalt des Registry-Hives können Sie sich mit dir anzeigen lassen. Falls Sie immer wieder bestimmte Befehlsfolgen ausführen oder ein PowerShell-Skript für eine komplexe Aufgabe entwickeln, empfiehlt es sich, die Befehle nicht einzeln einzugeben, sondern in einer Datei zu speichern. Die Dateierweiterung für Windows PowerShell-Skripte lautet *.ps1. Es muss stets ein vollqualifizierter Pfad zu der Skriptdatei angegeben werden, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn auf das aktuelle Verzeichnis verwiesen werden soll, geben Sie einen Punkt ein, zum Beispiel .script.ps1. Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Die Ausführungsrichtlinie bestimmt, ob Skripte ausgeführt werden dürfen und ob diese digital signiert sein müssen. Standardmäßig werden Skripte blockiert. Sie können die Ausführungsrichtlinie mit dem Cmdlet Set-ExecutionPolicy ändern. Die Ausführungsrichtlinie wird in der Windows-Registrierung gespeichert. Mit dem Cmdlet Start-Sleep werden Windows PowerShell-Aktivitäten für einen bestimmten Zeitraum gestoppt. Mit dem Befehl Start-Sleep -s 10 hält das Skript zehn Sekunden an. Start-Sleep -m 10000 verwendet Millisekunden. Mit dem Cmdlet InvokeExpression wird in der Windows PowerShell ein Skript gestartet: Invoke-Expression c:\scripts\test.ps1.
176
Erste Schritte mit Exchange Server 2007
Abbildung 5.36: Exchange-Verwaltungsshell über die Exchange-Programmgruppe starten
Über die Befehlszeilenoberfläche von Exchange Server 2007 lassen sich alle Verwaltungsaufgaben durchführen, die auch in der grafischen Oberfläche der ExchangeVerwaltungskonsole durchgeführt werden können. Die Exchange-Verwaltungsshell baut auf der Microsoft PowerShell auf und erweitert diese um Exchange-spezifische Befehle. Sie können Skripte schreiben und zahlreiche Aufgaben automatisieren, die unter Exchange 2003 noch in der grafischen Oberfläche fast ohne die Möglichkeit zu automatisieren durchgeführt werden mussten.
Abbildung 5.37: Verwaltung von Exchange Server 2007 mit der Exchange-Verwaltungsshell
177
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Über den Befehl help können Sie sich zu einzelnen Befehlen eine ausführliche Hilfe anzeigen lassen. Über die Tastenkombination (STRG) + (C) stoppen Sie innerhalb der Shell einzelne Aktionen. Wenn Sie sich eine detaillierte Hilfe zu einem Cmdlet einschließlich Parameterbeschreibungen und Beispielen anzeigen lassen möchten, so verwenden Sie Get-Help mit dem detailed-Parameter, zum Beispiel get-help get-command -detailed. Eine ausführliche Hilfe zu den einzelnen Befehlen in der ExchangeVerwaltungsshell erhalten Sie in der Datei C:\Programme\Microsoft\ Exchange-Server\Bin\exquick.htm. In der Konsole können Sie mit dem Befehl get-command eine Liste aller Befehle erstellen, die in der Exchange-Verwaltungsshell ausgegeben werden. Über get-command >c:\befehle.txt werden alle Befehle in die Datei c:\befehle.txt umgelenkt. Sie erhalten – wie immer bei einer Dateiumleitung – keine Bestätigung der Ausführung. Interessant ist ebenfalls die Möglichkeit, dass Sie innerhalb der Shell auch Variablen definieren können, die Informationen anderer Cmdlets vorhalten. Diese Variablen lassen sich später innerhalb eines Skripts verwenden. Wollen Sie zum Beispiel das aktuelle Datum als Variable $heute hinterlegen, können Sie in der Shell den Befehl $heute = get-date eingeben. Anschließend wird das heutige Datum als Variable $heute hinterlegt. Geben Sie als Nächstes in der Shell $heute ein, wird das Datum und was dort eingespeichert wurde ausgegeben. Sie können auch auf einzelne Bestandteile der Variablen getrennt zugreifen. Interessiert Sie zum Beispiel aus dem Datum lediglich die Zeit, können Sie etwa einzelne Elemente objektorientiert aus der Variablen auslesen. So lesen Sie zum Beispiel durch das Eingeben des Befehls $heute.ToShortTimeString() ohne viel Aufwand nur die Zeit aus der Variablen aus. Weitere Möglichkeiten sind die Formatierung der Ausgabe. So ist es zum Beispiel auch möglich, über die Eingabe des Befehls $heute.ToString(MMMM) die Ausgabe des Monats zu erzwingen oder über $heute.ToString(MM) den Monat als Zahl innerhalb des Kalenderjahres. Sie können sich in der Befehlszeile alle Exchange-Datenbanken ausgeben, die auf den Servern Ihrer Organisation angelegt wurden. Geben Sie dazu in der Exchange-Verwaltungsshell den Befehl get-mailboxdatabase ein. Sie erhalten dann eine formatierte Liste aller Postfachdatenbanken. Sie erhalten durch den Befehl nicht nur die Liste der Postfachdatenbanken eines Servers, sondern alle Postfachdatenbanken auf allen Exchange-Servern in der Organisation. Über den Befehl dismount-database können Sie die Bereitstellung einer Datenbank in der Befehlszeile aufheben. Sie müssen dazu lediglich die ID der Datenbank mitge-
178
Erste Schritte mit Exchange Server 2007
ben, damit die Exchange-Verwaltungsshell weiß, von welcher Datenbank die Bereitstellung aufgehoben werden soll. Beispielsweise können Sie den Befehl dismount-database (get-mailboxdatabase Mailbox) verwenden.
Abbildung 5.38: Aufheben der Bereitstellung einer Datenbank
Nach der Ausführung des Befehls erhalten Sie keine weitere Meldung, Sie erkennen aber in der Exchange-Verwaltungskonsole, dass die Bereitstellung der Postfachdatenbank aufgehoben wurde.
Abbildung 5.39: Aufgehobene Bereitstellung einer Postfachdatenbank
179
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Drücken Sie die Pfeiltaste nach oben auf der Tastatur, erscheint der eingegebene Befehl noch einmal. Sie können den Befehl dismount-database in mount-database abändern, damit die Datenbank wieder bereitgestellt wird.
Abbildung 5.40: Bereitstellen einer Datenbank in der Exchange-Verwaltungsshell
Sie erhalten bei der Bereitstellung keine weitere Meldung, können aber in der Exchange-Verwaltungskonsole auf (F5) klicken, damit der Status der Datenbank wieder als Bereitgestellt angezeigt wird.
Abbildung 5.41: Bereitstellen einer Datenbank
Eine weitere Möglichkeit der Exchange-Verwaltungskonsole ist das Auslesen der Postfächer innerhalb einer Postfachspeicherdatenbank. Geben Sie den Befehl get-mailbox ein, um eine Liste aller Postfächer der Organisation zu erhalten.
Abbildung 5.42: Anzeigen der Postfächer einer Organisation
180
Erste Schritte mit Exchange Server 2007
Haben Sie den Befehl eingegeben, bekommen Sie eine formatierte Liste. Sie sehen hier auch, auf welchem Server die einzelnen Postfächer liegen, und ob ein Grenzwert eingetragen ist, der das Senden verbietet. Über den Befehl get-mailbox | format-table displayname, database können Sie sich die Postfächer sortiert nach Postfachdatenbank und Anzeigenamen anzeigen lassen.
Abbildung 5.43: Anzeigen von Postfächern – sortiert nach Postfachdatenbanken
Über den Befehl move-mailbox können Sie Postfächer in der Exchange-Verwaltungsshell zwischen Postfachspeicherdatenbanken verschieben. Sie können beispielsweise den Befehl get-mailbox –database Mailbox | move-mailbox –targetdatabase "Mailbox Database" verwenden, um Postfächer aus der Postfachdatenbank Mailbox in die Postfachdatenbank Mailbox Database zu verschieben. Sie müssen das Verschieben noch bestätigen, damit der Exchange Server mit dem Vorgang beginnt.
Abbildung 5.44: Verschieben von Postfächern in der Befehlszeile
181
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Verwenden Sie den Befehl get-mailbox –database Mailbox | move-mailbox –targetdatabase Mailbox Database –validateonly, so verschiebt Exchange keine Postfächer, sondern überprüft lediglich, ob ein Verschieben möglich ist, und gibt eine ausführliche Informationsseite aus, welche Optionen durchgeführt würden, falls die Option –vaildateonly nicht verwendet würde. Eine weitere Option in diesem Zusammenhang ist –whatif, die ähnlich funktioniert wie –vaildateonly, aber weniger Informationen ausgibt. Unabhängig davon, welche Option Sie verwenden, erhalten Sie ausführliche Informationen, was Exchange durchführen würde oder getan hat. Über die Exchange-Verwaltungsshell können Sie nicht nur auf Attribute innerhalb von Exchange zugreifen, sondern auch direkt auf das Active Directory. Sie können beispielsweise Gruppen erstellen, Gruppenmitgliedschaften konfigurieren und Ähnliches. Sie haben die Möglichkeit, in der Exchange-Verwaltungsshell auch Statistiken über die Postfächer in Ihrer Organisation abzurufen. Geben Sie beispielsweise den Befehl get-mailboxstatistics ein, werden Ihnen ausführliche Informationen über die einzelnen Postfächer innerhalb Ihrer Exchange-Organisation angezeigt. Der Befehl get-mailboxstatistics | group database liefert Ihnen eine Statistik über die einzelnen Postfachdatenbanken.
Abbildung 5.45: Statistik über Exchange-Postfachdatenbanken
Generell können Sie hinter den meisten Befehlen in der ExchangeVerwaltungsshell, die einen Status oder eine Statistik ausgeben, noch den Zusatz |fl eingeben. Dieser Zusatz bewirkt, dass Sie eine formatierte Liste (daher fl) erhalten, die deutlich mehr Informationen ausgibt als der Befehl ohne diesen Zusatz. Im Internet existieren bereits zahlreiche Communities und Zusatzprodukte, die den Nutzen der PowerShell und der Exchange-Verwaltungsshell weiter steigern. Ebenfalls im Internet erhältlich sind CMDlets für die PowerShell, die spezielle Aufgaben im Netzwerk durchführen, auf das Active Directory zugreifen oder auch Dateien übertragen können. Auch hier habe ich für Sie Beispiele aufgeführt. Ebenso wird eine grafische Oberfläche mittlerweile angeboten, die Administratoren bei der Erstellung von CMDlets unterstützt. Die PowerGUI
182
Erste Schritte mit Exchange Server 2007
kennt nicht nur die CMDlets der herkömmlichen PowerShell, sondern auch die Erweiterungen für Exchange Server 2007 und Microsoft System Center Operation Manager 2007. Mit der PowerGUI können Sie CMDlets direkt in der grafischen Oberfläche durch bequeme Menüs ausführen. Links: 왘
http://www.powergadgets.com
왘
http://www.it-visions.de/scripting/powershell
왘
http://www.nsoftware.com/powershell/
왘
http://www.quest.com/activeroles-server/arms.aspx
왘
http://powergui.org
왘
http://www.microsoft.com/technet/scriptcenter/scripts/msh/ts
왘
http://blogs.msdn.com/PowerShell/
왘
http://www.microsoft.com/windowsserver2003/technologies/management/powershell/ download.mspx
5.3.5
Erster Einblick in die neuen Strukturen der Exchange-Datenbanken
Wie auch in Exchange 2000 und Exchange 2003 werden die Postfächer der Anwender in Postfachspeichern abgelegt. Mehrere Postfachspeicher werden zu Speichergruppen zusammengefasst, die sich einen gemeinsamen Satz Transaktionsprotokolle teilen. Die Verwaltung dieser Postfachspeicher und Speichergruppen finden Sie ebenfalls in der Exchange-Verwaltungskonsole. Klicken Sie dazu auf SERVERKONFIGURATION • POSTFACH. In der Mitte der Konsole werden Ihnen alle Exchange Server Ihrer Organisation angezeigt. Wenn Sie auf einen Server klicken, sehen Sie unten in der Konsole, welche Speichergruppen und Postfachspeicher bzw. Speicher für öffentliche Ordner standardmäßig angelegt wurden. Im Gegensatz zu Exchange 2003 wird der Speicher für öffentliche Ordner nicht mehr in der gleichen Speichergruppe angelegt wie der erste Postfachspeicher, sondern in einer neuen, getrennten Speichergruppe. Da unter Exchange 2003 in der Standard Edition nur eine Speichergruppe unterstützt wurde, war das bisher nicht möglich. Exchange Server 2007 wird – ebenso wie Exchange 2003 und 2000 – in einer Standard Edition und einer Enterprise Edition zur Verfügung ausgeliefert. Exchange Server 2007 Enterprise Edition unterstützt 50 Speichergruppen und 50 Postfachspeicher. Die Exchange Server 2007 Standard Edition unterstützt maximal fünf Speichergruppen und fünf Postfachspeicher. Zwar kann jede Speichergruppe bis zu fünf Datenbanken enthalten, aber es wird von Microsoft nicht
183
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
empfohlen, mehrere Datenbanken in eine Speicherhgruppe zu legen. Lesen Sie hierzu auch den Beitrag http://technet.microsoft.com/en-us/library/aa998926.aspx.
Abbildung 5.46: Verwalten von Speichergruppen und Postfachspeichern in der ExchangeVerwaltungskonsole
Klicken Sie mit der rechten Maustaste auf eine Speichergruppe, so sehen Sie alle Aktionen, die Sie mit dieser Speichergruppe durchführen können. Klicken Sie mit der rechten Maustaste in einen leeren Bereich im unteren Teil des Fensters, können Sie zum Beispiel eine neue Speichergruppe erstellen. Neue Postfachspeicherdatenbanken erstellen Sie, indem Sie mit der rechten Maustaste auf die Speichergruppe klicken, unter der Sie den Postfachspeicher erstellen wollen, und aus dem Menü NEUE POSTFACHSPEICHERDATENBANK auswählen. Erstellen Sie bitte zu Testzwecken auf dem Testserver eine neue Postfachspeicherdatenbank. Ich zeige Ihnen im folgenden Abschnitt, wie Sie Postfächer in diese neue Datenbank verschieben. Wie Sie erkennen, zeigt der Assistent für die Erstellung einer neuen Postfachspeicherdatenbank den entsprechenden Befehl aus der Befehlszeile für die ExchangeVerwaltungsshell an. Sie sehen im folgenden Beispiel, dass über den Befehl mountdatabase Datenbanken auch über die Befehlszeile bereitgestellt werden können.
184
Erste Schritte mit Exchange Server 2007
Abbildung 5.47: Erstellen einer neuen Postfachdatenbank
Abbildung 5.48: Erstellen einer neuen Postfachspeicherdatenbank
185
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Verschieben von Postfächern Im folgenden Abschnitt zeige ich Ihnen, wie Sie Postfächer in die neue Postfachspeicherdatenbank verschieben. Klicken Sie dazu in der Exchange-Verwaltungskonsole auf den Menüpunkt EMPFÄNGERKONFIGURATION. Wie Sie bereits gesehen haben, werden Ihnen alle Postfächer innerhalb der Exchange-Organisation angezeigt. Wenn Sie auf ein Postfach mit der rechten Maustaste klicken, starten Sie über die Option POSTFACH VERSCHIEBEN den Assistenten für das Verschieben von Postfächern. Alternativ lässt sich diese Aktion auch im Aktionsbereich der Konsole durchführen.
Abbildung 5.49: Verschieben eines Postfachs
186
Erste Schritte mit Exchange Server 2007
Haben Sie Ihre Auswahl getroffen, erscheint der Assistent zum Verschieben von Postfächern. Sie sehen, dass auch dieser Assistent mit den anderen Assistenten weitgehend identisch ist, und dass sich auch der Aufbau der einzelnen Schritte nicht unterscheidet. Wählen Sie in dem ersten Fenster zunächst aus, auf welchen Server, in welche Speichergruppe und in welchen Postfachspeicher das Postfach verschoben werden soll. Klicken Sie bei den weiteren Fenstern des Assistenten einfach immer auf WEITER. Sobald Sie den Assistenten beenden, wird das Postfach verschoben. Generell unterscheidet sich dieser Assistent nicht besonders von dem Assistenten zum Verschiebung von Postfächern unter Exchange 2003.
Abbildung 5.50: Verschieben eines Benutzerpostfaches
187
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
Sie sehen im Abschlussfenster des Assistenten unten die Information, dass Sie über (Strg) + (C) den Inhalt des Fensters in die Zwischenablage kopieren. Diese Funktion finden Sie in Exchange Server 2007 bei jedem Assistenten. Sie können mithilfe dieser Funktion die einzelnen Aufgaben dokumentieren, erhalten wertvolle Informationen für die Fehlersuche und können sich sehr einfach die entsprechenden Befehle für die Exchange-Verwaltungsshell in die Zwischenablage kopieren. Auf diese Weise ersparen Sie sich das Abtippen komplexer Befehle.
Abbildung 5.51: Kopieren des Inhalts eines Fensters in Exchange Server 2007
188
Erste Schritte mit Exchange Server 2007
Sie können den kopierten Inhalt des Fensters zum Beispiel in den Editor einfügen. Durch das Einfügen in den Editor erhalten Sie die entsprechenden Befehle für die Exchange-Verwaltungsshell, die Sie später weiterverwenden können, um zukünftig solche Aufgaben zu automatisieren. Sie erkennen, dass die ExchangeVerwaltungsshell nicht nur ein Spielzeug für Profis ist, sondern auch Administratoren schnell die entsprechenden Befehle in der Exchange-Verwaltungskonsole zusammenklicken und in die Shell einfügen können.
Abbildung 5.52: Kopieren von Informationen aus der ExchangeVerwaltungskonsole in eine Textdatei
189
Kapitel 5 Exchange Server 2007 in einer Testumgebung installieren
5.3.6
Clientzugriff testen
Der schnellste Weg, um den Zugriff auf einen Exchange Server zu testen, ist Outlook Web Access (OWA). Haben Sie Ihren Exchange Server installiert, können Sie auf dem Server oder von einem anderen PC im Netzwerk Outlook Web Access über den Link https://<Servername>/owa testen. OWA ist bereits standardmäßig nach der Installation aktiviert. Verbinden Sie sich vom lokalen Server mit OWA, müssen Sie sich unter Umständen ein- bis zweimal authentifizieren. Nachdem Sie sich authentifiziert haben, erscheint die neue Oberfläche von Outlook Web Access 2007.
Abbildung 5.53: Zugriff auf Exchange Server 2007 mit Outlook Web Access
190
6
Cluster und Hochverfügbarkeit
Exchange Server 2007 führt eine Reihe von Erweiterungen im Bereich der Hochverfügbarkeit ein. Neben einer vereinfachten Clustereinrichtung und -verwaltung stehen zusätzlich zum klassischen Cluster mit einem gemeinsam genutzten Festplattenplatz zur Speicherung der Clusterkonfiguration (Quorum) – bei Exchange Server 2007 jetzt Einzelkopiecluster (Single Copy Cluster, SCC) genannt – zwei neue Hochverfügbarkeitslösungen zur Verfügung, die fortlaufende Clusterreplikation (Cluster Continuous Replication, CCR) und die fortlaufende lokale Sicherung (Local Continuous Replication, LCR). Mit diesen beiden Lösungen lassen sich Exchange-Infrastrukturen vor Ausfällen sichern. Im Rahmen dieses Kapitels gehe ich weder auf LCR noch auf CCR ein, sondern auf den herkömmlichen Aufbau und die Installation von Exchange Server 2007 im Cluster. Wollen Sie mehr über LCR oder SCR erfahren, empfehle ich Ihnen das Buch Exchange Server 2007 SP1 – Das Kompendium, erschienen bei Markt und Technik (ISBN: 978-3-8272-4360-7.
6.1
Allgemeine Informationen zu Clustern mit Exchange Server 2007
Bevor Sie einen Cluster produktiv in Betrieb nehmen, sollten Sie sich ausführlich mit seiner Konfiguration befassen. Unter Exchange 2000 hat Microsoft noch einen Active-Active-Cluster empfohlen. Da diese Konfiguration aber nicht sehr populär war und auch nicht gut funktioniert hat, ist Microsoft bei Exchange 2003 wieder umgeschwenkt und empfiehlt Active-Passive-Clustering. Dies bedeutet, dass bei einem Exchange 2003-Cluster ein Server (Knoten) online die Exchange-Dienste
191
Kapitel 6 Cluster und Hochverfügbarkeit
zur Verfügung stellt und der zweite Knoten nur als Stand-by-Server dient, falls der Hauptknoten ausfallen sollte. Unter Exchange Server 2007 sind nur die Server mit der Mailbox-Server-Rolle (Speichern von Postfächern und öffentlichen Ordnern) clusterfähig. Es wird auch nur noch ein Active-Passive-Cluster unterstützt. Sie können in einem Cluster ohne Weiteres mehrere aktive Knoten betreiben; es muss allerdings mindestens ein passiver Knoten enthalten sein.
Abbildung 6.1: Schematische Darstellung eines Clusters
192
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Hub-Transport-, Client-Access- und der Unified Messaging-Rolle installiert werden. Allerdings ist diese Rolle als einzige clusterfähig, alle anderen Rollen müssen durch Loadbalancing oder andere Absicherungsmethoden vor einem Ausfall geschützt werden. Exchange Server 2007 unterstützt mit der Single Copy Cluster(SCC)-Funktion einen Cluster für Postfachspeicher in einer Active-PassiveClusterumgebung auf die gleiche Weise wie bereits die Vorgänger. Mit der Cluster Continuous Replication(CCR)-Funktion wird die bereits hochverfügbare Lösung Local Continuous Replication auf Cluster angepasst. Um einen Exchange-Cluster aufzubauen, benötigen Sie Windows Server 2008 Enterprise Edition als Betriebssystem und Exchange Server 2007 Enterprise Edition als Exchange-Version. Die Clusterunterstützung ist in Exchange Server 2007 ausschließlich der Enterprise Edition vorbehalten, Exchange Server 2007 Standard Edition unterstützt keine Clusterkonfiguration, aber LCR. Innerhalb eines Clusters können Sie die Funktion der fortlaufenden Datensicherung (Local Continous Replication, LCR) von Exchange Server 2007 dazu verwenden, einen Cluster zu installieren, der über keinen gemeinsamen Datenspeicher verfügt. Fällt der aktive Knoten aus, kann der passive Knoten gestartet werden. Er stellt dann die replizierte Datenbank nahezu in Echtzeit und ohne Datenverlust zur Verfügung. Dadurch werden die Datensicherung deutlich ausgeweitet und die Kosten für Hochverfügbarkeit reduziert.
6.2
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
Im folgenden Abschnitt gehe ich auf die Erstellung eines Clusters mit Windows Server 2008 und Exchange Server 2007 ein. In diesem Zusammenhang zeige ich Ihnen auch die wichtigsten Neuerungen der Clusterdienste unter Windows Server 2008.
6.2.1
Neuerungen von Clustern unter Windows Server 2008
Die neue Verwaltungsoberfläche der Clusterverwaltung basiert auf der neuen Microsoft Management Console (MMC) 3.0, die mit Windows Server 2003 R2 eingeführt und in Windows Server 2008 weiter verbessert wurde. Clusterverwalter können mit diesem leicht zu bedienenden und intuitiven Programm jetzt effizienter einen Cluster überwachen und verwalten. Microsoft hat bei der Konsole den Fokus auf die Verwaltung der Clusterapplikationen gesetzt und nicht auf die Verwaltung des Clusters selbst. Dadurch können viele Administratoren Clusterapplikationen wie zum Beispiel Exchange Server 2007 oder SQL Server 2005/ 2008 verwalten, ohne tief in die Clusterverwaltung vordringen zu müssen. In der
193
Kapitel 6 Cluster und Hochverfügbarkeit
Konsole können Ereignisse, die den Cluster betreffen, gezielt überwacht werden; die Konfiguration wird leicht verständlich angezeigt, ohne dabei durch viele Untermenüs klicken zu müssen. Auch die Hardware des Clusters kann effizient überwacht werden. Verbessert wurden auch die Funktionen, um einen Cluster in der Befehlszeile zu verwalten. Die Clusterkonfiguration kann mit dem Schattenkopiedienst (VSS) gesichert und wiederhergestellt werden. Ebenfalls neu im Windows Server 2008-Failover-Clustering sind die Verbesserungen in der Netzwerkschicht. Ein Cluster unter Windows Server 2008 profitiert vom neuen TCP/ IP-Stack und von der vollen IPv6-Unterstützung. Die Kommunikation zwischen den Cluster-Knoten (Heartbeat) findet jetzt mit IPv6 statt. Es gibt keine Abhängigkeiten mehr von NetBIOS, sodass auch Umgebungen ohne WINS-Server oder NetBIOS-Paketen von der standardisierten Namensauflösung per DNS profitieren. Es werden außerdem keine Broadcasts mehr benötigt, was den Transport des SMB-Verkehrs deutlich verbessert. Mit dem Cluster-Migrationsassistenten können bestehende Windows Server 2003Cluster leicht und effizient zu Windows Server 2008-Clustern migriert werden, sodass Neuinstallationen nicht zwingend notwendig werden. Es ist allerdings nicht möglich, in einem Cluster Windows Server 2003-Knoten und Windows Server 2008-Knoten zu betreiben; es wird lediglich ein einheitlicher Betriebssystemstand unterstützt. Ebenfalls neu sind Verbesserungen in der Sicherheit eines Clusters. Der Cluster-Dienst läuft unter Windows Server 2008 im Kontext des LocalSystem-Kontos, es ist nicht mehr zwingend ein eigenes Domänenkonto mit erweiterten Berechtigungen notwendig. Auch innerhalb der Cluster-Strukturen hat Microsoft viele Verbesserungen in der Sicherheit eingeführt. So arbeiten Applikationen und DLLs des Clusters mit so wenigen Rechten wie möglich und haben keine Berechtigungen mehr, uneingeschränkt mit dem Netzwerk zu kommunizieren. Angriffe auf Cluster, um Berechtigungen im Netzwerk zu erhalten, werden dadurch eingeschränkt. Das Quorum-Modell ist in Windows Server 2008 eine Mischung der besten Eigenschaften des bisherigen Shared Disks und des Majority Node Sets (MNS). Durch dieses neue Majority-Quorum-Modell wird die Stabilität eines Clusters erhöht. Die beiden Vorgängermodelle werden durch den neuen Quorum-Typ vollkommen ersetzt, es gibt keinen Single Point of Failure mehr. Ein Cluster überlebt ohne Weiteres, auch wenn er sein Quorum verliert. Dazu hält jeder Cluster-Knoten eine replizierte Offline-Kopie des Quorums vor, mit der die Zeit ohne das Quorum überbrückt werden kann. Der MNS kann weiter verwendet werden, profitiert aber auch von den Neuerungen. Durch diese neuen Funktionen profitieren vor allem auch Cluster für Exchange Server 2007, der verschiedene Cluster-Unterstützungen mitbringt, die teilweise auf MNS – wie zum Beispiel die Cluster Continuous Replication – aufbauen.
194
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
Durch die Verbesserungen in der Netzwerkschicht eines Clusters können die Knoten eines Clusters auch sehr weit auseinanderliegen. Durch dieses Geo-Clustering ist es möglich, dass sich ein Cluster über mehrere Niederlassungen erstreckt, was die Ausfallsicherheit auch bei größeren Störungen deutlich erhöht. Unternehmen mit einer echten Desaster-Recovery-Planung profitieren daher besonders von den neuen Funktionen. Cluster-Knoten müssen sich nicht mehr in einem gemeinsamen Subnetz befinden und können jetzt auch über Router zwischen verschiedenen Netzen kommunizieren. Aus diesem Grund ist es auch nicht mehr notwendig, Cluster-Knoten mit virtuellen LANs (VLANs) miteinander zu verbinden, was die Kosten für einen Cluster unter Windows Server 2008 weiter reduziert und die Einbindung in Desaster-Recovery-Szenarien mit GeoClustern erleichtert. Der Heartbeat-Timeout kann derart konfiguriert werden, dass Cluster-Knoten auch über schmalbandige WAN-Anbindungen konsistent miteinander kommunizieren können. Cluster-Knoten können durch diese neue Möglichkeit weiter voneinander entfernt positioniert werden. Cluster, die sich in einem gemeinsamen LAN befinden, profitieren von der Möglichkeit, den Timeout zu reduzieren, sodass der Ausfall eines Knotens noch schneller festgestellt und Wiederherstellungsaktionen in kürzerer Zeit durchgeführt werden können. Cluster mit gemeinsamen Datenträgern profitieren von der besseren Anbindung an SAN-Strukturen. Cluster unter Windows Server 2008 unterstützen serielles SCSI (SAS), iSCSI und Fibre Channel für die Anbindung von Datenträgern. Paralleles SCSI wird für gemeinsame Datenträger nicht mehr unterstützt. Es werden keine SCSI-Bus-Resets mehr verwendet, was bei Clustern mit gemeinsamen Datenträgern auf SANs viele Probleme bereitet hat. Die generelle Verwaltung des gemeinsamen Datenträgers wurde überarbeitet und optimiert. Cluster unter Windows Server 2008 unterstützen jetzt auch GPT-Datenträger. Das Datenträger-Partitionsformat MBR (Master Boot Record) unterstützt Volumes mit einer Größe von bis zu zwei Terabyte sowie bis zu vier Primärpartitionen pro Datenträger (oder drei Primärpartitionen, eine erweiterte Partition und eine unbegrenzte Anzahl logischer Laufwerke). Im Vergleich dazu unterstützt das Partitionsformat GPT (GUID-Partitionstabelle) Volumes mit einer Größe von bis zu 18 Exabyte und bis zu 128 Partitionen pro Datenträger. Anders als bei Datenträgern mit dem MBR-Partitionsformat werden Daten, die für den Betrieb der Plattform zwingend erforderlich sind, in Partitionen abgelegt und nicht in Sektoren ohne Partition oder versteckten Sektoren. Außerdem besitzen Datenträger mit dem GPT-Partitionsformat redundante Primär- und Sicherungspartitionstabellen, wodurch die Integrität der Partitionsdatenstruktur verbessert wird. Auf GPTDatenträgern können Sie dieselben Aufgaben wie auf MBR-Datenträgern durchführen.
195
Kapitel 6 Cluster und Hochverfügbarkeit
6.2.2
Installation eines Clusters mit iSCSI-Testumgebung
Auf den folgenden Seiten zeige ich Ihnen den Aufbau eines Clusters mit Windows Server 2008 am Beispiel einer Testumgebung mit Virtual PC 2007. Die Installation eines Clusters läuft in einer produktiven Umgebung genau so ab wie in einer virtuellen Umgebung. Durch die Testumgebung haben Sie aber Gelegenheit, das Thema vorab zu testen. Vorbereitungen für die Cluster-Installation Um einen Cluster zu installieren – in diesem Fall in einer virtuellen Testumgebung –, müssen mehrere Vorbereitungen getroffen werden. Für die Testumgebung werden drei virtuelle Server benötigt, die Sie am besten mit Virtual PC 2007 erstellen. Ein virtueller Server wird mit Windows Server 2003 oder Windows Server 2008 installiert. Für eine virtuelle Umgebung reichen 256 MB Arbeitsspeicher für den virtuellen Domänen-Controller, der auch als iSCSI-Target konfiguriert wird. Aus diesem Server machen Sie einen Domänen-Controller, damit für den Cluster eine Domäne in der Testumgebung zur Verfügung steht. In einer produktiven Umgebung benötigen Sie für einen Cluster natürlich keine eigene Domäne. Hier werden die Cluster-Knoten als Mitgliedsserver zur bereits vorhandenen Domäne installiert. Auf den anderen beiden virtuellen Servern installieren Sie Windows Server 2008 Enterprise Edition und nehmen diese in die Domäne des virtuellen Domänen-Controllers auf. iSCSI installieren Im Gegensatz zu Windows Server 2003 unterstützt ein Cluster mit Windows Server 2008 keinen gemeinsamen SCSI-Bus mehr. Als gemeinsamer Datenträger für den Cluster kann also kein SCSI-Speicher verwendet werden. Das gilt auch für die diversen Möglichkeiten einer virtuellen Testumgebung. Hier kann für Windows Server 2003-Cluster zum Beispiel mit Virtual Server 2005 R2 oder mit Virtual PC 2007 ein virtueller gemeinsamer SCSI-Bus für den gemeinsamen Datenträger verwendet werden. Um einen gemeinsamen Datenträger für einen Cluster mit Windows Server 2008 zu erstellen, wird daher ein SAN oder ein iSCSI-Gerät benötigt. Für eine virtuelle Testumgebung ist ein virtuelles iSCSI-Laufwerk der beste Weg. iSCSI wird hauptsächlich bei NASSystemen eingesetzt – NAS steht für Network Attached Storage. Hierbei handelt es sich um Massenspeichergeräte, die direkt an das Netzwerk angeschlossen sind und mit einem eigenen Betriebssystem ausgestattet werden. Viele Betriebssysteme von NAS-Systemen sind webbasierend und im Gegensatz zu normalen Betriebssystemen deutlich eingeschränkt und nur auf den Einsatz als Dateiserverbetriebssystem hin optimiert. Ein großer Nachteil von NAS-Systemen ist, dass die Anbindung über das LAN erfolgt. Durch diesen Umstand muss
196
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
keine eigene Speicherinfrastruktur aufgebaut werden, die zum Beispiel ein SAN benötigt. Manche Anwendungen haben allerdings Probleme damit, wenn der Datenspeicher im Netzwerk bereitgestellt und mittels IP auf die Daten zugegriffen wird, anstatt den blockbasierten Weg über SCSI oder Fibre Channel zu gehen. Zu diesem Zweck gibt es die iSCSI-Technologie. iSCSI ermöglicht den Zugriff auf NAS-Systeme mit dem bei lokalen Datenträgern üblichen Weg als normales lokales Laufwerk. Die Nachteile der IP-Kommunikation werden damit kompensiert. iSCSI verpackt dazu die SCSI-Daten in TCP/IP-Pakete. Für den empfangenden Server verhält sich ein NAS in einem schnellen Gigabit-Netzwerk somit wie ein lokales Festplattensystem. Um eine Testumgebung mit einem Windows Server 2008-Cluster aufzubauen, wird daher ein iSCSI-Gerät benötigt. Laden Sie sich dazu die 30-Tage-Testversion von Starwind von der Internetseite http://www.rocketdivision.com herunter. Ab der Version 3.5 unterstützt diese Software auch Windows Server 2008. Nachdem Sie die etwa 5 MB große Software heruntergeladen haben, installieren Sie diese bitte auf dem Windows Server 2003-Domänen-Controller in der Testumgebung. Nach der Installation werden über die Software drei virtuelle Laufwerke erstellt, die im Cluster als gemeinsame Datenträger und Quorum verwendet werden. Die über diese Software zur Verfügung gestellten virtuellen Datenträger sind voll clusterfähig.
Abbildung 6.2: Erstellen von virtuellen iSCSI-Laufwerken mit Starwind
197
Kapitel 6 Cluster und Hochverfügbarkeit
Um einen solchen Datenträger zu installieren, starten Sie die Software auf dem Testserver, klicken auf LOCALHOST im Fenster und verbinden sich über CONNECTION/CONNECT mit dem lokalen Server. Als Benutzernamen verwenden Sie TEST, ebenso auch als Kennwort – die Daten sind so vorgegeben. Nach einer erfolgreichen Verbindung klicken Sie auf den Menüpunkt ADD DEVICE. Es startet der Assistent, mit dem virtuelle iSCSI-Laufwerke erstellt werden. Auf der ersten Seite des Assistenten wählen Sie die Option IMAGE FILE DEVICE aus. Auf der nächsten Seite starten Sie die Erstellung des Laufwerks über CREATE NEW IMAGE. Als Nächstes müssen die Daten und der Pfad des neuen virtuellen Laufwerks angegeben werden. Als Größe für eine Testumgebung reichen 2.048 MB pro Laufwerk aus; als Pfad geben Sie bitte den Pfad auf dem lokalen Server und den Namen der Cluster-Datei an. Aktivieren Sie nun noch die Option FLAT IMAGE FILE. Achten Sie bitte darauf, der Datei die richtige Endung *.img zu geben. Achten Sie auch darauf, dass auf dem virtuellen Laufwerk des virtuellen Servers genügend Platz frei ist, andernfalls erscheint bei der Erstellung des Laufwerks eine Fehlermeldung. Am besten fügen Sie dem virtuellen Domänen-Controller unter Windows Server 2003 eine zusätzliche virtuelle Festplatte mit ausreichender Größe (etwa 16 GB) hinzu.
Abbildung 6.3: Konfigurieren der Daten für das virtuelle Cluster-Laufwerk
Auf der nächsten Seite des Assistenten aktivieren Sie die beiden Optionen ASYNCRONOUS MODE und ALLOW MULTIPLE CONNECTIONS CONCURRENT ISCSI CONNECTIONS (CLUSTERING). Lassen Sie das Laufwerk anschließend erstellen. Für den Cluster werden drei virtuelle Laufwerke erstellt, alle auf dem beschriebenen
198
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
Weg. Ein Laufwerk wird als Quorum verwendet, die beiden anderen als gemeinsame Cluster-Laufwerke. Nach der Erstellung werden die Laufwerke in der Verwaltungskonsole von Starwind angezeigt.
Abbildung 6.4: Anzeigen der virtuellen iSCSI-Laufwerke für den Testcluster
Installation der Cluster-Knoten und des iSCSI-Initiators Nachdem der virtuelle Domänen-Controller, der auch als iSCSI-Target dient, unter Windows installiert wurde, installieren Sie noch zwei virtuelle Windows Server 2008-Computer in der Enterprise-Version und nehmen diese in die Umgebung mit auf. Als Nächstes wird erst auf dem einen, dann auf dem zweiten Cluster-Knoten eine Verbindung zu den iSCSI-Laufwerken auf dem Domänen-Controller hergestellt. Dazu wird der iSCSI-Initiator verwendet, der zu den Bordmitteln von Windows Server 2008 gehört und über START • VERWALTUNG gestartet wird. Beim ersten Start dieser Software müssen der Start des entsprechenden Dienstes erst bestätigt und die Blockierung aufgehoben werden. Anschließend kann der Dienst über mehrere Registerkarten konfiguriert werden. Gehen Sie zur Anbindung der Laufwerke bitte folgendermaßen vor: 1. Wechseln Sie auf die Registerkarte SUCHE. 2. Klicken Sie auf die Schaltfläche PORTAL HINZUFÜGEN. 3. Geben Sie die IP-Adresse des Servers ein, auf dem Starwind installiert und konfiguriert wurde (also die IP-Adresse des Domänen-Controllers).
199
Kapitel 6 Cluster und Hochverfügbarkeit
Abbildung 6.5: Verbinden mit dem iSCSI-Target
4. Wechseln Sie auf die Registerkarte ZIELE. Hier werden jetzt die drei unter Starwind erstellten Laufwerke angezeigt. 5. Klicken Sie auf die Schaltfläche ANMELDEN. Damit wird eine Verbindung mit dem Gerät hergestellt. Bis jetzt ist das Gerät nur verfügbar, aber noch nicht mit dem Computer verbunden. Sie benötigen an dieser Stelle keine Anmeldedaten, diese werden nur bei der Erstellung der Laufwerke benötigt. 6. Aktivieren Sie die Option BEIM NEUSTART DES COMPUTERS DIE VERBINDUNG AUTOMATISCH WIEDERHERSTELLEN. Diese Option muss für alle drei Laufwerke separat eingestellt werden. Wenn der Cluster-Knoten neu gestartet wird, muss dieser auf die notwendigen Freigaben zugreifen können. Diese Einstellung muss auch in einer produktiven Umgebung so konfiguriert werden. 7. Nachdem die Laufwerke mit dem ersten Serverknoten verbunden wurden, müssen sie über die Festplattenverwaltung online geschaltet, initialisiert, partitioniert und formatiert werden. Weisen Sie den drei Laufwerken Buchstaben am Ende des Alphabets zu, also zum Beispiel Q für das Quorum sowie V und W für die beiden gemeinsamen Datenträger. Belassen Sie die Datenträger als Basis. Eine Umwandlung in dynamische Datenträger wird für den Einsatz im Cluster nicht empfohlen.
200
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
Abbildung 6.6: Die erstellten iSCSI-Laufwerke werden mit dem Cluster verbunden.
8. Gehen Sie auf dem zweiten Cluster-Knoten genauso vor wie beim ersten und beginnen Sie bei Schritt 1. Da die Datenträger aber bereits auf dem ersten Knoten initialisiert und formatiert wurden, müssen Sie diesen Schritt auf dem zweiten nicht wiederholen. Auf dem zweiten Knoten reichen das OnlineSchalten und das Ändern der Laufwerksbuchstaben, die mit dem ersten Knoten übereinstimmen müssen. Konfiguration des Netzwerks auf den Cluster-Knoten Haben Sie das Betriebssystem auf dem Server installiert und die iSCSI-Laufwerke verbunden, sollten Sie die IP-Einstellungen für die beiden Knoten vornehmen. Eine Netzwerkkarte dient dabei zur Kommunikation der Server mit dem normalen Netzwerk und sollte deshalb von den Arbeitsstationen und den Servern in Ihrem Netzwerk aus erreichbar sein. Hierbei verwenden Sie eine IP-Adresse, die sich im gleichen Subnetz wie der andere Knoten und der virtuelle Domänen-Controller befindet. Diese Einstellung haben Sie bereits vorgenommen, da alle drei Server im gleichen Netzwerk betrieben werden. Die zweite Netzwerkkarte dient nur zur Kommunikation der Knoten untereinander. Cluster-Knoten »unterhalten« sich über diese private Schnittstelle und stellen fest, ob der jeweils andere Knoten noch online ist. Diese Überprüfung wird im Allgemeinen als Heartbeat (Herzschlag) bezeichnet. Benennen Sie nach der Konfiguration der Netzwerkkarte die Verbindungen um, sodass sofort ersichtlich ist, um wel-
201
Kapitel 6 Cluster und Hochverfügbarkeit
che es sich handelt. Empfohlen werden oft die beiden Bezeichnungen private und public. Sie sollten für die beiden Karten zudem die Option aktivieren, dass die Verbindung in der Taskleiste angezeigt wird. Haben Sie auf beiden Knoten die Netzwerkkarten konfiguriert, sollten Sie die Verbindung zwischen den Knoten sowie die Verbindung zwischen den Knoten und Ihrem Firmennetzwerk testen. Bei der Testumgebung fahren Sie die beiden virtuellen Cluster-Knoten herunter und gehen zu den Einstellungen der virtuellen Maschinen. Erhöhen Sie die Anzahl der Netzwerkadapter auf zwei und konfigurieren Sie die zweite Verbindung als NUR LOKAL. Fahren Sie dann beide Cluster-Knoten wieder hoch, benennen Sie die Netzwerkverbindungen entsprechend um und weisen Sie der neuen, privaten Verbindung eine IP-Adresse zu, die sich in einem anderen Subnetz befindet als das öffentliche Netzwerk, aber im gleichen Subnetz wie die private Verbindung zum zweiten Knoten. Testen Sie die private Verbindung zwischen den Knoten anschließend. Haben Sie die virtuelle Hardware der Cluster-Knoten konfiguriert, führen Sie als Nächstes die Konfigurationen unter Windows durch: Starten Sie den ersten Cluster-Knoten cn01 und melden Sie sich mit einem Domänen-Admin-Konto an. Gehen Sie in die Verwaltung der Netzwerkverbindungen (START • AUSFÜHREN • NCPA.CPL). Da Sie eine neue Netzwerkkarte hinzugefügt haben, wird in der Netzwerkverbindung diese neue LAN-Verbindung angezeigt. Die neue LAN-Verbindung 2 dient zur privaten Kommunikation der beiden Cluster-Knoten, dem Heartbeat. Benennen Sie daher am besten die LAN-Verbindung mit dem öffentlichen Netz in public und die neu erstellte in private um. Diese Vorgehensweise ist Standard bei einer Clusterinstallation. Dadurch können Sie bei der späteren Kommunikation oder Fehlersuche sofort erkennen, um welches Netzwerk es sich handelt. Konfigurieren Sie die Netzwerkeigenschaften der privaten Verbindung. Geben Sie dieser Verbindung zum Beispiel die IP-Adresse 192.168.100.1. Zwar würde hier auch IPv6 funktionieren, aber IPv4 ist aktuell noch der Standard im Netzwerkbereich. Verwenden Sie eine Subnetzmaske in einem vom öffentlichen Netzwerk getrennten Bereich. Das private Netzwerk eines Clusters muss immer in einem eigenen Subnetz liegen, um störende Einflüsse anderer Teilnehmer am Netzwerk auszuschließen. Lassen Sie die Felder STANDARDGATEWAY und DNS SERVER leer. Diese beiden Optionen werden beim Heartbeat auch bei der produktiven Umgebung nicht benötigt. Wichtig ist an dieser Stelle nur, dass sich die privaten Netzwerkkarten der beiden Cluster-Knoten untereinander auf IP-Basis »unterhalten« können. Klicken Sie danach auf ERWEITERT. Gehen Sie auf die Registerkarte DNS und stellen Sie sicher, dass die beiden Optionen ganz unten, VERBINDUNG IN DNS REGISTRIEREN und DNS-SUFFIX DIESER VERBINDUNG IN DNS-REGISTRIERUNG VERWENDEN, deaktiviert sind, da eine DNS-Auflösung ein Heartbeat-Netzwerk eher stört, als die Funktionssicherheit zu erhöhen.
202
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
Gehen Sie danach auf die Registerkarte WINS. Aktivieren Sie die Option NETBIOS ÜBER TCP/IP DEAKTIVIEREN, da NetBIOS die interne Kommunikation eines Clusters stören kann. Im Anschluss gehen Sie zu den Eigenschaften der Netzwerkumgebung mit dem Menü ERWEITERT in die ERWEITERTEN EINSTELLUNGEN. Hier können Sie die Bindungsreihenfolge festlegen. Diese bestimmt, in welcher Reihenfolge Netzwerkpakete über das Netzwerk geschickt werden und welche Verbindung zuerst verwendet wird. Ändern Sie die Reihenfolge so ab, dass die Public-Verbindung ganz oben steht, damit die Kommunikation zu den Clients priorisiert wird. Diese Einstellung wird dringend empfohlen. In den erweiterten Eigenschaften der Windows-Firewall, die über die Systemsteuerung gestartet werden, sollte auf der Registerkarte ERWEITERT die Firewall für das private Clusternetz und – falls vorhanden – für das Netzwerk zum iSCSIGerät deaktiviert werden. Für diese beiden Verbindungen stört die Firewall nur. Für das normale öffentliche Netzwerk kann die Firewall weiterhin aktiv bleiben. Führen Sie auf dem zweiten Cluster-Knoten die gleichen Aktionen durch. Geben Sie der privaten Verbindung die IP-Adresse 192.168.100.2 und stellen Sie die Bindungsreihenfolge sowie die übrigen Optionen identisch zum ersten Knoten ein. Verwenden Sie als gemeinsamen Datenträger iSCSI, kann IPv6 deaktiviert werden, falls das Speichergerät IPv6 nicht unterstützt. Nur wenn alle beteiligten Komponenten eines Clusters IPv6 unterstützen, sollte IPv6 in den Eigenschaften der Netzwerkkarte aktiviert bleiben. In einer Testumgebung kann IPv6 generell deaktiviert werden. Clustering installieren und konfigurieren Nachdem die notwendigen Einstellungen vorgenommen wurden, kann der Cluster über den ersten Knoten erstellt werden. Clustering wird unter Windows Server 2008 als FEATURE installiert. Starten Sie daher den Server-Manager, klicken Sie auf FEATURES und dann auf FEATURES HINZUFÜGEN. Wählen Sie das Feature FAILOVER-CLUSTERUNTERSTÜTZUNG zur Installation aus. Während der Installation dieses Features werden noch keinerlei Einstellungen vorgenommen, sondern nur die notwendigen Systemdateien und die Clusterverwaltung installiert. Installieren Sie das Feature auf beiden Cluster-Knoten. Cluster erstellen und konfigurieren Nach der Installation des Features FAILOVER-CLUSTERUNTERSTÜTZUNG auf beiden Cluster-Knoten gehen Sie dazu über, den Cluster zu konfigurieren. Starten Sie auf dem ersten Knoten die FAILOVERCLUSTERVERWALTUNG über START • VERWALTUNG. Der erste Schritt, um einen Cluster unter Windows Server 2008 zu erstellen, besteht darin, die Cluster-Knotenkonfiguration zu überprüfen. Klicken Sie dazu auf den Menüpunkt KONFIGURATION ÜBERPRÜFEN. Mit dieser Überprüfung testet Windows Server 2008, ob alle Vorbereitungen für den Cluster getroffen sind. Diese Überprüfung muss
203
Kapitel 6 Cluster und Hochverfügbarkeit
aber nicht zwingend auf dem ersten Knoten, sondern kann unter Windows Server 2008 auch auf dem zweiten Knoten durchgeführt werden. Bei der Erstellung eines Clusters unter Windows Server 2008 können bereits bei der Erstellung des Clusters alle beteiligten Knoten auf einmal angegeben werden. Bestätigen Sie die Startseite des Assistenten. Auf der nächsten Seite geben Sie den Namen der beiden Cluster-Knoten ein. Auf der nächsten Seite des Assistenten wählen Sie aus, welche Tests der Assistent durchführen soll.
Abbildung 6.7: Der Cluster-Assistent überprüft die Konfiguration der Cluster-Knoten.
Hier sollte möglichst immer die Option ALLE TESTS AUSFÜHREN (EMPFOHLEN) gewählt werden. Anschließend erhalten Sie eine Zusammenfassung, was alles getestet wird, und der Assistent beginnt mit seinen Tests. Nachdem der Assistent alle wichtigen Punkte getestet hat, erhalten Sie nach Abschluss einen ausführlichen Bericht über die Konfiguration. Eventuell vorhandene Fehler sollten vor der Installation des Clusters behoben werden; der Cluster sollte anschließend erneut getestet werden. Erst wenn die Clusterüberprüfung keine Fehler mehr meldet, sollte der Cluster erstellt werden. Bei dem Test werden extrem viele Bereiche der Server getestet, sodass sichergestellt ist, dass der Cluster später fehlerfrei installiert werden kann. Überzeugen Sie sich in der Testumgebung davon, welche Bereiche getestet werden. Der Test überprüft alle Cluster-Knoten,
204
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
die auf dem vorherigen Fenster hinzugefügt wurden. Einer der Validierungstests der Clusterinstallation überprüft, ob sich der gemeinsame Datenträger wie ein SCSI 3-Datenträger verhält. Die beiden Standards SCSI 1 und SCSI 2 sind zu langsam und schmalbandig für einen Cluster unter Windows Server 2008. Der Bericht wird als MHT-Datei erstellt und im Internet Explorer angezeigt. Durch Klicken auf die einzelnen Tests werden ausführliche Informationen angezeigt. Falls ein Fehler gefunden wird, weist der Assistent darauf hin. In einer Testumgebung unter Virtual PC 2007 kann es durchaus vorkommen, dass ein Fehler in der IP-Konfiguration gemeldet wird. Handelt es sich um keinen Fehler bei den Cluster-Netzwerkkarten, kann dieser ignoriert werden. Dieser ist darauf zurückzuführen, dass die beiden Cluster-Knoten auf dem gleichen physikalischen Computer betrieben werden. Nachdem der Cluster überprüft wurde, kann die Erstellung in der Verwaltungskonsole über CLUSTER ERSTELLEN gestartet werden. Es startet der Assistent zum Erstellen des Clusters. Eine der Neuerungen in Windows Server 2008 ist, dass der Cluster zentral auf einem Knoten erstellt wird und keine Konfiguration auf beiden Knoten stattfinden muss. Auf der nächsten Seite des Assistenten werden die Cluster-Knoten hinzugefügt, mit denen der Cluster erstellt werden soll. Der Assistent versucht, den Servernamen per DNS aufzulösen, und fügt die Server hinzu. Auf der nächsten Seite erscheinen Meldungen, falls die Clusterüberprüfung einen Fehler gefunden hat. Hier kann über die Schaltfläche BERICHT der bereits erstellte Bericht der Clusterüberprüfung angezeigt werden. Standardmäßig ist die Option aktiviert, dass der Cluster erst nochmals überprüft und erst danach erstellt wird. Wird die Option NEIN, MICROSOFT-SUPPORT FÜR DIESEN CLUSTER NICHT NÖTIG aktiviert, fährt der Assistent mit der Installation des Clusters fort. In produktiven Umgebungen sollte diese Vorgehensweise nicht gewählt werden. Hier muss sichergestellt sein, dass der Cluster ohne jeglichen Fehler installiert wird. In einer Testumgebung spielen kleinere Fehler, die natürlich im Bericht erst überprüft werden sollten, dagegen keine Rolle. Hier kann mit der Erstellung des Clusters fortgefahren werden. Auf der nächsten Seite legen Sie den Namen des Clusters als Ganzes fest. Über diesen Namen wird mit der Clusterverwaltung auf den Cluster zugegriffen. Hier wählen Sie auch eine IP-Adresse aus, mit welcher der Cluster angesprochen wird. Die IP-Adresse muss natürlich eindeutig im Netzwerk sein und von den Clients und Administratoren erreichbar sein.
205
Kapitel 6 Cluster und Hochverfügbarkeit
Abbildung 6.8: Festlegen des Namens und der IP-Adresse des Clusters
Legen Sie in diesem Fenster den Namen und die IP-Adresse des Clusters fest. Der Name wird mit der IP-Adresse ebenso wie die physikalischen Knoten automatisch in der DNS-Zone der Domäne registriert. Auf der nächsten Seite des Assistenten erhalten Sie eine Zusammenfassung, wie der Cluster erstellt werden wird. Hier werden der Name und die IP-Adresse des Clusters sowie die Knoten, mit denen dieser erstellt wird, angezeigt. Schließlich wird der Cluster erstellt und die Verbindung zwischen den Knoten aufgebaut. Abhängig von der Geschwindigkeit der beteiligten Server und des gemeinsamen Datenträgers kann dieser Vorgang etwas Zeit in Anspruch nehmen. Nachdem der Cluster erfolgreich erstellt wurde, wird eine Zusammenfassung angezeigt. Hier sehen Sie, ob das Erstellen erfolgreich war und der Cluster ordnungsgemäß installiert wurde. Über die Schaltfläche BERICHT wird ein ausführlicher Bericht angezeigt, welche Maßnahmen der Assistent bei der Erstellung des Clusters durchgeführt hat. Der Bericht wird im Internet Explorer angezeigt und kann abgespeichert werden. Nach erfolgreicher Erstellung des Clusters wird dieser in der Clusterkonfiguration angezeigt und kann verwaltet werden. Die Erstellung ist an dieser Stelle abgeschlossen, und Sie können sich nun mit dem Cluster beschäftigen. Das Befehlszeilenprogramm Cluster.exe ermöglicht die Verwaltung von Clustern in der Eingabeaufforderung oder über Skripte. Eine ausführliche Hilfe zu den Optionen erhalten Sie mit dem Befehl cluster /?.
206
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
Abbildung 6.9: Die Verwaltung eines Clusters unter Windows Server 2008 erfolgt mit der Snap-In Failover-Clusterverwaltung.
Nacharbeiten: Überprüfung des Clusters und erste Schritte in der Clusterverwaltung Als Nächstes sollten Sie sich mit dem Umgang mit einem Cluster vertraut machen. Die zentrale Verwaltungsstelle eines Clusters ist die FAILOVER-CLUSTERVERWALTUNG, mit der Sie neue Cluster erstellen, neue Knoten hinzufügen und den Cluster verwalten. Wenn Sie die Clusterverwaltung starten, darf keine Fehlermeldung erscheinen. Kann der Clusteradministrator fehlerfrei eine Verbindung zum Cluster aufbauen, sehen Sie im Menü einige Optionen, die Ihnen zur Verwaltung des Clusters zur Verfügung stehen. Indem Sie den Namen des Clusters in der Clusterverwaltung mit der rechten Maustaste anklicken, können Sie die Eigenschaften des Clusters überprüfen und anpassen. Ebenso bietet Ihnen das Kontextmenü zahlreiche Verwaltungsmöglichkeiten an. Auf der Registerkarte ALLGEMEIN wird der Name des Clusters angepasst. Ändern Sie diesen ab, werden auch der Clustername in der Clusterverwaltung sowie der dazugehörige Eintrag in der DNS-Zone angepasst. Auf der Registerkarte RESSOURCENTYPEN wird gesteuert, welche Windows-Ressourcen dem Cluster hinzugefügt werden; auf der Registerkarte CLUSTERBERECHTIGUNGEN legen Sie den administrativen Zugriff der Administratoren auf den Cluster fest. Über den Menüpunkt SPEICHER in der Clusterverwaltung werden die gemeinsamen Datenträger und das
207
Kapitel 6 Cluster und Hochverfügbarkeit
Quorum verwaltet und überprüft. Hier werden auch die aktuellen Knoten angezeigt, die der Cluster aktiv verwaltet. Der zweite Knoten steht offline zur Verfügung.In einer Produktivumgebung sollten Sie auf jeden Fall das Menü NETZWERKE aufrufen. In diesem Menü werden die öffentlichen und privaten Verbindungen des Clusters verwaltet. In den Eigenschaften der Verbindungen wird eingestellt, ob diese den Clients zum Verbindungsaufbau, nur für den Heartbeat oder für beide zur Verfügung stehen. Über die private Verbindung sollte der Heartbeat des Clusters laufen. Markieren Sie dazu erst die Private- und dann die Public-Verbindung und rufen Sie die Eigenschaften auf. Stellen Sie sicher, dass bei der privaten Verbindung nur die Option CLUSTER DIE VERWENDUNG DIESES NETZWERKS GESTATTEN aktiviert ist, damit nur die interne Clusterkommunikation aktiviert wird. Dadurch ist sichergestellt, dass dem Heartbeat ein privater Kanal im Netzwerk zur Verfügung steht und er nicht durch Benutzeranfragen beeinträchtigt wird. Bei den Eigenschaften der Public-Verbindung sollten Sie die Option CLUSTER DIE VERWENDUNG DIESES NETZWERKS GESTATTEN und CLIENTS DAS HERSTELLEN EINER VERBINDUNG ÜBER DIESES NETZWERK GESTATTEN aktivieren, damit auf jeden Fall sichergestellt ist, dass die Clusterverbindung intern auf jeden Fall funktioniert – selbst dann, wenn eine der privaten Netzwerkkarten ausfällt.
6.2.3
Exchange Server 2007 SP1 im Cluster installieren
Bevor Exchange Server 2007 im Cluster installiert werden kann, müssen das Schema und die Domäne auf Exchange vorbereitet werden. Auch in der Testumgebung sollten auf dem Domänen-Controller vor der Installation des ExchangeClusters entsprechende Vorbereitungen vorgenommen werden. Bevor Sie einen Exchange Server 2007 in einem Active Directory installieren können, muss dieses Active Directory um zahlreiche Klassen und Attribute erweitert werden. Einige dieser Attribute sind zum Beispiel die Exchange-Eigenschaften der Benutzer. Haben Sie jedoch mehrere Domänen an mehreren Standorten installiert, sollten Sie die Vorbereitung des Schemas vor der Installation eines Exchange Servers durchführen. Da die Schemaerweiterungen erst noch auf alle Domänen-Controller repliziert werden müssen, kann dieser Vorgang etwas länger dauern. In einer Domäne, bei der für die Domänen-Controller diese Erweiterungen noch nicht repliziert wurden, kann Exchange Server 2007 nicht installiert werden. Um das Schema vorzubereiten, starten Sie das Exchange-Setup-Programm auf dem Domänen-Controller mit der Option setup /PrepareSchema. Nach Eingabe des Befehls verbindet sich das Installationsprogramm mit dem Schemamaster der Gesamtstruktur und importiert die entsprechenden Daten in das Schema Ihrer Gesamtstruktur. Um diesen Befehl ausführen zu können, muss sich das Konto, mit dem Sie sich angemeldet haben, in den Gruppen SCHEMA-ADMINS und ORGANISATIONS-ADMINS befinden. Sie müssen den Befehl setup /PrepareSchema immer auf einem Server durchführen, der sich in der gleichen Domäne und in dem gleichen Active Directory-Standort befindet wie der Schemamaster der Gesamtstruktur.
208
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
Haben Sie bei der Installation von Exchange Server 2007 in eine Exchange 2000/ 2003-Organisation vor der Ausführung von setup /PrepareSchema nicht die Domänen mit dem Befehl setup /PrepareLegacyExchangePermissions vorbereitet, wird dieser Befehl nachträglich automatisch gestartet. In diesem Fall muss der Server, auf dem Sie setup /PrepareSchema starten, eine Verbindung zu allen Domänen in der Gesamtstruktur aufbauen können. Damit das Installationsprogramm von Exchange Server 2007 SP1 zur Erweiterung des Active Directory-Schemas gestartet werden kann, müssen auf dem Server das .NET Framework 2.0 sowie die PowerShell installiert werden. Wird das Schema mit Exchange Server 2007 SP1 auf einem Windows Server 2003-Domänen-Controller aktualisiert, so muss SP 1 für .NET Framework 2.0 installiert werden. Dieses wird ebenfalls von Microsoft zur Verfügung gestellt (http://tinyurl.com/57c2ge). Nach der Vorbereitung des Schemas müssen Sie noch den Befehl setup /PrepareAD ausführen, damit in der Gesamtstruktur Objekte für Exchange Server 2007 angelegt werden. Ist in der Organisation noch keine Exchange-Organisation angelegt, wird der Befehl setup /PrepareAD /organizationname: verwendet. Dieser Befehl legt beispielsweise die notwendigen Sicherheitsgruppen für Exchange Server 2007 in der Stammdomäne (Root) der Gesamtstruktur an. Um diesen Befehl ausführen zu können, müssen Sie sich mit einem Benutzerkonto anmelden, das Mitglied der Gruppe ORGANISATIONS-ADMINS ist. Setzen Sie in der Organisation Exchange 2000- oder 2003-Server ein, müssen Sie noch Mitglied der ExchangeAdministratoren dieser Organisation sein. Sie müssen den Befehl auf einem Server durchführen, der sich in der gleichen Domäne und dem gleichen Active Directory-Standort befindet wie der Schemamaster der Gesamtstruktur. Haben Sie bei der Ausführung von setup /PrepareAD noch nicht den Befehl setup / PrepareSchema ausgeführt, wird auch dieser Befehl nachträglich automatisch gestartet. Als Nächstes müssen noch die einzelnen Domänen in der Gesamtstruktur für die Installation von Exchange Server 2007 vorbereitet werden – setup /PrepareAllDomains bereitet alle Domänen in der Gesamtstruktur für Exchange Server 2007 vor. Wenn Sie diesen Befehl ausführen, erhalten Sie unter Umständen eine Fehlermeldung bei Domänen, die sich an anderen Active Directory-Standorten befinden, falls beispielsweise die Replikation noch nicht abgeschlossen worden ist. Führen Sie in diesem Fall eine manuelle Replikation durch oder warten Sie, bis die Replikation abgeschlossen ist. Starten Sie den Befehl dann noch einmal. Stellen Sie vor der Installation von Exchange Server 2007 sicher, dass alle Voraussetzungen für eine normale Exchange-Installation getroffen worden sind. Unter Windows Server 2008 beinhaltet dies die Installation der Serverrolle WEBSERVER mit den zusätzlichen Rollendiensten VERWALTUNGSDIENST, IIS 6-VERWALTUNGSKOMPATIBILITÄT mit allen Unterdiensten sowie des Features WINDOWS POWERSHELL auf allen beteiligten Knoten.
209
Kapitel 6 Cluster und Hochverfügbarkeit
Klicken Sie im Anschluss auf die Installation von Exchange Server 2007 SP1. Auf dem ersten Fenster erhalten Sie eine kurze Einführung, die der Installation auf einem normalen Server entspricht. Klicken Sie auf WEITER. Auf der nächsten Seite bestätigen Sie den Lizenzvertrag – so wie bei einer gewöhnlichen Installation. Klicken Sie danach auf WEITER. Auf der Seite mit den Fehlerberichten deaktivieren Sie diese Funktion am besten wieder. Auch dieser Installationsschritt entspricht der normalen Installation. Als Nächstes wird die Installationsart von Exchange Server 2007 bestimmt. Wählen Sie hier BENUTZERDEFINIERTE INSTALLATION VON MICROSOFT EXCHANGE SERVER aus, da nur die Mailbox-Rolle installiert werden darf. Auf der nächsten Seite können Sie die Serverfunktionen auswählen. Aktivieren Sie hier die Option ACTIVECLUSTEREDMAILBOX-FUNKTION. Die VerwaltungsTools werden dabei automatisch mit ausgewählt.
Abbildung 6.10: Installieren des aktiven Knotens eines Clusters
210
Einzelkopiecluster (SCC) mit Windows Server 2008 und Exchange Server 2007 SP1
Auf der nächsten Seite des Assistenten wählen Sie die Clusterinstallation aus, die Sie durchführen wollen. Aktivieren Sie hier die Funktion EINZELKOPIECLUSTER. Zusätzlich müssen Sie auf dieser Seite die Bezeichnung des Exchange Servers eingeben. Der Server erhält die Bezeichnung, die Sie hier eingeben und nicht die Bezeichnung eines der Knoten oder des Clusters selbst. Der hier gewählte Namen ist von allen anderen vollkommen unabhängig und wird von den Anwendern für den Zugriff auf ihre Postfächer verwendet. Zusätzlich tragen Sie auf dieser Seite auch die IP-Adresse des neuen virtuellen Mailbox-Servers ein. Auch diese IPAdresse muss sich von den übrigen IP-Adressen des Clusters unterscheiden und darf nicht identisch mit der IP-Adresse des Clusters sein. Die IP-Adresse muss von den Clients und den übrigen Servern im Netzwerk erreichbar sein. Außerdem wählen Sie auf diesem Fenster auch den Speicherplatz für die Datenbankdateien und Transaktionsprotokolle auf dem gemeinsamen Datenträger aus. Achten Sie bitte darauf, dass sich diese Dateien niemals im Root-Verzeichnis eines Laufwerks befinden dürfen, sondern immer in einem Unterverzeichnis. Legen Sie gegebenenfalls ein derartiges Verzeichnis an. Verwenden Sie bitte als Laufwerksbuchstaben den entsprechenden Laufwerks-Buchstaben in Ihrer Testumgebung für das gemeinsame Laufwerk.
Abbildung 6.11: Auswählen der Clustereinstellungen für Exchange Server 2007
211
Kapitel 6 Cluster und Hochverfügbarkeit
Als Nächstes legen Sie die IP-Adresse des virtuellen Exchange Servers fest. Auch diese Adresse muss eindeutig sein – ebenso wie die beim Einsatz eines Dateioder Druckservers im Cluster. In diesem Fenster kann auch die fortlaufende Clusterreplikation konfiguriert werden. Zusätzlich bietet die Installationsoberfläche neue Fenster zur besseren Konfiguration an. Auf der nächsten Seite findet eine Überprüfung statt; Sie erhalten die notwendigen Ergebnisse dieser Überprüfung angezeigt. Sind die Einstellungen korrekt vorgenommen worden, können Sie mithilfe der Schaltfläche INSTALLIEREN die Installation des aktiven ClusterKnotens beginnen. Kann die Installation nicht fortgeführt werden, erhalten Sie einen entsprechenden Hinweis. Beseitigen Sie zuerst alle Fehler, bevor Sie mit der Installation fortfahren. Der Assistent unterscheidet bei der Überprüfung zwischen Warnungen und Fehlern. Treten Fehler auf, kann die Installation nicht fortgesetzt werden; bei Warnungen können Sie selbst entscheiden, ob Sie die Installation fortsetzen möchten. Haben Sie die Installation auf dem aktiven Knoten abgeschlossen, können Sie Exchange Server 2007 auf dem passiven Knoten installieren. Achten Sie bitte darauf, dass Sie vor der Installation von Exchange Server 2007 zunächst die notwendigen Komponenten und Patches installieren. Der aktive Knoten muss bei der Installation des passiven Knotens ebenfalls gestartet sein. Die Installation des Clusters ist damit abgeschlossen. Als Exchange Server verwenden Sie den virtuellen Exchange Server, dessen Daten Sie in Outlook eintragen. Ein Failover führen Sie am besten so durch, indem Sie entweder in der Verwaltungsoberfläche die Gruppe auf den anderen Knoten verschieben oder den aktiven Knoten herunterfahren. Experimentieren Sie mit den Möglichkeiten des Clusters. Die Beschreibung der Verwaltung und Bedienung eines Clusters würde allerdings den Umfang dieses Buches sprengen.
212
7
Exchange Server und ISA Server
Ein Exchange Server ist für ein Unternehmen durch die Anbindung an das Internet eine wertvolle Möglichkeit, externe und mobile Mitarbeiter mit den notwendigen Informationen zu versorgen, die diese benötigen, um effizient ihre Arbeit zu erledigen. Zusammen mit ISA Server 2006 können Unternehmen ihren Exchange Server effizient und sicher an das Internet anbinden. In diesem Kapitel möchte ich Ihnen dabei helfen, die Einrichtung einer solchen Konstellation durchzuführen und Fehler zu beheben. Es gibt zwei Versionen des ISA Servers 2006: die Enterprise Edition und die Standard Edition. Die Standard Edition ist in einigen Punkten eingeschränkt, die in der Enterprise Edition zur Verfügung stehen: Es werden nur bis zu vier CPUs und 2 GB RAM unterstützt, es gibt keine Network Load Balancing (NLB)-Clusterfunktionalität, und der Webcache wird auf dem lokalen Server gespeichert. Die Enterprise Edition kann in einem Verbund (einem sogenannten Array) einen gemeinsamen Cache aufbauen. Richtlinien können bei der Standard Edition nur lokal erstellt werden, die Enterprise Edition unterstützt Richtlinien auf Array-Basis, um eine Firewallrichtlinie auf mehrere ISA Server verteilen zu können. Die meisten Unternehmen werden die Funktionen der Enterprise-Version nicht benötigen. Größere Unternehmen, die einen ausfallsicheren Internetverkehr gewährleisten müssen (zum Beispiel ein hochverfügbares Rechenzentrum oder für eine Exchange-Infrastruktur) sollten den Einsatz der Enterprise-Version vorsehen, da hier auch die Cluster-Funktionalität genutzt werden kann. Ein ISA Server 2006 Standard Edition lässt sich jederzeit auf die Enterprise Edition hochstufen.
213
Kapitel 7 Exchange Server und ISA Server
7.1
Vorbereitungen für die Installation
Auch wenn es sich beim ISA Server um eine sichere Firewall handelt, ist ein zweistufiges Firewallkonzept dennoch stets der bessere Weg. Der ISA Server sollte zumindest vor den gröbsten Angriffen aus dem Internet durch eine HardwareFirewall geschützt werden. Die Verbindung der externen Schnittstelle des ISA Servers mit der internen Schnittstelle des Routers erfolgt entweder mit einem Switch, an den die beiden Geräte angeschlossen werden, oder mit einem Crossover-Kabel. Viele Hardware-Firewalls für Unternehmen verfügen über einen eingebauten Switch, an den Sie die externe Schnittstelle des ISA Servers anschließen können. Dadurch ist sichergestellt, dass niemals ein Netzwerkpaket, ohne durch den ISA Server gefiltert zu werden, vom Internet ins interne Netzwerk geschickt werden kann. Die interne Schnittstelle des ISA Servers wird schließlich mit dem Firmen-LAN verbunden, das durch diese Konstruktion von einer zweistufigen Firewall geschützt wird. Manche Unternehmen möchten Server zusätzlich vor Angriffen aus dem Internet schützen, sie aber nicht direkt in das LAN integrieren, da auf diese Server zum Beispiel aus dem Internet zugegriffen wird (beispielsweise ein Webserver für Lieferanten und Partner). Für diesen Zweck besteht die Möglichkeit, Server in einen speziellen Bereich des Netzwerks zu verlegen – in eine sogenannte demilitarisierte Zone (DMZ). In einer DMZ sind die Server zwar vor den Gefahren aus dem Internet geschützt, stehen aber dennoch nicht direkt mit dem LAN in Verbindung, ohne über eine weitere Firewall – in diesem Fall den ISA Server – gefiltert zu werden. Um eine derartige DMZ aufzubauen, wird in den ISA Server eine dritte Netzwerkkarte integriert. Auch diese Netzwerkkarte erhält ein eigenes Subnetz. Typische Server für eine DMZ sind FTP-Server, Webserver oder Mail-Relays. Wollen Sie Exchange Server 2007 über einen ISA Server 2006 im Internet zu Verfügung stellen, sollten Sie nach der Installation von ISA Server 2006 unter Windows Server 2003, das Update for Publishing Microsoft Exchange Server 2007 for Microsoft Internet Security and Acceleration (ISA) Server 2006 von der Internetseite http://www.microsoft.com/downloads/details.aspx?FamilyID=82b717ce-5b63-4098-8425bbf4a5b7e09c&DisplayLang=de herunterladen oder das neueste Service Pack für den ISA Server installieren.
214
Vorbereitungen für die Installation
Abbildung 7.1: Um einen ISA Server optimal in ein Netzwerk zu integrieren, sollte dieser zusätzlich durch eine Hardware-Firewall geschützt werden.
ISA Server 2004/2006 lässt sich aktuell noch nicht fehlerfrei unter Windows Server 2008 betreiben. Für die Testumgebung sollten Sie daher einen Server mit Windows Server 2003 installieren und diesen in die Domäne als Mitglied aufnehmen.
215
Kapitel 7 Exchange Server und ISA Server
Die interne Schnittstelle des ISA Servers muß eine IP-Adresse im LAN bekommen, während die externe Schnittstelle im gleichen Subnetz liegen muss wie die interne Schnittstelle der Hardware-Firewall. Haben Sie die IP-Adressen des ISA Servers festgelegt, sollten Sie noch die Bindungsreihenfolge der Netzwerkverbindungen einstellen. Diese Einstellung finden Sie unter ERWEITERT • ERWEITERTE EINSTELLUNGEN in der Netzwerkumgebung von Windows Server 2003. Bei Windows Server 2008 rufen Sie das entsprechende Fenster über den Befehl ncpa.cpl auf, den Sie im Suchfeld des Startmenüs eingeben. Die Reihenfolge der Verbindungen sollte stets erst die interne Schnittstelle, dann die externe und gegebenfalls dann die DMZ sein, damit IP-Pakete zunächst immer der internen Schnittstelle zugeordnet werden. Entfernen Sie auch in den Eigenschaften der externen Verbindung auf der Registerkarte ALLGEMEIN den Haken bei den Optionen CLIENT FÜR MICROSOFTNETZWERKE und DATEI- UND DRUCKERFREIGABE FÜR MICROSOFT-NETZWERKE. Bei Windows Server 2008 deaktivieren Sie bitte den gleichen Bereich. Da die externe Schnittstelle nur den IP-Datenverkehr zum Internet verwalten soll, besteht keine Notwendigkeit, eine Sicherheitslücke entstehen zu lassen, indem dort MicrosoftNetzwerkverbindungen angeboten werden. Als bevorzugten DNS-Server für die interne Schnittstelle tragen Sie den internen DNS-Server des Active Directory ein. Bei der externen Schnittstelle tragen Sie keinen DNS-Server ein. Als StandardGateway tragen Sie bei der externen Schnittstelle die interne IP-Adresse der Hardware-Firewall ein. Da es nur ein Standard-Gateway geben kann, tragen Sie bei der internen Schnittstelle kein Gateway ein. Sie können den ISA Server als Mitgliedsserver in die Domäne mitaufnehmen. Wie für Exchange, gibt es auch für den ISA Server ein kostenloses Analysetool von Microsoft, das die Installation und Konfiguration eines ISA Servers überprüfen kann. Der ISA Server Best Practises Analyzer analysiert dabei auf Basis der Konfigurationsdaten, ob ein ISA Server fehlerfrei installiert wurde, und gibt im Bedarfsfall entsprechende Meldungen aus. Sie finden das Tool in der Verwaltungsoberfläche von ISA Server 2006. Damit der Exchange Server eine Verbindung in das Internet aufbauen kann, müssen Sie dafür sorgen, dass der ISA Server die DNS-Namen im Internet auflösen kann. Damit die Domänen-Controller die DNS-Namen bei den DNS-Servern im Internet abfragen können, müssen auf dem ISA Server entsprechende Regeln definiert sein. Sie sollten auf den internen DNS-Servern als Weiterleitungsserver nicht nur einen externen DNS-Server verwenden, sondern am besten mehrere. Sie können natürlich auch die Stammverweise im DNS-Server verwenden, die Windows Server 2003/2008 automatisch hinterlegt. Dadurch ist sichergestellt, dass der Internetverkehr auch noch funktioniert, falls ein DNS-Server des Providers nicht mehr zur Verfügung stehen sollte. Sie müssen für die Namensauflösung natürlich nicht diesen Weg wählen, sondern können für die Auflösung von DNS-Namen im Internet auf dem ISA Server einen DNS-Server konfigurieren, der wiederum die DNS-Server im Internet als Weiterleitungsserver verwendet. Die internen DNS-Server können auch automatisch die DNS-Server verwenden, die auf der Registerkarte STAMMHIN-
216
Vorbereitungen für die Installation
in ihren Eigenschaften eingetragen sind. Die Verwendung der externen DNS-Server des Providers wird jedoch empfohlen, selbst wenn die Stammhinweise zuverlässig funktionieren. WEISE
Abbildung 7.2: Damit Sie Ihren Exchange Server optimal im Internet zur Verfügung stellen können, sollten Sie die DNS-Namensauflösung an Ihre Bedürfnisse anpassen.
Haben Sie die DNS-Einstellungen vorgenommen, müssen Sie auf dem ISA Server eine Regel erstellen, die es den DNS-Servern erlaubt, Abfragen im Internet zu erstellen. Standardmäßig blockiert der ISA Server jeden Netzwerkverkehr zwischen seinen Netzwerkkarten, für den keine Zulassungsregel existiert.
217
Kapitel 7 Exchange Server und ISA Server
7.2
Erstellen der Firewall-Regeln
Damit der E-Mail-Versand funktioniert, sollten Sie zunächst auf dem Exchange Server den ISA Server als Standard-Gateway eintragen oder auf eine andere Art für das Routing zum Internet über den ISA Server sorgen. Der ISA Server dient in diesem Fall als Router, der Exchange Server ist SecureNAT-Client für den ISA Server. Der Exchange Server verwendet die Domänen-Controller als DNS-Server, die wiederum die Namen im Internet durch die ISA-DNS-Regel auflösen können. Damit der Exchange Server per SMTP auf das Internet zugreifen kann, müssen Sie auf dem ISA Server zunächst eine Regel erstellen, die ihm dieses erlaubt. DNS ist nicht notwendig, da diese Abfrage weiterhin über die Domänen-Controller durchgeführt wird. Die neue Regel erstellen Sie in der Verwaltungsoberfläche des ISA Servers per Rechtsklick auf FIREWALLRICHTLINIE, NEU und dann ZUGRIFFSREGEL. Geben Sie der Regel einen passenden Namen, zum Beispiel SMTP-Versand Exchange. Konfigurieren Sie diese Regel als Typ ZULASSEN. Auf der Seite PROTOKOLLE wählen Sie HINZUFÜGEN und unterhalb des Protokolls MAIL die Option SMTP aus. Es ist nicht erforderlich, an dieser Stelle weitere Protokolle einzutragen; Exchange benötigt zum Versenden von E-Mails lediglich SMTP.
Abbildung 7.3: Damit der Exchange Server E-Mails ins Internet schicken kann, müssen Sie auf dem ISA Server eine entsprechende SMTP-Regel erstellen.
218
Erstellen der Firewall-Regeln
Auf der nächsten Seite legen Sie fest, für welche Quellen diese Regel Gültigkeit hat. Hier können Sie einen neuen Computersatz mit der Bezeichnung Exchange Server, der die einzelnen IP-Adressen Ihrer Exchange Server enthält, erstellen. Damit wird nur diesen Servern der Zugriff per SMTP gestattet. Um die Funktion der Regel zu verifizieren, öffnen Sie am besten auf dem Exchange Server eine Befehlszeile. Geben Sie den Befehl telnet <Mailserver im Internet> 25 ein. Wird die Verbindung aufgebaut, ist die Erstellung der Regel erfolgreich abgeschlossen. Geben Sie dann den Befehl QUIT ein und drücken Sie auf die Eingabetaste, um die Verbindung wieder zu schliessen. Kann der Exchange Server die Verbindung nicht aufbauen, so versuchen Sie bitte einen anderen E-Mail-Server, da nicht alle Server eine Verbindung per Telnet zulassen. Lässt sich zum E-MailServer Ihres Providers und auch zu anderen E-Mail-Servern keine Verbindung aufbauen, dann überprüfen Sie bitte, ob der Exchange Server den Namen mittels nslookup auflösen kann. Damit Ihr Exchange Server richtig mit dem Internet kommunizieren kann, ist es nicht nur notwendig, dass er sicher E-Mails versenden kann, sondern er muss auch in der Lage sein, E-Mails zu empfangen. Für den E-Mail-Empfang in Unternehmen gibt es zwei Möglichkeiten: POP3 und SMTP. Bei POP3 werden die E-Mails vom Exchange Server abgeholt, bei SMTP werden die E-Mails direkt zum Exchange Server geschickt. Exchange Server 2003/2007 benötigt dazu ein Zusatzprogramm; nur beim Small Business Server ist ein POP3-Abholer bereits integriert, der allerdings nicht sehr zuverlässig arbeitet. Zur Problematik dieser POP-Programme finden Sie auf der Seite http://www.msxfaq.de/internet/pop3probleme.htm weitere Informationen. SMTP ist grundsätzlich schneller und stabiler als POP3. Allerdings verwenden vor allem noch viele kleinere Unternehmen POP3. Damit Sie E-Mails per POP3 vom Provider abrufen können, muss der Exchange Server per POP3 Zugriff auf das Internet erhalten. Sie können entweder eine eigene Regel für den POP3Zugriff erstellen oder die bereits erstellte SMTP-Regel für den E-Mail-Empfang abändern. Ein Zugriff per POP3 ist nichts anderes als ein Zugriff per SMTP, mit dem Unterschied, dass POP3 den Port 110 und SMTP den Port 25 verwendet. Möchten Sie eine neue Regel für den POP3-Zugriff erstellen, gehen Sie genauso vor wie bei der Erstellung der SMTP-Regel für den E-Mail-Versand, wählen aber als Protokoll POP3 und nicht SMTP aus. Wählen Sie unter dem Punkt MAIL die Option POP3 oder POP3S aus, je nachdem wie Sie Ihren POP3-Connector konfiguriert haben. Bei POP3S werden Benutzernamen und Kennwort verschlüsselt, bei POP3 werden diese Daten unverschlüsselt zum Provider übertragen. Verwenden Sie POP3S, so schaltet der ISA Server den Port 995 frei. Auch diese Zugriffsregel können Sie wieder auf dem Exchange- erver mit telnet testen. Geben Sie dazu in der Befehlszeile telnet 110 ein.
219
Kapitel 7 Exchange Server und ISA Server
Der E-Mail-Empfang per SMTP ist zwar deutlich schneller und stabiler, allerdings auch komplizierter in der Konfiguration. Beim E-Mail-Empfang über SMTP werden die E-Mails nicht vom Exchange Server abgeholt, sondern dieser erhält die E-Mails aus dem Internet zugestellt. Damit dies möglich ist, muss Ihr Exchange Server auf genau die gleiche Weise im Internet erreichbar sein wie der E-Mail-Server Ihres Providers, den Sie beim E-Mail-Versand verwenden. Bei dieser Konfiguration steht der Exchange Server also quasi mit einem Bein im Internet. Aus diesem Grund muss der Zugriff auf den Exchange Server aus dem Internet auch besonders abgesichert werden. Der ISA Server stellt für diese Funktion spezielle Assistenten zur Verfügung, die Sie bei der Einrichtung unterstützen. Microsoft empfiehlt, für die Internetanbindung von Exchange Server 2007 einen Edge-Transport-Server zu verwenden. Sie können aber auch einen Hub-Transport-Server im Internet zur Verfügung stellen. Unter Exchange Server 2003 gibt es diese Rollenmodelle noch nicht. Wollen Sie E-Mails per SMTP empfangen, empfiehlt es sich, dass Sie bei Ihrem Provider eine statische IP-Adresse im Internet anfordern, damit sich der Empfang nicht unnötig verzögert, falls sich die IP-Adresse ändert. Zusätzlich wird diese IP-Adresse als sogenannter MX-Eintrag (Mailexchanger record) für Ihre Internetdomäne auf den DNS-Servern im Internet veröffentlicht. Die E-Mail-Server im Internet befragen den MX-Eintrag der Domänen, um zu erfahren, zu welchem Server per SMTP E-Mails geschickt werden sollen. Normalerweise werden MX10-, MX20- und MX30-Einträge erstellt. Zunächst versucht der sendende Server, den SMTP-Server zu erreichen, der unter MX10 eingetragen ist. Gelingt dies nicht, wird die Nachricht zum MX20 geschickt und so weiter. Sie sollten als MX10 die IP-Adresse eintragen, die Sie statisch im Internet verwenden, also die Adresse, die der externen Schnittstelle der Hardware-Firewall zugewiesen wurde. Als MX20 sollten Sie die IP-Adresse des SMTP-Servers Ihres Providers einsetzen. Steht der MX10, also Ihr Exchange Server, nicht zur Verfügung, weil er beispielsweise heruntergefahren wurde, werden die E-Mails zum Provider geschickt, der diese zwischenspeichert, bis Ihr Exchange Server wieder erreichbar ist. Für die Veröffentlichung eines Exchange Servers für SMTP, Outlook Web Access, Outlook Anywhere (RPC über HTTPS) und Exchange ActiveSync ist es unerlässlich, dass der Exchange Server als SecureNAT-Client definiert ist, also den ISA Server als Standard-Gateway in seinen IP-Einstellungen verwendet. Außerdem muss beim Einsatz einer zusätzlichen Hardware-Firewall darauf geachtet werden, dass auf dieser der Port 25 auf die externe Schnittstelle des ISA Servers weitergeleitet wird. Sie müssen also die auf dem ISA Server definierten FirewallRegeln quasi verdoppeln. Für den Router ist die externe Schnittstelle des ISA Servers die interne Schnittstelle seines Netzwerks. Da der Router direkt mit dem Internet verbunden ist und nicht der ISA Server, werden andernfalls die Zugriffe per SMTP bereits auf dem Router blockiert. Um Exchange per SMTP im Internet zu veröffentlichen,
220
Erstellen der Firewall-Regeln
klicken Sie mit der rechten Maustaste in der Managementkonsole des ISA Servers auf FIREWALLRICHTLINIE, wählen NEU und dann MAILSERVER-VERÖFFENTLICHUNGSREGEL. Die Erstellung dieser Regel läuft in ISA Server 2004 und ISA Server 2006 ähnlich ab.
Abbildung 7.4: Damit Ihr Exchange Server per SMTP E-Mails aus dem Internet empfangen kann, erstellen Sie eine Mailserver-Veröffentlichungsregel.
Wählen Sie bitte die Option SERVER-ZU-SERVER-KOMMUNIKATION aus. Auf der nächsten Seite des Assistenten müssen Sie die Dienste bestimmen, die aus dem Internet auf dem Exchange Server erreichbar sind. Danach geben Sie die interne IPAdresse des Exchange Servers an, der veröffentlicht werden soll. Auf der letzten Seite des Assistenten wählen Sie im Fenster IP-ADRESSE die Schnittstelle EXTERN aus. Klicken Sie dann auf ADRESSE, um die externe IP-Adresse zu konfigurieren, auf die der ISA Server hört. Aktivieren Sie die Option ANGEGEBENEN IP-ADRESSEN AUF DEM ISA SERVER-COMPUTER IM AUSGEWÄHLTEN NETZWERK. Stellen Sie sicher, dass im ausgewählten Netzwerk die IP-Adresse eingetragen wird, die der externen Schnittstelle des ISA Servers, die an die interne Schnittstelle der Hardware-Firewall angeschlossen ist, zugewiesen wird. Der MX-Eintrag Ihrer Internetdomäne zeigt auf Ihre statische IP-Adresse, welche die externe Schnittstelle des Routers vom Provider erhält. In den Port-Weiterleitungen auf der Firewall wird der Port 25 auf die externe Schnittstelle des ISA Servers weitergeleitet. Haben Sie diese Eingaben vorgenommen, wird die Regel erstellt. Sie müssen diese dann übernehmen. Die Regel wird – wie alle anderen Regeln auch – in den Firewall-Richtlinien angezeigt.
221
Kapitel 7 Exchange Server und ISA Server
Abbildung 7.5: Bei der Erstellung einer Mailserver-Veröffentlichungsregel müssen Sie festlegen, welche externe Schnittstelle des ISA Servers diesen Dienst im Internet zur Verfügung stellen soll.
Auch die Erstellung dieser Regel können Sie mit telnet testen. Öffnen Sie dazu eine Befehlszeile und geben Sie telnet 25 ein. Verwenden Sie als IPAdresse die externe IP-Adresse des Routers. Nach kurzer Zeit sollte die Verbindung aufgebaut werden, da der Router die Anfrage an die externe Schnittstelle des ISA Servers weiterleitet. Vor dem Test müssen Sie diese Weiterleitung zunächst konfigurieren. Funktioniert der Verbindungsaufbau nicht, versuchen Sie bitte, einen Testrechner in das Netz zu stellen, in dem sich die interne Schnittstelle des Routers und die externe des ISA Servers befinden. Normalerweise verbinden Sie die interne Schnittstelle der Hardware-Firewall mit einem Switch mit der externen Schnittstelle des ISA Servers. Schließen Sie den Testrechner an diesen Switch an. Versuchen Sie den Verbindungsaufbau zu Port 25 der externen Schnittstelle des ISA Servers. Funktioniert der Verbindungsaufbau an dieser Stelle, liegt ein Verbindungsproblem von der Hardware-Firewall zum ISA Server vor. Testen Sie die Verbindung auch über eine alternative Internetverbindung, um auszuschließen, dass nicht andere Regeln den Zugriff blockieren. Unter KONFIGURATION • ADD-INS finden Sie den Anwendungsfilter SMTP-FILTER. Zunächst können Sie auf der Registerkarte SMTP-BEFEHLE in den Eigenschaften dieses Filters genau steuern, welche Befehle über das Internet auf dem Exchange Server ausgeführt werden dürfen. Die bereits integrierten Standard-
222
Erstellen der Firewall-Regeln
befehle können nicht gelöscht, sondern nur deaktiviert werden. Sie sollten die nachfolgenden SMTP-Befehle auf dieser Registerkarte deaktivieren, um die Angriffsmöglichkeiten auf Ihr Netzwerk zu verringern: EXPN – Mit diesem Befehl könnte ein Angreifer die Mitglieder einer Verteilerliste auslesen. NOOP – Dieser Befehl wird nicht benötigt und kann deaktiviert werden, da mit ihm Statusmeldungen geprüft werden. VRFY – Dieser Befehl dient dazu zu testen, ob gewisse Empfängeradressen in Organisationen vorhanden sind. Vor allem Spammer verwenden diese Funktion gerne.
Abbildung 7.6: In der ISA Server-Verwaltung können Sie einzelne SMTP-Befehle deaktivieren.
Outlook Web Access lässt sich mit einem ISA Server hervorragend und sicher im Internet veröffentlichen. Ideal ist die Veröffentlichung per SSL über einen FrontEnd-Server (unter Exchange Server, 2007 mit einem Client-Access-Server) mit eigener Zertifikatstelle. ISA Server 2006 enthält eine Reihe von Verbesserungen im Bereich der Server- und Webserververöffentlichungen sowie eine Reihe neuer und erweiterter Authentifizierungsverfahren. ISA Server 2006 verteilt die Anforderungslast vom Client auf mehrere ISA Server. Auf diese Weise ist die Bereitstellung von NLB (Network Load Balancing) auf dem Publishing Array nicht erforderlich. Die Funktionen für den Weblastenausgleich werden bei der Veröffentlichung von Outlook Web Access und Outlook Anywhere (RPC über HTTPS) automatisch implementiert. Outlook Web Access sucht mit Cookie-basiertem Lastenausgleich auto223
Kapitel 7 Exchange Server und ISA Server
matisch eine Regel aus. Beim Lastenausgleich mit Cookies werden alle mit derselben Sitzung verbundenen Anforderungen an den gleichen Server weitergeleitet. RPC über HTTPS verwendet Lastenausgleich basierend auf der Quell-IP. Beim Lastenausgleich basierend auf der Quell-IP werden alle Anforderungen von derselben Client-(Quell)-IP-Adresse an denselben Server weitergeleitet. ISA Server 2006 beinhaltet ein Link-Übersetzungsfeature, das zum Erstellen eines Definitionswörterbuches für interne Computernamen verwendet werden kann, die öffentlich bekannten Namen zugeordnet werden. ISA Server 2006 implementiert diese Link-Übersetzung automatisch, wenn Sie Webpublishing für Outlook Web Access konfigurieren. Für einen authentifizierten und verschlüsselten ClientZugriff bietet ISA Server 2006 End-to-End-Sicherheit und Filterung auf der Anwendungsebene unter Verwendung von SSL-to-SSL-Bridging an. Verschlüsselte Daten werden hierbei untersucht, bevor sie den Exchange Server erreichen. Die ISA Server 2006-Firewall entschlüsselt den SSL-Strom, führt eine Überprüfung des Zustands durch, verschlüsselt die Daten anschließend erneut und leitet sie an den Webpublishing-Server weiter. Bei der Überprüfung des Zustands handelt es sich um eine Firewall-Architektur auf Netzwerkebene. Im Gegensatz zur statischen Paketfilterung, bei der ein Paket basierend auf den Kopfzeileninformationen untersucht wird, werden bei der Überprüfung des Zustands alle Verbindungen über die Firewall-Schnittstellen und deren Gültigkeit getestet. ISA Server 2006 implementiert die Unterstützung für SSL-Bridging automatisch bei der Konfiguration von Webpublishing. Zunächst sollten Sie Outlook Web Access einrichten und auf dem Exchange Server konfigurieren. Bei der Veröffentlichung wird ein SSL-Tunnel zwischen dem Client im Internet und dem ISA Server und ein weiterer SSL-Tunnel zwischen dem ISA Server und dem Exchange Server aufgebaut. Diese Technik, bei der zwei verschiedene SSL-Tunnel zum Einsatz kommen, wird als SSL-Bridging bezeichnet. Wird auf dem ISA Server und einem Front-End-Server unter Exchange Server 2003 mit der formularbasierten Authentifizierung, also der neuen Anmeldeseite von Outlook Web Access gearbeitet, so können Anwender keine Verbindung aufbauen. Sie können die formularbasierte Authentifizierung von Outlook Web Access nur an einer Stelle aktivieren – entweder auf dem Exchange Server oder auf dem ISA Server. Unter Exchange Server 2007 wurde dieses Manko beseitigt. Nachdem sichergestellt ist, dass auf dem Back-End-Server die formularbasierte Authentifizierung nicht aktiviert ist, müssen Sie noch Einstellungen für die SSL-Verschlüsselung vornehmen. Falls Sie einen Front-End-Server einsetzen, sollten Sie auf dem BackEnd-Server SSL nicht aktivieren, da die Kommunikation zwischen Front-End-
224
Erstellen der Firewall-Regeln
und Back-End-Server immer per HTTP stattfindet – es wird für diesen Verkehr kein SSL unterstützt. Das ist auch nicht notwendig, da der Datenverkehr zwischen dem Client im Internet und dem ISA Server per SSL verschlüsselt wird. Nach diesem Verbindungsaufbau wird durch das SSL-Bridging zwischen dem ISA Server und dem Exchange-Front-End-Server ein weiterer Tunnel aufgebaut. Die Kommunikation zwischen Front-End und Back-End findet dann erneut per HTTP statt. Nachdem der OWA-Zugriff direkt auf dem Back-End-Server funktioniert, können Sie im nächsten Schritt den Front-End-Server konfigurieren. Auf dem Front-End-Server müssen Sie die formularbasierte Authentifizierung ebenfalls deaktivieren. Erstellen Sie für den Front-End-Server ein Zertifikat, das als Bezeichnung und Common Name (CN) nicht den FQDN des internen Namens erhält, sondern denjenigen Namen, unter dem Sie OWA im Internet veröffentlichen – zum Beispiel webmail.meinefirma.de. Dieser Punkt ist extrem wichtig, da bei einer Abweichung kein Verbindungsaufbau stattfinden kann, wenn Sie OWA später über den ISA Server veröffentlichen. Aktivieren Sie SSL für die folgenden drei virtuellen Verzeichnisse im IIS: /Exchange, /Exchweb und /Public und stellen Sie sicher, dass für diese drei Webs die Standardauthentifizierung aktiviert wurde. Deaktivieren Sie für das Verzeichnis /Exchweb auf keinen Fall den anonymen Zugriff auf den Front-End-Server, da ansonsten die Maske der formularbasierten Authentifizierung nicht mehr richtig funktioniert. Testen Sie nach der Einrichtung zunächst die Verbindung per OWA über den Front-End-Server ohne die Verbindung über den ISA Server. Es müsste sich eine Verbindung zum Back-End-Server aufbauen. Ideal wäre es, wenn Sie zu Testzwecken auf den DNS-Servern im Active Directory eine neue Zone anlegen würden, welche die Bezeichnung Ihrer Internetdomäne trägt, unter der Sie später OWA veröffentlichen, zum Beispiel meinefirma.de. Tragen Sie in dieser Domäne einen statischen Eintrag webmail ein und weisen Sie dem Eintrag die interne IP-Adresse des Front-End-Servers zu. Jetzt können Sie im Internet Explorer den Verbindungsaufbau zu https://webmail.meinefirma.de/exchange testen. Es sollte sich eine Verbindung ohne Fehlermeldung des Zertifikats aufbauen lassen, da der FQDN des Zertifikats jetzt stimmt. Wenn der interne Verbindungsaufbau über Front-End- zum BackEnd-Server funktioniert, ohne eine Zertifikatmeldung anzuzeigen, können Sie mit der Veröffentlichung auf dem ISA Server fortfahren.
225
Kapitel 7 Exchange Server und ISA Server
7.3
Sichere Veröffentlichung von OWA über SSL
Mit dem Service Pack 1 für Exchange Server 2007 wird auch die Installation unter Windows Server 2008 unterstützt. Im folgenden Abschnitt zeige ich Ihnen, wie Sie von einem Exchange Server 2007 SP1-Computer unter Windows Server 2008 ein Zertifikat von einer Zertifizierungsstelle unter Windows Server 2008 anfordern und installieren. Generell können Sie bei der Zuweisung eines Zertifikats auch den Weg über die lokale Verwaltung der Zertifikate gehen. Die Zuweisung über die Weboberfläche funktioniert allerdings ebenso zuverlässig. Um einem Server ein Zertifikat zuzuordnen, rufen Sie zunächst von diesem Server aus die Webseite der Zertifikatdienste mit der URL https://<Server>/Certsrv auf. Stellen Sie dabei sicher, dass für die Zertifizierungsstellen-Webseite und den Webserver SSL konfiguriert wurde. Der Verbindungsaufbau gelingt zwar auch ohne HTTPS, allerdings verlangt eine erweiterte Zertifikatsanforderung eine Verbindung per SSL und bricht die Anfrage sonst ab. Der Server baut nach Abfrage des Benutzernamens und des Kennwortes eine Verbindung zu den Zertifikatdiensten auf. Wählen Sie als Nächstes EIN ZERTIFIKAT ANFORDERN aus, um ein Zertifikat vom Zertifikatserver anzufordern. Auf der nächsten Seite wählen Sie aus, welches Zertifikat Sie anfordern wollen. Wählen Sie hier ERWEITERTE ZERTIFIKATANFORDERUNG aus, fall beispielsweise ein neues Serverzertifikat für Exchange Server 2007 ausgestellt werden soll. Haben Sie die Art des Zertifikats bestimmt, erscheint im nächsten Fenster eine Abfrage, welche Aktion Sie mit dem Zertifikat durchführen wollen. Wählen Sie hier EINE ANFORDERUNG AN DIESE ZERTIFIZIERUNGSSTELLE ERSTELLEN UND EINREICHEN. In diesem Fall wird das Zertifikat sofort erstellt und kann auf dem Exchange Server installiert werden. Auf der nächsten Seite geben Sie die Daten ein, die zur Ausstellung des Zertifikats benötigt werden. Zunächst müssen Sie auswählen, welches Zertifikat Sie anfordern wollen. Wählen Sie WEBSERVER aus, da es sich bei Outlook Web Access um eine Erweiterung des lokalen IIS handelt. Geben Sie im Feld NAME die Bezeichnung des Servers ein. Ohne die Eingabe eines Namens wird das Zertifikat verweigert. Aktivieren Sie zusätzlich die Option ZERTIFIKAT IN LOKALEM ZERTIFIKATSPEICHER AUFBEWAHREN. Falls Sie diese Option nicht aktivieren, kann unter Umständen das Zertifikat später nicht in den Webserver eingelesen werden. Ansonsten können Sie alle Einstellungen so lassen, wie sie sind. Dieses Zertifikat kann später nicht nur für die SSL-Verschlüsselung von Outlook Web Access, sondern auch für RPC über HTTPS (Outlook Anywhere) und für die Anbindung der Smartphones über Exchange ActiveSync (EAS), das ebenfalls über SSL abgesichert wird, verwendet werden.
226
Sichere Veröffentlichung von OWA über SSL
Passen Sie im Feld NAME die Bezeichnung des Zertifikats am besten gleich daran an, wie Sie später Outlook Web Access im Internet veröffentlichen. Veröffentlichen Sie zum Beispiel Outlook Web Access über einen ISA und verwenden Sie den Namen webmail.meinefirma.de, also nicht den internen FQDN des Servers, sollten Sie als Namen für das hier angeforderte Zertifikat auch den externen FQDNNamen verwenden. Verbinden sich Benutzer über einen anderen Link, dann erhalten diese eine Meldung, die Sie bestätigen müssen, wenn der Zertifikatname und der Verbindungsname nicht übereinstimmen. Bei der Veröffentlichung über einen ISA ist die identische Bezeichnung von Veröffentlichung und Zertifikat obligatorisch. Je nach Anforderung können Sie hier zudem die Verschlüsselungsstufe anpassen. Sie müssen an dieser Stelle allerdings keine weiteren Eingaben vornehmen. Die Voreinstellungen für ein Zertifikat sind vollkommen ausreichend für den Zugriff auf Outlook Web Access oder andere Webdienste. Wurde das Zertifikat erfolgreich angefordert, können Sie es auf dem Server installieren. Es erscheint ein entsprechendes Fenster, in dem Sie die Installation durch einen Klick auf den entsprechenden Link durchführen. Mit der Installation des Zertifikats ist die Konfiguration allerdings noch nicht abgeschlossen. Das Zertifikat muss noch in Outlook Web Access integriert werden. Zuweisen eines Zertifikats einer Webseite am Beispiel von Outlook Web Access Um einer Webseite generell, oder Outlook Web Access speziell in diesem Beispiel, ein Zertifikat zuzuweisen und SSL zu verwenden, müssen Sie mit dem Snap-in zur Verwaltung des IIS arbeiten. Starten Sie dazu den Internetinformationsdienste-Manager aus dem Menü VERWALTUNG. Nach dem Start klicken Sie bitte auf der linken Seite auf den Servernamen. In der Mitte des Bildschirms wird per Doppelklick auf SERVERZERTIFIKATE die Verwaltung der lokalen Serverzertifikate gestartet, die im IIS verwendet werden können. Hier werden das neue Zertifikat angezeigt sowie das selbstsignierte Zertifikat des IIS und das selbstsignierte Zertifikat von Exchange Server 2007. Über das Menü AKTIONEN lassen sich ebenfalls neue Zertifikate anfordern. Klicken Sie als Nächstes auf SITES • DEFAULT WEB SITE. Klicken Sie im Aktionsbereich auf den Link BINDUNGEN… Jetzt werden alle Ports, IP-Adressen und Protokolle angezeigt, auf welche die Webseite sowie alle untergeordneten Applikationen und Webseiten hören. Markieren Sie den SSL-Eintrag und klicken Sie auf BEARBEITEN. Jetzt kann das Webserverzertifikat ausgewählt werden, das von der Default Web Site und allen dazugehörigen Webseiten verwendet wird. Das Zertifikat und seine Daten kann in diesem Fenster angezeigt werden.
227
Kapitel 7 Exchange Server und ISA Server
Aktivieren von SSL für Outlook Web Access Um SSL für eine Webseite, in diesem Beispiel von Outlook Web Access, zu aktivieren, navigieren Sie im Internetinformationsdienste-Manager zu den Unterordnern OWA (für Zugriff auf Exchange Server 2007-Mailbox-Server) und Exchange (für Zugriff auf Exchange Server 2000/2003-Mailbox-Server) der Standardwebsite. Klicken Sie auf SSL-EINSTELLUNGEN. Aktivieren Sie hier die beiden Optionen SSL ERFORDERLICH und 128-BIT-VERSCHLÜSSELUNG ERFORDERLICH. Von nun an können sich Benutzer nicht mehr über HTTP mit Outlook Web Access verbinden, sondern nur noch mit HTTPS. Um eine Verbindung zu Outlook Web Access herzustellen, müssen die Anwender zukünftig https://<Servername>/owa in ihren Browser eingeben. Stellen Benutzer eine Verbindung zum Server her, wird immer zuerst ein Zertifikat übertragen. Die Benutzer erhalten hierzu eine Meldung, die sie zunächst bestätigen müssen. Diese Meldung erscheint jedoch nicht, wenn der Servername und der Zertifikatname identisch sind. Haben Sie als Name für das Zertifikat den Namen verwendet, den Sie später im Internet verwenden, erhalten die internen Anwender eine Fehlermeldung, da sich dieser Name vom internen Namen unterscheidet. An der Fehlermeldung erkennen Sie die Problematik: Der Name des Zertifikats und die Adresse müssen übereinstimmen. Da es wichtiger ist, dass der Zugriff von extern funktioniert, ist die Verwendung des externen Namens auch effizienter. Versucht ein Benutzer, noch über HTTP eine Verbindung zu Outlook Web Access aufzubauen, erhält er eine Fehlermeldung angezeigt, in der er darauf hingewiesen wird, dass diese Webseite nur mit SSL zu erreichen ist. Wurde das Zertifikat erfolgreich übertragen, erscheint die neue Anmeldeseite von Outlook Web Access. Wurde das Zertifikat übertragen, können Sie dieses im Internet Explorer per Klick auf das kleine Schlosssymbol des Internet Explorers anzeigen lassen. Testen Sie nach der Einrichtung die Verbindung per OWA über den ClientAccess-Server von Exchange Server 2007 SP1 ohne die Verbindung über den ISA Server. Es müsste sich eine Verbindung aufbauen. Intern erhalten Sie unter Umständen die Zertifikatswarnung, da der Name der externen Verbindung hinterlegt ist, aber der interne Aufbau über den internen Namen durchgeführt wird. Ideal wäre es, wenn Sie zu Testzwecken auf den DNS-Servern in Active Directory eine neue Zone anlegen würden, welche die Bezeichnung Ihrer Internetdomäne trägt, unter der Sie später OWA veröffentlichen, also zum Beispiel meinefirma.de. Tragen Sie in dieser Domäne einen statischen Eintrag webmail ein und weisen Sie dem Eintrag die interne IP-Adresse des Client-Access-Servers zu. Jetzt können Sie im Internet Explorer den Verbindungsaufbau zu https://webmail.meinefirma.de/ owa testen. Es sollte sich eine Verbindung ohne Fehlermeldung des Zertifikats aufbauen lassen, da der FQDN des Zertifikats nun stimmt. Funktioniert der interne Verbindungsaufbau, ohne eine Zertifikatsmeldung anzuzeigen, können Sie mit der Veröffentlichung auf dem ISA Server fortfahren.
228
Sichere Veröffentlichung von OWA über SSL
Bauen Sie mit Windows Vista und dem Internet Explorer 7 eine Verbindung mit Outlook Web Access auf, erhalten Sie eine Zertifikatswarnung und das Laden der Seite wird angehalten. Erst wenn Sie auf den Link klicken, um das Laden fortzusetzen, baut sich die Anmeldeseite von Outlook Web Access auf. Wurde die Seite geladen, können Sie über den Zertifikatfehler oben in der Adressliste das Zertifikat anzeigen. Damit dieser Fehler nicht mehr angezeigt wird, muss das Zertifikat der Stammzertifizierungsstelle Ihres Unternehmens in die vertrauenswürdigen Stammzertifizierungsstellen auf dem Client-PC importiert werden. Für eine stabile Arbeit mit Outlook Web Access wird dies nicht benötigt, allerdings zwingend für Exchange ActiveSync und Outlook Anywhere. Ist ein Computer Mitglied der gleichen Domäne wie der Zertifikatserver, wird das Zertifikat der Stammzertifizierungsstelle automatisch importiert. Importieren des Zertifikats auf einem Client-PC Wurde auf dem Client-PC die Zertifizierungsstelle Ihres Unternehmens noch als nicht vertrauenswürdig eingestuft (was normal ist, wenn der PC nicht Mitglied der Domäne ist), sollten Sie vor dem Verbindungstest zunächst das Zertifikat der Zertifikatstelle auf den PC importieren. Dieses Zertifikat hat nichts mit dem Webserver-Zertifikat zu tun, dass Sie ausgestellt haben. Die vertrauenswürdigen Zertifizierungsstellen finden Sie am einfachsten mit dem Internet Explorer. Rufen Sie nach dem Start über EXTRAS • INTERNETOPTIONEN die Registerkarte INHALTE und dann per Klick auf die Schaltfläche ZERTIFIKATE und der Auswahl der Registerkarte VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLEN die Auflistung der Zertifizierungsstellen auf dem PC auf. Ist Ihre interne Zertifizierungsstelle Ihres Unternehmens hier nicht zu finden, erscheinen Zertifikatfehler, sobald auf SSL-geschützte interne Firmenwebseiten oder Outlook Web Access zugegriffen wird. Rufen Sie bitte auf dem Webserver oder beim Einsatz von Exchange Server 2007 auf dem Client-Access-Server die gleiche Registerkarte auf. Hier sollte die Zertifizierungsstelle hinterlegt sein, da sich der Server in der Domäne befindet. Markieren Sie diese Zertifizierungsstelle und klicken Sie auf die Schaltfläche EXPORTIEREN. Eventuell tauchen an dieser Stelle mehrere Zertifikate Ihrer Stammzertifizierungsstelle auf. Erscheint beim Exportieren eine Abfrage des privaten Schlüssels des Zertifikats, so haben Sie das falsche erwischt. Verwenden Sie dann einfach das andere Zertifikat. Exportieren Sie auf dem Client-Access-Server das Zertifikat in eine CER-Datei. Diese Datei muss im Anschluss auf dem Client importiert werden. Wenn Sie doppelt auf das Zertifikat klicken, wird es auf dem Client-PC angezeigt und Sie können es installieren. Klicken Sie auf die Schaltfläche ZERTIFIKAT INSTALLIEREN, damit das Zertifikat auf dem Client-PC installiert wird.
229
Kapitel 7 Exchange Server und ISA Server
Importieren Sie das Stammzertifikat in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen. Überprüfen Sie anschließend, ob das Zertifikat erfolgreich importiert wurde. Auf allen beteiligten Servern und Arbeitsstationen muss der Zertifizierungsstelle des Unternehmens auf dieser Registerkarte vertraut werden. Dies gilt auch für den ISA Server. Eine weitere Möglichkeit, das Zertifikat der Stammzertifizierungsstelle zu importieren, besteht über Outlook Web Access. Dieser Weg funktioniert allerdings nicht immer, da oftmals nur das Webserver-Zertifikat übertragen wird, aber nicht zusätzlich noch das Zertifikat der Stammzertifizierungsstelle. Gehen Sie dann folgendermaßen vor: 1. Öffnen Sie mit dem Internet Explorer eine Verbindung zu Outlook Web Access. Bei diesem Vorgang wird das Zertifikat übertragen. 2. Klicken Sie anschließend auf das kleine Schloss-Symbol. Das Zertifikat der Seite wird angezeigt. 3. Öffnen Sie die Registerkarte ZERTIFIZIERUNGSPFAD. 4. Markieren Sie das oberste Zertifikat im Pfad, da dieses das Zertifikat der Zertifizierungsstelle darstellt. Uns geht es nicht darum, das Zertifikat zu importieren, sondern darum, die Zertifizierungsstelle des Unternehmens als vertrauenswürdige Zertifizierungsstelle zu importieren. Wird hier kein weiteres Zertifikat angezeigt, funktioniert dieser Weg nicht. Das Zertifikat der Zertifizierungsstelle wird in diesem Fall nicht übertragen. 5. Klicken Sie nun auf ZERTIFIKAT ANZEIGEN. 6. Holen Sie im neuen Fenster die Registerkarte DETAILS in den Vordergrund und klicken Sie auf die Schaltfläche IN DATEI KOPIEREN, um das Zertifikat in eine Datei zu exportieren. 7. Übernehmen Sie die Standardeinstellungen und exportieren Sie das Zertifikat in eine Datei, die Sie beispielsweise auf dem Desktop ablegen. 8. Schließen Sie alle Fenster und klicken Sie doppelt auf die Zertifikatdatei, um so den Assistenten für den Import zu öffnen. 9. Klicken Sie auf die Schaltfläche ZERTIFIKAT INSTALLIEREN. 10.Wählen Sie im Fenster ZERTIFIKATSPEICHER die Option ALLE ZERTIFIKATE IN FOLGENDEM SPEICHER SPEICHERN aus und klicken Sie auf DURCHSUCHEN. 11. Wählen Sie die Option VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLEN aus und schließen Sie den Import ab.
230
Erstellen einer neuen Webveröffentlichung
7.4
Erstellen einer neuen Webveröffentlichung
Klicken Sie in der Verwaltung von ISA Server mit der rechten Maustaste auf FIREWALLRICHTLINIE und wählen Sie NEU • VERÖFFENTLICHUNGSREGEL FÜR EXCHANGE-WEBCLIENTZUGRIFF. Wählen Sie anschließend auf der nächsten Seite des Assistenten die Optionen und die passende Exchange-Version aus. Sie können mit dieser Regel gleichzeitig auch Exchange Active Sync und Outlook Anywhere (RPC über HTTPS) veröffentlichen. Wählen Sie dann die Option EINZELNE WEBSEITE ODER LASTENAUSGLEICH. Auf der nächsten Seite bestimmen Sie den Sicherheitstyp für die Verbindung zum Exchange Server. Aktivieren Sie hier die Verwendung von SSL.
Abbildung 7.7: Aktivieren Sie SSL für den Datenverkehr zwischen ISA Server und Exchange Server.
Auf der nächsten Seite geben Sie den FQDN des Exchange Servers ein, den Sie veröffentlichen möchten. Es empfiehlt sich, als internen FQDN des Servers den gleichen Namen zu verwenden, den die Anwender von extern verwenden. Aus diesem Grund haben Sie in den Vorbereitungen den externen Hostnamen mit einer internen IP-Adresse in der HOST-Datei auf dem ISA Server eingetragen (oder eine
231
Kapitel 7 Exchange Server und ISA Server
entsprechende DNS-Zone mit dazugehörigem Host-Eintrag erstellt). Auch wenn diese Konfiguration unter ISA 2004/2006 nicht unbedingt erforderlich ist, hat es sich in der Praxis herausgestellt, dass OWA-Verbindungen deutlich stabiler laufen und eingerichtet werden können, falls das Zertifikat die externe Bezeichnung der Veröffentlichung verwendet und Sie diese Bezeichnung auch für die interne Auflösung von ISA zu Exchange verwenden. Auf der nächsten Seite des Assistenten geben Sie den externen Namen des Servers ein, über den er im Internet erreichbar ist. Hier verwenden Sie wieder den gleichen Namen wie zuvor. Wichtig ist an dieser Stelle, dass der Name auch im Internet durch die Anwender zur externen IPAdresse der Firewall aufgelöst werden kann. Die Firewall leitet die Anfrage zum ISA Server und dieser schließlich zum Exchange weiter. Auf der folgenden Seite des Assistenten erstellen Sie mit NEU einen neuen Weblistener. Auf diesem Listener lauscht der ISA Server auf Anfragen, damit er diese an den Exchange Server weiterleiten kann. Mit diesem Listener wird für den ISA Server festgelegt, auf einen Verbindungsaufbau zum Port 443 für SSL zu warten und die formularbasierte Authentifizierung von Exchange Server zu verwenden. Im Gegensatz zu ISA 2004 können Sie bei ISA 2006 einen Listener erstellen, der die formularbasierte Authentifizierung unterstützt, und diesen Listener parallel für die Veröffentlichung von RPC über HTTPS und Exchange ActiveSync verwenden. Haben Sie auf die Schaltfläche NEU geklickt, startet der Assistent für die Erstellung eines neuen Weblisteners. Geben Sie dem Listener zunächst einen Namen, wie zum Beispiel OWA. Auf der nächsten Seite des Assistenten zum Erstellen eines neuen Weblisteners wählen Sie erneut SSL für die Kommunikation, dieses Mal zwischen dem Client und dem ISA Server. Auf der folgenden Seite legen Sie die externe Schnittstelle fest, auf der Ihr neuer Listener hören soll. Klicken Sie danach auf die Schaltfläche IP-ADRESSEN ANGEBEN und aktivieren Sie die Option ANGEGEBENEN IP-ADRESSEN AUF DEM ISA SERVERCOMPUTER IM AUSGEWÄHLTEN NETZWERK. Wählen Sie die IP-Adresse aus, mit der Ihr ISA Server mit der Hardware-Firewall verbunden ist. Auf der nächsten Seite müssen Sie das Zertifikat hinterlegen, dass Sie zuvor vom Front-End-Server auf den ISA Server 2006 importiert hatten. Der Name des Zertifikats sollte identisch sein mit dem externen Namen, über den die Anwender eine Verbindung aufbauen. Aktivieren Sie hierzu die Option EIN EINZIGES ZERTIFIKAT FÜR DIESEN WEBLISTENER AUSWÄHLEN oder JEDER IP-ADRESSE EIN ZERTIFIKAT ZUWEISEN und klicken Sie auf die Schaltfläche ZERTIFIKAT AUSWÄHLEN. Im folgenden Fenster sollte das Zertifikat als gültiges Zertifikat angezeigt werden.
232
Erstellen einer neuen Webveröffentlichung
Abbildung 7.8: Damit Sie Outlook Web Access über SSL verwenden können, müssen Sie das installierte Zertifikat auswählen.
Auf der nächsten Seite legen Sie die Authentifizierung fest. Wollen Sie die formularbasierte Authentifizierung direkt am ISA Server ausführen und nicht über den Front-End-Server, so wählen Sie die Option HTML-FORMULARAUTHENTIFIZIERUNG aus. Wollen Sie eine herkömmliche Authentifizierung ohne die neue Anmeldeseite verwenden, so aktivieren Sie die Option HTTP-AUTHENTIFIZIERUNG. Aktivieren Sie zusätzlich noch die Option WINDOWS (ACTIVE DIRECTORY). Verwenden Sie die Formularauthentifizierung am ISA, sollten Sie diese, wie bereits beschrieben, am Front-End-Server deaktivieren und auf dem Exchange Server nur mit der Standardauthentifizierung oder der integrierten Authentifizierung arbeiten. Das Formular für die Anmeldung wird in diesem Fall vom ISA Server zur Verfügung gestellt. Auf der nächsten Seite können Sie noch Single Sign On (SSO) für eine bestimmte Anzahl an veröffentlichten Webseiten aktivieren. Auf diesem Weg können Sie zum Beispiel mehrere Webseiten gleichzeitig veröffentlichen und müssen sich nur einmal am ISA Server authentifizieren. SSO ist nur dann verfügbar, wenn Sie die NTLM-Authentifizierung verwenden. Im Anschluss wird der Weblistener erstellt und sogleich aktiviert. Schließen Sie die Einstellungen ab.
233
Kapitel 7 Exchange Server und ISA Server
Auf der folgenden Seite des Assistenten zur Erstellung der OWA-Regel wählen Sie die Option NTLM-AUTHENTIFIZIERUNG, damit die Authentifizierungsdaten an den Exchange Server weitergeleitet werden. Wählen Sie hier eine andere Methode aus, müssen sich die Anwender erneut am Exchange Server authentifizieren. Haben Sie auch auf dem Exchange Server die formularbasierte Authentifizierung aktiviert, erscheint nach dem Formular zur Anmeldung am ISA Server noch das Formular zur Authentifizierung am Front-End-Server. Aus diesem Grund sollten Sie auch möglichst auf dem Front-End-Server die integrierte Authentifizierung aktivieren und die formularbasierte Authentifizierung deaktivieren, ansonsten müssen sich die Anwender zweimal authentifizieren. Wollen Sie parallel zu Outlook Web Access noch RPC über HTTPS über den ISA Server im Internet zur Verfügung stellen, können Sie an dieser Stelle auch die Standardauthentifizierung verwenden. Auf jeden Fall müssen die beiden Authentifizierungsmethoden an dieser Stelle und für das virtuelle Web /Exchange (bei Exchange Server 2007 OWA) auf dem Front-End-Server übereinstimmen. Auf der nächsten Seite haben Sie die Möglichkeit festzulegen, für welche Benutzersätze die Regel gilt. Hier sollten Sie die Einstellung ALLE AUTHENTIFIZIERTEN BENUTZER belassen. Sie können aber auch eine Windows-Gruppe anlegen, in der Sie nur diejenigen Anwender aufnehmen, die OWA oder RPC über HTTP verwenden dürfen. Auf der Basis dieser Gruppe können Sie in diesem Fenster einen neuen Benutzersatz erstellen, der nur den Mitgliedern dieser Gruppe erlaubt, über den ISA Server eine Verbindung zu OWA oder Outlook Anywhere aufzubauen. Im Anschluss wird die Regel erstellt, und Sie können diese, wie die anderen Regeln auch, übernehmen. Nach der Erstellung wird die Regel in den Firewall-Richtlinien angezeigt. Rufen Sie anschließend noch die Eigenschaften der neuen Richtlinie auf und wechseln Sie auf die Registerkarte DATENVERKEHR. Aktivieren Sie die 128-Bit-Verschlüsselung für den Datenverkehr. Danach sollte der Verbindungsaufbau aus dem Internet funktionieren. Ihre Anwender müssen im Internet Explorer die Adresse https://webmail.meinefirma.de/exchange (bei Exchange Server 2007: https://webmail.meinefirma.de/owa) eingeben. Dann wird die formularbasierte Authentifizierung geöffnet und die Anwender können auf ihr Postfach zugreifen. Die formularbasierte Authentifizierung von ISA Server 2006 gleicht dem Anmeldeformular von Exchange Server 2007, funktioniert aber auch tadellos mit Exchange Server 2003. Es wird noch eine zusätzliche Information angezeigt, die besagt, dass die Anmeldemaske vom ISA Server stammt.
234
Stichwortverzeichnis A
E
Active Directory 75, 121 Active Directory-Benutzer und -Computer 165 Active Directory-Diagnose und Fehlerbehebung 103 Active-Active-Cluster 191 Administrationsaufgaben 66 Aktions-Bereich 156 Aktivierung 38 Anmeldeinformationen 131 Anzeigefilter 162
Einzelkopiecluster 193, 211 Empfänger 161 Empfängerkonfiguration 156 Ereignisanzeige 73 Ergebnisbereich 156 Erste Schritte 154 Exchange Best Practices Analyer 160 Exchange Server 2007 139, 213 Exchange-Verwaltungskonsole 154 Exchange-Verwaltungsshell 154, 175
B bcdedit.exe 41 Befehlszeile 70 Benutzerkonto 165 Benutzerpostfächer 165 Bereitgestellt 180 Betriebsmodus 93 boot.ini 41 bootmgr 41
C Clientzugriff 190 Cluster 191 Installation 196 Knoten 199 Verwaltung 207 compmgmt.msc 71 Computerreparaturoptionen 31 Core-Server 40, 64
D dcdiag.exe 103 dcpromo 87 Delegierung 98 dismount-database 179 DMZ 214 DNS 82, 101 DNS-Suffix 79, 111 Domänen-Controller 33 Domänendienste 87 Domänennamenmaster 134 Domänenstrukturstamm 90
F Failover-Clusterunterstützung 203 Fehlerbehebung 86 Firewall-Regeln 218 Forest 90 Forward-Lookupzone 83
G Gesamtstruktur 90 get-date 178 get-mailboxdatabase 178 get-mailboxstatistics 182
H Hardware 36 Hochverfügbarkeit 191 HTML-Formularauthentifizierung 233
I Installation 29 IP-Adresse 66 ipconfig 107 ISA 213 iSCSI 196 ISO 19
K Kennwort 66 Kennwortreplikationsgruppe 114
235
Stichwortverzeichnis
L Laufwerkoptionen 35 ldifde 152 ldifde.exe 149 Local Continuous Replication 193
M Metadaten 119 Microsoft Management Console 3.0 141 mount-database 180 move-mailbox 181 mstsc.exe 49
N NAT 17 ncpa.cpl 76 net share 109 netlogon 109 netsh 65 network address translation 17 Netzwerk 56 Einstellungen 78 Standorte 60 Verbindungen 58 Netzwerk- und Freigabecenter 57 nltest 108 nslookup 129 ntds.dit 109 ntdsutil.exe 119 NTLDR 41
O Organisationskonfiguration 156 Organisationsname 147 OUs 107
Remoteserver-Verwaltungstools 50 Remoteverwaltung 71 Remotezugriff 48 Reverse-Lookupzone 85 RODC 95 Royal TS 52
S Schemamaster 134 scregedit.wsf 72 Serverkonfiguration 156, 166 Server-Manager 44 ServerManagerCMD.exe 47 Serverrollen 157 shutdown 69 slmgr.vbs 32, 40 slui 39 Speichergruppen 183 SSL 226 Stammzertifizierungsstellen 229 Standorte 108 sysprep.exe 21 sysvol 98
T Terminaldienstekonfiguration 49 Terminaldiensteverwaltung 50 Testumgebung 12 Toolbox 156 Tree 90 Treiber 34, 36
U unattend.xml 33
V P Postfach 165 Postfachspeicherdatenbank 184 PowerShell 142
R RDP 51 Read-Only-DomänenController 95, 110 rearm 32 Remote-Desktop 47
236
VBoxGuestAdditions.iso 26 Vertrauensstellungen 133 Virtual Server 12 VirtualBox 12, 23 Virtuelle Maschinen 15 VisionApp 52 vmdk 25 VMWare 12 Tools 20
Stichwortverzeichnis
W Webveröffentlichung 231 Weiterleitung 130 whatif 182 Wiederherstellung 31 Windows Server 2008 14
Z Zeiteinstellungen 66 Zertifikat 227
237
Copyright Daten, Texte, Design und Grafiken dieses eBooks, sowie die eventuell angebotenen eBook-Zusatzdaten sind urheberrechtlich geschützt. Dieses eBook stellen wir lediglich als persönliche Einzelplatz-Lizenz zur Verfügung! Jede andere Verwendung dieses eBooks oder zugehöriger Materialien und Informationen, einschließlich •
der Reproduktion, der Weitergabe, des Weitervertriebs,
•
der Platzierung im Internet, in Intranets, in Extranets,
•
der Veränderung,
•
des Weiterverkaufs
und der Veröffentlichung bedarf der schriftlichen Genehmigung des Verlags.
Insbesondere ist die Entfernung oder Änderung des vom Verlag vergebenen Passwortschutzes ausdrücklich untersagt!
Bei Fragen zu diesem Thema wenden Sie sich bitte an: [email protected]
Zusatzdaten Möglicherweise liegt dem gedruckten Buch eine CD-ROM mit Zusatzdaten bei. Die Zurverfügungstellung dieser Daten auf unseren Websites ist eine freiwillige Leistung des Verlags. Der Rechtsweg ist ausgeschlossen.
Hinweis Dieses und viele weitere eBooks können Sie rund um die Uhr und legal auf unserer Website
http://www.informit.de herunter laden.