Von Erich Hackspacher

Erich Hackspacher ist langjähriger Mitarbeiter im Microsoft Support (CSS). Seine Erfahrungen hat er in diversen Teams mit teilweise unterschiedlichen Technologien gesammelt. Zur Zeit ist er Mitglied des EMEA-weiten UAG Teams. In diesem Blog zitieren wir in zwei Kapiteln aus dem Whitepaper “How to configure UAG and ADFS to use ADFS 2.0 for Authentication and Authorization within UAG Portal and Published Applications” – Teil 2 finden Sie ebenfalls auf diesem Blog

This document does not explain how to install and configure the required certificate environment (setting up a Certificate Authority, Requesting Server certificates, Trusting CA..) This chapter will show how to configure ADFS Claims Provider Trusts and Relying Parties Trusts using the following two topologies as the start configuration:

Remote employee access using claims

This topic describes the Active Directory Federation Services (AD FS) 2.0 topology when remote employees access applications published by Forefront Unified Access Gateway (UAG) using claims-based authentication.

When remote employees attempt to access the published SharePoint application, the following simplified flow occurs:

• The remote employees attempt to access the published SharePoint application using claims-based authentication in one of two ways: by accessing the Forefront UAG portal and then clicking the published SharePoint application or by accessing the published SharePoint application directly using the SharePoint alternate access mapping name.
• Forefront UAG redirects the web browser request to the Resource Federation server to authenticate the user.
• The Resource Federation server shows the home realm discovery page to users on which they must choose the organization to which they belong; in this case, their own organization.
• The remote employees are prompted for credentials and authenticate using their own AD DS credentials, after which they receive a security token.
• Users are silently redirected and automatically authenticated to Forefront UAG using the security token created by the Resource Federation server. If they attempted to access the published SharePoint application directly, they are silently redirected to the SharePoint site, after which the SharePoint site appears. If they first accessed the Forefront UAG portal, they must click the SharePoint application to view the site.

· After the first successful connection to the SharePoint site, the Resource Federation server stores a cookie on the user’s computer. The cookie is stored by default for 30 days, during this time, users are not required to answer identification questions on the home realm discovery page; that is, choosing the organization to which they belong.

Partner employee access using claims

This topic describes the Active Directory Federation Services (AD FS) 2.0 topology when partner employees access applications published by Forefront Unified Access Gateway (UAG) using claims-based authentication.

When users from the partner organization attempt to access the published Web Site application, the following simplified flow occurs:

• The partner users attempt to access the published SharePoint application using claims-based authentication in one of two ways: by accessing the Forefront UAG portal and then clicking the published SharePoint application or by accessing the published SharePoint application directly using the SharePoint alternate access mapping name.
• Forefront UAG redirects the web browser request to the Resource Federation server to authenticate the user.
• The Resource Federation server shows the home realm discovery page to users on which they must choose the organization to which they belong; in this case, the partner organization.
• The Resource Federation server redirects the web browser to the Account Federation server where users authenticate using their own credentials, after which they receive a security token.
• Users are silently redirected several times and automatically authenticated using the security token created by the Account Federation server to the Resource Federation server and then to Forefront UAG. If they attempted to access the published SharePoint application directly, they are silently redirected to the SharePoint site, after which the SharePoint site appears. If they first accessed the Forefront UAG portal, they must click the SharePoint application to view the SharePoint site.

· After the first successful connection to the SharePoint site, the Resource Federation server stores a cookie on the user’s computer. The cookie is stored by default for 30 days, during this time, users are not required to answer identification questions on the home realm discovery page; that is, choosing the organization to which they belong.

It is the following environment that was used during the creation of this Whitepaper:

1.1 Install and Configure ADFS 2.0

The main steps in this configuration process consist of the following:

1. AD FS 2.0 Installation

2. Creating a Federation Server

- Creating additional Trust Rule when users from the Partner Organization access published resources in the Resource Organization

3. UAG Trunk Configuration

- Configuring an AD FS 2.0 authentication repository

- Configuring the Trunk to use an AD FS 2.0 repository for Frontend authentication

4. Creating a Relying Party Trust

5. Claim Rules creation

2.1.1 Installing ADFS 2.0

First step is to install ADFS 2.0 software. This is not a built-in component shipped with the Operating System, it has to be downloaded and installed separately.

Download the AD FS 2.0 software by saving the AdfsSetup.exe setup file onto the computer:

Active Directory Federation Services 2.0 RTW

Start AdfsSetup.exe to install ADFS 2.0:

On the Server Role page, select Federation server, and then click Next.

On the Install Prerequisite Software page, click Next. After you click Next, you see the Installing AD FS 2.0 page.

To install the AD FS 2.0 software using the command-line:

- run adfssetup.exe /quiet for the federation server role

- run adfssetup.exe /proxy /quiet for the federation server proxy role

Now you are ready to configure the computer to become a federation server. You can use the following procedure to set up the computer to become the first federation server in a new federation server farm or a stand-alone federation server

2.1.2 Create a stand-alone Federation Server

After you install the Active Directory Federation Services (AD FS) 2.0 software and configure the required certificates on a computer, you are ready to configure the computer to become a federation server. You can use the following procedure to set up the computer to become a stand-alone federation server.

To create a stand-alone federation server

1. There are two ways to start the AD FS 2.0 Federation Server Configuration Wizard:

- open the AD FS 2.0Management snap-in (Start/Administrative Tools/AD FS 2.0 Management) and click the AD FS 2.0 Federation Server Configuration Wizard link on the Overview page or in the Actions pane.

- open Windows Explorer, navigate to the C:\Program Files\Active Directory Federation Services 2.0 folder, and then double-click FsConfigWizard.exe.

2. Select Create New Federation Service and then click Next.

3. click Stand-alone federation server, and then click Next.

4. On the Specify the Federation Service Name page, verify that the SSL certificate that is showing is the one used to configure Secure Sockets Layer (SSL) settings for the Default Web Site.

5. Select to create new AD FS Configuration Database

At the end of the wizard, a Configuration Results page will be displayed

Now we can have a look at the ADFS 2.0 Management console and we will notice that the ADFS 2.0 federation server has been completely configured and ready to be used.

The most important settings to be mentioned at this stage are the Attribute Store and claims provider trusts.

When AD FS 2.0 is installed and configured on a domain-joined computer, the Active Directory user account store for that domain is made available as a selectable attribute store. An attribute store is a pluggable module that the policy process for Active Directory Federation Services (AD FS) 2.0 can query to retrieve claim values. Active Directory® Federation Services (AD FS) 2.0 includes built-in attribute stores that you can use to query for claim information from external data stores, such as Enterprise Active Directory, Lightweight Directory Access Protocol (LDAP) directories, and Microsoft SQL Server. You can also define custom attribute stores to query for claim information from other external data stores.

Adding a claims provider trust to AD FS 2.0 gives users of that claims provider access to the relying parties that are configured in AD FS 2.0. Each relying party application makes authorization decisions about a user by examining the claims that AD FS 2.0 provides. In our example we see that a Claims Provider Trust with Active Directory is already configured.

:

Now it is the time to verify the configuration of ADFS 2.0 federation server setup.

The best way to so this is to browse the following URL for the Federation metadata of the Federation Server.

https://denver.woodgrovebank.com/federationmetadata/2007-06/federationmetadata.xml

The next step is to configure the Relying Party trust. This requires the Federation Metadata of the relying party

We will use UAG as our Relying Party (consumer of the claims issued by ADFS 2.0 Federation Server) so we will have to configure UAG 2010 SP1 to use ADFS 2.0 as a method to authenticate remote employees.

2.1.3 AD FS 2.0 Trunk Configuration

This step requires configuring UAG 2010 SP1 to use AD FS 2.0 as a method to authenticate the users them accessing the UAG portal. An ADFS 2.0 trunk can only be configured as an HTTPS trunk. Therefore you need to have the required certificate already requested and available.

The domain portions of the Subject field of the UAG trunk certificate should match the Subject fields of the certificates protecting the ADFS (STS) and the published application.

1. Configuring an AD FS 2.0 authentication repository

• On the UAG server, start the UAG Management console, access Admin | Authentication and Authorization Servers

• In the Authentication and Authorization Servers window, click Add

• In the Add Authentication Server window, in the Server type drop-down list, select AD FS 2.0. In the Server name box enter Federation

• In the Specify the URL of the federation metadata file, enter: https://denver.woodgrovebank.com/federationmetadata/2007-06/federationmetadata.xml

• Click Retrieve Metadata to retrieve the list of claims defined in the federation metadata file, on the AD FS 2.0 server

• If you get prompted about the federation metadata being signed with a certificate that is not trusted by the UAG sever, click OK to continue

• The Select the claim value to be used as the lead user value list became enabled. Select from the drop-down list the claim value UPN, then click OK to close the window

2. Configuring the HTTPS UAG portal trunk using the AD FS 2.0 repository for created before

· Select the portal trunk and click on the Configure… button to open the Advanced Trunk Configuration window

· On the Authentication tab, in the Select authentication servers list, click on Add

· Select the Federation server, then click Select. The Federation server is added to the list of authentication servers used by this trunk

· Select any additional authentication server in the list and click Remove, then confirm the removal

· Click OK to close the Advanced Trunk Configuration window

Now you need to activate the settings in UAG. Note the pop-up message displayed, which contains the URL for the federation metadata on the UAG server, which must be configured on the AD FS 2.0 server. However, the federation metadata file is not available until after you activate the UAG configuration.

After successfully activating the configuration, the federation metadata file that is required for creating the relying party trust with the AD FS 2.0 server is created in the following folder: \von\InternalSite\ADFSv2Sites\<trunk_name>\FederationMetadata\2007-06

Verify that the FederationMetadata.xml file has been created in the above mentioned folder, on the UAG server

Also an AD FS 2.0 application is automatically created. This application represents the AD FS 2.0 authentication repository

Having finished this step, we can move to the next one.

2.1.4 Creating a Relying Party Trust

When deploying Forefront Unified Access Gateway (UAG) with Active Directory Federation Services (AD FS) 2.0, you must configure the Forefront UAG server as a new relying party trust. To create the relying party trust, you must use the AD FS 2.0 Management snap-in, and import the Forefront UAG configuration data from federation metadata that Forefront UAG publishes to a local network or to the Internet.

Before creating the relying party trust, you must either copy the federation metadata file from the Forefront UAG server (or array manager server) to the AD FS 2.0 server or make sure you can access it on the AD FS 2.0 server over the Internet.

The file was created during Forefront UAG activation and is located in the following folder:

...\Microsoft Forefront Unified Access Gateway\von\InternalSite\ADFSv2Sites\<trunk_name>\Feder ationMetadata\2007-06,

or at the following URL: https://<Portal_FQDN>/InternalSite/ADFSv2Sites/<trunk_name>/FederationMetadata/2007-06/FederationMetadata.xml.

On the Choose Issuance Authorization Rules page, click Permit all users to access this relying party, and then click Next.

On the Ready to Add Trust page, review the settings, and then click Next to save your relying party trust information

As you can see, the Relying Party publishes the following claim types as accepted claim types in federation metadata

Finally the Relying Party Trust has been added:

2.1.5 Creating Claim Rules

Now that the Trusts have been created we need to make sure that the required claim will be issued to the client. This process is done through 2 steps

1. Add claim rule to the claim provider

· On Denver, access the AD FS 2.0 Management console, then go to AD FS 2.0 | Trust Relationships | Claims Provider Trusts

· In the middle pane, right-click Active Directory and select Edit Claim Rules.

· Click Add Rule. On the Select Rule Template page, choose Send LDAP Attribute as Claims, then click Next

· On the Configure Rule page, in the Claim rule name field, enter Send LDAP UPN

· In the Attribute store drop-down, select Active Directory

· In the LDAP Attribute drop-down, select User-Principal-Name, and in the Outgoing Claim Type drop-down, select UPN. Click Finish, then click OK to close the Edit Claims for Active Directory window

2. Create claim rule for the Relying Part (UAG):

· This claim rule is created on the Issuance Transform Rules Tab

· Similar to the previous procedure, create a claim Rule for the UAG Relying Party. The rule will pass through to the UAG server the UPN claim issued by the AD as the identity provider that was previous configured.

2.1.6 Disable IIS Extended Protection

Forefront UAG behaves like a “man in the middle” in AD FS 2.0 deployments. IIS on the AD FS 2.0 server automatically protects against man in the middle attacks using a Channel Binding Token (CBT). However, if the CBT is enabled, you cannot provide access to your remote employees. To turn off CBT use one of the following methods:

1. On the AD FS 2.0 server in your organization, run the following command:

appcmd.exe set config "Default Web Site/ADFS/ls" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"None" /extendedProtection.flags:"Proxy" /commit:apphost

2. Disable Extended Protection in IIS on your ADFS 2.0 Server:

· Launch IIS Manager. On the left pane, access DENVER | Sites | Default Web Site | adfs | ls

· In the middle pane, double-click Authentication. Right-click Windows Authentication and select Advanced Settings

· In the Advanced Settings window, in the Extended Protection drop-down list, select Off, then click OK

The last setting we have to make is to add the public host name of the AD FS 2.0 – Federation application, as well as public host name of the portal to the browser’s Trusted sites zone. Alternatively, you can add the entire woodgrovebank.com domain to the zone, by using a wildcard: *.woodgrovebank.com

Bibliography

Baier, D., Bertocci, V., Brown, K., Pace, E., & Woloski, M. (2010). Guide to Claims-Based Identity and Access Control.

Ben-Ari, E., & Dolev, R. (2011). Microsoft Forefront UAG 2010 Administrator's Handbook. Packt Publishing.

Technet. (n.d.). The Role of Claims. Retrieved from http://technet.microsoft.com/en-us/library/ee913589(v=ws.10).aspx

Wikipedia. (n.d.). Security Assertion Markup Language. Retrieved from http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language

Von Oliver Sommer

Mit dem Tool kann man sehr einfach aus ISO Dateien (z.B. den Windows 7 ISO) das bootfähigen Medien erzeugt einen bootfähigen USB Stick erzeugen. Das ist besonders dann praktisch, wenn der Computer kein optisches Laufwerk hat. Außerdem ist eine Installation von einem Flashmedium i.d.R. um ein Vielfaches schneller als von einem optischen Laufwerk.

Leider kommt es dabei manchmal zu der oben genannten Fehlermeldung. Um diese zu beheben kann man folgende einfache Schritte durchführen…

Weiterlesen auf http://blog.sbsfaq.de

Gastbeitrag von Oliver Sommer, MVP für den Small Business Server, Senior Consultant bei Microsoft in Deutschland und CEO bei TrinityComputer.de. Im Blog http://blog.sbsfaq.de veröffentlicht Oliver zusammen mit seinen SBS-Kollegen alles Wissenswerte rund um Windows Server Solutions, Exchange, Hyper-V, DPM und im Speziellen Microsoft Small Business Server.

Ein Gastbeitrag von Andreas Kroschel

Office 2010 ist die erste Microsoft-Office-Version, die sowohl in einer 32- als auch in einer 64-Bit-Version ausgeliefert wird. Vor allem vor dem Hintergrund eine zunehmenden Verbreitung von Windows 7 64 Bit taucht immer öfter die Frage nach der optimalen Fassung auf. Unternehmen wie auch Endkunden müssen sich deshalb mit der Frage beschäftigen, in welcher Bitbreite sie sie Bürosoftware installieren wollen.

Microsoft empfiehlt 32-Bit

Microsoft gibt eine klare und sehr dringende Empfehlung ab, die 32-Bit-Version zu installieren. Für ein 64-Bit-Office spricht einzig und allein die Möglichkeit, Office-Dateien mit einer Größe von über 2 GB zu bearbeiten – und sonst gar nichts. Besteht die Notwendigkeit hierzu nicht, sprechen alle anderen Erwägungen dagegen: Fast das gesamte Umfeld der Add-Ins, Steuerelemente und VBAs ist aus der Office-Vergangenheit heraus auf die 32-Bit-Umgebung zugeschnitten. Die Situation ändert sich zwar allmählich, und Upgrades und Neuentwicklungen erscheinen zunehmend auch als 64-Bit-Versionen. Doch noch mangelt es an Erfahrungen, so dass die Gefahr besteht, mit neuen Add-Ins Kompatibilitätsprobleme zu bekommen.

Auch die Übereinstimmung der Bitbreite mit Windows 7 64 ist kein Argument für Office 2010 64-Bit. Office 2010 läuft nämlich dank des Emulators WOW64 (Windows On Windows 64) auch in der 32-Bit-Variante problemlos unter Windows 64-Bit. Es ist sogar die bessere Plattform dafür als 32-Bit-Windows, wie die Microsoft Office Product Development Group auf Ihrem Blog ausführt.

Deployment: 32- oder 64-Bit auswählen

Microsofts Empfehlung schlägt sich in der voreingestellten Installationsvariante nieder: Startet man setup.exe aus dem Wurzelverzeichnis einer Office-DVD, installiert man damit automatisch die 32-Bit-Variante. Soll stattdessen explizit die 64-Bit-Office-Version installiert werden, muss dafür setup.exe aus dem Ordner x64 der DVD aufrufen. Somit ist auch ausgeschlossen, dass man versehentlich die 64-Bit-Version von Office 2010 installiert.

Von dieser Regel gibt es eine Ausnahme: Befindet sich bereits 64-Bit-Komponenten auf dem PC, etwa aus einer Test- oder Beta-Installation, so installiert auch setup.exe aus dem Wurzelverzeichnis der Installations-DVD das 64-Bit-Office. Eine Mischung von Office-2010-Komponenten beider Versionen auf dem gleichen System ist auf keinen Fall möglich. Sollten sich auf einem PC Überreste einer Office-Installation befinden, die die Installation in der gewünschten Version verhindern und lassen sich diese nicht per Systemsteuerung entfernen, so gibt es dafür Abhilfe. Microsoft bietet dafür ein Microsoft-Fix-It-Tool an, das die Hinterlassenschaften einer Altinstallation aus dem System entfernt. Danach startet man das Setup-Programm für Office 2010 erneut.

Analoge Situation mit Windows XP 64-Bit

Man kann die Situation von Office 2010 64-Bit mit der von Windows um das Jahr 2006 herum vergleichen: Windows XP 64-Bit war ein System für Profis in speziellen Umgebungen, die für den breiten Markt keine Rolle spielte. Es existierten sogar etliche Hindernisse wie mangelhafte 64-Bit-Treiberversorgung, Kompatibilitätsprobleme zwischen dem Internet Explorer 32-Bit und dem 64-Bit-Windows-Explorer sowie fehlende Funktionen gegenüber XP 32. Die Vorteile – Unterstützung von mehr als 3.2 GB RAM, IPsec- und Schattenkopie-Funktionen wie unter Windows Server 2003 oder verbesserte Remote-Desktop-Funktionen – kamen auch im Business-Umfeld kaum zum Tragen.

Als Entwicklungs- und Test-Plattform war es allerdings eine notwendige Stufe auf dem Weg zu den heutigen modernen 64-Bit-Windows-Systemen, ohne die es deren Durchbruch mit Windows 7 nicht gegeben hätte. Analog dazu muss es ein Office 2010 64-Bit geben, damit sich das Ökosystem um die Büro-Software herum entwickeln kann.

Der Autor Andreas Kroschel ist Buchautor und Verfasser von Fachartikeln zu Hardware, Windows- und Linux-Infrastruktur sowie IT-Sicherheit. Er arbeitete als Redakteur unter anderem für BYTE Deutschland und die PC-Welt.

Zwar haben viele Anwender das seit April bereitstehende  Windows 8.1 Update bereits installiert - aber eben noch nicht alle. Für Microsoft ist es jedoch sehr wichtig, dass möglichst alle Kunden rasch auf die jeweils aktuelle Windows-Version updaten, da diese typischerweise den besten Schutz gegen Angriffe bietet.

Kunden, die das kostenfreie Update auf Windows 8.1 Update noch nicht installiert haben, sollten dies bis zum 10. Juni 2014 tun. Denn nach diesem Datum wird Microsoft keine Sicherheitsupdates mehr für Windows 8.1 bereit stellen. [Update] In der vorherigen Version des Textes wurde nicht genau getrennt zwischen Windows 8 und Windows 8.1; Windows 8 wird auch weiterhin mit Sicherheitsupdates versorgt, Nutzer von Windows 8.1 sollten jedoch Windows 8.1 Update installieren. [/Update]

Wir sind zuversichtlich, dass die Nutzer, die das Update bislang noch nicht installiert haben, dies innerhalb der verbleibenden gut zwei Wochen tun werden.

Anwender, die Updates durch Windows Update installieren lassen, sollten bereits seit April mit Windows 8.1 Update arbeiten. Nur Nutzer, die Updates von Hand installieren, sind gefordert.

Details zur manuellen Installation von Windows 8.1 Update gibt es auf unserer Webseite.

Ganz grundsätzlich gilt: Neuere Versionen einer Software oder eines Betriebssystems sind immer besser gegen Attacken geschützt als deren Vorgänger. Hersteller wie Microsoft machen ihre Produkte von Version zu Version stabiler und Kriminellen damit deren Handwerk schwerer. So wurden im Lauf der Jahre seit Einführung von Windows Vista zahlreiche Schutzfunktionen in Windows integriert, die es den Programmieren von Exploits und Schadsoftware jeweils schwerer machten. Daher sind auch die Infektionsraten bei moderneren Betriebssystemen in aller Regel erheblich niedriger als bei deren Vorgängern (siehe Bild). Statistiken hierzu liefert zweimal pro Jahr unser Security Intelligence Report (SIR).

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

Von Thorsten Eggeling

Mit dem elektronische Notizbuch OneNote 2010 lassen sich die unterschiedlichsten Arten von Inhalten erfassen. So können Sie Texte direkt eintippen, aber auch Bilder oder Audio- und Video-Aufnahmen einfügen. Inhalte aus anderen Programmen lassen sich per Cut & Paste oder Drag & Drop übernehmen. Sehr praktisch ist auch das schnelle Speichern von Webseiten über das Kontextmenü des Internet-Explorer – diese werden weitgehend im Original-Layout in OneNote übernommen. Auch für die Team-Zusammenarbeit können OneNote Notizbücher genutzt werden, beispielsweise in Verbindung mit SharePoint oder Windows Live. Besonders interessant ist aber der effektive Einsatz der Kombination Outlook und OneNote, um so die Produktivität weiter zu verbessern.

Daten zwischen Outlook und OneNote austauschen

In Outlook 2010 sehen Sie auf der Registerkarte „Start“ in der Gruppe „Verschieben“ die Schaltfläche „OnNote“. Auf OneNote-Seite hingegen gibt es die Funktion „Seite per E-Mail senden“ auf der Registerkarte „Start“ in der Gruppe „Outlook“.

Das folgende Beispiel zeigt die praktische Anwendung dieser Funktionen: Sie erhalten beispielsweise häufig Kundenanfragen zu bestimmten Produkten, die Sie per Mail beantworten müssen. Damit Sie bei ähnlichen Anfragen nicht jedes Mal die Antwort neu formulieren müssen, bauen Sie sich eine Wissensdatenbank in OneNote auf. Diese können Sie dann auch Kollegen etwa über SharePoint zur Verfügung stellen.

Schritt 1: Erstellen Sie in OneNote zuerst ein neues Notizbuch. Gehen Sie auf „Datei - > Neu“. Wählen Sie unter „Notizbuch speichern in“ beispielsweise „Netzwerk“, geben Sie einen aussagekräftigen Namen für das neue Notizbuch ein, etwa „Support“ und konfigurieren Sie unter „Netzwerkspeicherort“ den Speicherort auf Ihrem SharePoint-Server oder Windows Live SkyDrive. Abschließend klicken Sie auf „Notizbuch erstellen“. Die Synchronisation mit dem Netzwerkspeicherort erfolgt automatisch, wenn Sie Inhalte in diesem Notizbuch ändern. Über „Datei“ und einen Klick auf die Schaltfläche „Synchronisierungsstatus anzeigen“ lässt sich dieses Verhalten aber ändern. Wählen Sie hier die Option „Offline arbeiten“, wenn gerade kein Netzwerk zur Verfügung steht. Mit einem Klick auf „Jetzt synchronisieren“ leiten Sie die Synchronisierung bei Bedarf manuell ein.

Schritt 2: Legen Sie im eben erstellen Notizbuch neuen Abschnittsgruppen und Abschnitte an. Klicken Sie mit der rechten Maustaste auf das Notizbuch und dann auf „Neuer Abschnitt oder „Neue Abschnittsgruppe“. Für Support-Anfragen können Sie beispielsweise Produktkategorien erstellen, oder Sie gliedern Ihre Ablage nach den Namen der Kunden.

Schritt 3: Nach diesen Vorbereitungen beginnen Sie damit, das OneNote-Notizbuch zu füllen. Wenn Sie eine Anfrage erhalten, wählen Sie die gewünschte Mail in Outlook 2010 aus und klicken in der Registerkarte „Start“ auf „OneNote“. Es öffnet sich der Dialog „Speicherort in OneNote auswählen“. Klicken Sie hier auf die Seite oder den Abschnitt, in dem Sie die Mail ablegen wollen, und dann auf „OK“. Danach öffnet sich OneNote und zeigt die neue Notiz an. Sie können jetzt den Eintrag bearbeiten und auch gleich Ihre Antwort auf die Kunden-Anfrage eingeben.

Wenn Sie einem Kunden Infos per E-Mail senden möchten, rufen Sie die passende Seite in OneNote auf und klicken auf der Registerkarte „Start“ auf „Seite per E-Mail senden“. Es öffnet sich eine neue Nachricht in Outlook, die den Seiteninhalt aus OneNote enthält.

In einigen Fällen werden Sie nicht den gesamten Seiteninhalt benötigen, sondern nur den Antwort-Text. Erstellen Sie dann zuerst die neue Nachricht in Outlook. Suchen Sie dann den gewünschten Antwort-Text in OneNote und kopieren Sie diesen in die Nachricht. Das geht übrigens am einfachsten, wenn Sie Sie das OneNote-Fenster über die Tastenkombination Strg+Alt+D an der Seite des Desktops andocken und dann die gewünschten Textpassagen einfach mit der Maus in das Outlook Nachrichten-Fenster ziehen. Drücken Sie abschließend noch einmal Strg+Alt+D, um OneNote wieder vom Desktop-Rand zu lösen. Weiter nützliche Hotkeys für OneNote finden Sie im Artikel Tastenkombinationen für OneNote 2010.

E-Mail-Signatur individuell anpassen: E-Mail-Nachrichten, die Sie wie beschrieben über OneNote erstellt haben, enthalten standardmäßig die Signatur „Erstellt mit Microsoft OneNote 2010. Der zentrale Ablageort für alle Ihre Notizen.“ Wenn Sie hier einen eigenen Text unterbringen möchten, gehen Sie in OneNote auf „Datei -> Optionen“ und dann auf „Erweitert“. Unter „Die folgende Signatur zu von OneNote erstellten E-Mail-Nachrichten und Webseiten hinzufügen“ können Sie den Text für die Signatur eingeben.

Besprechungstermine und Aufgaben in OneNote speichern

Die Zusammenarbeit zwischen Outlook und OneNote 2010 ist nicht auf E-Mails beschränkt. Auch Termineinträge und Aufgaben lassen sich in OneNote ablegen. Das ist vor allem dann sinnvoll, wenn Sie projektbezogene Notizbücher in OneNote erstellt haben.

Zum Übertragen von Besprechungsterminen gibt es zwei Möglichkeiten. Wenn Sie sich gerade in Outlook befinden, wählen Sie im Kalender oder in der Aufgabenleiste einen Termin aus. Klicken Sie dann in der Registerkarte „Termin“ in der Gruppe „Aktionen“ auf „OneNote“. Alternativ klicken Sie mit der rechten Maustaste auf den Termin und im Kontextmenü auf „OneNote“. Wie bei der schon im E-Mail-Beispiel klicken Sie hier den Abschnitt an, in dem der Termineintrag erscheinen soll, und dann auf „OK“. Anschließend öffnet sich die OneNote-Seite mit dem hinzugefügten Termin. Sie sehen hier den Link „Verknüpfung mit Outlook-Element“. Mit einem Klick darauf öffnen Sie den Termin in Outlook. Sie können sich dann Details ansehen oder dem Termin-Eintrag ändern.

Sie können aber auch in OneNote auf der Registerkarte „Start“ in der Gruppe „Outlook“ auf „Besprechungsdetails“ klicken. In der Liste sehen Sie die für den Tag anstehenden Termine. Mit einem Klick darauf fügen Sie den Termineintrag in die gerade geöffnete Seite ein. Wenn Sie unter „Besprechungsdetails“ auf „Besprechung eines anderen Tages auswählen“ klicken, lassen sich über den Kalender auch Termine anderer Tage auswählen. Sollten Sie bei Outlook gerade nicht angemeldet sein, erscheint vorher ein Anmeldefenster.

Aufgaben in OneNote und Outlook erstellen: Besonders praktisch ist die Zusammenarbeit von Outlook und OneNote 2010 bei der Aufgabenplanung. Legen Sie in OneNote einen Abschnitt für ein Projekt an und klicken Sie dann auf der Registerkarte „Start“ in der Gruppe „Outlook“ auf „Outlook-Aufgaben“. Wählen Sie die gewünschte Option aus dem Menü, beispielsweise „Diese Woche“. Für das schnelle Einfügen von Aufgaben, können Sie auch einen Hotkey verwenden. Die Tastaturkürzel zeigt OneNote im Menü an. Tippen Sie einen Beschreibungstext für die Aufgabe ein. Wenn Sie weitere Details der Aufgabe bearbeiten möchten, klicken Sie noch einmal auf „Outlook-Aufgaben“ und dann auf „Aufgabe in Outlook öffnen“.

Eine weitere Option sind benutzerdefinierte Aufgaben. Wenn Sie den Menüpunkt in OneNote anklicken, öffnet sich das Outlook-Fenster für neue Aufgaben und Sie können die Datum, Status oder Priorität wie gewohnt festlegen. OneNote hat bereits die „Verknüpfung mit Aufgabe in OneNote“ eingefügt. Per Doppelklick darauf, lässt sich die Aufgabe dann jederzeit in OneNote öffnen.

In OneNote lassen sich Aufgaben über das Menü „Outlook-Aufgaben“ als erledigt markieren oder löschen. Die Änderungen werden dabei sofort an Outlook übertragen. Der umgekehrte Weg funktioniert natürlich auch. Wird der Status einer Aufgabe in Outlook auf „Erledigt“ gesetzt, sehen Sie das auch in OneNote. In Outlook gelöschte Aufgaben bleiben allerdings in OneNote weiter sichtbar. Es erscheint aber ein Hinweis, dass die Aufgabe in Outlook nicht gefunden wurde.

Der Autor Thorsten Eggeling ist Systemadministrator, Buchautor und Verfasser von Fachartikeln zu Hardware, Windows, Linux und Software. Er arbeitete als Redakteur unter anderem für die PC-WELT.

Mit Windows Server 2012 Hyper-V und System Center 2012 SP1 hat Microsoft eine wirklich mächtige Lösung am Start, auch so genannte mission-critical Workloads zu virtualisieren. Die zum Teil massiven Verbesserungen in puncto Skalierbarkeit, Speicher und Netzwerke lässt kaum noch Kundenwünsche offen.

Immer wieder höre ich aber auch: "Ja aber... Wir virtualisieren mit VMware... Gibt es Möglichkeiten auch für mich, jetzt mal Hyper-V zu testen...". Die Antwort ist einfach: JA. Testdownloads rund um Windows Server, Hyper-V und System Center gibt es auf TechNet http://technet.de.

An dieser Stelle möchte Sie aber auch auf zwei interessante Tools aufmerksam machen:

Der Microsoft Virtual Machine Converter (MVMC) ist eine von Microsoft supportete, frei erhältliche Lösung, um VMware-basierte VM und Virtual Disks zu Hyper-V-basierten VM und VHDs zu konvertieren. Ideal für alle IT Pro, die eine kleinere Anzahl an VMs auf die aktuelle Microsoft Virtualisierungsplattform migrieren möchten.

Details dazu finden sich hier http://technet.microsoft.com/de-de/library/hh967435.aspx

Zum Download des MVMC Solution Accelerator

http://www.microsoft.com/en-us/download/details.aspx?id=34591

Das MVMC Automation Toolkit (MAT) hilft für die ganz große Lösung: "The MAT can be run from a single coordinator machine, known as the Control Server which orchestrates the multiple ongoing conversions. For even greater scale you can use multiple Helper Nodes each running MVMC and managed by the Control Server. The Helper Nodes can run within VMs themselves."

http://gallery.technet.microsoft.com/Automation-Toolkit-for-d0822a53

Technologie soll Probleme lösen und nicht schaffen. Windows Server 2012 Essentials setzt dieses Motto durch die Vereinfachung von geschäftlicher Technologie um. Die Lösung ist eigens dafür geschaffen, kleine Unternehmen dabei zu unterstützen, auf derselben technologischen Ebene wie weitaus größere Unternehmen zu operieren – ohne dass für die Verwaltung der IT-Infrastruktur zusätzliche Kosten und Komplexität entsteht.

Wie einfach das geht und wie sie die Vorteile eines Servers nutzen beschreibt der Windows Server 2012 Essentials Evaluierungsleitfaden sehr einfach und anschaulich. Der Evaluation Guide wird hier kostenlos und in deutscher Sprache zum Download angeboten

Windows Server 2012 Essentials bietet darüber hinaus ein hohes Maß an Flexibilität sowie praxisorientierte Wahlmöglichkeiten. Das versetzt kleine Unternehmen in die Lage, eine individuelle Kombination aus Cloud-basierten oder traditionellen on-premise Anwendungen und Services zu nutzen. Weitere Informationen zu Windows Server Essentials

Bereits in früheren Versionen von Windows Small Business Server hat Microsoft die Komplexität bei der Implementierung und Verwaltung von Servertechnologie in einer kleinen IT-Umgebung maßgeblich reduziert. Windows Server 2012 Essentials baut auf dieser Grundlage auf und bietet zusätzlich eine leichtere Einrichtung und Installation, ein besseres Migrationserlebnis, eine vereinfachte Verwaltung sowie bessere, netzwerkweite Sicherheitsfunktionen für kleine Unternehmen.

Enthalten sind die neuesten Microsoft-Technologien für die Verwaltung, den Netzwerkeinsatz, die Speicherung und Sicherung von Daten, die Sicherheit sowie die Dokumenten-und Druckerfreigabe. Windows Server 2012 Essentials bietet Integrationsmöglichkeiten für Cloud-basierte Anwendungen und Services. Dadurch erhalten kleine Unternehmen die Flexibilität, die beste Umgebung für ihre Branchenanwendungen sowie ihre Lösungen zur Zusammenarbeit zu wählen.

Ein kleiner Auszug aus dem kostenlosen Evaluierungsleitfaden

Windows Server 2012 Essentials erlaubt es kleinen Unternehmen, ihre grundlegende Infrastruktur sowie die Sicherheitsfunktionen in ihren lokalen Netzwerken zu behalten. Technologien, die eine robuste Integration in Cloud-basierte Services ermöglichen, werden mit einbezogen. Praktisch ist zudem, dass Endbenutzer in der Art und Weise arbeiten, die ihnen vertraut ist. Gleichzeitig können kleine Unternehmen von den Vorteilen der wachsenden Anzahl an Angeboten profitieren, die über Plattformen wie Microsoft Office 365 und Windows® Azure™ in der Cloud verfügbar sind.

Bei Windows Server 2012 Essentials sind bereits 25 User bzw. 50 Devices mit dabei. Top-Features sind

• Vollständiges Client-Backup aller angeschlossenen Windows Vista, Windows 7 und Windows 8  Rechner als Sicherung und für den Fall einer Wiederherstellung des Clients nach einem Hardwaredefekt
• Anbindung Mobiler Geräte (Smartphones, Tablets und Laptops) mit E-Mail Synchronisation, dem Remote Web Arbeitsplatz oder auch Direct Access
• Spannende Neuerungen im Disk- und Storage-Management (Disk Pools und Storage Spaces)
• Einfache Integration eines Online-Backups, um ausgewählte Daten einfach in der Cloud zu speichern.

Windows Server Essentials ist einfach... Die Bedienung und Konfiguration erfolgt über eine einfache Konsole

Windows Server Essentials ist sicher... Client und Serverbackups funktionieren on-premise und/oder in die Cloud (Windows Azure). Ihre Daten sind damit vor Verlust geschützt

Windows Server Essentials ist kommunikativ... Die Anbindung von Office365 ist leicht

und... und... und...

das Ressourcen natürlich Remote verfügbar sind, Add-ins und weitere Client PC einfach eingebunden werden und Health & Security Reports einfach gezogen werden können usw.

Eine kostenlose Testversion erhalten Sie übrigens hier http://technet.microsoft.com/de-de/evalcenter/jj659306.aspx

Von Thorsten Eggeling

Das Outlook Connector Pack verbindet Outlook mit sozialen Netzwerken. Zum einen ermöglicht er die Integration von Windows Live Hotmail in Outlook 2010, so dass Benutzer über Outlook Hotmail-Nachrichten abrufen sowie Kontakte und Kalender synchronisieren können. Eine weitere interessante Funktion ist die Anbindung an soziale Netzwerke wie Facebook, Xing oder Linkedin aus der Outlook-Bedienoberfläche heraus.

Outlook Connector Pack installieren und konfigurieren

Das Outlook Connector Pack ist für Outlook 2003, 2007 und 2010 verfügbar und Bestandteil der Windows Live Essentials. Möchten Sie nach der Installation Ihr Hotmail-Konto in Outlook hinzuzufügen, so gehen in Outlook 2010 auf „Datei“ und dann auf „Informationen“. Klicken Sie unter „Kontoeinstellungen“ auf „Kontoeinstellungen“, und dann in der Registerkarte „E-Mail“ auf die Schaltfläche „Neu“. Aktivieren Sie die Option „Andere“ und wählen Sie „Microsoft Outlook Hotmail Connector“. Klicken Sie auf „Weiter“ und geben Sie die Anmeldeinformationen für Hotmail ein. Klicken Sie auf „OK“ und dann auf „Fertig stellen“ und „Schließen“.

Um den Outlook Connector für soziale Netzwerke direkt aufzurufen, gehen Sie in Outlook 2010 auf die Registerkarte „Ansicht“ und dort auf „Personenbereich -> Kontoeinstellungen“. Nach der Installation des Outlook Connector Pack sind hier zunächst nur „Meine Website“ für die Verbindung zu einem Sharepoint Server und „Windows Live Messenger“ zu sehen. Nach einem Klick auf „Online verfügbare Anbieter für soziale Netzwerke anzeigen“ öffnet sich eine Microsoft-Webseite, über die Sie Konnektoren zurzeit für Facebook, Linkedin und Viadeo installieren können. Weitere Konnektoren finden Sie direkt über die Webseiten der sozialen Netzwerke, etwa bei Xing oder Myspace. Nach der Installation eines neuen Outlook Connectors, gehen Sie wieder auf „Personenbereich -> Kontoeinstellungen“ und klicken auf den gewünschten Eintrag, beispielsweise „Facebook“. Geben Sie Ihren Benutzernamen und das Kennwort ein und klicken Sie auf „Fertig stellen“.

So nutzen Sie Hotmail-Funktionen in Outlook 2010

Nach der Installation und Konfiguration des Microsoft Outlook Hotmail Connectors erscheint das Hotmail E-Mail-Konto genauso wie alle anderen E-Mail-Konten im linken Navigationsbereich. Sie können das Konto wie gewohnt zum Empfangen und Senden von E-Mails benutzen. Es gibt aber Besonderheiten. Wenn Sie beispielsweise sichere Empfänger oder blockierte Absender für das Hotmail-Konto definieren, werden die Einstellungen automatisch mit Windows Live Hotmail synchronisiert und stehen dann auch zur Verfügung, wenn Sie Hotmail im Browser verwenden. Sie finden die Einstellungen auf der Registerkarte „Start“ wenn Sie auf „Junk-E-Mail -> Junk-E-Mail-Optionen“ klicken. Das Gleiche gilt auch für Regeln, die Sie auf der Registerkarte „Start“ über „Regeln -> Regel erstellen“ für das Hotmail-Konto festlegen.

Nachdem Sie das Hotmail-Konto in Outlook eingerichtet haben, sehen Sie unter „Kalender“ auch den Kalender von Windows Live. Wenn Sie hier weitere Kalender eingerichtet haben oder später anlegen, erscheinen diese hier ebenfalls. Sie können neue Ereignisse in den Hotmail-Kalender eintragen oder Ereignisse per Drag & Drop vom Outlook-Kalender in den Hotmail-Kalender kopieren. Es kann allerdings manchmal ein paar Minuten dauern, bis die Einträge synchronisiert sind und auch im Browser bei Hotmail auftauchen.

Unter „Kontakte“ hat Microsoft Outlook Hotmail Connector ein eigenes Adressbuch für Hotmail erstellt. Hier finden Sie die schon bei Hotmail eingetragenen Kontakte. Wenn Sie diese auch in Ihren Outlook-Kontakten sehen möchten, können Sie die Einträge kopieren. Markieren Sie einen Kontakt-Eintrag mit der Maus (mehrere Einträge lassen sich mit gedrückter Strg-Taste markieren) und drücken Sie Strg+C. Wechseln Sie dann in das Outlook-Adressbuch und drücken Sie Strg+V. Sollte ein Kontakt mit dem gleichen Namen schon im Outlook-Adressbuch vorhanden sein, bietet Outlook 2010 Ihnen an, diesen zu aktualisieren oder einen neuen Kontakt zu erstellen. Die Kontakte lassen sich auch per Drag & Drop übertragen. Die Standardoperation ist „Verschieben“. Wenn Sie die Strg-Taste dabei gedrückt halten, wird der Kontakt kopiert.

So stellen Sie eine Verbindung zwischen Outlook 2010 und sozialen Netzwerken her

Die Interaktion innerhalb von Outlook findet im Personenbereich statt. Dieser ist im unteren Teil des E-Mail-Lesebereichs eingeblendet. Hier sehen Sie jeweils die letzten Beiträge des aktuellen E-Mail-Kontakts aufgelistet - beispielsweise Einträge in Facebook oder Linkedin. Zudem blendet Outlook hier das jeweilige Profilbild aus einem sozialen Netzwerk ein. Sollten Sie den „Personenbereich“ nicht sehen, gehen Sie auf die Registerkarte „Start“ und klicken Sie unter „Personenbereich“ auf „Normal“.

Die Beiträge Ihres E-Mail-Kontakts sind mit dem Icon des jeweiligen sozialen Netzwerkes versehen. Mit einem Klick auf die Überschrift öffnen Sie den Beitrag im Browser. Auf der linken Seite unter dem Profilbild gibt es noch ein Icon, das Sie direkt zur Profilseite des Kontakts führt. Unter dem grünen Pluszeichen verbirgt sich ein Menü, über das Sie einen Kontakt zu einem sozialen Netzwerk hinzufügen können.

Informationen für Software-Entwickler

Der Microsoft Outlook Social Connector provider (OSC provider) benutzt einen offenen Standard, über den sich beliebige soziale oder geschäftliche Netzwerke in Outlook einbinden lassen. Die Programmierung erfolgt unabhängig von der API des jeweiligen Netzwerks. Der Server muss auf eine Anfrage lediglich XML zurückliefern, das dem OSC-Schema entspricht. Als Programmiersprachen können Sie Visual C#, C++ oder Visual Basic verwenden. Im Prinzip ist jede Entwicklungsumgebung möglich, die COM-DLLs erzeugen kann. Eine ausführliche Dokumentation finden Sie in der MSDN-Bibliothek im Artikel Outlook Social Connector 1.1 Provider Reference. Beispielcode für unterschiedliche Programmiersprachen laden Sie über Outlook Sample: Outlook Social Connector Provider herunter.

Bilder: Facebook.jpg (Quelle: http://office.microsoft.com/de-de/outlook/liste-der-partnerunternehmen-von-outlook-connector-fur-soziale-netzwerke-FX101812910.aspx). OSC.jpg (Quelle: http://msdn.microsoft.com/en-us/library/ff759457.aspx)

Der Autor Thorsten Eggeling ist Systemadministrator, Buchautor und Verfasser von Fachartikeln zu Hardware, Windows, Linux und Software. Er arbeitete als Redakteur unter anderem für die PC-WELT.

Als wir Windows XP 2001 vorstellten, kommunizierten Modems per ISDN oder nutzten Kanalbündelung und V92, kabelloses LAN gab es höchstens in Einzelfällen (und selbst dann war es langsam und fehleranfällig), dafür waren Token-Ring- und Koax-Verbindungen für Netzwerke noch ein durchaus gängiges Mittel. Beim Thema Sicherheit war die Cracker- und Hacker-Szene noch in ihren Anfängen. Natürlich gab es gezielte Angriffe und Malware, aber der Umfang der Attacken war im Vergleich zu heute nahezu lächerlich. Eine wirklich kommerzielle Virenschreiberszene mit Schädlingen aus dem Baukasten gab es höchstens in den Phantasien der Science-Fiction-Autoren.

Dies alles sollte sich während der nächsten Jahre rapide ändern: Bereits 2004 war WLAN gang und gäbe (mit ein Grund, warum wir mit dem Service Pack 2 die WPA-Verschlüsselung fest in Windows XP verankert haben). Malware wurde aggressiver und verbreitete sich schneller. Gute Beispiele dafür sind Slammer, Blaster oder Nimda. Mit dem Aufstieg des Internets (auch dank bezahlbarer DSL-Zugänge) wurden Schwachstellen und Sicherheitslücken bald weltweit ausführlich analysiert und diskutiert. Unsere Antwort darauf enthielt unter anderen verstärkten Sicherheitsfunktionen in Windows XP SP2, etwa die Einrichtung des Security Development Lifecycles sowie technische Lösungen wie Data Execution Prevention (DEP) oder Adress Space Layer Randomization (ASLR).

Windows XP wurde, auch dank seiner drei Service Packs, zu einem der erfolgreichsten Betriebssysteme weltweit und ein starkes Fundament.

Warum dieser Ausflug in die Vergangenheit? Ganz einfach: Wir nehmen Abschied von Windows XP. Am 8. April 2014, also in knapp einem Jahr, wird der Support für das Betriebssystem endgültig und final eingestellt. Windows XP wird dann fast das unglaubliche Alter von 13 Jahren erreicht haben. Welche andere Hardwarekomponente oder welche Software in Ihrem Rechner sind so alt und noch tagtäglich in Gebrauch?

Es stimmt: Microsoft hat das Supportende bereits mehrfach angekündigt und dann das finale Datum doch wieder verschoben. Diesmal ist es uns ernst: Mit Windows 7 und Windows 8 sind bereits Enkel und Urenkel am Start. Beide Betriebssysteme sind ausgereift und deutlich besser auf die aktuellen Anforderungen zugeschnitten. Seien es moderne Grafikfunktionen mit DirectX 11, schnelle externe Speichermedien mit USB 3.0 oder eine Verschlüsselung von sensiblen Daten mit Hilfe von Bitlocker. Auch die 64-Bit-Versionen (und damit die Unterstützung für mehr als 4 GByte Arbeitsspeicher) sind dem Windows-XP-Pendant deutlich überlegen.

Natürlich bedeutet vor allem für Unternehmen das Ende eines Betriebssystems eine enorme Umstellung. Für Microsoft war das sicher mit ein Grund, warum wir Windows XP lange über sein eigentlich geplantes Auslaufen weiterhin mit technischem Support und Updates unterstützt haben. Nachdem aber jedes System, das innerhalb der letzten drei Jahre gekauft wurde, leistungsfähig genug für Windows 7 und wahrscheinlich auch Windows 8 ist, sollte zumindest die Hardware keine Schwierigkeiten beim Umstieg machen. Probieren Sie es aus: Tools wie der Windows 7 Upgrade Advisor sagen Ihnen genau, ob Sie ihr aktuelles System aktualisieren können – und melden mögliche Probleme, die beim Upgrade auftreten können.

Ein weiterer wichtiger Punkte: Wir lassen Unternehmen und Privatanwender beim Umstieg nicht allein, im Gegenteil. Wir bieten eine umfangreiche Sammlung an Hilfen an, die sich mit dem Wechsel von Windows XP auf ein moderneres Betriebssystem beschäftigen. Unter anderem haben wir für Sie diese Dokumente und Tools vorbereitet:

• Windows XP to Windows 7 Migration Guide
• Windows Assessment and Deployment Kit (ADK) for Windows® 8
• Microsoft Application Compatibility Toolkit 5.6
• Microsoft Assessment and Planning (MAP) Toolkit for Windows 8, Windows 7 and Internet Explorer 9
• Microsoft Deployment Toolkit (MDT)
• The Windows Automated Installation Kit (AIK) for Windows 7
• User State Migration Tool (USMT) 4.0 User's Guide
• Windows XP to Windows 7 Hard-Link Migration of User Files and Settings
• Windows 7 Upgrade Advisor
• Windows Optimized Desktop Scenarios - Solution Accelerator

Wer vor allem die älteren Browser benötigt, beispielsweise um Web-Applikationen auch für frühere Versionen des Internet Explorer fit zu machen, dem rate ich zu unseren Internet Explorer Application Compatibility VPC Images. Hinter diesem, zugegeben etwas sperrigen, Namen verstecken sich mehrere Images für unsere Virtualisierungslösung Virtual PC. Auf der Website stellen wir einen IE6 auf Windows XP, einen IE 7 auf Windows Vista, sowie zwei Versionen von Windows 7, einmal mit dem IE8, einmal mit dem IE9 kostenlos im VHD-Format zum Download, um Entwicklern bei Tests zu helfen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.     

Die Windows PowerShell bietet zahlreiche Möglichkeiten und Wege, Windows Server ohne grafische Benutzeroberfläche bereitzustellen, zu verwalten und zusätzliche Funktionen auch nachträglich noch zu installieren. Der IT-Journalist Thomas Joos ist jahrelanger Kenner der Windows PowerShell und hat jüngst zwei Artikel veröffentlicht, die hilfreiche Tipps und Tricks verraten.

In einem Beitrag für das Admin Magazin zeigt er Ihnen, wie sich die grafische Benutzeroberfläche für einen Core-Server installieren und anpassen lässt und über „Install-„ und „Include-„-Befehle zusätzliche Rollen und Features installiert werden können. Im weiteren Verlauf geht er zum Beispiel auch auf die Möglichkeit ein, per PowerShell Web Access browserbasiert von mobilen Endgeräten aus auf Server-PowerShells zuzugreifen.

Sein zweiter Artikel ist auf datacenter-insider.de erschienen und stellt sieben Tricks für die PowerShell 4.0 vor, die mit Windows 8.1 und Windows Server 2012 R2 Einzug in den Alltag von IT-Professionals gehalten hat, sich aber auch auf älteren Windows-Versionen installieren lässt. Von Desired State Configuration über das Deaktivieren automatischer Skriptausführung bis hin zur Vorstellung der PowerShell-Skripte in der TechNet Gallery gibt es hier jede Menge Wissen zur PowerShell 4.0.

Gerade für Einsteiger bietet die Microsoft Virtual Academy übrigens einen gelungenen Einsteigerkurs zur Windows PowerShell, Fortgeschrittene können Ihr Wissen anschließend in einem Kurs zur Skripterstellung vertiefen. Spätestens nach diesem Kurs dürfte Ihren ersten Schritten in der Verwaltung von Windows Server über die PowerShell nichts mehr im Wege stehen. Probieren Sie es doch einfach einmal aus!

Erneut telefonieren Betrüger sich durch Deutschland, Österreich und die Schweiz und geben sich am Telefon als angebliche Techniker von Microsoft aus. Die Betrüger sprechen Englisch und behaupten von einem in London angesiedelten Supportzentrum anzurufen.

Laut der Polizei Frankfurt am Main versuchen die Anrufer die an sich legitime Fernwartungs-Software Ammyy Admin auf dem Rechner der Opfer auszuführen, um den PC fernzusteuern. Anschließend solle der Angerufene laut Polizei eine Servicepauschale in Höhe von zirka 150 Dollar beziehungsweise Euro zahlen. Ziel der Betrüger: Das Ausspähen der Kreditkartendaten. „Darüber hinaus kann nicht ausgeschlossen werden, dass tatsächlich weitere Schadsoftware auf dem PC installiert wurde“, so die Meldung des Polizeipräsidiums. Der Anrufer sieht auf seinem Display maximal die Nummer „00“, die Anrufe kommen zumindest aktuell noch aus dem Ausland. Laut Informationen unseres deutschen Callcenters kommen die Anrufe bislang aus Amerika, China, Indien und neuerdings von den Bahamas.

Wir bei Microsoft nehmen solche Betrugsversuche extrem ernst. Microsoft hat bereits Strafanzeige gestellt und kooperiert mit den Behörden. Angerufene sollten ebenalls den Weg zur Polizei gehen und den Betrugsversuch dort anzeigen.

Dies ist nicht das erste Mal, dass sich Kriminelle solcher Social-Engineering-Techniken bedienen, um sich Zugang zu Rechnern von Kunden zu verschaffen. Zuletzt berichteten wir am 24. September 2011 über einen ähnlichen Fall. Damals fanden die Kriminellen die Telefonnummern in Handelsregistern oder aus Telefonbüchern.

Unser Kollege Reto Haeni hat damals mehrere Tipps veröffentlicht, wie sich bösartige Anrufer von legitimen Microsoft-Support-Anrufen unterscheiden können:

• Microsoft schickt unaufgefordert weder E-Mails noch fordern wir per Telefonanruf persönliche oder finanzielle Daten an
• Microsoft unternimmt keine unaufgeforderten Telefonanrufe, in denen wir anbieten, den Rechner zu reparieren.
• Gibt sich der Anrufer als Mitarbeiter der Microsoft Lotterie aus, dann lügt er. Es gibt keine Microsoft Lotterie.
• Microsoft fragt nicht aktiv nach Kreditkarteninformationen um die Echtheit von Office oder Windows zu verifizieren.
• Microsoft kontaktiert Nutzer nicht ungefragt, um über neue Sicherheitsupdate zu informieren. 

Am 14. Juli 2015 endet der Support für Windows Server 2003 und Windows Server 2003 R2

Dies bedeutet, dass nach dem 14.07.2015 keine automatischen Updates und Hotfixes für die dann mittlerweile zwölf Jahre alte Server-Generation mehr bereitgestellt werden. Beginnen Sie bereits jetzt mit der Upgrade-Planung und erfahren Sie, welche Optionen es für eine Modernisierung Ihrer Legacy-Serversysteme gibt und welche Unterstützungen Microsoft und Partner bereitstellen, damit Sie sich optimal vorbereiten können.

In eintägigen, kostenlosen Veranstaltungen im Rahmen der End-of-Support-Roadshow erfahren Sie von Microsoft Most Valuable Professionals (MVPs), wie eine optimale Zielarchitektur aussehen kann und welche Wege es gibt, eine Migration möglichst effizient durchzuführen. Zusätzlich wird die sinnvolle Integration von Cloud Services beleuchtet, wie etwa Recovery-, Test- und Storage-Services mit Mirosoft Azure.

Nutzen Sie die Roadshow auch, um sich über das breite Angebot von Microsoft Services in den typischen Projektphasen „Assessment“, „Planning“, „Migration“ und „Support“ zu informieren. Experten von Dell Software zeigen Ihnen zusätzlich softwaregestützte Optionen auf, wie Sie eine Migration kostengünstig, effizient und unter Einhaltung hoher Standards im Hinblick auf geschäftskritische Applikationen und Compliance durchführen können.

Nutzen Sie die Chance sich umfassend zu informieren und melden Sie sich noch heute für die Roadshow an:

Es erwartet Sie eine informative und spannende Agenda, durch die Sie unsere technischen Experten führen werden:

Agenda:

08:30-09:00 Uhr Ankunft und Begrüßung
09:00-10:00 Uhr Windows Server 2003 – Best Practices zum Upgrade
10:00-11:00 Uhr IT-Architekturen im Jahr 2014 mit Windows Server / Microsoft Cloud OS Teil 1
11:00-11:15 Uhr Pause
11:15-12:45 Uhr Microsoft Cloud OS Teil 2: Virtualisierung, Management und der Weg dorthin
12:45-13:45 Uhr Mittagspause und Networking
13:45-14:30 Uhr Upgrade-Testing und Desaster-Recovery mit Microsoft Azure
14:30-15:30 Uhr Software-gestützte Migration geschäftskritischer Applikationen (Gastvortrag DELL)
15:30-15:45 Uhr Kaffeepause
15:45-16:45 Uhr So unterstützt Microsoft Services in den einzelnen Projektphasen
16:45-17:00 Uhr Feedback und Verabschiedung

Wir freuen uns darauf, Sie zu einem der Termine begrüßen zu dürfen und Sie bei der Modernisierung Ihres Rechenzentrums zu unterstützen.

Mit dem Launch von Windows Server 2012 Essentials und der Abkündigung des Small Business Servers (SBS) 2011 beschäftigen sich nun bereits seit einigen Monaten IT Professionals und Microsoft Partner mit den Optionen "für die Zeit danach". An dieser Stelle möchte ich Sie gerne auf einige interessante Ressourcen verweisen: diese unterstützen nicht nur bei der Migration, sondern zeigen auch auf, warum es technisch wie business-seitig Sinn macht auf die modernere Plattform zu wechseln.

Die Redaktion von techchannel.de hatte über den Wechsel zu WS 2012 Essentials übrigens auch schon berichtet (Link zum Artikel) sowie Tipps zur Migration gegeben. Letztere finden sich aber auch schon in der TechNet-Bibliothek: Migrate Server Data to Windows Server 2012 Essentials

Windows Server 2012 Essentials ist die konsequente Weiterentwicklung von Windows Small Business Server Essentials. Es handelt sich um einen cloudfähigen Erstserver mit einer intuitiven Benutzeroberfläche. Es kann auf physischen Servern mit bis zu zwei Prozessoren ausgeführt werden und wurde für kleine Unternehmen mit bis zu 25 Benutzern oder 50 Geräte entwickelt.

Mit Windows Server 2012 Essentials bietet Microsoft Kunden und Partnern eine breite Palette, moderne Kommunikations- und Kollaborationsdienste einfach einzubinden. Kunden haben jetzt die Wahl wie und wo Workloads integriert werden können und zu welchem Zeitpunkt es am sinnvollsten ist auf Anwendungen und Services on-premise oder in der Cloud zurückzugreifen.

Der bislang im KMU Segment angesiedelte Windows Small Business Server 2011 Standard wird in der aktuellen Version übrigens noch bis 31. Dezember 2013 über OEM bzw. bis 30. Juni 2013 bei Ihrem Distributor verfügbar sein.

Für die Anbindung einer modernen Kommunikations- und Kollaborationsplattform empfiehlt Microsoft  die Anbindung von Office365. Das Angebot umfasst Exchange Online, SharePoint Online für den Dokumentenaustausch sowie Lync Online für Onlinekonferenzen (mit HD Video) und Instant Messaging. Natürlich wird auch die Anbindung einer Hosted Exchange-Lösung oder eines klassischen Exchange Servers on-premise unterstützt.

Weitere Informationen online http://www.microsoft.com/de-de/server/windows-server/essentials/default.aspx

Wie oben beschrieben ist Windows Server 2012 Essentials für den Zugriff von 25 Nutzern oder 50 Geräten konzipiert. Die Anzahl der Zugriffsrechte lässt sich jedoch problemlos bis 75 Nutzer oder Geräte "aufbohren" - bei gleichzeitiger Beibehaltung der vollen Essentials-Funktionalität. Hierzu ist formal das Upgrade auf Windows Server Standard nötig und dann müssen aber auch für die Gesamtzahl der User und Geräte so genannte CALs (Client Access Licenses) erworben werden (die bei WS2012 Essentials nicht benötigt werden).

Informationen dazu finden Sie unter anderem hier

• Growing Beyond 25 Users with Windows Server 2012 Essentials
• Transition from Windows Server 2012 Essentials to Windows Server 2012 Standard

Windows Server 2012 Essentials enthält erstklassige 64-Bit-Produkttechnologien für die Bereitstellung einer Serverumgebung, die für die grosse Mehrzahl kleiner Unternehmen gut geeignet ist. Die Produkttechnologien sind beispielsweise:

• das Betriebssystem Windows Server 2012
• Datenschutz
• „Anywhere“-Zugriff
• Zustandsüberwachung
• Workload-Flexibilität
• Erweiterbarkeit
• Add-ons für viele KMU-Lösungen, einschliesslich eines Anschlusses an Office 365.

Kunden können Windows Server 2012 Essentials als Plattform für die Ausführung branchenspezifischer Anwendungen und sonstiger Workloads vor Ort verwenden. Windows Server 2012 Essentials ist eine in Funktionsumfang und Preis-Leistungsverhältnis optimal an die Anforderungen von Kleinst- und Kleinunternehmen zugeschnittene Serverlösung, die zahlreiche Vorteile vereint

Vom vollständigen Client-Backup aller angeschlossenen Windows Vista, Windows 7 und Windows 8  Rechner, als Sicherung und für den Fall einer Wiederherstellung des Clients nach einem Hardwaredefekt, über die Anbindung Mobiler Geräte (Smartphones, Tablets und Laptops) mit E-Mail Synchronisation, dem Remote Web Arbeitsplatz oder auch Direct Access bis hin zu spannenden Neuerungen im Disk- und Storage-Management (Disk Pools und Storage Spaces) sowie einer einfachen Integration eines Online-Backups, um ausgewählte Daten einfach in der Cloud zu speichern.

Dieser Gastbeitrag wurde uns von unserem Partner Rachfahl IT Solutions GmbH und Co. KG (Autor: Jan Kappen) zur Verfügung gestellt und erschien erstmals im Hyper-V Blog.

Dieser Artikel behandelt die Installation eines Failover Cluster unter Windows Server 2012 R2, welches zur Ausführung von Hyper-V VMs genutzt wird. Gegenüber den vorherigen Artikeln zur Einrichtung unter Windows Server 2008 R2 und Windows Server 2012 hat sich teilweise etwas geändert, das “Grundrauschen” ist allerdings gleich geblieben. Die größte Änderung liegt darin, dass durch unterschiedliche Techniken die Anzahl der Möglichkeiten enorm gestiegen sind. Dadurch gibt es nicht mehr “die eine” optimale Lösung, es muss nun anhand der jeweiligen Hardware entschieden werden, was die beste Lösung in diesem einen Fall ist. Zusätzlich habe ich an einigen Stellen noch die genutzten PowerShell-Befehle mit aufgeführt. Diese hier beschriebene Konfiguration eignet sich primär bei der Nutzung eines Scale-Out File Servers. Dieser ist bereits eingerichtet und in diesem Artikel wird nicht auf die Einrichtung eingegangen, dies wird komplett im zweiten Teil der Serie gemacht.

Get-ClusterNetwork | ft Name, Metric, AutoMetric

(Get-ClusterNetwork "Storage1").Metric = 100
(Get-ClusterNetwork "Storage2").Metric = 101
(Get-ClusterNetwork "Management").Metric = 110

Dieser Gastbeitrag wurde uns von unserem Partner Rachfahl IT Solutions GmbH und Co. KG (Autor: Jan Kappen) zur Verfügung gestellt und erschien erstmals im Hyper-V Blog.

Im zweiten Teil unserer Serie möchten wir den Aufbau und die Einrichtung eines Scale-Out File Server unter Windows Server 2012 R2 zeigen. Wir nutzen für diesen Aufbau zwei Server und ein JBOD, welches mit HDDs und SSDs bestückt ist. Die Server sind HP DL360 Gen8-Systeme und haben jeweils eine CPU, 20 GB RAM und zwei lokale Festplatten für das Betriebssystem. Die Anbindung an das JBOD erfolgt per SAS, hier kommt ein Adapter von LSI zum Einsatz. Jeder Server besitzt vier 1 Gbit-Karten und zwei 10 Gbit-Karten zur Anbindung der Systeme an das Netzwerk. Als Betriebssystem kommt ein Windows Server 2012 R2 Standard zum Einsatz.

Falls Sie generell Interesse an diesem Thema haben, können wir Ihnen unseren Hyper-V PowerKurs empfehlen. Hier tauchen wir eine Woche in die Virtualisierung ein, der Aufbau und die Nutzung von SMB 3-Shares (sowohl Standalone als auch per Scale-Out File Server) spielen hier ebenfalls eine große Rolle. Mehr Informationen unter www.hyper-v-server.de/powerkurs .

Weitere Informationen zur aufgeführten Hardware

Zu der weiter oben schon kurz beschriebenen Hardware gibt es ein paar Dinge zu sagen. Zum einen möchte ich die Hardware näher und detaillierter auflisten, zum anderen ein paar Worte zu der Anzahl der jeweiligen Komponenten sagen. Das genutzte Equipment bietet zwar die Möglichkeit einen Scale-Out File Server aufzubauen, bietet aber an einigen Stellen keine Redundanz und daher nur eine bedingte Hochverfügbarkeit. Da uns momentan “nur” diese Hardware zu Demozwecken zur Verfügung steht können wir die Best-Practice-Vorgehensweise nur bedingt in Screenshots zeigen, die Beschreibung zeigt aber die optimale Einrichtung. Lesen Sie diesen Bereich unbedingt komplett, er enthält einige Informationen zu strategischen Entscheidungen und begründet einige der Best-Practice-Vorschläge.

Die genutzte Hardware

Als Hardware kommen die folgenden Komponenten zum Einsatz:

HP DL360e Gen8

• Intel E5-2403 CPU
• 20 GB RAM
• Zwei HDDs im RAID1 für das WS2012R2 Standard Betriebssystem
• LSI 9207-8e SAS HBA
• Intel X540-T2 10GBaseT Netzwerkadapter

DataOn DNS-1640 JBOD mit Platz für 24 2.5” HDDs

Seagate 1200 SSD mit einer Kapazität von 200 GB

Seagate Enterprise Capacity 2.5 HDD mit einer Kapazität von 1 TB

Der optimale Aufbau

Wie bereits erwähnt ist die Anzahl der einzelnen Komponenten für eine Hochverfügbarkeit sehr wichtig. Achten Sie unbedingt auf eine Zertifizierung der Hardware, eine Liste der von Microsoft zertifizierten Komponenten ist auf www.windowsservercatalog.com aufgeführt. Der hier beschriebene Scale-Out File Server ist die Basis für einen großen Teil Ihrer IT-Infrastruktur. Wackelt dieser Teil, wackelt auch alles oben drüber. Diese Zertifizierung ist kein “nice to have”, es ist absolute Pflicht!

Die Anzahl der JBODs

Die Anzahl der JBODs, die Sie einsetzen, steht im direkten Zusammenhang mit der Verfügbarkeit und dem Verhalten beim Ausfall solch eines Geräts. Um den kompletten Ausfall eines JBODs abfangen zu können benötigen Sie insgesamt drei Stück. Dies liegt daran, dass immer mehr als 50% aller Festplatten verfügbar sein müssen. Bei zwei JBODs mit gleicher Bestückung sind bei einem Ausfall eines Geräts genau die Hälfte aller Festplatten nicht mehr verfügbar, der Scale-Out File Server ist in diesem Moment nicht mehr funktionstüchtig. Sie könnten in eins der Gehäuse mehr Festplatten/SSDs stecken wie in das andere, aber wir kennen das Problem wahrscheinlich alle: Fällt in diesem Szenario etwas aus, ist es fast immer das Gehäuse mit der größeren Anzahl an Festplatten. Ihnen hilft zu einer echten Verfügbarkeit nur ein Betrieb eines dritten (oder noch mehr, dies geht natürlich auch) JBODs. Bei drei Gehäusen sollten Sie jeweils ein Drittel aller Festplatten und SSDs in einem der Gehäuse betreiben.

Die Art des JBODs

Achten Sie bei der Auswahl Ihrer JBODs auf eine Freigabe von Microsoft. Technisch werden JBODs mit den SCSI Enclosure Services (SES) benötigt, dies bedeutet das JBOD kann den Standort der Datenträger an den bzw. die Server melden. Nur diese Funktion ermöglicht eine Speicherung von Daten auf unterschiedlichen Datenträgern in unterschiedlichen JBODs. Weiß der Server nicht, wo welche Festplatte steckt, kann er hier keinen Schutz einbringen.

Enclosure Awareness

Damit Ihre Daten bei dem Betrieb von drei oder mehr JBODs vor einem Ausfall geschützt sind, müssen Sie eine Enclosure Awareness aktivieren. Dies bedeutet bei der Ablage von Daten auf Ihren Festplatten wird darauf geachtet, das die gespiegelten Daten nicht im gleichen JBOD gespeichert werden. Diese Funktion kann entweder für einen kompletten Storage Pool konfiguriert werden oder Sie setzen diese Eigenschaft bei der Erstellung Ihrer virtuellen Datenträger. Da diese Funktion nur per PowerShell aktiviert werden kann empfiehlt sich eine Erstellung von Datenträgern per PowerShell. Im späteren Verlauf des Artikels wird auf diesen Punkt erneut eingegangen. (TechNet Wiki: Enclosure Awareness Support – Tolerating an Entire Enclosure Failing)

Die Verkabelung der JBODs

Wir empfehlen eine direkte Verkabelung der JBODs pro Server, kein Schleifen der Verbindung (Chaining) über das vorherige JBOD. Technisch ist dies natürlich möglich, Sie bauen sich aber einen möglichen Engpass und eine potentielle Fehlerquelle ein. Binden Sie jedes JBOD direkt per SAS an. Wir selbst empfehlen und konfigurieren bei unseren Kunden die Systeme so, dass jedes JBOD doppelt an jeden Server angebunden ist.

Im folgenden Bild ist ein Scale-Out File Server Knoten mit insgesamt drei Dual-Port SAS HBAs an drei JBODs angeschlossen. Mit diesem Aufbau könnte ein kompletter Controller, ein Kabel oder ein JBOD ausfallen, ohne dass die Kommunikation abbrechen würde. Der zweite Knoten wird auf die gleiche Weise verbunden. Bei Vier-Port SAS HBAs reduziert sich die Anzahl der Karten auf zwei, um alle sechs Verbindungen zu realisieren.

Die Anzahl und Größe der Datenträger

Achten Sie bei der Anzahl der Datenträger in Ihrem Failover Cluster darauf, dass Sie mindestens genau so viele Datenträger wie Knoten besitzen. Da seit Windows Server 2012 R2 eine Verbindung pro Share und nicht mehr pro Dateiserver aufgebaut wird können Sie so erreichen, dass alle Cluster-Knoten aktiv genutzt werden und nicht die gesamte Last über einen Knoten verarbeitet wird, während die anderen auf einen Ausfall warten, um übernehmen zu können. Positiv hinzu kommt, dass unter 2012 R2 eine automatische Verteilung der CSV-Datenträger im Failover Cluster passiert. Sie müssen sich nicht aktiv um die Verteilung kümmern, die Datenträger werden automatisch an unterschiedliche Knoten zugewiesen.

Achten Sie bei der Größe der Datenträger darauf, dass Sie ausreichend freien Speicherplatz im Storage Pool lassen. Nur so erreichen Sie eine schnelle Wiederherstellung der Daten beim Ausfall eines Datenträgers. Mehr Informationen dazu und wie Sie den freien Speicherplatz berechnen können finden Sie ein paar Zeilen weiter unten.

Hot-Spare-Datenträger vs. Automatische Wiederherstellung

Oft wird beim Design von einem Scale-Out File Server mit Hot-Spare Festplatten kalkuliert. Diese sind beim Einsatz von Storage Spaces zwar möglich, seitens Microsoft aber nicht vorgesehen und nicht empfohlen (Microsoft TechNet: What’s New in Storage Spaces in Windows Server 2012 R2). Die empfohlene Variante ist die Nicht-Nutzung eines gewissen Prozenzsatzes des verfügbaren Speicherplatzes, was technisch auf ein ähnliches Resultat herausläuft, allerdings auf ein deutlich schnelleres. Ein kleines Rechenbeispiel:

Sie nutzen in Ihrem Scale-Out File Server mehrere SSDs und HDDs, die HDDs haben eine Größe von 4 TB. Sie haben eine weitere 4 TB Festplatte als Hot-Spare Datenträger konfiguriert. Ihnen fällt nun eine 4 TB Festplatte aus und die Daten auf der ausgefallenen Festplatte müssen nun auf den Hot-Spare Datenträger übertragen werden, damit der Spiegel wieder intakt ist. Bei einer Transferrate von 100 MegaByte pro Sekunde haben Sie eine Wiederherstellungszeit von 40000 Sekunden bzw. 11,1 Stunden. Diese Zeit wird natürlich nur benötigt, wenn die kompletten 4 TB beschrieben sind, bei einer geringeren Datenmenge nimmt die Dauer ab.

Microsoft hat bei Nutzung der Storage Spaces ein etwas anderes Verfahren genutzt, um die Daten beim Ausfall eines Datenträgers wiederherzustellen. Falls ausreichend Platz vorhanden ist werden die Daten, die auf der defekten Festplatte lagen, auf alle anderen verfügbaren Datenträger kopiert. Dies bedeutet es müssen nicht 4 TB auf eine Festplatte allein zurückgeschrieben werden, sondern eine gewisse Anzahl an Festplatten bekommt jeweils z.B. 100 GB. Da alle Festplatten gemeinsam “ihre” 100 GB speichern müssen ist der Gesamtzeitraum der Wiederherstellung deutlich geringer als bei der Wiederherstellung auf einer Festplatte.

Bei der Berechnung des freien Speicherplatzes gehen wir davon aus, dass alle Festplatten und alle SSDs die gleiche Kapazität haben. Die Berechnung muss separat für HDDs und SSDs gemacht werden, jeder Speicher muss einen eigenen freien Speicherplatz haben. Den freien Speicherplatz errechnen Sie wie folgt:

((Gesamter Speicherplatz/Anzahl der Datenträger) + 8GB) * Anzahl der Enclosure

Diesen freien Speicherplatz ziehen Sie von Ihrem Gesamt-Brutto-Speicherplatz ab. Im späteren Verlauf der Einrichtung sehen Sie, wie diese Formel bei der Berechnung des freien Speicherplatzes genutzt wird, um sowohl freien HDD- als auch freien SSD-Speicherplatz zu berechnen.

Die Art der Spiegelung

Sie können grundsätzlich zwischen drei Arten Datenträgern wählen: Simple, Mirror oder Parity. Simple ist eine einfache Speicherung der Daten ohne Schutz vor einem Ausfall, bei Mirror werden die Daten gespiegelt und bei Parity nutzen Sie eine Parität ähnlich einem RAID5, um die Daten bei einem Ausfall von einem Datenträger trotzdem noch lesen zu können. Bei der Nutzung von Storage Spaces inkl. Tiering (wird etwas weiter unten erklärt) können Sie nur Simple oder Mirror wählen, Parity ist hier nicht möglich. Da Simple in den wenigsten Fällen zum Einsatz kommen wird konzentrieren wir uns in unserem Fall ausschließlich auf Mirror. Seit dem Windows Server 2012 R2 können Sie neben einem Zwei-Wege-Spiegel (Ein Block wird auf einem Datenträger abgespeichert und gleichzeitig auf einen weiteren gespiegelt) auch einen Drei-Wege-Spiegel aufbauen. Hierbei wird ein Block auf einem Datenträger gespeichert und zusätzlich auf zwei weitere Datenträger gespiegelt.

Nutzen Sie nach Möglichkeit immer einen Drei-Wege-Spiegel. Dies mag auf den ersten Blick als Verschwendung gelten, es gibt aber einen äußerst guten Grund für diese Art der Spiegelung: In einem Storage Space werden die Blöcke nicht wie bei einem RAID1 immer nur auf zwei Datenträgern abgespeichert, sondern die Daten liegen auf allen Festplatten verteilt. Dies führt dazu, dass im schlimmsten Fall in einem Zwei-Wege-Spiegel der Ausfall von zwei Datenträgern ausreicht, um einen Datenverlust zu erzeugen. Wird eine Enclosure Awareness genutzt können theoretisch alle Datenträger in einem JBOD ausfallen, danach aber kein weiterer mehr in einem der anderen JBODs. Wir empfehlen ausdrücklich die Einrichtung eines Drei-Wege-Spiegel, da hier zumindest zwei Festplatten ausfallen können, ohne das es zu Datenverlust kommt! (TechNet Wiki: What are the resiliency levels provided by Enclosure Awareness?)

Die Blocksize / Interleave der virtuellen Datenträger

Achten Sie bei der Erstellung und Formatierung der virtuellen Datenträger (bei der Nutzung als Ablage für Hyper-V VMs) darauf, dass Sie eine Blockgröße (im englischen Interleave genannt) von 64k verwenden. Dieser Wert ist optimal bei Nutzung als Ziel für Hyper-V VMs. Wie genau Sie diesen Wert konfigurieren zeigen wir Ihnen im späteren Verlauf bei der Konfiguration der virtuellen Datenträger.

Die Anzahl der Columns / Spalten

Die Anzahl der Colums bestimmt, über wie viele Datenträger die Daten gleichzeitig pro Verbindung weggeschrieben werden. Egal ob Sie nur HDDs, nur SSDs oder eine Mischung aus beidem haben, es gibt pro virtuellem Datenträger nur einen Column-Wert. Ein paar Beispiele:

• Sie haben zwei Festplatten in einem Zwei-Wege-Spiegel und ein Interleave von 64KB. Sie haben einen Column-Wert von 1, d.h. Sie können pro Vorgang 64KB abspeichern (diese werden dann auf beide Festplatten geschrieben).
• Sie haben vier Festplatten in einem Zwei-Wege-Spiegel und ein Interleave von 64KB. Sie haben somit einen Column-Wert von 2, d.h. Sie können pro Vorgang 2x 64KB abspeichern (zwei Festplatten nehmen jeweils 64KB an, zwei weitere speichern eine Kopie dieser Daten).
• Sie haben 22 Festplatten und zwei SSDs in einem Zwei-Wege-Spiegel mit einem Interleave von 64KB. Sie haben in dieser Konfiguration einen Column-Wert von eins, da der kleinste Wert pro Datenträger-Typ diesen Wert bestimmt. Pro Vorgang können maximal 64KB abgespeichert werden.
• Sie haben 18 Festplatten und sechs SSDs in einem Zwei-Wege-Spiegel mit einem Interleave von 64KB. Sie haben somit eine Column-Anzahl von 3 und können pro Vorgang 3x 64KB abspeichern.

Diese Beispiele sollen Ihnen aufzeigen, dass nicht die Größe der SSDs bzw. HDDs ausschlaggebend sind, sondern die Anzahl. Teilweise sehen wir Konfigurationsvorschläge mit zwei 800 GB SSDs und vielen HDDs. Hier wären acht 200 GB SSDs deutlich besser. Die Column-Anzahl von eins bedeutet nicht, dass immer nur zwei Datenträger genutzt werden. Pro Vorgang werden zwei Datenträger genutzt, d.h. wenn Sie acht VMs betreiben kann jede auf jeweils zwei Datenträger schreiben (wenn der Spiegel mit kalkuliert wird, es können trotzdem nur 64KB geschrieben werden).

Bei einem Drei-Wege-Spiegel ändert sich die Berechnung ein wenig, dies kommt daher das pro Interleave drei HDDs bzw. SSDs benötigt werden. Zwei weitere Beispiele:

• Die haben neun HDDs und drei SSDs in einem Drei-Wege-Spiegel mit einem Interleave von 64KB. Sie haben eine Column-Anzahl von 1, da die drei SSDs diese Zahl erwirken. Gleichzeitig können 64KB verarbeitet werden pro Vorgang.
• Sie haben 24 HDDs und 12 SSDs in einem Drei-Wege-Spiegel mit einem Interleave von 64KB. Mit diesem Aufbau erreichen Sie einen Column-Wert von 4, bedingt durch die geringere Anzahl an SSDs.

Bei einer automatischen Erstellung der Datenträger ist die maximale Anzahl an Coloums der Wert 8, mehr werden nicht automatisch genommen. Bei der Erstellung der Datenträger per PowerShell können Sie auch einen höheren Wert auswählen. Sie müssen nicht grundsätzlich immer 8 oder mehr erreichen, Column-Werte ab 3 sind OK, falls möglich sollten Sie 4 erreichen. Alles über vier ist super, rechtfertigt aber meist nicht der erhöhten Preis für weitere SSDs (da diese in den meisten Fällen die geringe Anzahl in der Gesamtmenge ausmachen, aktuell noch bedingt durch den Preis).

Auf den Seiten von Microsoft ist eine Grafik abgebildet, die den Performance-Unterschied zwischen 2 und 4 Columns zeigt:

Quelle: TechNet Wiki: Storage Spaces – Designing for Performance

(TechNet Wiki: What are columns and how does Storage Spaces decide how many to use?)

Die Nutzung von Tiering

In der vorherigen Kapiteln wurde häufig von der Nutzung von HDDs und SSDs gleichzeitig gesprochen, hier folgt nun eine Erklärung dieser als Tiering bezeichneten Möglichkeit, die seit Windows Server 2012 R2 existiert.

Ein Pool kann unter 2012 R2 aus zwei unterschiedlichen Arten von Datenträgern bestehen, HDDs und SSDs. Hierbei ist es egal wie schnell die Festplatten sind, alle SAS-Festplatten werden als HDD behandelt. Grundsätzlich macht nur der Betrieb von Festplatten der gleichen Geschwindigkeit Sinn (z.B. immer NearLine-SAS HDDs mit 7.2k rpm). Neben HDDs können noch SSDs eingebunden werden, hier funktionieren ebenfalls nur SAS-SSDs, keine Consumer-Produkte.

Die Daten in den virtuellen Datenträgern werden vom Scale-Out File Server analysiert und je nach Nutzung entweder auf die SSDs verlagert (wenn festgestellt wird, dass die Daten häufig in Nutzung sind) oder auf den HDDs gespeichert (wenn festgestellt wird, dass die Daten nicht häufig benutzt werden). Das Betriebssystem arbeitet hier grundsätzlich mit 1 MB großen Blöcken, d.h. es werden nicht immer komplette Dateien verschoben, sondern nur 1 MB große Stücke der Datei.

Standardmäßig werden die Daten nachts um ein Uhr umsortiert, Grund hierfür ist ein Task auf den Datei Server-Knoten:

Weitere Informationen über den technischen Hintergrund finden Sie in den folgenden Beiträgen:

TechNet Blog: KeithMayer.com – Why R2? Step-by-Step: Automated Tiered Storage with Windows Server 2012 R2

TechNet Blog: Ask Premier Field Engineering (PFE) – Storage Spaces: How to configure Storage Tiers with Windows Server 2012 R2

Die Zusammenlegung von HDDs sowie SSDs führt zu der folgenden Situation: Mehrere große Festplatten, die nicht unbedingt schnell sind (z.B. 7.2k NL-SAS Festplatten mit 4 oder 6 TB) sorgen dafür, dass ausreichend Speicherplatz zur Verfügung steht. Mehrere SAS-SSDs sorgen dafür, dass der gesamte Pool ausreichend Performance bekommt.

Weiterer Vorteil bei der Nutzung von SSDs: Sie können einen Teil der SSDs als Write-Back Cache nutzen, ähnlich dem Cache auf einem RAID-Controller. Standardmäßig wird bei einem Storage Pool mit SSDs 1 GB an Speicherplatz für diese Caching-Technik genutzt. Aidan Finn hat zu diesem Thema einen Benchmark gemacht und auf seinem Blog veröffentlicht:

Aidan Finn – The Effects Of WS2012 R2 Storage Spaces Write-Back Cache

Bessere Performance-Werte um den Faktor 11 in einer (laut seiner Aussage) recht schnell aufgebauten Demo-Umgebung zeigen den unglaublichen Performanceschub bei Nutzung dieser Technik.

Lassen Sie den Standard-Wert von 1 GB auf diesem Wert stehen, dies ist laut Aussage der Produktgruppe ein optimaler Wert.

Die Vorbereitung der Server

Das Netzwerk

Nach der Grundinstallation und einem Update auf den aktuellsten Patchlevel beginnt die Einrichtung mit der Konfiguration der Netzwerkkarten. Es werden insgesamt drei Netze genutzt:

• Management – In diesem Netz befindet sich die Active Directory
• Storage1 – Eines der beiden SMB-Netze
• Storage2 – Das zweite SMB-Netz

In optimalen Fall besitzen die Server mindestens zwei Gbit-Adapter und vier 10 Gbit-Adapter. Dies ermöglicht die Nutzung von zwei Teams über beide 10 Gbit-Adapter. Dies ist notwendig, da SMB MultiChannel in einem Failover Cluster nur dann funktioniert, wenn sich alle Adapter in einem unterschiedlichen Subnetz befinden. Wenn wir davon ausgehen, dass die Hyper-V Hosts nur zwei Adapter im Storage-Netzwerk besitzen, können die SOFS-Knoten ebenfalls nur IP-Netze nutzen. Sollten die Hyper-V Hosts ebenfalls vier Adapter für SMB besitzen muss kein Team erstellt werden.

Die einzelnen Adapter werden in der Systemsteuerung umbenannt, um hier eine bessere Übersicht zu haben. Das Resultat sieht wie folgt aus:

Falls Sie mehrere Server konfigurieren möchten lässt sich diese Benennung per PowerShell ein wenig automatisieren:

Get-NetAdapter -InterfaceDescription "Intel(R) I350 Gigabit Network Connection" | Rename-NetAdapter -NewName 1GBit#1 –PassThru

Das Management-Netzwerk wird über Gbit-Karten abgebildet. Zur Redundanz werden hier zwei der vier onboard-Adapter zu einem Team zusammengeschlossen und konfiguriert. Dies kann entweder per GUI oder per PowerShell erfolgen:

New-NetLBFOTeam -Name "Management-Team" -TeamNICName "Management-Team" -TeamMembers 1GBit#1, 1GBit#2 -TeamingMode SwitchIndependent -LoadBalancingAlgorithm Dynamic -Confirm:$false

Danach werden die Karten mit IP-Adressen versehen. Das Resultat sieht wie folgt aus:

Management

Storage1

Storage2

Diese Karte hat bis auf die IP-Adresse die exakt gleichen Einstellungen wie Storage1 bzw. 10GBit#1. Diese Karte enthält die folgende IP-Adresse

Die Storage-Karten werden übrigens nicht geteamt, SMB3 ermöglicht eine Nutzung beider Adapter gleichzeitig (SMB Multichannel).

Die Konfiguration per PowerShell

Die oben gezeigte Konfiguration lässt sich komplett per PowerShell realisieren.

# Abfrage der IP-Adresse
$IP = Read-Host "Geben Sie das letzte Oktett der IP-Adresse eine"

# Team erstellen
New-NetLBFOTeam -Name "Management-Team" -TeamNICName "Management-Team" -TeamMembers `
    1GBit#1, 1GBit#2 -TeamingMode SwitchIndependent -LoadBalancingAlgorithm Dynamic -Confirm:$false

# IP-Konfiguration
Set-NetIPInterface -InterfaceAlias "Management-Team" -dhcp Disabled -verbose
New-NetIPAddress -AddressFamily IPv4 -PrefixLength 24 -InterfaceAlias "Management-Team" `
    -IPAddress 192.168.209.$IP -verbose
Set-DnsClientServerAddress -InterfaceAlias "Management-Team" -ServerAddresses 192.168.209.1

Set-NetIPInterface -InterfaceAlias "10GBit#1" -dhcp Disabled -verbose
New-NetIPAddress -AddressFamily IPv4 -PrefixLength 24 -InterfaceAlias "10GBit#1" `
    -IPAddress 192.168.208.$IP -verbose
Set-DnsClientServerAddress -InterfaceAlias "10GBit#1" -ServerAddresses 192.168.209.1
Set-NetAdapterBinding -Name "10GBit#1" -ComponentID ms_tcpip6 -Enabled $False

Set-NetIPInterface -InterfaceAlias "10GBit#2" -dhcp Disabled -verbose
New-NetIPAddress -AddressFamily IPv4 -PrefixLength 24 -InterfaceAlias "10GBit#2" `
    -IPAddress 192.168.207.$IP -verbose
Set-DnsClientServerAddress -InterfaceAlias "10GBit#2" -ServerAddresses 192.168.209.1
Set-NetAdapterBinding -Name "10GBit#2" -ComponentID ms_tcpip6 -Enabled $False

Nehmen Sie die Systeme nun in die Active Directory auf und vergeben Sie einen aussagekräftigen Namen. In unserem Fall heißen die Systeme FSNode1 und FSNode2.

Als letzten Punkt der Netzwerk-Konfiguration setzen wir auf den Systemen in den erweiterten Einstellungen innerhalb der Netzwerkverbindungen das Management-Team an die vorderste Stelle.

Die Installation der benötigten Rollen und Features

Auf den beiden Systemen werden die folgenden Rollen und Features benötigt

Der Dateiserver wird benötigt, da dieser später als Rolle im Failover Cluster installiert und eingerichtet wird. Um eine Sicherung der VM-Daten machen zu können wird ebenfalls der VSS Agent Service benötigt. Einen Schritt weiter bei den Features wird das Failover Cluster-Feature inkl. den Verwaltungstools sowie MPIO (Multipfad E/A im deutschen) benötigt. Die Installation per PowerShell sieht wie folgt aus:

Install-WindowsFeature -Name FS-Fileserver, FS-VSS-Agent, Failover-Clustering, `
    Multipath-IO -IncludeManagementTools

Wenn der Parameter –Computername noch mit angegeben wird kann die Installation auch remote durchgeführt werden.

Falls Sie noch weitere Rollen oder Features benötigen, hier ein Befehl zur Auflistung aller vorhandenen Rollen und Features:

Get-WindowsFeature | Select-Object -ExpandProperty Name | Write-Host

Die Einrichtung von MPIO

Dieser Schritt muss nur gemacht werden, wenn HDDs bzw. SSDs in einem oder mehreren JBODs verwendet werden, die mit mehr als einem SAS-Kabel angeschlossen sind. In unserem Fall hat jeder Server zwei Verbindungen pro JBOD, daher muss auf unseren Servern MPIO aktiviert werden. Die Aktivierung kann entweder per GUI oder per PowerShell gemacht werden und bedingt einen Neustart, der nach der Bestätigung des Neustarts auch direkt gemacht wird.

Per PowerShell funktioniert es mit dem folgenden Befehl

Enable-MSDSMAutomaticClaim -BusType SAS

Ein Neustart wird an dieser Stelle nicht eingefordert, ist aber auf jeden Fall sinnvoll

Restart-Computer

Die Überprüfung der Disks

Wenn Sie mehrere HDDs bzw. SSDs nutzen, kann es zu unterschiedlichen Performance-Werten bei eigentlich gleichen Datenträgern kommen. Bei einem Scale-Out File Server kann es zu sehr starken Einschränkungen bei der Gesamtperformance kommen, wenn ein oder mehrere Datenträger langsamer arbeiten wie andere. Aus diesem Grund sollten Sie vor der Nutzung Ihrer HDDs und SSDs einen Test machen, der Ihnen die Performance aller Datenträger ermittelt und aufführt. Sie benötigen ein PowerShell-Skript und die aktuellste Version des SQLIO-Tools:

Technet Script Center: Storage Spaces Physical Disk Validation Script

Microsoft Download Center: SQLIO Disk Subsystem Benchmark Tool

Technet Script Center: Completely Clearing an Existing Storage Spaces Configuration

Falls die HDDs oder SSDs bereits für etwas genutzt wurden benötigen Sie das unterste Skript zur kompletten Entfernung aller Informationen auf den Datenträgern. Achten Sie darauf, dass mit diesem Skript die Datenträger gelöscht werden. Falls Sie Daten auf den Disks noch benötigen, fertigen Sie ein Backup an!

Führen Sie das Skript aus und warten Sie darauf, dass alle Datenträger gelöscht wurden

Installieren Sie SQLIO auf dem Server und kopieren Sie die sqlio.exe-Datei an den Standort, an dem das Validation-Skript liegt. Alternativ kopieren Sie das Skript in das Installationsverzeichnis.

Führen Sie den folgenden Befehl aus und überprüfen Sie, ob die korrekten Datenträger aufgeführt werden

Get-PhysicalDisk |? {($_.CanPool) -and (!$_.IsPartial)}

Speichern Sie nun diese Datenträger in der Variablen $physicaldisks_to_pool mit dem Befehl

$physicaldisks_to_pool = Get-PhysicalDisk |? {($_.CanPool) -and (!$_.IsPartial)}

Starten Sie nun den Test mit dem folgenden Befehl

.\Validate-StoragePool.ps1 -PhysicalDisks $physicaldisks_to_pool

Der Test beginnt und listet Ihnen auf, wie viele HDDs und SSDs vorhanden sind. In meinem Fall sind es fünf SSDs und 19 HDDs. Der Test läuft nun einige Stunden, daher empfiehlt es sich diesen zu einem Zeitpunkt zu starten, an dem noch andere Aufgaben erledigt werden müssen oder der Feierabend winkt.

Als Ausgabe nach dem erfolgreichen Test erscheint der folgende Bericht

Schauen Sie sich die Warnungen und ggf. Fehler an, um potentiell schlechte Datenträger auszutauschen. In meinem Fall werden vier Datenträger bei der Leselatenz sowie drei Datenträger bei der Schreiblatenz angemerkt. Die ersten Werte liegen mit 830, 768, 776 und 801 ms nur wenig über dem Durchschnittswert von 620, bei den Schreiblatenzen könnte PhysikalDisk19 mit einer maximalen Latenz von knapp unter dem doppelten des Durchschnitts (1008 ms bei durchschnittlich 634 ms) evtl. getauscht werden. Führen Sie den Test evtl. ein zweites Mal durch und vergleichen Sie die Ergebnisse, um zufällige hohe Latenzen auszumerzen.

Die Erstellung des Failover Cluster

Wir sind nun an der Stelle angelangt, an dem das Failover Cluster erstellt und konfiguriert werden kann. Öffnen Sie dazu den Failover Cluster Manager und wählen Sie den Punkt Konfiguration überprüfen bzw. Validate Configuration….

Wählen Sie die beiden Server aus, die Mitglied des Failover Cluster werden sollen und führen Sie alle Tests aus.

Der Test versucht nun, alle Festplatten an allen Knoten zu erreichen. Sollte es hier zu Problemen kommen, wird Ihnen dies an dieser Stelle direkt angemerkt, nicht erst zu einem späteren Zeitpunkt während der Erstellung bzw. Konfiguration.

Sie können diesen Test natürlich auch per PowerShell starten, der Befehl hierzu lautet

Test-Cluster -Node FSNode1,FSNode2

Sie können jederzeit sehen, an welchem Punkt der Test sich gerade befindet

Nach Beendigung sehen Sie ein Ergebnis sowie den Pfad zu dem kompletten Bericht des Tests.

Schauen Sie sich diesen Test unbedingt an und korrigieren Sie potentielle Fehler. Sie können auch mit dem Parameter –ReportName einen Namen und einen Speicherort für den Bericht angeben, das macht die Suche einfacher.

Nachdem die Konfiguration nun überprüft wurde können Sie den Failover Cluster erstellen. Beenden Sie dazu den Überprüfungs-Assistenten und wechseln Sie in den Cluster erstellen-Assistenten. Fügen Sie die beiden Knoten hinzu

und wählen Sie einen Namen und eine IP-Adresse für das Failover Cluster. Da ich in meinem Fall kein Gateway gesetzt habe werde ich für alle Netze nach einer Adresse gefragt. An dieser Stelle deaktiviere ich alle Netze bis auf das Management-Netzwerk und setze nur in diesem Netzwerk eine IP-Adresse.

Achten Sie im nächsten Schritt unbedingt darauf, dass Sie den gesamten verfügbaren Speicher nicht automatisch hinzufügen lassen!

Nach einem Klick auf Weiter wird das Failover Cluster erstellt. Die Alternative per PowerShell wäre

New-Cluster –Name FSCluster1 –Node FSNode1,FSNode2 –StaticAddress `
    192.168.209.110 -IgnoreNetwork 192.168.207.0/24,192.168.208.0/24 –NoStorage

Nach der Erstellung können Sie das Failover Cluster über den Failover Cluster Manager administrieren und benutzen.

Die Konfiguration des Failover Cluster zur Nutzung als Scale-Out File Server

Nach der Erstellung müssen noch ein paar Einstellungen angepasst werden, bevor die Erstellung des hochverfügbaren Dateiservers beginnen kann.

Das Netzwerk

Die Netzwerke sind aktuell in einer recht unsagenden Reihenfolge benannt, dies möchten wir gerne ändern und sprechende Namen verwenden. Wechseln Sie im linken Menü auf Netzwerk und setzen Sie die Namen der Netzwerke so, wie sie auch auf den lokalen Hosts konfiguriert sind.

Per Hand geht dies über die Eigenschaften der einzelnen Netzwerke, per PowerShell mit den folgenden drei Zeilen

(Get-ClusterNetwork | where-object {$_.Address -eq "192.168.209.0"}).Name = "Management"
(Get-ClusterNetwork | where-object {$_.Address -eq "192.168.208.0"}).Name = "Storage1"
(Get-ClusterNetwork | where-object {$_.Address -eq "192.168.207.0"}).Name = "Storage2"

Nach der Umbenennung sehen die Netzwerke wie folgt aus

Neben dem Netzwerk sollte noch die Metrik der einzelnen Karten überprüft werden. Dies geht ausschließlich per PowerShell

Get-ClusterNetwork | ft Name, Metric, AutoMetric -AutoSize

In meinem Fall hat Storage2 die kleinste Metric, dies bedeutet diese Karte hat im Failover Cluster die höchste Priorität (Je kleiner die Metric, desto höher die Priorität; allerdings immer abhängig von den anderen Karten). Die hier automatisch gesetzten Werte sind in Ordnung, falls diese geändert werden sollen geht dies mit den folgenden Befehlen

(Get-ClusterNetwork "Management").Metric = 200
(Get-ClusterNetwork "Storage1").Metric = 100
(Get-ClusterNetwork "Storage2").Metric = 101

In diesem Beispiel wird Storage1 die Karten mit der höchsten Priorität, gefolgt von Storage2.

Ein Livemigration-Netzwerk müssen wir in dieser Art von Failover Cluster nicht aktiv konfigurieren, da keine VMs betrieben werden und somit auch kein RAM übertragen werden muss.

Zur Nutzung der beiden Storage-Karten für den Dateiserver später muss die Nutzung im Cluster umgestellt werden. Aktuell stehen die Netzwerke auf “Cluster only”, dies muss korrigiert werden auf “Cluster and Client”, da sonst kein Zugriff auf die Freigaben über diese Karten möglich ist. Setzen Sie die Option über die Gui

oder per PowerShell:

(Get-ClusterNetwork "Storage1").Role = 3

(Get-ClusterNetwork "Storage2").Role = 3

Die Rolle 1 bedeutet “Nur Cluster”, 3 bedeutet “Cluster und Client”.

Der Datenträgerpool

Um mit den Datenträgern in unserem JBOD arbeiten zu können wird ein Pool benötigt. Dieser Pool enthält alle HDDs und SSDs, die Erstellung kann per GUI oder per PowerShell vorgenommen werden.

Im Failover Cluster Manager wechseln Sie unter Speicher auf Pools und erstellen mit dem Menüpunkt Neuer Storage Pool eine neue Ansammlung von Datenträgern.

Im nächsten Schritt können Sie die Datenträger wählen, die Mitglied des Pools werden sollen. Sie sehen hier bereits die Größe, den Steckplatz, den Typ und weitere Informationen.

Unter Zuordnung bzw. Allocation belassen Sie alle Datenträger auf Automatisch, außer Sie wollen an dieser Stelle eine oder mehrere HotSpare-Datenträger definieren. Nach einem Klick auf Weiter sehen Sie eine Zusammenfassung, danach kann die Erstellung beginnen.

Per PowerShell können Sie den Pool wie folgt einrichten:

Suchen Sie im ersten Schritt nach allen verfügbaren Datenträgern

Get-PhysicalDisk | ft FriendlyName, CanPool, PhysicalLocation –AutoSize

Dieser Befehl listet Ihnen alle physischen Datenträger auf und zeigt Ihnen sowohl die Fähigkeit, einem Pool beizutreten als auch den Ort, an dem der Datenträger verbunden ist. In meinem Fall sehen wir auf dem System insgesamt 26 Datenträger, wovon 24 in meinem JBOD stecken

Datenträger 0 und 25 haben keine Informationen über den Aufenthaltsort, bei den anderen 24 Datenträgern erkennt man das JBOD. Mit der folgenden Zeile können Sie alle Festplatten zum Pool hinzufügen, achten Sie aber darauf die Seriennummer an Ihre eigene PhysicalLocation anzupassen.

New-StoragePool -FriendlyName Pool01 -StorageSubSystemFriendlyName *Spaces* `
    -PhysicalDisks (Get-PhysicalDisk | where PhysicalLocation -like *500093D001CEC000*)

Falls mehrere JBODs eingesetzt werden, sollte an dieser Stelle die Enclosure Awareness eingeschaltet werden. Dies geht ausschließlich per PowerShell und wird mit dem folgenden Befehl erreicht:

Get-StoragePool -FriendlyName Pool01 | Set-StoragePool -EnclosureAwareDefault $true

Überprüfen können Sie den Wert mit dem folgenden Befehl:

Get-StoragePool -FriendlyName Pool01 | ft FriendlyName, EnclosureAwareDefault -AutoSize

Nun haben wir einen Pool, der im nächsten Schritt als Grundlage für unsere virtuellen Datenträger genutzt werden kann.

Die Erstellung der virtuellen Datenträger

Bei der Erstellung der Datenträger sollten Sie (wie bereits in den Vorbemerkungen weiter oben angesprochen) darauf achten, dass Sie ausreichend Platz lassen, damit der Rebuild bei einem Ausfall schnell funktionieren kann. Ich nutze in diesem Aufbau insgesamt 24 Datenträger, wovon fünf SSDs mit jeweils 200 GB und 19 HDDs mit jeweils 1 TB Speicherplatz sind.

Rein theoretisch habe ich nun die folgenden Werte in meinem Scale-Out File Server:

• Anzahl JBODs: 1
• Coloums: 5, da insgesamt fünf SSDs vorhanden sind
• Freier HDD-Speicherplatz: ((19TB/19+ 8GB) * 1 = 1,008 TB
• Freier SSD-Speicherplatz: ((1000GB/5) + 8GB) * 1 = 208 GB

Wir erinnern uns, die Formel zur Berechnung ist

((Freier Speicherplatz/Anzahl der Datenträger) + 8GB) * Anzahl der Enclosure

Da wir ja alle seit der Erfindung von calc.exe eher weniger im Kopf rechnen möchten hier ein kleines Skript, welches die genaue Anzahl des freien Speicherplatz ausrechnet und in entsprechender Form ausgibt:

# j.kappen@rachfahl.de, 23.04.2014, Kalkulation des freien Speicherplatzes in einem StoragePool
# Ausgabe der vorhandenen Pools
Get-StoragePool
Write-Host ""
Write-Host ""

# Abfrage der Enclosure und des Pool-Namen
$anzahlenclosure = Read-Host "Geben Sie die Anzahl der Enclosure an"
$poolname = Read-Host "Geben Sie den Namen des Pools an, bei dem die Groessen berechnet werden sollen"

# Berechnung des SSD-Speichers
$disks = Get-StoragePool -FriendlyName $poolname | Get-PhysicalDisk | where MediaType -eq SSD
$ssdSpace = 0
$ssddiskCount = 0
foreach ($disk in $disks)
{
if ($disk.MediaType -eq "SSD")
{
$ssdSpace += $disk.Size
$ssddiskCount++
}
}

# Berechnung des HDD-Speichers
$disks = Get-StoragePool -FriendlyName $poolname | Get-PhysicalDisk | where MediaType -eq HDD
$hddSpace = 0
$hdddiskCount = 0
foreach ($disk in $disks)
{
if ($disk.MediaType -eq "HDD")
{
$hddSpace += $disk.Size
$hdddiskCount++
}
}

#Berechnung
$ssdSpaceinGB = $ssdSpace / 1024 / 1024 / 1024
$hddSpaceinGB = $hddSpace / 1024 / 1024 / 1024
$hddSpaceinTB = $hddSpace / 1024 / 1024 / 1024 / 1024
# ((Freier Speicherplatz/Anzahl der Datenträger) + 8GB) * Anzahl der Enclosure
$freessdspace = (($ssdSpaceinGB / $ssddiskCount) + 8) * $anzahlenclosure
$freehddspace = (($hddSpaceinGB / $hdddiskCount) + 8) * $anzahlenclosure

# Ausgabe der Ergebnisse
Write-Host -ForegroundColor Green "Kalkulation der empfohlenen Groessen"
Write-Host -ForegroundColor Green "————————————–"
Write-Host -ForegroundColor Green "Anzahl der SSDs:" $ssddiskCount
Write-Host -ForegroundColor Green "Gesamter SSD-Speicherplatz"
Write-Host -ForegroundColor Green "————————————–"
Write-Host -ForegroundColor Green $ssdSpace "Byte =>" $ssdSpaceinGB "GB"
Write-Host ""
Write-Host -ForegroundColor Green "————————————–"
Write-Host -ForegroundColor Green "Freier benoetigter SSD-Speicherplatz"
Write-Host -ForegroundColor Green $freessdspace "GB"
Write-Host ""
Write-Host ""
Write-Host -ForegroundColor Green "————————————–"
Write-Host -ForegroundColor Green "Anzahl der HDDs:" $hdddiskCount
Write-Host -ForegroundColor Green "Gesamter HDD-Speicherplatz"
Write-Host -ForegroundColor Green "————————————–"
Write-Host -ForegroundColor Green $hddSpace "Byte =>" $hddSpaceinGB "GB =>" $hddSpaceinTB "TB"
Write-Host ""
Write-Host -ForegroundColor Green "————————————–"
Write-Host -ForegroundColor Green "Freier benoetigter HDD-Speicherplatz"
Write-Host -ForegroundColor Green $freehddspace "GB"

Download: Berechnung_Freier_Speicherplatz_SOFS.txt

Das Skript fragt die Anzahl der Enclosure und den Namen des Pools ab und errechnet danach sowohl für SSDs als auch für HDDs den freien Speicherplatz.

Da wir nun den Speicherplatz ausgerechnet haben können wir mit der Erstellung der Datenträger fortfahren. Dies geht entweder per Failover Cluster Manager oder per PowerShell. Die GUI erlaubt ziemlich wenig Anpassungen gegenüber den Standardwerten, der wichtigste Punkt ist die Konfiguration der Blockgröße / des Interleave. Aus diesem Grund nehme ich die komplette Erstellung innerhalb der PowerShell vor.

Bei der Anzahl der Datenträger benötigen wir mindestens so viele Datenträger wie Cluster Knoten, in meinem Fall zwei. Zusätzlich kommt noch ein Quorum-Datenträger hinzu mit einer Größe von fünf GB. Dieser wird seit Server 2012 R2 immer benötigt, da immer ein Quorum zugewiesen wird und das Failover Cluster dynamisch mit dem Quorum arbeitet oder nicht, je nach Anzahl der Knoten. Da wir in diesem Aufbau zwei Server haben wir sowieso ein Quorum benötigt.

Die Erstellung des Quorum

Zur Erstellung des Quorum wird der folgende Befehl verwendet

Get-StoragePool Pool01 | New-VirtualDisk -FriendlyName "FSQuorum" -ResiliencySettingName "Mirror" -NumberOfDataCopies 3 -Size 5GB -Interleave 64KB

Dies bewirkt, dass im Storage Pool Pool01 ein neuer Datenträger mit dem Namen FSQuorum angelegt wird. Die Datensicherheit (Resiliency) ist ein Spiegel (Mirror), die Anzahl der Kopien sind 3 (d.h. es ist ein Drei-Wege-Spiegel). Die Größe wird mit 5 GB angegeben und die Interleave-Größe beträgt 64KB. Nach der Erstellung sieht der Datenträger im Failover Cluster Manager bzw. in der PowerShell wie folgt aus

Man erkennt, dass der Datenträger 8 GB groß geworden ist, trotz dem Befehl mit 5 GB. Dies liegt vermutlich an der Aufteilung der Daten auf den unterschiedlichen Festplatten, 8 GB scheint in diesem Fall die kleinste Größe zu sein. Bei knapp 20 TB an Speicherplatz ist dies aber nicht weiter tragisch.

Da ich bei der Erstellung nichts von einem Tiering angegeben habe, wurde dieser Datenträger komplett auf HDDs angelegt. Dies ist nicht weiter schlimm, auf dem Quorum-Datenträger wird sehr wenig geschrieben und gelesen, daher ist hier Tiering absolut nicht notwendig.

Damit ich das Laufwerk nutzen kann muss es nun noch formatiert werden. Dies geht entweder manuell über den Failover Cluster Manager (und auch nur, wenn der Wartungsmodus für den Datenträger aktiviert ist) oder ebenfalls per PowerShell. Achten Sie bei der Formatierung per GUI darauf, dass der Datenträger auf dem Host liegt, auf dem Sie die Formatierung machen möchten. In meinem Fall ist dies FSNode1.

# Datenträger auflisten
Get-VirtualDisk
Write-Host ""
Write-Host -ForegroundColor Red "Achtung, diese Aktion formatiert einen oder mehrere Datenträger!"
Write-Host ""
# Name abfragen
$vdName = Read-Host "Geben Sie einen Namen des Datenträger an, den Sie formatieren möchten"
# Lokalen Computernamen herausfinden und speichern
$ComputerName = $env:COMPUTERNAME
# Neuen, verfügbaren Datenträger auf den lokalen Knoten verschieben
Move-ClusterGroup “Available Storage” –Node $ComputerName
# Cluster-Ressourcen auflisten und einlesen
$clusterResource = Get-ClusterResource | where Name -like *$vdName*
# Wartungsmodus aktivieren
Suspend-ClusterResource $clusterResource
# Datenträger formatieren
Get-VirtualDisk $vdName | Get-Disk | New-Partition –UseMaximumSize | Format-Volume `
    –FileSystem NTFS –AllocationUnitSize 64KB –NewFileSystemLabel $vdName –Confirm:$false
#unset VirtualDisk Maintance Mode
Resume-ClusterResource $clusterResource

Download: Formatierung_Datentraeger_FailoverCluster.txt

Nach der Formatierung sieht der Datenträger im Failover Cluster Manager wie folgt aus

Die Erstellung der weiteren CSV-Datenträger

Im zweiten Schritt werden nun die CSV-Datenträger erstellt, in denen letztendlich die Daten der VMs gespeichert werden. Ich habe zwei Server, daher erstelle ich zwei virtuelle Datenträger. Um die korrekte Größe inkl. dem bereits erstellten Quorum zu setzen, hier ein weiteres Skript, welches auf die Daten aufbaut, die das vorherige Skript ausgeworfen hat.

$gesamtHDDSpace = Read-Host "Geben sie die gesamte HDD-Größe in GB ein"
$gesamtSSDSpace = Read-Host "Geben sie die gesamte SSD-Größe in GB ein"
$freierHDDSpace = Read-Host "Geben sie Reserve-Speicherplatz der HDDs in GB ein"
$freierSSDSpace = Read-Host "Geben sie Reserve-Speicherplatz der SSDs in GB ein"
$mirrorlevel = Read-Host "Geben Sie den Spiegel an, den Sie nutzen möchten (2 oder 3)"
$anzahlvdisks = Read-Host "Geben Sie die Anzahl der CSV-Datenträger ein"
Write-Host ""
$hddcsvsize = ($gesamtHDDSpace – $freierHDDSpace) / $mirrorlevel / $anzahlvdisks
$ssdcsvsize = ($gesamtSSDSpace – $freierSSDSpace) / $mirrorlevel / $anzahlvdisks
Write-Host -ForegroundColor Green "Größe des SSD-Speicherplatz:" $ssdcsvsize
Write-Host -ForegroundColor Green "Größe des HDD-Speicherplatz:" $hddcsvsize

Zur Erstellung werden die folgenden Zeilen Code genutzt:

# Storage-Tiers entfernen
Get-StorageTier | Remove-StorageTier

# Definiton
$poolName = "Pool01"
$ssdTierName = "SSD-Tier"+ $poolName
$hddTierName = "HDD-Tier"+ $poolName
$dataCopies = 3
$columnCount = 1

New-StorageTier -StoragePoolFriendlyName $poolName `
-FriendlyName $ssdTierName -MediaType SSD
New-StorageTier -StoragePoolFriendlyName $poolName `
-FriendlyName $hddTierName -MediaType HDD

$ssd_tier = Get-StorageTier | where FriendlyName -eq $ssdTierName
$hdd_tier = Get-StorageTier | where FriendlyName -eq $hddTierName
$ssdTierSize = 122GB
$hddTierSize = 2791GB

# Erstellung der Datenträger
New-VirtualDisk -StoragePoolFriendlyName $poolName `
-StorageTiers @($ssd_tier,$hdd_tier) `
-StorageTierSizes $ssdTierSize,$hddTierSize `
-ResiliencySettingName Mirror -NumberOfDataCopies $dataCopies `
-NumberOfColumns $columnCount -ProvisioningType Fixed `
-FriendlyName vDisk1 -Interleave 64KB -IsEnclosureAware:$true

New-VirtualDisk -StoragePoolFriendlyName $poolName `
-StorageTiers @($ssd_tier,$hdd_tier) `
-StorageTierSizes @($ssdTierSize,$hddTierSize) `
-ResiliencySettingName Mirror -NumberOfDataCopies $dataCopies `
-NumberOfColumns $columnCount -ProvisioningType Fixed `
-FriendlyName vDisk2 -Interleave 64KB -IsEnclosureAware:$true

Auf Wunsch können diese Datenträger nun auch noch per PowerShell formatiert werden. Hierzu wird das gleiche Verfahren wie bei dem Quorum-Datenträger genutzt.

# Datenträger auflisten
Get-VirtualDisk
Write-Host ""
Write-Host -ForegroundColor Red "Achtung, diese Aktion formatiert einen oder mehrere Datenträger!"
Write-Host ""
# Name abfragen
$vdName = Read-Host "Geben Sie einen Namen des Datenträger an, den Sie formatieren möchten"
# Lokalen Computernamen herausfinden und speichern
$ComputerName = $env:COMPUTERNAME
# Neuen, verfügbaren Datenträger auf den lokalen Knoten verschieben
Move-ClusterGroup “Available Storage” –Node $ComputerName
# Cluster-Ressourcen auflisten und einlesen
$clusterResource = Get-ClusterResource | where Name -like *$vdName*
# Wartungsmodus aktivieren
Suspend-ClusterResource $clusterResource
# Datenträger formatieren
Get-VirtualDisk $vdName | Get-Disk | New-Partition –UseMaximumSize | Format-Volume –FileSystem `
    NTFS –AllocationUnitSize 64KB –NewFileSystemLabel $vdName –Confirm:$false
#unset VirtualDisk Maintance Mode
Resume-ClusterResource $clusterResource

Nun sind zwei neue Datenträger vorhanden, jeweils mit einer Größe von 2,84 TB. Die Formatierung ist ebenfalls gemacht worden, die Blockgröße von 64KB wurde hierbei beachtet. In meinem Fall kann ich nur eine Coloum-Zahl von 1 verwenden, da fünf SSDs durch drei 1,66 sind. Alles nach dem Komma zählt nicht, die Coloum-Zahl beträgt 1. Um auf 2 zu kommen würde noch eine weitere SSD benötigt, für jede weitere Zahl drei weitere SSDs.

Damit diese Datenträger später als Speicher des Scale-Out File Server genutzt werden können müssen sie zu den Cluster Shared Volumes hinzugefügt werden. Dies geschieht entweder über den entsprechenden Punkt im Kontext-Menü oder per PowerShell:

Get-VirtualDisk
Write-Host ""
$vdName = Read-Host "Geben Sie den Namen des Datenträgers ein, der als CSV-Datenträger konfiguriert werden soll"
$clusterResource = Get-ClusterResource -Name "*$vdName*"
Add-ClusterSharedVolume -InputObject $clusterResource

Die Konfiguration der Quorum-Einstellungen

Als nächstes muss der 8 GB große Datenträger als Quorum-Datenträger konfiguriert werden. Dies geht über den Failover Cluster Manager über die erweiterten Befehle und dem Punkt Clusterquorumeinstellungen konfigurieren

Die Alternative per PowerShell:

Set-ClusterQuorum -NodeAndDiskMajority "Cluster Virtual Disk (FSQuorum)"

Mit diesem Schritt ist die Konfiguration schon beendet.

Die Erstellung und Konfiguration der Dateiserver-Rolle

Im nächsten Schritt müssen wir die Dateiserver-Rolle installieren und einrichten. Per GUI wird dies über Rollen – Rolle konfigurieren gemacht.

Wählen Sie den Dateiserver aus und bestätigen Sie die Auswahl mit Weiter.

Der nächste Schritt ist der wichtigste, an dieser Stelle wird die Art des Dateiserver ausgewählt. Der obere Punkt ist ein gewöhnlicher Dateiserver, der für die Ablage von Dateien genutzt werden kann. Dies wird in unserem Fall nicht benötigt, wir benötigen die untere Art von Dateiserver (im englischen als Scale-Out File Server bezeichnet, im deutschen als Dateiserver mit horizontaler Skalierung).

Unter Clientzugriffspunkt müssen Sie einen Namen für den Dateiserver eingeben. Unter diesem Namen ist der Server im Netzwerk erreichbar und ansprechbar. In meinem Fall nenne ich den Zugriffspunkt SOFS, d.h. mein Scale-Out File Server ist im Netzwerk unter \\SOFS\Share1 erreichbar.

Nach einer Überprüfung der AD auf ein evtl. schon vorhandenes Objekt mit diesem Namen bekommen Sie eine Zusammenfassung der Einstellungen, Sie sehen hier direkt die drei Subnetze, die von der Rolle genutzt werden.

Nach einem Klick auf Weiter beginnt die Erstellung der Rolle. Die Installation per PowerShell kann mit dem folgenden Befehl durchgeführt werden:

Add-ClusterScaleOutFileServerRole -Name "SOFS"

Als nächster Schritt kommt nun die Erstellung mehrerer Freigaben, auf die unsere Hyper-V Hosts zugreifen können. Wählen Sie im Kontextmenü der Dateiserver-Rolle den Punkt Freigabe hinzufügen.

Wenn Sie die folgende Meldung erhalten

haben Sie zwei Möglichkeiten. Entweder Sie holen sich jetzt einen Kaffee und versuchen es später erneut, oder Sie verschieben die Dateiserver-Rolle auf den Host, auf dem Sie gerade angemeldet sind. Falls dies immer noch nichts bringt und Ihr Failover Cluster-Manager Fehler bringt, die ein Berechtigungsproblem in Ihrem DNS anmerken (dies war bei mir der Fall, da die Objekte im DNS bereits vorhanden waren und nicht überschrieben werden konnten), gehen Sie wie folgt vor: Löschen Sie im DNS alle Einträge mit dem Namen des Scale-Out File Server. Erstellen Sie danach ein neues Objekt mit dem Namen und einer IP. Fügen Sie danach in den Sicherheitseinstellungen des DNS-Objekt das Computerobjekt hinzu und geben Sie ihm die Rechte zur Änderung des Eintrags:

Bestätigen Sie die Einstellungen und verschieben Sie die Dateiserver-Rolle erneut. Nun sollten keine Fehler mehr auftauchen und die Erstellung einer neuen Freigabe sollte ebenfalls funktionieren. Weiterhin werden alle IPs im DNS unter dem Namen der Rolle angelegt.

Es öffnet sich ein Assistent, der Sie durch die Erstellung der Freigabe führt. Als erstes müssen Sie ein Profil auswählen, um welche Art von Freigabe es sich handelt. Da wir VMs speichern möchten sollte das Profil Anwendungen gewählt werden

Im nächsten Schritt können Sie den Server wählen, hier ist direkt unsere Dateiserver-Rolle angewählt. im mittleren Bereich können Sie sehen, dass Sie hier nur die beiden CSVs auswählen können, keinen lokalen Pfad. Wir beginnen mit Volume1 und fahren im Assistenten fort.

Vergeben Sie nun einen Namen für die Freigabe. Ich habe sie in meinem Fall Share1 genannt. Sie können erkennen, wie sich der Name im unteren Bereich einträgt. An dieser Stelle können Sie bereits den kompletten Pfad sehen, über den Sie später Ihre VMs speichern.

Nach einem Klick auf Weiter sehen Sie, dass die erhöhte Verfügbarkeit eingeschaltet ist und auch nicht entfernt werden kann. Diese Option ermöglicht einen nahtlosen Betrieb der VMs, auch bei einem Ausfall oder einem Neustart eines der Datei Server-Knoten

Nun kommen wir zu einer sehr wichtigen Stelle: Die Konfiguration der Berechtigungen für diese Freigabe

Passen Sie diese Einstellungen wie folgt an: Wählen Sie Berechtigungen anpassen im unteren Bereich und deaktivieren Sie als erstes die Vererbung. Danach entfernen Sie die Benutzer-Berechtigungen auf dieser Freigabe, Benutzer haben an dieser Stelle nichts zu suchen. Fügen Sie danach die Computerkonten aller Hyper-V Hosts hinzu, die auf diese Freigabe zugreifen sollen. Zusätzlich fügen Sie das bzw. die Cluster-Objekte hinzu der Hyper-V Failover Cluster (falls Sie einen oder mehrere Hyper-V Failover Cluster betreiben). Zuletzt geben Sie den AD-Admins noch eine Berechtigung auf diese Freigabe.

Das Ergebnis sieht wie folgt aus

Nach einem Klick auf Weiter bekommen Sie eine kurze Zusammenfassung der Einstellungen, wenn diese korrekt sind können Sie die Freigabe erstellen.

Erstellen Sie eine zweite Freigabe, die auf dem Volume2 erstellt wird. Die Einstellungen bleiben die gleichen, nur der Name ändert sich. Das Resultat sieht wie folgt aus

Die Einrichtung per PowerShell sieht wie folgt aus:

# Konfiguration_NTFS_Berechtigungen.ps1 – Jan Kappen – j.kappen@rachfahl.de
# Erstellung einer neuen Freigabe für die SOFS-Rolle und Anpassung
# der Rechte. Eine Anpassung ist notwendig an den markierten Stellen
#
# Konfiguration des Namen
# Anpassung notwendig!
$Sharename = "Share6"
$Volumename = "Volume1"
# Erstellen des neuen Ordners
New-Item -Name $Sharename -ItemType Directory
mkdir C:\ClusterStorage\$Volumename\Shares\$Sharename
# Erstellung eines neuen Shares mit HA und ohne Caching
#
# Falls die Quorum-Freigabe erstellt werden soll, kann der Parameter
# -ContiniousAvailable auf $false angepasst werden
#
New-SmbShare -Name $Sharename -Path C:\ClusterStorage\$Volumename\Shares\$Sharename `
-CachingMode None -FullAccess "everyone" -ContinuouslyAvailable $true
# Anzeige der Berechtigungen
Get-Acl "C:\ClusterStorage\$Volumename\Shares\$Sharename" | fl
# Benutzer aus den Rechten entfernen
$colRights = [System.Security.AccessControl.FileSystemRights]"Read"
$InheritanceFlag = [System.Security.AccessControl.InheritanceFlags]::None
$PropagationFlag = [System.Security.AccessControl.PropagationFlags]::None
$objType =[System.Security.AccessControl.AccessControlType]::Allow
$objUser = New-Object System.Security.Principal.NTAccount("BUILTIN\Users")
$objACE = New-Object System.Security.AccessControl.FileSystemAccessRule `
($objUser, $colRights, $InheritanceFlag, $PropagationFlag, $objType)
$objACL = Get-ACL "C:\ClusterStorage\$Volumename\Shares\$Sharename"
$objACL.RemoveAccessRuleAll($objACE)
Set-ACL "C:\ClusterStorage\$Volumename\Shares\$Sharename" $objACL
# Anzeige der Berechtigungen
Get-Acl "C:\ClusterStorage\$Volumename\Shares\$Sharename" | fl
# Besitzer konfigurieren
$acl = Get-Acl "C:\ClusterStorage\$Volumename\Shares\$Sharename"
$acl.SetOwner([System.Security.Principal.NTAccount] "Administrators")
Set-Acl C:\ClusterStorage\$Volumename\Shares\$Sharename $acl
#
$acl = Get-Acl C:\ClusterStorage\$Volumename\Shares\$Sharename
$acl.SetAccessRuleProtection($True, $False)
#
# Anpassung der Systemnamen sowie des Failover Cluster-Objekts notwendig!
#
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule `
("Powerkurs\Hyperv14$","FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule `
("Powerkurs\Hyperv15$","FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule `
("Powerkurs\powercluster1$","FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule `
("Powerkurs\domain admins","FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule `
("SYSTEM","FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule `
("CREATOR OWNER","FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
Set-Acl C:\ClusterStorage\$Volumename\Shares\$Sharename $acl
# Erneute Anzeige der Einstellungen
Get-Acl C:\ClusterStorage\$Volumename\Shares\$Sharename  | Format-List

Download: PowerShell Skript: Konfiguration_NTFS_Berechtigungen

Die Erstellung einer Freigabe zur Nutzung als Quorum

An dieser Stelle müssen wir noch eine weitere Freigabe erstellen, die als Quorum für unser Hyper-V Failover Cluster genutzt wird. Bei dieser Freigabe gibt es eine kleine Besonderheit: Sie sollte nicht dauerhaft zur Verfügung stehen, heißt wir konfigurieren diese Freigabe ein wenig anders. Diese Konfiguration kann allerdings erst nach der Erstellung gemacht werden, die Erstellung ist gleich wie bei den beiden Shares oben. In welchem Volume Sie die Freigabe erstellen ist grundsätzlich egal, ich lege sie in meinem Fall auf Volume1.

Nach der Erstellung sehen Sie einen weiteren Share:

An dieser Stelle wechseln wir in die Eigenschaften von dieser Freigabe und konfigurieren in den Einstellungen die erhöhte Verfügbarkeit so, dass diese nicht markiert ist

Nun kann die Einstellung übernommen werden und die Freigabe ist korrekt konfiguriert.

Quelle: Failover Clustering and Network Load Balancing Team Blog – Configuring a File Share Witness on a Scale-Out File Server

Dieser Vorgang funktioniert auch mit dem oben verlinkten Skript, im oberen Teil bei der Erstellung der Freigabe müssen Sie eine Anpassung bei dem Parameter –ContiniouslyAvailable machen (weitere Infos im Skript), danach wird eine passende Freigabe erstellt.

Nach dieser Anpassung ist der Aufbau im groben komplett. Sie können nun per \\sofs\Share1 oder \\sofs\Share2 auf die beiden Freigaben zugreifen, zusätzlich kann die dritte Freigabe als Quorum-Ablage genutzt werden.

Noch ein paar Worte zu Zugriffszeiten, Benchmarks usw…

Wenn Sie das erste Mal auf die neu erstellten Freigaben zugreifen, kann es einige Zeit dauern, bis das Verzeichnis aufgerufen werden kann und Sie durch die Ordner navigieren können. Dies ist normal, es braucht einen kleinen Moment bis die Verzeichnisse erstmals aufgerufen werden können. Lassen Sie sich hier nicht beunruhigen. Wenn Sie während der Einrichtungs- bzw. Test-Phase das komplette Cluster herunterfahren oder alle Server gleichzeitig neustarten kann es nach dem Start ebenfalls einige Zeit dauern, bis alle Zugriffe wieder problemlos und ohne Verzögerung passieren. Planen Sie hier bitte ebenfalls ein paar Minuten ein, bis alles wieder flüssig und sauber läuft. Im Betrieb sind diese kompletten Ausschaltungen eher selten, daher passiert dies meist bei Simulationen von Problemen oder der kompletten Abschaltung des Dateiserver Cluster.

Wenn Sie einen Performance-Test Ihres neu erstellten Scale-Out File Server machen möchten, fällt Ihnen wahrscheinlich als erstes die Kopie einer Datei auf einen der beiden Shares ein. Dies können Sie zwar machen, lassen Sie sich aber nicht von den Werten abschrecken, die sie während des Kopiervorgangs bekommen. Ein Scale-Out File Server speichert alle Blöcke ungepuffert. Dies wirkt sich bei Datei-Kopier-Operationen negativ aus, bei dem eigentlichen Betrieb des Speichers (der Ablage von VM-Daten) ist dies aber notwendig, damit alle Dateien und Blöcke immer definitiv auf den Platten landen, und nicht in irgendeinem Cache, der bei einem Stromausfall verfallen würde. Ein besserer Benchmark-Test wäre der Betrieb von einigen VMs, in denen mit Hilfe von Last- oder Benchmark-Tools I/O erzeugt wird. Selbst bei diesem Test gibt es wiederum einige Dinge, die beachtet werden sollten. Eine VM alleine reicht nicht, erst die Summe einiger VMs erzeugt (vielleicht) die Art von Last, die im späteren Betrieb auch auf dem System anliegt. Die Tiering-Funktion greift erst dann, wenn eine Umsortierung der Blöcke stattgefunden hat. Dies passiert, wie weiter oben erwähnt, standardmäßig täglich um 1:00 Uhr nachts. Eine Verbesserung der Benchmark-Werte (z.B. bei einem dauerhaften Benchmark) zeigt sich somit erst nach frühestens einem Tag.

Die Nutzung eines Skripts zur kompletten Failover Cluster-Erstellung

Die in diesem Beitrag genutzten Skripte sind fast alles Teilbereiche eines Skripts, welches mein Kollege Carsten Rachfahl bereits in einem Video genutzt und für unsere Zwecke angepasst hat. Das Skript kann ein komplettes Failover-Cluster inkl. Berechnung der Größen, Aufteilung und Erstellung der Datenträger usw. erstellen. Das Skript sowie das ziemlich sehenswerte Video finden Sie hier: Hyper-V-Server.de: Einen bestehenden Scale-Out Fileserver um SSDs erweitern

An diese Stelle ist die Einrichtung im großen und ganzen abgeschlossen. Je nach Umgebung stehen nun noch weitere Schritte an, spontan fällt mir hier noch das Thema Backup ein.

Die Presse hat es hinlänglich berichtet: Laut der US-Sicherheitsfirma Hold Security haben russische Hacker rund 1,2 Milliarden Profildaten (Logins und Passwörter) sowie rund 500 Millionen E-Mail-Adressen von 420 000 Websites erbeutet. Für deutsche Internet-Nutzer gibt es bisher keine Hinweise, ob sie von dem rekordverdächtigen Daten-Diebstahl betroffen sind. Im Zusammenhang mit solchen Datenlecks kommt auch immer die Frage auf, wie gut Passwörter eigentlich auf Windows-Systemen beziehungsweise in Windows-Netzwerken geschützt sind.

Das Mittel der Wahl zum Absaugen von Passwörtern im Windows-Umfeld sind “Pass-the-Hash” (PtH)-Angriffe. Ein PtH-Angriff ähnelt stark dem Passwort-Klau (“password theft attack”), basiert aber auf dem Absaugen und Weiterverwenden von verschlüsselten Passwort-Hashwerten – also den einmaligen mathematische Entsprechungen der Passwörter. Diese können auch direkt zur Authentifizierung verwendet werden, um zum Beispiel Dienste zu nutzen, die nur durch eine einmalige Anmeldung (Single Sign-On, SSO) geschützt sind. PtH ist ein spezieller Typ des Profildaten-Diebstahls, der weit verbreitet ist und Verunsicherungen auf der Seite der Nutzer verursacht.

Um diese Technik zu nutzen, muss ein Angreifer zuerst lokalen Admin-Zugriff auf einem Computer haben, um die Profildaten von der Festplatte oder aus dem Speicher auszulesen und zu stehlen. Auf diesem privilegierten Level kann der Angreifer nicht nur die Passwort-Hashes abgreifen, sondern auch andere Profildaten, die auf dem kompromittierten Computer gespeichert sind. Lokalen Admin-Zugriff bekommt der Angreifer, indem er entweder den lokalen Admin-Account kompromittiert, oder einen Domain-Account hackt, der Zugriff auf eine lokale Admin-Gruppe hat.

Per PtH kann ein Angreifer, der einen einzelnen Computer kompromittiert hat, auch auf andere, mit diesem verbundene Rechner zugreifen. Dazu gehören auch Domain Controller und andere Server, auf denen relevante Informationen liegen. Deshalb kann das Minimieren des Risikos eines PtH-Angriffs die Sicherheit einer Active-Directory-Umgebung wesentlich verbessern.

Weitere Informationen, wie Windows-Anwender – vor allem in Unternehmen – sich gegen diese Angriffe schützen können, hat Microsoft online zusammengestellt. Ebenso detaillierte Informationen, wie Windows Passwörter verschlüsselt, speichert und schützt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

Microsoft hat ein neues Update für das Enhanced Mitigation Experience Tool (EMET) 5.0 veröffentlicht, unter anderem zwei neue Exploit Mitigations und neue Konfigurationsmöglichkeiten mitbringt. Das Update kommt sechs Monate nach der technischen Preview von EMET 5.0, die im Februar dieses Jahres veröffentlicht wurde. 

Das Update enthält eine "Attack Surface Reduction" (ASR), die Windows-Admins bestimmen lässt, wann und wo Plugins wie Java oder Adobe Flash auf einem Windows Rechner laufen dürfen. Beide sind beliebte Ziele von Hackern. Durch die neue Funktion kann beispielsweise das Laden von Java-Anwendungen auf Internet-Seiten verhindert, auf Intranet-Seiten aber erlaubt werden. Mit dem Tool "Export Address Table Filtering Plus" werden zwei neue Möglichkeiten eingeführt, um moderne Angriffsarten zu verhindern. Dazu gehört auch ein Schutz namens "Page Guard", mit dem das unerwünschte Auslesen von Arbeisspeicherbereichen verhindert werden kann.

Weitere Infos von Microsoft zum Update von EMET 5.0 finden sich auf den Webseiten der US-Kollegen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

Nahezu jeder dürfte auf Facebook schon einmal entsprechende Statusmeldungen gesehen haben: Ein angeblich unglaubliches Video verspricht noch nie Dagewesenes oder etwas unglaublich skandalöses. Aktuell kursiert etwa ein vermeintlicher Ausraster von Pamela Anderson, bei dem die Baywatch-Blondine in einem Interview unflätig werden soll.

Wer allerdings auf den jeweiligen Link klickt, erlebt unter Umständen eine böse Überraschung. Denn statt dem versprochenen Video muss man meist erst eine spezielle Facebook-Anwendung installieren, erst dann würde man den Zugriff erhalten.

Der Haken an der Sache: Diese Applikationen genehmigen sich – wenn der Nutzer der Installation zustimmt – großzügig Rechte. Das reicht vom Abfragen aller Nutzerdaten über den Zugriff auf die Informationen und Fotos von Freunden bis hin zur Möglichkeit, selbst Nachrichten auf der Pinnwand zu veröffentlichen. Letzteres wird anschließend sofort genutzt, um die jeweilige Spam-Botschaft sofort über das Profil weiterzuverbreiten.

Damit das eigene Profil vor solchen Angriffen geschützt ist, hilft in erster Linie Information. Inzwischen gibt es zahlreiche Anlaufstellen. Eins der umfangreichsten Blogs, das sich mit Scammern und Spammern auf Facebook beschäftigt, ist Facecrooks („crook“ steht im Englischen unter anderem für „Betrüger“). Die Macher sehen sich die jeweils neu gemeldeten Angriffe im Detail an, erklären die Attacke und zeigen, wie man sein Profil davon wieder säubern kann.

Wer seine Informationen lieber auf Deutsch erhalten möchte, dem hilft die Webseite mimikama.at. Hier wird nicht nur vor Angriffen gewarnt. Vielmehr erklären die Autoren auch, warum es beispielsweise Dinge wie Likejacking überhaupt gibt und wie Kriminelle damit Geld verdienen. Vorteil hierbei ist, dass nicht nur englische Attacken besprochen werden, sondern ein starker Fokus auf deutschsprachigen Scam-Meldungen liegt. Zudem gibt es eine Präsenz in Facebook selbst – wer hier ein Fan wird, erhält die neuen Informationen direkt auf seiner Pinnwand.

Um das eigene Profil vor diesen Scams zu schützen, hilft aber vor allem ein Tipp, der auch das Motto von Mimikama ist: Erst denken – dann klicken.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Laut eines Sicherheitsreports der Deutschen Telekom überblickt fast die Hälfte (49 Prozent) der befragten Eltern nicht, was ihre Kinder im Internet tun. Die Hälfte (50 Prozent) erklärt dagegen, dass sie gut über die Aktivitäten ihrer Kinder im Internet Bescheid wüssten.

Bedenklich sei nach Ansicht der Studienautoren, dass 43 Prozent der Eltern, die nach eigenem Bekunden keinen Überblick über die Aktivitäten ihrer Kinder im Internet haben, das Gefühl haben, ihre Kinder wissen nicht ausreichend über die Gefahren im Internet Bescheid.

Zwei von drei Befragten der Sicherheitsstudie befürchten, dass ihre Kinder im Internet zu viel von sich Preis geben - und zu lange online sind. 62 Prozent haben Angst davor, dass Kriminelle über Chats oder Foren Kontakt mit ihren Kindern aufnehmen könnten, Und 58 Prozent befürchten, dass Fotos der Kinder ohne Wissen der Eltern ins Internet gestellt werden.

Informationen für Eltern, wie sie ihre Kinder im Internet schützen können, gibt zum Beispiel die Webseite “Schau hin, was Dein Kind mit Medien macht”. Hier geben Experten Tipps für Eltern, damit ihre Kinder den richtigen Umgang mit Smartphone und Spielkonsole lernen und klären über die Gefahren auf, die im Internet drohen. Zum Beispiel die tägliche Nutzungsdauer zu begrenzen und bestimmte Seiten im Internet für Kinder zu filtern. Tipps zum sicheren Umgang mit Passwörtern und persönlichen Informationen von Kindern und Jugendlichen gibt Microsoft im “Safety & Security Center”.

Wirklich schlechte Erfahrungen im Netz gemacht haben nach Angaben der Eltern nur wenige Kinder: Nur knapp 20 Prozent der Eltern berichtet beispielsweise davon, dass ihre Kinder pornographische Filme oder Gewaltvideos gesehen und illegal Musik oder Filme heruntergeladen haben. Man kann nur hoffen, dass diese Einschätzung auch der Realität entspricht.

Die Zukunft der Internet-Sicherheit schätzen die Befragten kritisch ein: 91 Prozent gehen davon aus, dass die Gefahren durch Datenbetrug im Internet, Computerviren, Missbrauch persönlicher Daten durch andere Nutzer und Unternehmen in Zukunft zunehmen werden.

Der Sicherheitsreport 2014 stützt sich auf insgesamt 1.503 Interviews mit einem repräsentativen Querschnitt der Bevölkerung ab 16 Jahren. Befragt wurden außerdem gezielt Eltern von 6- bis 17-jährigen Kindern und Jugendlichen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

Am 14. August veröffentlicht Microsoft ein kritisches Update für Windows XP, Server 2003, Server 2003 R2, Vista, Server 2008, Windows 7 und Server 2008 R2. Dieses behebt zwar keine direkte Schwachstelle, erhöht aber die allgemeine Sicherheit für Windows - denn ab diesem Zeitpunkt werden kryptografische Schlüssel mit weniger als 1024 Bit blockiert.

Uns ist allerdings klar, dass nicht alle Kunden diese Maßnahme sofort umsetzen können (oder wollen). Daher gibt es mehrere Möglichkeiten, das Update zu umgehen oder dessen Funktion zu blocken. Das funktioniert über die Registry oder das Certutil-Tool. Die Eingabe von „Certutil -setreg chain\minRSAPubKeyBitLength 512“ etwa blockt nur Schlüssel, die weniger als 512 Bit besitzen. Außerdem lässt sich für das Root-Zertifikat eine Ausnahme definieren. Über den Befehl „Certutil -setreg chain\EnableWeakSignatureFlags 2“ wird ein Root-Zertifikat erlaubt, das 512 Bit besitzen darf, alle nachfolgenden Keys müssen aber mindestens 1024 Bit besitzen.

Zudem werden nicht alle Keys automatisch ungültig. Wer Authenticode-Signaturen im Einsatz hat, die vor dem 01. Januar 2010, 12 Uhr (MEZ) mit einem Key, der weniger als 1024 Bits nutzt, gezeichnet wurden, dessen Einträge werden nicht geblockt. Dieser Zeitraum lässt sich anpassen, der entsprechende Schalter in Certutil lautet WeakRsaPubKeyTime. Wer beispielsweise das Datum auf den 29. August 2010 ändern will, erreicht das mit dem Befehl: certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010.

Weitere Befehle und die entsprechenden Einstellung in der Registry erläutert dieser Blogeintrag der US-Kollegen. Die Änderungen in der Verwaltung der Schlüssel sind aus einem einfachen Grund notwendig: Die Schlüssel müssen stark genug sein, dass Angreifer sie nicht innerhalb einer vernünftigen Zeitspanne knacken können. Die Kriterien für RSA-Schlüssel liegen hier, zumindest unserer Meinung nach, bei einer Mindestschlüssellänge von 1024 Bit.

Das Update wird aber wahrscheinlich nicht ohne Ruckeln ablaufen. Der erwähnte Blogeintrag führt einige der Fehler auf, die durch das Update auftreten können. Grundsätzlich können alle Komponenten Fehler auswerfen, die mit Verschlüsselungen arbeiten. Das betrifft etwa SSL-basierte Webdienste, Zertifikate, verschlüsselte E-Mail oder Active-X-Komponenten. Um die Probleme zu minimieren, wird Microsoft kurz vor dem Update am 14. August einen weiteren Blog-Eintrag mit weiteren Informationen, möglichen Fehlern und entsprechenden Lösungen oder Workarounds veröffentlichen. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.  

Laut Secunia PSI Country Report für das zweite Quartal 2014 verwenden zehn Prozent der deutschen, 9,3 Prozent der österreichischen und 8,4 Prozent der schweizerischen Nutzer einen Computer mit nicht aktualisiertem Betriebssystem. Betroffen von der Update-Müdigkeit ist vor allem Windows, dabei handelt es sich vor allem um ungepatchte Versionen von Windows 7, Windows 8 und Windows Vista. Dies ist insofern ungewöhnlich, da Windows ja mit dem automatischen Updatemechanismus Windows Update ausgeliefert wird, der neue Patches selbständig herunterlädt und installiert. Mehr zu Windows Update und zum Check, ob der Mechanismus aktiv ist, auf unserer Webseite.

Laut Secunia sind auch zehn bis elf Prozent der Drittanbieter-Programme auf einem durchschnittlichen PC in Deutschland, Österreich oder der Schweiz nicht auf dem aktuellen Stand. Das heißt, dass an sich  Sicherheitsupdates nicht installiert werden. Und rund fünf Prozent der Programme werden sogar vom Hersteller nicht mehr unterstützt („End-of-Life“-Programme), teilt Secunia mit.

In Deutschland, Österreich und der Schweiz setzen mehr als zwei Drittel der Nutzer Versionen des Adobe Flash Players 13 ein, die bereits das Ende des Lebenszyklus erreicht haben, so Secunia. Die Mehrheit der Anwender nutze immer noch die Vorgängerversion, obwohl diese ungepatchte Schwachstellen aufweist.

Secunia ermittelte auch, dass auf einem durchschnittlichen PC in Österreich 38 Prozent aller Programme von Microsoft stammt und 62 Prozent von Drittanbietern. Diese sind die Ursache für 48 Prozent der gefundenen Schwachstellen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Das neue Surface Pro 3 ist ideal, wenn Ihre Mitarbeiter zwar ein Tablet wollen, aber einen Laptop brauchen. Mit seiner Ausstattung und seinen Features erfüllt es alle Anforderungen an ein business-fähiges Tablet und ist für den Einsatz im Unternehmen optimiert.

Deployment leicht gemacht – Das Deployment ist über die USB 3.0 Schnittstelle so einfach zu lösen, wie mit keinem anderen Tablet. Mit den beiden Technologien Microsoft Deployment Toolkit 2013 Server und Windows Server 2012 R2 WDS Server ist die Bereitstellung von Windows 8.1 Enterprise X64 Update in wenigen Schritten vorbereitet und durchgeführt. Mit dem PXE Boot eines MDT 2013 Lite Touch Images direkt vom WDS Server integriert sich das Surface Pro 3 nahtlos und einfach in die bestehende IT-Infrastruktur.

Für Unternehmen optimiert – Mit der Docking Station kann das Surface Pro 3 jeden Desktop-PC ersetzen. Das 12“-HD-Display ist sowohl kompakt als auch im vorteilhaften 3:2-Format. Ein unschlagbares Duo bilden der Surface Pen und OneNote. Auf Konferenzen und in Meetings lassen sich hier im Handumdrehen Notizen machen und Fotos ablegen. Mit dem integrierten TPM-Chip können außerdem virtuelle SmartCards auf dem Surface Pro 3 anlegen.

Performance ohne Einschränkung – Die drei frei wählbaren, performanten Prozessoren (Intel i3, i5 und i7). ermöglichen Ihren Mitarbeitern produktives Arbeiten im Büro, zu Hause aus und unterwegs. Mit der Smartphone-Pairing-Funktion verbindet sich das Surface mit einem einzigen Klick mit dem Internet. Das Einschalten des Tetherings auf dem Smartphone und die Anschaffung einer zweiten SIM-Card entfallen. Surface und Smartphone sind über den Bluetooth 4.0 Standard mit der energiesparenden Low Energy-Technologie verbunden. Das schont den Akku und trägt dazu bei, dass das Surface jeden Betriebsdauer-Vergleich mit einem herkömmlichen Laptop um Längen gewinnt.

Erste Eindrücke – Unsere Community Expertin Martina Grom hat das Surface Pro 3 sofort für Sie getestet und ihre Eindrücke in einem Blogbeitrag festgehalten. Ihr Fazit: Es ist schnell und macht Spaß.

Das Surface Pro 3 ist für Geschäftskunde ab sofort erhältlich – Informieren Sie sich bei Ihrem autorisierten Reseller

Dieser Gastbeitrag wurde uns freundlicherweise von der AvePoint Deutschland GmbH zur Verfügung gestellt. Autor ist Robert Mulsow.

Suche und Übertragung von Nutzerrechten

SharePoint bietet die ideale Möglichkeit, um Nutzern Zugang zu Informationen zu gewähren und gleichzeitig vertrauliche Informationen vor unerwünschtem Zugang zu bewahren. Grundlage für diese Möglichkeit ist das Berechtigungskonzept im SharePoint, welches hierarchisch aufgebaut ist. AD Nutzer und Gruppen werden entweder in SharePoint Gruppen integriert (Best Practice) oder einem bestimmten Berechtigungslevel zugewiesen, z.B. dem Level „Besucher“. Zu diesem Level „Besucher“ gehören nun explizite Rechte, wie das Lesen von SharePoint-Seiten inkl. aller Funktionselemente wie Masterpage, Ansichten etc., sowie das Öffnen von Dokumenten. Dies ist gleichzeitig das letzte Element der Kette, das Objekt, auf das entsprechende Rechte angewendet werden.

Basierend auf diesem Konzept muss ein SharePoint Administrator von unten nach oben planen. Er muss sich überlegen, auf welche Objekte er welchen SharePoint oder AD Nutzern und Gruppen mit welchen Berechtigungen Zugang ermöglichen möchte. Dabei ist ein weiterer Best Practice Ansatz sehr hilfreich: So viele Rechte wie nötig, aber so wenige wie möglich vergeben!

Das ist in kleinen Umgebungen, die z.B. aus einem kleinen Intranet mit einem Farm Administrator und wenigen Nutzern, die Lesen und Beitragen dürfen, gar kein Problem. Was ist jedoch, wenn es mehrere Webapplikationen gibt? Als Beispiel kann man dazu ein standardisiertes Intranet Portal und eine Projekt-Webapplikation betrachten, in der es ad-hoc Projektseiten mit manuellen Rechtevergaben gibt. Weitere Beispiele sind Wiki-Seiten, die Verwendung von Content Deployments usw.… Dann kann es ganz schnell unübersichtlich werden.

Im Idealfall gäbe es im SharePoint eine Auflistung darüber, wer welche Berechtigungen hat. Leider ist dies nicht der Fall. Hier ein Beispielszenario: Sie sind SharePoint Administrator in einem größeren Unternehmen, das demzufolge auch eine größere SharePoint Farm hat. Ein Mitarbeiter, dem schon innerhalb der Farm auf verschiedenen Ebenen Rechte zugewiesen wurden – zum Teil auch manuell und direkt vergeben – möchte sich weiterentwickeln. Ein neuer Mitarbeiter soll seinen Platz einnehmen. Somit braucht dieser idealerweise die gleichen Rechte, damit auch er die erforderlichen Aufgaben erfolgreich absolvieren kann.

Daraus ergeben sich drei Konstellationen:

1. Wie finden Sie all die Rechte heraus, die der bestehende Mitarbeiter in der gesamten Farm hat?

2. Wie können Sie all diese Rechte an den neuen Mitarbeiter übertragen?

3. (Im schlechtesten Fall:) Der Mitarbeiter verlässt das Unternehmen und zusätzlich müssen Sie nun den Account aus allen SharePoint User-Tables löschen.

Wie können diese Szenarien nun am effizientesten im SharePoint abgebildet werden?

1. Sie gehen in jede einzelne Seite, Liste und im worst case (Item-Level-Permission) sogar auf jedes einzelne Objekt, suchen die entsprechenden Berechtigungen zusammen und dokumentieren diese. Denken Sie dabei auch an den berühmten „Limited Access“! Diese Vorgehensweise würde Monate in Anspruch nehmen.

2. Angenommen, Sie haben alle Berechtigungen sauber dokumentiert, dann müssen Sie dennoch, wie in Punkt 1 beschrieben, jedes einzelne Objekt im SharePoint auswählen, um dem neuen Nutzer die dortigen Rechte zuzuweisen. Ebenso kein praktikabler Ansatz. Sie möchten den Prozess abkürzen, indem Sie dem neuen Nutzer direkt „Full Control“ auf vielen, wenn nicht sogarallen Ebenen, vergeben. Zwar mag das Problem mit fehlenden Berechtigungen dann beseitigt sein, aber wie steht es bei diesem Vorgehen um Ihre Compliance-Richtlinien? Sehr wahrscheinlich ist auch dieser Ansatz wenig praktikabel.

3. Sie können den betroffenen Nutzer aus Ihrem AD deaktivieren oder ganz löschen. Der User Profile Synchronization Service erkennt diese Änderung im ersten Sync (setzt eine Flag) und löscht den Nutzer beim zweiten Sync aus dem User Profile Service. Der Nutzer bleibt jedoch in allen User-Tables bestehen, sodass weder Deaktivieren noch Löschen eine saubere Lösung ist, um den Nutzer komplett aus Ihrer SharePoint Umgebung zu entfernen.

Um das Berechtigungs-Management effizienter zu gestalten und stressfrei nach allen Nutzerberechtigungen zu suchen und um diese möglichst einfach übertragen zu können, muss man auf andere Lösungen, wie die „Security Search“ im DocAve Administrator der Firma AvePoint, zurückgreifen. Dort gibt es die Möglichkeit, einen kompletten Scan der Farm durchzuführen, entweder für einen bestimmten User oder für alle. Der Scan kann noch zusätzlich auf Site Collection, Site usw. eingegrenzt oder sogar ein eigener Filter gesetzt werden. So wird sauber ausgewertet, welcher Nutzer welche Rechte im betreffenden Geltungsbereich hat.

Für das zweite Szenario können die ausgelesenen Rechte verwendet und einfach auf einen neuen Nutzer geklont oder übertragen werden. Auch dieser Schritt ist in kurzer Zeit erledigt.

Für das dritte Szenario gibt es den sogenannte „Dead Account Cleaner.“ Mit einem einfachen Befehl kann die Farm nach sogenannten Dead Accounts, also deaktivierten Accounts, abgesucht und diese dann komplett aus der SharePoint Farm herausgelöscht werden. Es besteht zusätzlich die Möglichkeit, die Rechte, die der deaktivierte Account hatte, auf einen neuen Nutzer zu übertragen. Auch dieser Schritt ist mit wenigen Klicks erledigt und erspart dem SharePoint Administrator sehr viel Arbeit.

Sie können natürlich auch das Rechtemanagement stark eingrenzen und nur mit Rechte-Vererbungen arbeiten. Dies erfordert allerdings sehr präzise Planung, und nimmt dem SharePoint seine Flexibilität. Nutzern könnte so eventuell kein angemessener Zugang zu notwendigen Daten bereitgestellt werden, was sich wiederum negativ auf die Produktivität auswirkt.

Jeder Administrator wird früher oder später auf oben beschriebene Probleme stoßen. Um diesen entgegen zu wirken und den Mehrwert von SharePoint voll auszuschöpfen, muss sich jeder Administrator daher mit der dynamischen und flexiblen Rechtevergabe auseinandersetzen. Zu diesem Zeitpunkt ist es gut zu wissen, dass es dafür adäquate Lösungen gibt.

Viel Spaß beim „SharePointen“!

Eine neue Angriffswelle über mit Malware infizierte ICS (Industrielle Kontrollsysteme)/SCADA-Hersteller-Seiten haben Sicherheitsexperten von F-Secure entdeckt. Besonders Perfide: Für die im Stil einer so genannten Wasserloch-Attacke ausgeführten Angriffe haben die Kriminellen an sich legitime Downloads auf Webseiten von Herstellern aus dem ICS-Umfeld mit Trojanern infiziert. Ziel der Angriffe: Offenbar kommerzielle Spionage und die Übernahme von industriellen Kontrollsysteme.

F-Secure hat nach eigenen Angaben seit einem Jahr eine Hackergruppe überwacht, die hinter der Havex-Malware-Familie steht. In der Vergangenheit wurde ein Remote-Access-Trojaner (RAT) dazu benutzt, um Energiefirmen ins Visier zu nehmen, wie die Experten von Crowdstrike berichten.

In den letzten Monaten hat F-Secure 88 Havex-Varianten untersucht, sowie 146 C&C Server und 1500 IP-Addressen. Die Untersuchung hat ergeben, dass sich der Fokus der Hackergruppe zunehmend auf industrielle Kontrollsysteme richtet.

Die Hacker verbreiteten Havex – wenig überraschend – über Spam-E-Mails und durch Exploit-Kits. Raffiniert ist jedoch der Missbrauch von Schwachstellen in der Web-Software, die die Hersteller von ICS-Komponenten zur Pflege der Webseiten verwenden. Denn auf diesem Weg konnten die Angreifer die Downloads mit den Trojanern verseuchen und so direkt auf die Rechner der Kunden des Herstellers schleusen.

Von den drei infizierte Webseiten gehören zwei Anbietern von Remote-Management-Software für ICS-Systeme, die dritte gehört einem Anbieter von industriellen Kameras und der dazugehörigen Software.

F-Secure gab an, bei der Untersuchung eine Komponente gefunden zu haben, die Daten von infizierten ICS/SCADA-Systemen sammelnn. F-Secure schließt daraus, dass die Hacker nicht nur in solchen Systeme eindringen, sondern auch die Kontrolle übernehmen wollen. Alle Opfer solcher Angriffe seien mit der Entwicklung und Anwendung von industriellen Anwendungen oder Maschinen beschäftigt. Hinter dem Hacker-Angriff könnte auch ein staatlicher Auftrag stecken, der Spionage betreibt, vermutet Sean Sullivan von F-Secure. Details zu der Quelle des Angriffs sind aber noch nicht bekannt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

Dieser Gastbeitrag wurde uns freundlicherweise vom Education Support Center (ESCde) zur Verfügung gestellt. Autor ist Moritz Baer.

Das ESCde betreibt im Auftrag von Microsoft Deutschland die TechNet Support Hotline. Mehr Infos unter www.technet.de/hotline.