Mit knapp fünf Wochen Verspätung hat Microsoft den Verkauf von Windows 7 Lizenzen eingestellt. Im Moment betrifft dies jedoch lediglich die Retail Version.
Die OEM Version wird noch weiter an die diversen Hardware Partner verkauft und kann daher mit dem Erwerb eines neuen PC's gekauft werden. Der endgültge Verkaufsstop- also auch für die OEM Version ist auf Oktober 2014 geplant.
Hier der Überblick:
Update vom 11.12.2013
Das End of Sales Datum wurde auf der entsprechenden Microsoft Webseite wieder geändert. Respektive steht nun nur noch dass das Datum zuerst definiert werden muss wann dann Windows 7 nicht mehr verkauft wird:
Somit bleibt es spannend wie lange den Windows 7 noch erhältlich sein wird :-)
Kürzlich wurde die Liste der unterstützten Betriebsysteme innerhalb Hyper-V 3 - Windows Server 2012 RTM & R2 aktualisiert.
Anbei ein Auszug aus dem original Artikel den ihr hier findet.
Windows Server 2012 R2
64
Integration services do not require a separate installation because they are built-in.
Windows Server 2012
Windows Server 2008 R2 with Service Pack 1 (SP 1)
Datacenter, Enterprise, Standard and Web editions. Install the integration services after you set up the operating system in the virtual machine.
Windows Server 2008 R2
Datacenter, Enterprise, Standard and Web editions. Upgrade the integration services after you set up the operating system in the virtual machine.
Windows Server 2008 with Service Pack 2 (SP 2)
4
Datacenter, Enterprise, Standard and Web editions (32-bit and 64-bit). Install the integration services after you set up the operating system in the virtual machine.
Windows Home Server 2011
Edition information is not applicable. Install the integration services after you set up the operating system in the virtual machine.
Windows Small Business Server 2011
Essentials edition - 2
Standard edition - 4
Essentials and Standard editions. Install the integration services after you set up the operating system in the virtual machine.
Windows Server 2003 R2 with Service Pack 2 (SP2)
2
Standard, Web, Enterprise, and Datacenter editions (32-bit and 64-bit). Install the integration services after you set up the operating system in the virtual machine.
Windows Server 2003 with Service Pack 2
CentOS 5.7 and 5.8
Download and install Linux Integration Services Version 3.4 for Hyper-V.
CentOS 5.9
CentOS 6.0 – 6.3
CentOS 6.4
Red Hat Enterprise Linux 5.7 and 5.8
Red Hat Enterprise Linux 5.9
Red Hat Enterprise Linux 6.0 – 6.3
Red Hat Enterprise Linux 6.4
SUSE Linux Enterprise Server 11 SP2 and SP3
Open SUSE 12.1
Ubuntu 12.04 and 12.10
Ubuntu 13.04 and 13.10
Oracle Linux 6.4
Windows 8.1
32
Windows 8
Windows 7 with Service Pack 1 (SP 1)
Ultimate, Enterprise, and Professional editions (32-bit and 64-bit). Upgrade the integration services after you set up the operating system in the virtual machine.
Windows 7
Windows Vista with Service Pack 2 (SP2)
Business, Enterprise, and Ultimate, including N and KN editions. Install the integration services after you set up the operating system in the virtual machine.
Windows XP with Service Pack 3 (SP3)
Professional. Install the integration services after you set up the operating system in the virtual machine.
Windows XP x64 Edition with Service Pack 2 (SP 2)
Hier eine kurze Information zu einem fehlerhaften Broadcom Treiber der bei unseren Kunden momentan für viel Ärger sorgt.
Der Netzwerkkarten Treiber mit der Version 7.4.x.x setzt die MTU fälschlicherweise auf 1514 was zu massiven Problemen führt. Mehr Informationen zum Thema MTU stellt uns freundlichst Wikipedia hier zur Verfügung.
Es ist dringen zu empfehlen dass der September Treiber mit der Version 7.8.x.x eingesetzt wird- dieser behebt den Fehler.
Inside PFE
Stell dir vor du hast einen Arbeitgeber der dir vertraut — und dies bedingungslos. Stell dir vor du kannst dir deinen Tag selber einteilen, bist nicht an Arbeitszeiten gebunden, kannst von überall her arbeiten. Hört sich gut an? Ich arbeite so. Ich bin ein sogenannter Premier Field Engineer (PFE) bei Microsoft. Der PFE ist zu 100% kundenorientiert und führt proaktive und reaktive Informatik Arbeiten direkt beim Kunden vor Ort aus. In der Regel hat jeder PFE 1-2 Technologien im Microsoft Umfeld, auf die er spezialisiert ist.
Was sich in erster Linie aber so anhört als wäre es nur Spass ist durchaus nicht so. Mein Arbeitgeber gibt mir viele Freiheiten, er fordert aber auch ein hohes Mass an Selbständigkeit von mir. Was ich tue, habe ich auch zu verantworten und was ich nicht tue, ebenfalls.
Meine Arbeitswelt hat sich durch die Anstellung bei Microsoft total neu definiert. Diese Firma ist einfach unglaublich gross, unglaublich innovativ, immer (Kritiker würden hier „meistens" sagen) am Nerv der Zeit. Ich habe noch in keiner Firma so viele smarte, intelligente, freundliche, lustige, hilfsbereite und und und… Menschen kennen gelernt.
Im Mittelpunkt stehen bei Microsoft die Mitarbeiter und deren Potential. Es unterliegt jedem selber was er daraus macht…
Ich habe mir nicht nur einmal die Frage stellen müssen ob ich der Aufgabe gewachsen bin oder ob ich es nicht einfacher hätte wenn ich einfach alles hinschmeisse. Nun ja, wenn ich ehrlich zu mir bin und auch wenn dies nicht immer einfach ist- ich stehe im Mittelpunkt und wenn ich mich selber nicht motiviere und aus der Komfortzone heraus bringe- dann wird auch aus meiner Aufgabe nichts. Ich musste mich mehr als nur einer Schwäche stellen, ich musste über meinen Schatten springen um Sachen zu machen die ich vorher immer gemieden habe. Um nur ein Beispiel zu nennen- vor einer Gruppe zu stehen und über 3, 4 Tage einen Workshop zu leiten. Da bin ich am Anfang 1‘000 Tode gestorben. Da kann der Druck an einen selber schon mal immens sein. Da sitzt der Kunde und du bist für den Kunden in dem Moment Microsoft und daher ist die Erwartungshaltung auch entsprechend gross. Da musst du deinen „Mann" stehen, da geht es um Themen wie Selbstvertrauen, Integrität, Loyalität, Fachwissen…
Wie aber schon eingehend erwähnt, es liegt an dir- das Ökosystem Microsoft gibt dir die Hand, die Mittel, die Möglichkeiten, was daraus machen musst du schon selber. Dies beginnt beim sogenannten OnBoading, wo du eine Menge Online Kurse absolvierst um überhaupt einmal ein Bild der Firma zu bekommen. Bei mir ging es dann weiter mit einem 2 wöchigen Aufenthalt in Redmond, im Mutterhaus. Ich durfte da die Microsoft Services University besuchen die mir einen tiefen Einblick in die Services Welt verschaffte. Danach haben wir fortlaufend die Möglichkeit uns einerseits technisch, anderseits aber auch im Softskills Bereich ausbilden zu lassen. Die Softskills Kurse vermitteln nicht technisches Wissen, Wissen um einen Selbst, wie gehe ich mit Menschen um, wie adaptiere ich dieses Wissen in meine Arbeitswelt.
Und zu guter Letzt sind da noch die Manager und deren Manager. In regelmässigen persönlichen Gesprächen werden Probleme, Fortschritte, weitere Ziele besprochen und definiert. Prinzipiell ist es bei Microsoft so, dass der Impuls von einem selber kommen muss- es ist daher nicht das typische Mitarbeiter / Chef Gebilde. Der Mitarbeiter ist die treibende Kraft und der Manger versucht diesen dabei zu unterstützen- falls dieser Unterstützung benötigt. So hat jeder einzelne PFE seine eigene Geschichte, seine eigenen Ziele die er erreichen will. Der Manager „orchestriert" dies dann zu einem Gesamtbild, dem Team. So trägt jeder einzelne PFE was zu dem Teamergebnis bei.
Wenn du bei Microsoft eine Anstellung kriegst, dann weiss die Firma schon sehr genau auf was sie sich mit dir einlässt. Sie investiert schliesslich auch eine Menge an Geld und Zeit in dich. Daher liegt es auch an dir das bestmögliche aus dir raus zu holen, dein Potential zu nutzen und nicht nur darüber zu sprechen, es zu tun.
Ja, es kann sein dass wir bei Microsoft manchmal so erscheinen als wären wir Wesen von einem anderen Stern. Aber! Ich habe noch keinen kennengelernt der dazu gezwungen wurde. Wir sind „One Microsoft" ein riesiger Haufen von Geeks, Spinnern, Idealisten, Träumern, Pionieren, Weltverbesserern, die eines gemeinsam haben: Der Welt unsere Ideen, Konzepte, Visionen näher zu bringen.
Am Ende des Tages geht es nicht primär um Geld, es geht nicht darum was zu machen damit es gemacht ist. Es geht darum etwas zu machen was einem Spass macht, etwas zu machen das einen stolz macht, etwas zu vertreten wofür man einstehen kann. Und was zu schaffen das wiederum Werte schafft!
Danke Microsoft.
Marco, PFE ALPS / Switzerland
...wir machen aus der Welt einen besseren Ort!
Gerne möchte ich heute mal auf die DCU oder Digital Crimes Unit hinweisen. Diese Microsoft Abteilung führt rund um die Uhr den Kampf gegen Cybercriminalität.
DCU hat einen sehr informativen Webauftritt den du hier findest: Digital Crimes Unit
Vielen ist es sicherlich schon aufgefallen dass nach der Installation von Windows 8.1 oder dem upgrade auf Windows 8.1 mit dem Tastaturlayout Schweiz Deutsch, das Dezimal Trennzeichen plötzlich ein Komma und nicht mehr ein Punkt ist:
Im Internet ranken sich die Gerüchte und der Schrei nach Bug wird immer lauter. Ich bin der Sache nachgegangen und habe rausgefunden das es tatsächlich kein Bug ist und durchaus gewollt. Grundlage dazu sind die Schreibweisungen des Bundesrates. Ja, das gibts und ist kein Witz. Ein Auszug daraus:
Daher scheint das Komma absolut korrekt. Zum Nachlesen gibt es das ganze Werk hier: Schreibweisungen des Bundes
Für Windows 8 / 8.1 sind Sprachpakete verfügbar die getrennt erworben werden können.
Die Installation wie folgt:
dism /online /add-package /packagepath:F:\Drive\langpacks\de-de\lp.cab
F:\ steht hier für den Laufwerksbuchstaben indem das ISO gemountet wurde- dies kann natürlich auch ein anderer sein. Am Schluss des Befehles rufen wir das lp.cab File auf, indem das Sprakpaket gepackt ist.
Die Installation läuft dann automatisch durch:
Nach erfolgreicher Installation den Client neu starten.
Anschliessend kann über die Systemsteuerung mit dem Kontrollfeld Sprache oder auf meiner englischen Maschine Language das Sprachpaket aktiviert werden.
Hierzu muss die Sprache die man gerade installiert hat, hinzugefügt werden. Dann über Optionen kann das installierte Sprachpaket als Standardsprache aktiviert werden. Nach einem Logoff,/ Logon arbeitet Windows dann in der Sprache.
Die Konfiguration nach der Installation ist hier sehr schön beschrieben: http://support.microsoft.com/kb/2607607
Wie gerade auf dem IE Blog erfahren, wird der IE10 den Weg auf Windows 7 doch noch finden. Hierzu wurde nun eine Vorabversion angekündigt:
Zur allgemeinen Verfügbarkeit von Windows 8 möchten wir Sie über IE10 für Windows 7 informieren. Mitte November veröffentlichen wir eine Vorabversion von IE10 für Windows 7. Die endgültige Version folgt nach Einarbeitung des Entwickler- und Kundenfeedbacks.
Entwickler profitieren bei IE10 für Windows 7 von derselben standardbasierten Plattform wie bei IE10 für Windows 8. Wir haben gemeinsam mit Windows 8 einen völlig neuen Browser entwickelt – mit höherer Leistung und Entwicklerfunktionen. IE10 bietet unter Windows 7 die von Entwicklern gewünschte höhere Leistung bei der Anzeige von Websites sowie Unterstützung für zusätzliche Standards. Wir freuen uns auf Ihre Meinung zu IE10 für Windows 7 und informieren Sie, sobald die Vorabversion zur Verfügung steht.
— Rob Mauceri, Group Program Manager, Internet Explorer
Gelesen auf http://blogs.msdn.com/b/ie_de/archive/2012/10/29/ie10-on-windows-7-available-in-november.aspx
Der Aufbau der Zürich Device Days im Hauptbahnhof Ende Oktober an dem ich auch als Demo Angel mitwirken durfte:
Wie Microsoft bekannt gab, wird der Live Messenger im ersten Quartal in Skype integriert. Konkret bedeutet dies dass alle Live Kontakte über Skype bedient werden und der Live Messenger eingestellt wird. Eine Ausnahme bildet da der chinesische Markt, wo der Live Messenger momentan noch weitergeführt wird. Die Kommunikation von Microsoft wird in den nächsten Monaten intensiviert so das jeder Benutzer des Live Messengers problemlos auf Skype umstellen kann. Siehe dazu auch die offizielle Kommunikation in Englisch aus dem Skype Blog:
http://blogs.skype.com/en/2012/11/skypewlm.html
Die lang anhaltenden Bemühungen von Microsoft im Bereich Sicherheit machen sich bezahlt. Erstmals warden unsere Produkte nicht mehr in der Top 10 der anfälligsten Produkte geführt. Hierzu der Original Artikel in Englisch:
http://www.networkworld.com/community/node/81747/
Windows 8 bringt neben den bekannten Tastenkombinationen einige neue mit. Hier eine Auflistung:
Aktion
Durchsuchen des PCs
STRG+Pluszeichen (+) oder STRG+Minuszeichen (-)
Vergrößern oder Verkleinern einer großen Anzahl von Elementen, wie die an den Startbildschirm angehefteten Apps
STRG+Mausrad
Öffnen der Charms
In einer App werden die Befehle für die App geöffnet
Öffnen des Charms " Suche" zum Durchsuchen von Dateien
Öffnen des Charms "Teilen"
Öffnen des Charms "Einstellungen"
Wechseln zwischen der Haupt-App und der angedockten App
Öffnen des Charms "Geräte"
Sperren der Bildschirmausrichtung (Hochformat oder Querformat)
Öffnen des Charms "Suche" zum Durchsuchen von Apps
Öffnen des Charms "Suche" zum Durchsuchen von Einstellungen
Anzeigen der in der App verfügbaren Befehle
Wechseln der Eingabesprache und des Tastaturlayouts
Wechseln zu einer zuvor ausgewählten Eingabe
Umschalten zwischen geöffneten Apps (außer Desktop-Apps)
Umschalten zwischen geöffneten Apps (außer Desktop-Apps) und Andocken der Apps während des Umschaltens
Umschalten zwischen geöffneten Apps (außer Desktop-Apps) in umgekehrter Reihenfolge
Verschieben des Startbildschirms und der Apps auf den Monitor links (Apps auf dem Desktop werden nicht verschoben)
Verschieben des Startbildschirms und der Apps auf den Monitor rechts (Apps auf dem Desktop werden nicht verschoben)
Dockt eine App links an
Dockt eine App rechts an
ESC
Anhalten oder Beenden der aktuellen Aufgabe
Wenn man auf dem Windows 8 Startscreen die rechte Maustaste über einer Applikation drückt, so erhält man diverse Optionen die im Kontext zu der Applikation stehen, wie z.B. das Verknüpfen an die Taskbar oder das ausblenden des Icons auf dem Startscreen.Wenn ich nun ein Admin bin und mit einem "normalen" Benutzer an einer W8 Maschine arbeite, wäre es doch schön wenn ich die "Ausführen als" Option noch hätte.
Natürlich hat unser neuestes System dazu auch eine Option wo man dies aktivieren kann. Entgegen vielen anderen Einstellungen wird diese nicht in der Registry gemacht, sondern in der lokalen Gruppenrichtlinie.
Die nötigen Schritte für die Einstellung:
Nach erfolgter Einstellung ist nun neu die Option "Als anderer Benutzer ausführen" ersichtlich. Wird diese ausgewählt, kann man nun einen entsprechenden Benutzer eingeben und die Applikation in diesem Benutzer Kontext ausführen.
Hinweis: Die Applikation muss diese Option auch unterstützen, bei meinen Tests ging dies nicht mit jeder Applikation.
Endlich ist es soweit. Die Public Beta oder eben die Windows 8 Consumer Preview ist da. Ihr könnt sie hier runter laden:
Client:
http://windows.microsoft.com/en-US/windows-8/iso
Server:
http://msdn.microsoft.com/en-us/evalcenter/hh708764.aspx
Viel Spass beim testen
Was für die meisten Arbeitgeber ein Graus ist und für die meisten Arbeitnehmer nicht so richtig nachvollziehbar- das ist für uns bei der Microsoft Schweiz schon länger Realität. Arbeiten von unterwegs, arbeiten von zu Hause aus. Neue flexible Arbeitsmodelle, nicht mehr gebunden an klassische Arbeitszeiten. Das Magazin 10 vor 10 des Schweizer Fernsehens hat darüber einen interessanten Beitrag gemacht:
Folgendes Problem: Der Kunde kommt zu dir und erzählt dir das er einen Drucker in Büro xyz ersetzen musste. Soweit so gut. Nur ist der Ersatzdrucker nicht ansprechbar. Respektive, manchmal ist er ansprechbar, gibt aber bei einem Ping übers LAN nur einen Netbios Namen zurück und keinen FQDN...
Aufgefallen ist das Problem dadurch dass im Büro xyz ein Drucker mit irgendeinem Namen den Namen des ursprünglichen Druckers übernehmen musste. Man halt also einen Ersatzdrucker ins Büro gestellt und dem den Namen des defekten gegeben- so dass der Benutzer auf den gleichen Drucker arbeiten kann. Theoretisch... Man muss dazu noch sagen dass alle Drucker über DHCP laufen, daher nur der Host / Netbios Name auf dem Drucker eingetragen wird und der Rest dann automatisch laufen sollte. So muss man kein IP Management für die Drucker machen- was bei dem Kunden immerhin 1'000 Stück an der Zahl sind.
Nur leider hat dies nicht so geklappt und es hat auch bei anderen Druckern nicht geklappt. Langsam erkannt der Kunde einen roten Faden durch seine Druckerlandschaft, da Drucker nicht mehr ansprechbar waren nach einem Stromunterbruch- einige sogar nach einem kurzen Netzunterbruch. Wo vorher ein Drucker geantworet hatte- war nun keiner mehr.
Nach kurzer Zeit schrien dann alle DNS Probleme, DNS Probleme... was auch wirklich danach aussah.
Gut, ich nahm mir dann mal so einen Drucker vor und druckte die Konfigseite aus. IP hatte er, Namen auch, die IP war pingbar, der Namen manchmal, jedoch nur der Netbios Name... hmmm
Ich öffnete die Webkonsole des Druckers und suchte nach den DNS Einstellungen... aber da waren keine. Es stellte sich raus das der Drucker eine Firmware aus 2006 hatte, es aber keine neue gab. Was er aber hatte- er hatte die WINS Server eingetragen die noch im Netz sind.
Ihr erinnert Euch? WINS?
http://en.wikipedia.org/wiki/Windows_Internet_Name_Service
Die Drucker leider schon out of support, letzte downloadbare Firmware vom 2006. Hurra dachte ich.
Der Kunde war sich bewusst das die Drucker alt sind- dies können aber nicht abgelöst werden da noch Applkationen über SNA auf diese Dinger drucken und so lange diese Applikation noch im Einsatz ist (1-3 Jahre), so lange müssen auch die Drucker bleiben. Ich hätte dann gerne den Druckerhersteller ins Boot geholt- dieser wollte aber nicht mehr so recht, von wegen kein Support mehr und überhaupt. Da wir bei Microsoft aber dem Kunden helfen wollen, versuchte ich der Sache von der Infrastruktur Seite her auf den Grund zu gehen.
Wir hatten also Drucker die sich in WINS registrieren zu schienen- daher kam auch der Netbios Name zurück beim Ping, aber auch nicht immer. Eine DNS Registration fand wohl nicht statt, sonst hätte der Ping einen FQDN zurück geben müssen.
Da die Drucker kein DNS konnten und uns WINS nicht reichte für die Namensauflösung, musste ein anderer Mechanismus ran. Wenn wir mit solchen Legacy (Altlast) Clients wie diesen Druckern umgehen müssen, beitet uns der DHCP und DNS Server in Windows einiges an Hilfe. In dem Fall gehe ich von Windows Server 2008 R2 aus.Wir können nämlich dem DHCP sagen, dass er die gesamte Verwaltung der DNS Einträge übernehmen soll- zumindest für die Clients denen er eine IP vergibt. Hierzu entmündigen wir also die Clients und lassen sie nicht mehr selber ihre Registration und Updates im DNS machen, sondern geben den Job vollumfänglich dem DHCP. Man könnte auch die dies können selber machen lassen und die anderen den DHCP- was ich aber nicht empfehle. Im Sinne von einem Mechanismus würde ich hier dem DHCP die ganze Authorität übergeben. Um das zu bewerkstelligen, brauchen wir einen DHCP, einen DNS und einen Service Account in der AD- der jedoch nur Domain Users Rechte hat. Den Benutzer hinterlegen wir in der DHCP Konfiguration, so dass der DHCP im Namen aller beim DNS die Registrationen machen kann.
http://technet.microsoft.com/en-us/library/dd145315(v=WS.10).aspx
Wenn man den Benutzer hinterlegt hat und den DHCP Dienst neu gestartet, kann man dem DHCP die ganze Registration übergeben:
Diese Optionen waren aber alle schon eingestellt- wieseo bekamen dann die Drucker keinen FQDN Namen? Ein Blick in die DNS Zone offenbarte das auch keine Einträge da waren- zumindest meistens. Ein Blick auf die DHCP Scopes zeigte dann dass die Lease Time viel zu tief eingestellt war. Mit einer Lease Time von 15 Minuten war die Umgebung nur noch den DHCP und DNS am zuschiessen, es waren immerhin fast 4'000 Geräte die was vom DHCP oder dem DNS wollten alle 15 Minuten! Also änderte ich alle Scopes auf eine Lease Time von 8 Tagen was Default ist. Somit passte nun auch das Scavening der Zone mit 7 Tagen wunderbar. Vorher konnte dies gar nicht richtig funktionieren, da sich alles in die Quere kam.
Ein guter Artikel zu dem Thema:
http://blogs.technet.com/b/networking/archive/2008/03/19/don-t-be-afraid-of-dns-scavenging-just-be-patient.aspx
Nun waren wir auf dem richtigen Weg, doch es schien immer noch zu hacken. Ich bemerkte dann das der Kunde sämtliche Anfragen im Netz auf die beiden gleichen DNS Server schickte- natürlich auch noch virtuelle DNS auf älterer Hardware. Lange Rede, kurzer Sinn, die Kisten waren zugeflutet mit DNS Anfragen und konnten die hohe Anzahl nicht abarbeiten. Dies reusltierte dann in langen Queues, die Lease Time lief alle 15 Minuten ab und somit war an der Registrations- Front nur noch Chaos. Die Kisten konnten die Flut nicht übernehmen. Da der Kunde glücklicherweise einen fetten Hardware DC kürzlich installiert hatte- der natürlich nichts tat den ganzen Tag, änderte ich auf dem DHCP den Primären DNS auf die neue Hardware. Somit wurden die Anfragen von DHCP nun an diesen geleitet und nicht mehr an den virtuellen.
Und siehe da- eine halbe Stunde später hatte sich alles gelegt, wir konnten dem Drucker 5 mal den Namen ändern und der antwortete innerhalb 30 - 180 Sekunden mit dem neuen richtigen FQDN.
Daher sollte man aus dem Artikel auch mitnehmen das virtualisierung zwar was tolles ist- verliert aber nicht das Sizing aus den Augen, den wenn ihr physische Server hinstellt, überlegt ihr euch vorher auch ob die Hardware genügend Power hat.
Heute durfte ich bei meinen Kollegen über das neue Windows Logo lesen. Taraaaa:
Das blaue, schlichte an den Metro Stil angelehnte Logo ist das neue Windows Logo das mit Windows 8 Einzug halten wird. Darunter seht Ihr eine Auflistung aller bisherigen Logos- da werden Erinnerungen wach!
Aber lest den ganzen Artikel bei meinen Kollegen vom Windowsblog:
http://windowsteamblog.com/windows/b/bloggingwindows/archive/2012/02/17/redesigning-the-windows-logo.aspx
Ich habe kürzlich bei einem Kunden die gesamte Domänen- Infrastruktur von Windows 2003 Server auf Windows Server 2008 R2 im nativen R2 Modus gehoben.
So weit so gut, es lief alles wie erwartet. Der Kunde, der mehrere Netzwerkverbindungen zu Lieferanten hat, meldete jedoch Probleme mit Webapplikationen seiner Lieferanten. Konkret "froren" die Applikationen immer wieder ein, unabhängig vom Browser. Teilweise waren sie gar nicht aufrufbar, oder nur nachdem man mehrmals die Refresh Funktion des Browsers betätigt hatte. Relativ schnell wurde klar dass dies etwas mit der Umstellung auf Windows Server 2008 R2 zu tun haben musste.
Ich ging daher daran dem Weg des Browsers nachzugehen. Da im Internet alles über Namen passiert, nahm ich die DNS Konfiguration näher unter die Lupe. Klar stellte der Kunde fest, das es vor der Umstellung immer lief :-)
Die besagten Webapplikationen wurden über DNS Namen aufgerufen. Da die Namensverwaltung der Applikationen in der Herrschaft der Lieferanten lag, hatte ich lediglich 2 Anhaltspunkte:
Natürlich versuchte ich zuerst den Fehler beim Lieferanten zu finden. Dies war jedoch nicht wirklich leicht, da der Lieferant die Dienste in Asien hostet und die Kommunikation zum Lieferanten sich daher relativ schwer gestaltete. Ich denke ihr kennt das Problem- ihr steht einem Internationalen Unternehmen mit einer unglaublich grossen IT Landschaft gegenüber und die Wege die richtige Person in deren Organisation zu finden, gestalten sich mehr als schwer.
Der Kunde schloss das Problem auf Seite Lieferant aus- schliesslich lief es ja vor der Umstellung.
Ich ging also daran die interne DNS Struktur auseinander zu nehmen.
Der Client registrierte sich auf einem DNS in seiner Zone, eine Active Directory integrierte Zone einer Child Domain. Falls die Anfragen nicht beantworten werden konnten, wurden diese an die Root Domain übergeben und schliesslich dann weiter ins Internet. Da die Hersteller Applikationen jedoch nicht übers Internet aufgelöst wurden, bestanden auf dem DNS Conditional Forwarder auf 2 DNS Server der Lieferanten. Diese 2 DNS Server sind über eine dedizierte Netzanbindung zwischen Kunde und Lieferant ansprechbar.
Ich pickte mir einige dieser DNS Namen raus und versuchte diese zu pingen. Meist war ich erfolgreich, nur manchmal war der Namen plötzlich nicht mehr auflösbar um dann 30 Sekunden später wieder auflösbar zu sein:
Es war nicht so das ich einen Timeout erhalten habe, sondern der Name war komplett nicht mehr auflösbar.
Das hat die Lage natürlich nicht erleichtert, da es generell zu funktionieren schien- aber halt nicht immer. Auch schien es Schwankungen in der Stärke des Problems zu geben, nur auch diese nicht rekonstruierbar oder irgendwie auf ein Muster anwendbar. Da der Kunde mit immer grösseren Problemen konfrontiert wurde und daher natürlich auch die Benutzer ihren Unmut an der Hotline äusserten- entschloss ich mich kurzfristig in der Child Domain eine neue Zone zu errichten und die Hosts des Herstellers statisch einzutragen. Die Conditional Forwarder entfernte ich. Nun schien auch kein Problem mehr da zu sein, die Applikationen liefen einwandfrei und die Namensauflösung klappte wunderbar. Doch es wäre nicht IT wenn sich dies nicht schnell wieder geändert hätte. Einige Tage danach hatte der Hersteller einigen der Hosts neue IP Adressen vergeben- mit den statischen Einträgen in unserer DNS Zone passte dies natürlich nicht mehr überein und die Applikationen waren somit gar nicht mehr erreichbar.
Es musste also eine andere Lösung her und ich ging nochmals daran raus zu finden was das Probem mit den Conditional Forwarder sein könnte. Ich nahm mir also Bing zur Hand und durchsuchte das Internet nach Artikeln zu DNS Conditional Forwarder Problemen nach der Migration von 2003 zu 2008. Und ich wurde fündig :-)
In Windows 2003 DNS wurde eine Funktion hinzugefügt die sich EDNS0 nennt. Dabei geht es darum das der DNS UDP Anfragen senden kann die grösser als der Default Wert von 512 Byte ist: Mit der in RFC 2671 definierten Erweiterung des DNS-Protokolls "EDNS0" (Extension Mechanisms for DNS) können DNS-Anforderer die UDP-Paketgröße ankündigen und Pakete mit mehr als 512 Bytes übertragen.
http://technet.microsoft.com/en-us/library/cc785769(v=WS.10).aspx
Nun ist es aber so, dass nicht alle Systeme, resp. auch Firewalls nicht damit umgehen können. Ich fand dazu den Artikel:
http://support.microsoft.com/kb/832223
Dieser beschreibt genau mein Problem und legt auch nahe das die Firewall das Problem sein könnte. Die EDNS0 lässt sich auf dem DNS Server via Command Line abschalten:
dnscmd /config /enableednsprobes 0
Da ich aber nicht einfach ausschalten wollte, schaute ich mir mit dem Kunden die Firewall Logs an und stiess tatsächlich auf viele Einträge die sagten dass die UDP Pakete von dem internen DNS gedropt wurden, da sie nicht die Standard Grösse hatten und sie die Firewall so als potentiell gefährlich einstufte. Wir schauten uns daher die Firewall Regeln in Richtung Lieferant an und fanden tatsächlich eine Option wie sie in dem KB Artikel beschrieben ist, nämlich das Zulassen von UDP DNS Paketen grösser als 512 Byte. Kaum war der Hacken gesetzt, liefen auch die Webapplikationen anstandslos :D
Nun stellte sich natürlich die abschliessende Frage, wieso der Fehler jetzt aufgetreten ist. Schliesslich wurde die Funktionalität in Windows 2003 Server eingeführt und hätte somit schon vorher aktiv sein müssen. Da wir aber keine alten 2003 DC's mehr hatten- mussten wir davon ausgehen dass die Option auf den alten DNS abgeschaltet wurde, nur hatten wir dies wahrscheinlich bei der Migration übersehen. Eine andere Möglichkeit wäre natürlich noch das die Firewall mal einen Update bekam zum Zeitpunkt der Migration- dies konnte mir der Kunde jedoch nicht schlüssig beantworten.
Nach der Anpassung der Firewall Rule sind nie mehr Fehler diesbezüglich aufgetreten.
Hello World,
This is my first post in my newly created blog on technet.