Ein Gastbeitrag von Thorsten Eggeling

Der Umstieg auf eine neue Office-Version stellt für viele Unternehmen ein nicht zu unterschätzende Herausforderung dar. Im Vordergrund stehen zuerst die technischen Fragen. Dazu kommen kommt dann noch die Notwendigkeit, die Mitarbeiter beim Umstiegsprozess mitzunehmen und auf geeignete Weise zu informieren und zu schulen. Microsoft bietet für die Vorbereitung des Umstiegs aber zahlreiche Planungs- und Analyse-Tools sowie eine umfangreiche Dokumentation an.

Systemanforderungen für Office 2010 prüfen

Der Umstieg auf Office 2010 sollte kein Problem darstellen, wenn auf allen PCs bereits die Vorgängerversion Office 2007 installiert war. Die Anforderungen an die Hardware sind identisch. Beide Office-Versionen erfordern ein Minimum von 256 MB RAM, eine CPU ab 500 MHz und laufen unter Windows XP (SP3), Windows Vista (SP1) und Windows 7. Sind ältere Microsoft Office-Versionen im Einsatz, sollte man diese Minimalanforderungen beachten und gegebenenfalls die Computer aufrüsten oder Neuanschaffungen erwägen.

Das Update auf Office 2010 ist auch eine gute Gelegenheit, eventuell noch vorhandene Windows XP-Clients auf Windows 7 umzustellen. Das Rollout von Office 2010 und Window 7 lässt sich zusammen in einem Schritt erledigen. Wer in Zukunft ein 64-Bit-Betriebssystem einsetzen möchte, dem steht auch Office 2010 in der 64-Bit-Version zur Verfügung. Allerdings sollte man sich die Installation eines 64-Bit-Office reiflich überlegen. Microsoft rät zurzeit eher davon ab. Ausnahmen sind Systeme auf denen sehr große Dateien verarbeitet (> 2 GB) werden müssen. Weitere Informationen zu diesem Thema finden Sie im Artikel Office-2010-Entscheidungshilfe: 32 Bit oder 64-Bit-Version?.

Wer vorerst bei Windows XP bleiben will, etwa weil die vorhandene Hardware nicht für Windows 7 ausreicht, sollte auch jeden Fall dafür sorgen, dass sich alle Systeme auf dem aktuellen Stand befinden. Das betrifft vor allem die Installation des letzten Service Packs, aller zusätzlichen Updates und eine Aktualisierung des .Net-Frameworks. Nur dann ist sichergestellt, dass das Update auf Office 2010 oder die Neuinstallation auch wirklich funktionieren.

Vor dem Update sollte man sich folgende Fragen stellen:

• · Welche Computer mit welcher Hardware-Ausstattung gibt es in meiner Firma
• · Welche Software ist auf den PCs installiert
• · Welche Microsoft-Office-Versionen sind installiert
• · Welche Makros und Add-ins werden benutzt
• · Welche Office-Dokumente in welchem Dateiformat befinden sich auf den Servern und auf den PCs und müssen/sollen eventuell konvertiert werden.

Für die Beantwortung dieser Fragen stellt Microsoft einige kostenlose Tools zur Verfügung, die ich im Folgenden vorstelle.

Inventarisieren mit dem Microsoft Assessment and Planning (MAP) Toolkit

Das Microsoft Assessment and Planning (MAP) Toolkit dient zur Inventarisierung der PCs im Netzwerk. Das englischsprachige Tool erfasst PC-Hardware, Betriebssysteme und die installierte Software. Das Programm kann ermitteln, welche PCs für ein Update auf Windows 7 und Office 2010 bereit sind und bei welchen vorher zusätzliche Maßnahmen erforderlich sind.

Für MAP ist keine Installation auf den Client-PCs erforderlich. Der Zugriff erfolgt über WMI (Windows Management Instrumentation) und den Remoteregistrierungsdienst. Wenn alle Computer Mitglied einer Windows-Domäne sind, gibt es dabei keine Probleme. Sie müssen aber in jedem Fall die Rechte eines Domain-Admins besitzen.

Wenn Sie das Tool erst einmal in einem Test-Scenario ohne Domäne ausprobieren möchten, müssen weitere Voraussetzungen erfüllt sein:

• · Die Benutzerkontensteuerung muss unter Vista/Windows 7 ausgeschaltet sein
• · Die Windows-Firewall muss entweder deaktiviert sein oder Sie müssen sie die Kommunikation mit der Windows-Verwaltungsinstrumentation (WMI) explizit zulassen
• · Der Dienst „Remoteregistrierung“ muss gestartet sein

Ob der Remotezugriff über WMI funktioniert testen Sie am einfachsten über Wbemtest.exe (starten über Windowstaste+R). Klicken Sie auf „Verbinden“, und geben Sie hinter „Namespace“ die Adresse eines PCs im Netzwerk in der Form „\\Rechnername\root\cimv2“ ein. Tragen Sie unter „Anmeldeinformationen“ Benutzernamen und Kennwort eines Benutzers mit administrativen Rechten ein und klicken Sie auf „Verbinden“. Nach einem Klick auf „Abfrage“ können Sie dann beispielsweise mit der Abfrage „select * from Win32_Processor“ eine WMI-Funktion testen. Sollte die Anmeldung oder die Abfrage fehlschlagen, prüfen Sie noch einmal die oben genannten Voraussetzungen. Weitere Hilfen bei WMI-Problemen finden Sie unter WMI Troubleshooting und WMI Isn't Working!

Testen Sie auch den Zugriff auf die Windows Registrierungsdatenbank eines Netzwerk-PCs. Dazu starten Sie Regedit.exe und gehen auf „Datei, Mit Netzwerkregistrierung verbinden“. Geben Sie den Namen oder die IP-Nummer des Rechners ein und klicken Sie auf „OK“. Wenn das Einbinden der Remote-Registry nicht gelingt, prüfen Sie, ob der Remoteregistrierung-Dienst auf dem Remote-PC, der Netzwerkzugriff möglich ist und die Firewall die Verbindung nicht verhindert.

Wenn der Remotezugriff funktioniert, können Sie das Microsoft Assessment and Planning Toolkit starten. Folgen Sie den Anweisungen des Programms und richten Sie eine neue Datenbank für die Testergebnisse ein. Klicken Sie dann auf „Discover and Readiness“ und auf den Link „Inventory and Assessment Wizard“. Ein Assistent begleitet Sie dann durch die nötigen Einstellungen. Unter „Discovery Methods“ aktiveren Sie „Use Active Directory Domain Services (AD DS)“, wenn sich Ihre PCs in einer Domäne befinden oder „Use System Center Configuration Manager (SCCM)“, wenn Sie einen Sie einen SCCM betreiben. Andernfalls verwenden Sie „Scan IP address range“ und geben dann den IP-Bereich ein, den Sie nach PCs durchsuchen wollen. Außerdem müssen Sie Anmeldeinformationen für den WMI-Zugriff eingeben (administratives Konto).

Nach dem Netzwerk-Scan finden Sie unter „Windows 7 Readiness“ Infos zur Windows-7-Tauglichkeit der PCs und Hinweise zu erforderlichen Hardware-Updates. Unter „Microsoft Office 2010 Readiness“ stehen die ausführlichen Angaben zu Office 2010, etwa ob Office 2010 auf den PCs bereits installiert ist, ob die Ausstattung für Office 2010 ausreicht oder ob Updates erforderlich sind. Mit einem Klick auf „Generate report/proposal“ erzeugen Sie einen ausführlichen Bericht. Über „View, Saved Reports and Proposals“ navigieren Sie in das Verzeichnis, in dem MAP die ausführlichen Berichte (Excel- und Word-Dateien) abgelegt hat.

Mehr Infos zu MAP gibt es im Technet-Artikel Microsoft Assessment and Planning Toolkit.

Add-ins mit dem Office Environment Assessment Tool (OEAT) prüfen

Mit dem Office Environment Assessment Tool untersuchen Sie auf Ihren PCs Office-Add-ins und Anwendungen, die mit Microsoft Office zusammenarbeiten. Das Tool sammelt Informationen zu Add-ins für Office 97 bis Office 2007 und zeigt Ihnen an, ob diese mit Office 2010 kompatibel sind. In vielen Fällen gibt es Updates für nicht-kompatible Add-ins und Zusatzprogramme. Wenn nicht, müssen Sie prüfen, ob Sie ein anderes Add-in mit den gleichen Funktionen verwenden können. Oder Sie weichen auf alternative Lösungen aus, etwa die parallele Installation eines älteren Office-Programmes (funktioniert nicht mit Outlook), Remotedesktopdienste oder Microsoft Application Virtualization (App-V).

Das Office Environment Assessment Tool wird direkt auf den beteiligten PCs ausgeführt. Voraussetzung dafür ist ein installiertes .Net-Framework mindestens in der Version 2.0.

OEAT nutzen: Entpacken Sie das Office Environment Assessment Tool in einen beliebigen Ordner und starten Sie OEAT.exe auf Ihrem PC. Mit einem Klick auf „Scan your System“ untersuchen Sie Ihren PC. Die Ergebnisse erhalten Sie als Excel-Tabelle nach einem Klick auf „Compile results“.

Wenn Sie mehrere PCs in ihrer Firma untersuchen möchten, klicken Sie auf „Run wizard“. Folgen Sie dann den Anweisungen des Assistenten. Sie müssen dabei einen UNC-Pfad angeben, unter dem die Ergebnisdateien gespeichert werden sollen. Für diesen Pfad müssen alle Benutzer Schreibrechte besitzen. Das Programm erzeugt eine Datei Settings.xml, die Sie am besten zusammen mit OEAT.exe auf einer Netzwerkfreigabe ablegen. Starten Sie das Tool dann auf jedem PC, den Sie untersuchen wollen, beispielsweise über die Kommandozeile \\Server\Freigabe\OEAT.exe –scan. Erstellen Sie am besten eine Batch-Datei oder ein Script, das die Zeile automatisch nach dem Anmelden des Benutzers startet. OEAT erstellt für jeden PC eine eigene XML-Datei, die Sie dann mit einem Klick auf „Compile results“ in einen Excel-Bericht verwandeln.

Weiter Infos zu OEAT finden Sie im Technet-Artikel Anleitung für das Tool zur Bewertung der Office-Umgebung (OEAT) für Office 2010.

Dateien mit dem Microsoft Office Migration Planning Manager 2010 (OMPM) prüfen und umwandeln

Mit dem Microsoft Office Migration Planning Manager 2010 überprüfen Sie Office-Dateien (Office 97 bis 2003) auf Konvertierungsprobleme. Es sind außerdem Tools enthalten, mit denen Sie Office 97-2003-Dateien in das Office 2010 Format überführen können.

Entpacken Sie die Dateien in einen beliebigen Ordner und öffnen Sie die Datei Scan\offscan.ini. Passen Sie die Angaben in der INI-Datei entsprechend Ihrer Bedürfnisse an. Die ausführlichen Kommentare helfen Ihnen dabei. Kopieren Sie die OMPM-Dateien auf eine Freigabe und führen Sie dann Offscan.exe auf den PCs aus, die Sie untersuchen wollen. Dafür genügt eine einfache Batch-Datei. Sie können aber auch Microsoft System Center Configuration Manager 2010 oder ein Softwareverteilungsprogramm eines Drittanbieters verwenden. Im Technet-Library finden Sie auch ein VBS-Beispielscript zur Ausführung von OMPM.

Die von OMPM erzeugten Berichtsdateien importieren Sie anschließend in eine Datenbank (Microsoft SQL Server). Dafür bringt OMPM einige Batch-Dateien mit die Sie im Verzeichnis „Database finden“. Über \Report\ompm.accdr erzeugen Sie einen Bericht, der alle Dateien auflistet, die in das Office 2010 Format konvertiert werden sollen. Mit Ofc.exe aus dem Verzeichnis Tools lassen sich die Dateien anschließend automatisch umwandeln.

Ausführliche Informationen zu OMPM und zur Erstellung der nötigen Datenbank finden Sie im Artikel Übersicht über Office Migration Planning Manager (OMPM) für Office 2010.

VBA-Code mit dem Microsoft Office Code Compatibility Inspector (OCCI) prüfen

Sie verwenden VBA-Code und mit Visual Studio erstellte Tools in Microsoft Office? Auch diese sollten Sie vor einem Update auf Office 2010 auf Kompatibilität prüfen. Dabei hilft Ihnen der Microsoft Office Code Compatibility Inspector. Dabei handelt es sich um Add-ins für Excel 2010, PowerPoint 2010, Word 2010 und Visual Studio 2008 mit der jeder Benutzer seine Add-ins beziehungsweise Visual Studio Tools testen kann. OCCI analysiert aber nur den Programmcode und fügt Kommentare ein. Die nötigen Anpassungen müssen Sie dann selbst vornehmen. Weitere Informationen zur Einrichtung und Verwendung von OCCI finden Sie im Artikel Microsoft Office Code Compatibility Inspector user's guide.

Der Autor Thorsten Eggeling ist Systemadministrator, Buchautor und Verfasser von Fachartikeln zu Hardware, Windows, Linux und Software. Er arbeitete als Redakteur unter anderem für die PC-WELT.

Von Thorsten Eggeling

In Teil 1 des Beitrags haben Sie gelesen, wie Sie die Office 2010 Migration vorbereiten und welche Tools es dafür gibt. Der nächste Schritt ist die Anpassung der Office 2010 Installation an die besonderen Bedürfnisse Ihres Unternehmens und die anschließende Verteilung der Dateien im Netzwerk. Diese kann bei Bedarf auch zusammen mit einer Windows 7-Installation erfolgen.

Office 2010 Installation individuell anpassen

Die Installation des Büropakets auf den PCs im Unternehmensnetzwerk soll in der Regel vollautomatisch, also ohne Notwendigkeit des Benutzereingriffs erfolgen. Wer bereits ein Office 2007-Rollout durchgeführt hat, kann auf diese Erfahrungen zurückgreifen. Bei Office 2010 hat sich nicht viel geändert. Es gibt aber einen wichtigen Unterschied: Office 2010 erfordert in jedem Fall Office Volume Acitivation Technologien, etwa den Key Management Service (KMS), Multiple Activation Key (MAK) oder MAK Proxy. KMS ist die empfohlene Methode bei mehr als 25 Rechnern, MAK können Sie auch bei weniger PCs verwenden.

Administrativen Installationspunkt erzeugen: Kopieren Sie die Dateien von der Office 2010-Installations-DVD in einen beliebigen Ordner. Am besten Sie verwenden gleich den Ordner, den Sie später als Netzwerkfreigabe für die Verteilung zur Verfügung stellen wollen. Kopieren Sie (wenn vorhanden) den Ordner „x86“, wenn Sie die 32-Bitversion einsetzen möchten, für ein 64-Bit-Office kopieren Sie den Ordner „x64“.

Microsoft Office-Anpassungstool starten: Rufen Sie dann auf der Kommandozeile oder über „Ausführen „ (Windowstaste + R) den Befehl „[PfadZumSetup]\Setup.exe /admin“ auf, um das Microsoft Office-Anpassungstool (OAT) zu starten. In der englischsprachigen Version nennt sich das Programm Office Customization Tool (OCT). Sollten Sie eine Fehlermeldung sehen, haben Sie die Dateien nicht von einer Office-Volumenlizenzversion kopiert. Sie erkennen das am fehlenden Ordner „Admin“ im Hauptverzeichnis. In diesem Fall können Sie die fehlenden Dateien über Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool herunterladen, entpacken und den Ordner „Admin“ in das Verzeichnis mit den Installationsdateien kopieren.

Im Microsoft Office-Anpassungstool (OAT) nehmen Sie dann die gewünschten Änderungen für die Bereitstellung vor. Das Programm zeigt für die Anpassungen vier Hauptbereiche, jeweils mit mehreren Unterabschnitten.

Setup: Hier tragen Sie den Standardinstallationspfad und den Namen der Organisation ein. Außerdem legen Sie weitere Installationsquellen, den Produktschlüssel und die Art der Aktivierung fest. Stellen Sie unter „Lizenzierung und Benutzeroberfläche“ unter „Anzeigeebene“ den Wert „Keine“ ein, damit die Installation im Hintergrund erfolgt. Unter „Frühere Installationen entfernen“ bestimmen Sie, ob eine vorherige Microsoft Office-Version entfernt werden soll oder ob Sie alle oder einzelne Programme behalten möchten. Unter „Installation hinzufügen und Programme ausführen“ können Sie Programmpakete angeben, die vor oder nach der Office-Installation gestartet werden sollen. Das ist vor allem dann praktisch, wenn Sie Zusatzprogramme oder Add-ins für Office 2010 automatisch einrichten wollen.

Features: In diesem Bereich legen Sie die Benutzereinstellungen und Features für die einzelnen Programme fest. Sie können beispielsweise bestimmen, dass die Registerkarte „Entwicklertools“ im Menüband angezeigt wird.

Weitere Inhalte: Wenn Sie zusätzliche Dateien auf den Rechner des Benutzers kopieren oder Dateien/Ordner löschen müssen, legen Sie das hier fest. Außerdem lassen sich REG-Dateien importieren, die Sie in der Registry des PCs hinzufügen möchten. Sie können auch festlegen, welche Registrierungseinträge gelöscht werden sollen.

Outlook: In diesem Bereich passen Sie das Outlook 2010-Standardprofil an. Sie können die Konteneinstellungen beispielsweise für POP3, IMAP oder Exchange vorkonfigurieren.

Zum Abschluss gehen Sie im Menü auf „Datei, Speichern“ und legen die MSP-Datei im Ordner „Updates“ Ihres administrativen Installationsordners ab. Bei der Installation wird die MSP-Datei vom Setup-Programm automatisch eingebunden. Sie können die MSP-Datei aber auch in einem beliebigen Ordner ablegen. In diesem Fall müssen Sie das Setup dann beispielsweise mit der Befehlszeile

\\Server\Freigabe\Office2010Install\setup.exe /adminfile \\Server\Freigabe\ Office2010Install\Anpassungen\Custom.msp

aufrufen.

Weitere Informationen zur Steuerung des Office 2010-Setups finden Sie in den Artikeln Setupbefehlszeilenoptionen für Office 2010 und Office-Anpassungstool in Office 2010.

Anpassungen in der Datei Config.xml: In der Regel sollte das Office-Anpassungstool alle wichtigen Bereiche abdecken. Bei Bedarf können Sie aber auch Anpassungen in der Datei Config.xml vornehmen. Sie können die Datei Config.xml verwenden, wenn Sie schnell eine Anpassung vornehmen müssen, aber nicht erst eine MSP-Datei mit dem Office-Anpassungstool erstellen wollen. Die Config.xml ist auch nötig, wenn Sie über eine Netzwerkfreigabe unterschiedliche Produkte verteilen möchten.

Sie finden die XML-Datei im Ordner [Kernproduktname].WW der Office 2010-Installationsdateien, beispielsweise in „ProPlus.WW“. Standardmäßig enthält die Datei nur Kommentare. Mit der Zeile

<COMPANYNAME Value=" Firmenname " />

Können Sie beispielsweise den Firmennamen verändern und mit

<AddLanguage Id="en-us" ShellTransform="Yes" />

Eine Sprache hinzufügen.

Das Setup-Programm erstellt nach dem Aufruf zuerst eine lokale Installationsquelle im Verzeichnis „\MSOCache\All Users“ und startet die Installation dann von dort aus. Bei großen Netzen oder einer langsamen Netzwerkverbindung empfiehlt es sich, die Einrichtung der lokalen Installationsquelle und die eigentliche Installation voneinander zu trennen. Dafür tragen Sie in die Config-xml

<LIS CACHEACTION="CacheOnly" />

ein. Weitere Infos zur Config.xml finden Sie im Artikel Datei "Config.xml" in Office 2010.

Office 2010 im Netzwerk verteilen

Für die Verteilung von Office 2010 im Netzwerk gibt es mehre Möglichkeiten. Eine Übersicht mit den Vor- und Nachteilen der jeweiligen Methode finden Sie in der PDF-Datei Deployment Options for Microsoft Office 2010. In diesem Artikel möchte ich nur auf die Methode „Bereitstellen über eine Netzwerkfreigabe“ eingehen.

Es empfiehlt sich, die Installation zuerst auf einem Referenz-PC oder einer virtuellen Maschine zu testen. Starten Sie hier, beispielsweise über ein Anmeldescript, Setup.exe von der Netzwerkfreigabe. Wenn Sie eine Config.xml verwenden, benutzen Sie die Zeile

\\Server\Freigabe\Office2010Install\setup.exe /config \\Server\Freigabe\Office2010Install \ProPlus.WW\config.xml

Sollte die CacheOnly-Option in der Config.xml gesetzt sein, starten Sie das eigentliche Setup anschließend beispielsweise über

"C:\MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\setup.exe" /adminfile "\\Server\Freigabe\Office2010Install\Anpassungen\Custom.msp" /config "\\Server\Freigabe\Office2010Install\ProPlus.WW\config.xml"

Den Schlüssel für die Produkt-ID (hier {91140000-0011-0000-0000-0000000FF1CE}) ermitteln Sie über die Datei Setup.xml. Diese liegt im gleichen Verzeichnis wie die Config.xml, etwa in in „ProPlus.WW“.

Beachten Sie, dass für die Ausführung des Office 2010-Setups in jedem Fall lokale Administratorrechte erforderlich sind. Wenn das in Ihrem Netzwerk nicht der Fall ist, müssen Sie ein Gruppenrichtlinienskript verwenden oder die Verteilung über ein Softwareverwaltungstool wie System Center Configuration Manager vornehmen. Eine ausführliche Anleitung und ein Beispielscript finden Sie im Artikel Bereitstellen von Office 2010 mithilfe von Gruppenrichtlinienskripts zum Starten des Computers.

Office 2010 zusammen mit Windows 7 installieren

Sie wollen nicht nur auf Office 2010 aktualisieren sonder bei der Gelegenheit auch beispielsweise von Windows XP oder Vista auf Windows 7 wechseln? In diesem Fall sollten Sie das Microsoft Deployment Toolkit (MDT) 2010 verwenden. Die nötigen Vorarbeiten sind bei diesem Tool allerdings relativ umfangreich, weshalb sich der Einsatz wohl nur für größere Unternehmen lohnt.

Das Microsoft Deployment Toolkit beherrscht den gesamten Umfang der Verteilungsaufgaben. Sie können damit Referenzinstallationen erstellen, Sysprep ausführen, zusätzliche Treiber, Service Packs und Updates einbinden sowie beliebige Software in die Windows-Installation einbinden. MDT verwendet dazu einige externe Tools, beispielsweise das Windows Automated Installation Kit (AIK). Nachdem Sie MDT gestartet haben, sehen Sie unter „Components“ die benötigten Komponenten, die sich auch gleich über die Schaltfläche „Download“ herunterladen können.

Ausführliche Informationen zu MDT finden Sie in der dreiteiligen, englischsprachige Anleitung „Deploying Windows 7 + Office 2010 Using Microsoft Deployment Toolkit (MDT) 2010“. Weitere Infos gibt es auf der MDT-Site im Technet.

Der Autor Thorsten Eggeling ist Systemadministrator, Buchautor und Verfasser von Fachartikeln zu Hardware, Windows, Linux und Software. Er arbeitete als Redakteur unter anderem für die PC-WELT.

Von Ramazan Can

Mit Servicepack1 für Windows 2008 R2 / Windows 7 hat Microsoft unter diversen Optimierungen und Fixes, auch 2 ganz wichtige neue Features in Bezug auf Hyper-V veröffentlicht – Dynamic Memory und RemoteFX! In meinem ersten Artikel auf dem „Virtualisierungs Blog“ möchte ich Euch daher, eine „Step-By-Step“ Anleitung für ein „SP1 - Rolling Upgrade (ohne Downtime)“ zur Verfügung stellen.

Failover Clustering (und auch MSCS) hat bisher immer gemischte Servivepack Versionen auf den Cluster Knoten unterstützt, um ein „Rolling Upgrade“ Szenario in einer Hoch Verfügbaren Umgebung zu ermöglichen.

Notiz: Sofern Sie derzeit System Center Virtual Maschine Manager einsetzen, um Ihren Cluster zu verwalten, können Sie die Hosts, auf welchen Sie SP1 installieren, auch in den „Wartungsmodus“ setzen, somit werden automatisch (serial) alle Virtuelle Maschinen auf die anderen Hosts migriert (Live Migration, sofern verfügbar)

Starten wir mit dem 1. Knoten Ihrer Cluster Umgebung, sofern dieser noch aktiv (online) Ressourcen beinhaltet, müssen Sie diese auf die verbleibenden Knoten verschieben, auch die Cluster Core Group würde ich persönlich auf einen anderen Knoten verschieben (Powershell: Move-ClusterGroup „Clustergruppe“). Ich persönlich stoppe auch den Cluster Service auf dem jeweiligen Knoten, ist hier aber keine Voraussetzung.

Bevor wir mit dem SP1 Deployment starten, in der Failover Cluster Konsole überprüfen, welchen SP Stand dieser Knoten hat - 6.1.7600 = RTM

Notiz: Sofern dies eine Produktive Umgebung ist, wird vor einer SP Installation, immer angeraten ein System State Backup Ihrer Cluster Knoten zu erstellen!

Grundlegendes zur Sicherung und Wiederherstellung für einen Failovercluster

http://technet.microsoft.com/de-de/library/cc771973.aspx

Nach dem Download von SP1 und alle Cluster Ressourcen vom dem Knoten migriert worden sind, können wir mit der Installation beginnen:

Notiz: den automatischen Reboot habe ich hierbei deaktiviert

….. habe fertig!

Nachdem Sie den Cluster Knoten neugestartet haben, sollte dieser automatisch dem Cluster wieder beitreten und den neuen Servicepack Stand korrekt darstellen – 6.1.7601 = SP1

Ab diesen Moment, stehen bereits die neuen Features Dynamic Memory und RemoteFX (sofern Hardware Anforderungen erfüllt – siehe unten) auf diesem Knoten zur Verfügung. ABER es sollten noch keine DM Funktionen aktiviert werden, solange nicht der gesamte Cluster (=alle Knoten) denselben Servicepack Level hat = Inkompatibilität bei VM Migrationen. Die Hyper-V und Failover Cluster Konsole zeigt bereits die neue SP1 GUI Änderungen an:

Nun können wir die Virtuellen Maschinen von den verbleibenden Knoten, auf dem bereits aktualisierten (SP1) Knoten migrieren. Alle Migration Möglichkeiten stehen hier trotz der unterschiedlichen SP Stände zur Verfügung – sogar Live Migration. Die bisherigen Memory Einstellung für die Virtuellen Maschinen verbleiben auf dem neuen Knoten gleich, der bisher konfigurierte Memory wird zu „Statisch“ konfiguriert.

Bevor wir hier direkt Dynamic Memory konfigurieren, müssen wir noch ein paar Dinge beachten wie z.b. Integration Components Aktualisierung und Prüfung von DM Unterstützung für OS. Die Memory Einstellung zum aktivieren von DM, sollte direkt über die Failover Cluster Konsole durchgeführt werden, um das Problem „Refresh-VirtualMachineConfiguration“ zu vermeiden.

Aufgrund der neuen Version vom Hypervisor müssen jetzt auch die Integration Components bei allen „unterstützten Betriebssysteme“ aktualisiert werden (Best Practice – Hypervisor und die ICs sollten selbe Version sein!). Sobald die ICs aktualisiert worden sind, stehen die neuen Features wie z.b. Dynamic Memory/RemoteFX zur Verfügung, sofern unterstützt vom OS und Hardware (RemoteFX).

Sobald die ICs erfolgreich aktualisiert und DM aktiviert worden sind, werden wir im Geräte Manager der Virtuellen Maschinen das neue Gerät „Virtual Dynamic Memory“ identifizieren, welcher speziell für die Dynamic Memory Operationen zuständig ist.

Die Empfohlenen Werte für die jeweilige OS Version sind:

aus der DM Deployment Guide TechNet Reference

Sobald Dynamic Memory aktiviert und vom Betriebssystem erkannt wird, können wir nun den aktuellen Memory Bedarf der VM und Speicher Status in der Hyper-V Konsole sehen:

VM Gast OS Anforderungen für Dynamic Memory sind:

aus der DM Deployment Guide TechNet Reference

Weitere Details zu Dynamic Memory Konfiguration für Ihre Hyper-V Umgebung sind zu finden unter:

Dynamic Memory Configuration Guide:
http://technet.microsoft.com/en-us/library/ff817651(WS.10).aspx

Failover Cluster - Neue Validierung notwendig?

Ich persönliche denke, das in Produktiven Umgebungen eine re-validierung des Clusters notwendig ist, da wir hier einen Servicepack Level Wechsel haben und laut Technet Dokumentation (siehe unten) dies auch klar dokumentiert ist.

Schrittweise Anleitung für Failover Cluster: Prüfen der Hardware auf einen Failover Cluster

http://technet.microsoft.com/de-de/library/cc732035(WS.10).aspx

Grundlegendes zu Clustervalidierungstests

http://technet.microsoft.com/de-de/library/cc726064.aspx

Bei folgenden Änderungen an der „Betriebssystemänderungen“, muss laut Microsoft eine Re-Validierung durchgeführt:

In unserem Falle haben wir “Einzelne LUN” Test Szenario, dies bedeutet, dass wir den gesamten Test durchführen und dazu „nur“ Test-LUN in die „Verfügbarer Speicher“ Gruppe legen müssen.

Kategorien von Validierungstests

Vollständig: Alle Tests. Hierfür ist eine gewisse Clusterdowntime erforderlich.

Einzelne LUN: Alle Tests, wobei die Speichertests nur für eine LUN ausgeführt werden. Bei der LUN kann es sich um eine kleine LUN handeln, die Sie für Testzwecke vorsehen, oder um den Zeugendatenträger (wenn im Cluster ein Zeugendatenträger verwendet wird). Im Rahmen dieser Tests wird das Speichersubsystem, aber nicht speziell jede einzelne LUN oder jeder einzelne Datenträger validiert. Diese Validierungstests können ausgeführt werden, ohne dass dadurch eine Downtime der geclusterten Dienste oder Anwendungen verursacht wird.

Auslassen von Speichertests: Systemkonfigurations-, Inventur- und Netzwerktests, aber keine Speichertests. Diese Validierungstests können ausgeführt werden, ohne dass dadurch eine Downtime der geclusterten Dienste oder Anwendungen verursacht wird.

Keine: Es sind keine Validierungstests erforderlich.

Ich persönlich „empfehle“ noch, folgenden Patch zu installieren, bevor Sie die Validierungstests an Ihrem Produktiven Cluster durchführen:

Überprüfen Sie die SCSI-Gerät wichtige Produkt Daten (VPD) Test, fehlschlägt nach der Installation von Windows Server 2008 R2 SP1

http://support.microsoft.com/kb/2531907/de

Generellen Überlegungen oder Sorgen, an Ihrem Produktiven Cluster, einen Volle Validierung durchzuführen, sind sicherlich berechtigt, allerdings sofern alle wichtigen Punkte beachtet worden sind, kann dies ohne weitere Bedenken durchgeführt werden, wie ich im folgenden Falle beschrieben:

http://technet.microsoft.com/en-us/library/cc732035(WS.10).aspx#BKMK_considerations

In meinem Falle, habe ich einen 1GB LUN meinem Cluster präsentiert und diesen für die Validierungstests verwendet:

Nachdem wir alle Cluster Knoten auf SP1 aktualisiert (Validiert) und die Integration Komponenten installiert haben, sind wir bereit für die Nutzung von Dynamic Memory und Remote FX für high-end Grafik Emulationen in den virtuellen Desktops. Spezielle im Falle RemoteFX, gibt es noch zusätzliche Hardware Anforderungen die erfüllt sein müssen. Die Graffikkarte muss DirectX 10 unterstützen und die CPU muss SLAT Unterstützung haben:

Weitere Technet Dokumentation zum Thema RemoteFX und SP1 sind zu finden unter:

Hardware Requirements for RemoteFX
http://technet.microsoft.com/de-de/library/ff817602(WS.10).aspx

Windows 2008 R2 / Windows 7 Service Pack 1 Download:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=c3202ce6-4056-4059-8a1b-3a9b77cdfdda

Knowledgebase Article - KB976932 - around Service Pack 1:
http://support.microsoft.com/kb/976932/en-us

Hyper-V and RemoteFX – Wie kann ich feststellen, ob meine CPU “SLAT“ unterstützt ?

http://ramazancan.wordpress.com/2011/02/09/hyper-vhow-can-i-verify-if-slat-is-working/

Stay tuned….

Viele Grüße!

Ramazan Can ist Microsoft MVP Cluster und persönlich über seinen Blog zu erreichen http://ramazancan.wordpress.com

Erfreulich: Die Anzahl der Sicherheitslücken in Software nimmt industrieweit ab. Und auch Schweregrad der Schwachstellen sinkt. Weniger erfreulich ist hingegen, dass die Angreifer sich stattdessen auf den Faktor Mensch konzentrieren und nicht mehr nur die Technik aufs Korn nehmen. Diese Tatsachen gehen aus dem neuesten Microsoft Security Intelligence Report (SIR) v10 hervor, der die weltweite Entwicklung von IT-Sicherheitsvorkommnissen im zweiten Halbjahr 2010 analysiert. Die Datenbasis liefern 600 Millionen PCs weltweit, auf denen das Malicious Software Removal Tool (MSRT) läuft.

Der Report belegt, dass in Deutschland 5,3 von 1000 überprüften Systemen mit Schadsoftware infiziert sind. Weltweit sind es 8,7 PCs. Im negativen Sinn beeindruckend fällt die Zahl der Phishing-Attacken über Soziale Netzwerke und Gaming-Webseiten aus: Sie ist weltweit um mehr als 1.200 Prozent gestiegen. Die Cyber-Gauner sind also inzwischen angekommen im Web 2.0 und missbrauchen seine Angebote. Insgesamt gingen 84,5 Prozent aller Phishing-Angriffe von Sozialen Netzwerken aus. Im Vorjahreszeitraum waren es lediglich 8,3 Prozent. Die Beliebtheit der Social-Media-Sites bei den Betrügern ist leicht zu erklären: Innerhalb von Sozialen Netzwerken stammen die Nachrichten von Freunden oder Bekannten. Und nicht von einem völlig unbekannten aus einem afrikanischen Staat. Insofern können sich die Gauner eine deutlich höhere Erfolgsquote ausrechnen, da die Nachricht mit mehr Vertrauen entgegengenommen und gelesen wird.

Auf Social Engineering – das ja Grundlage für eine erfolgreiche Spam-Kamagne ist – verlassen sich die Abzocker auch in einem anderen Fall: Die Studie belegt, dass sechs der zehn weltweit am stärksten gewachsenen Schadprogrammgruppen zu den Kategorien Rogue-Software (gefälschte Sicherheitssoftware) und Adware zählen. Die Zahl der entdeckten Adware stieg vom zweiten Quartal zum vierten Quartal 2010 um 70 Prozent. Schädlinge wie JS/Pornpop und Win32/ClickPotato locken ihre Opfer mit gefälschten Werbeanzeigen im Browser zu infizierten Webseiten und Downloads.

Einen immensen Zuwachs hat auch die gefälschte Antivirensoftware erfahren: Das MSRT hat 2010 auf fast 19 Millionen Computern Rogue AV entdeckt und entfernt. Ein Jahr zuvor waren es lediglich 7,8 Millionen Infektionen.

Interessant zu sehen ist auch, mit welchen Dateitypen Kriminelle versuchen, Malware auf PCs zu schleusen: Exploits für Adobe Acrobat und Adobe Reader machten die Mehrzahl der Dokumentformat-Exploits im Jahr 2010. Beinahe alle diese Exploits enthielten die generische Exploitfamilie Win32/Pdfjsc. Die Anzahl der Adobe Acrobat- und Adobe Reader-Exploits nahm seit dem ersten Quartal um mehr als die Hälfte ab und verblieb während des restlichen Jahres in etwa auf dieser reduzierten Stufe. Microsoft Office-Dateiformatexploits hingegen machten zwischen 0,5 und 2,8 Prozent der Dokumentformat-Exploits aus, die in den einzelnen Quartalen für das Jahr 2010 entdeckt wurden.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen BlogSi veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Es ist längst kein Geheimnis mehr, dass die meisten Malware-Infektionen durch den Missbrauch von Bugs in Anwendungen – und nicht länger dem Betriebssystem – von statten gehen. Wer also die Schwachstellen in seinen Applikationen minimiert, verringert die Angriffsfläche – was wiederum leichter klingt, als es de facto umzusetzen ist. Unser monatlicher Patch-Tag ist der beste Beweis hierfür :)

Aber es gibt auch einige Tools, die Entwicklern beim Abwehren gängiger Attacken helfen können. Eines dieser Hilfsmittel ist das Enhanced Mitigation Experience Toolkit V 2.0 (EMET) von Microsoft. Das kostenlose Programm ist für alle Windows-Programme gedacht und benötigt, anders als andere Tools, keinen Zugriff auf den Sourcecode - die ausführbare Datei genügt.

EMET kann insgesamt sieben zusätzliche Sicherheitstechniken auf Applikationen anwenden - selbst, wenn Entwickler diese gar nicht vorgesehen haben. Dazu gehören beispielsweise die Unterstützung für Data Executive Prevention (DEP), Structured Exception Handling Overwrite Protection (SEHOP) oder NullPage. SEHOP überprüft beispielsweise den Programmablauf. Sobald eine Ablaufkette ein Problem aufzeigt, wird der Prozess beendet - so wird verhindert, dass sich ein bösartiges Programm den Fehler zu Nutze macht, um unerlaubt auf einen Speicherbereich zugreifen zu können. DEP ist seit Windows XP Bestandteil von Windows, Programme müssen aber mit einem speziellen Flag kompiliert werden - EMET kann den Prozess auch ohne dieses Flag schützen.

Nach der Installation lässt sich EMET wahlweise über die GUI oder die Kommandozeile starten. Zu überwachende Anwendungen werden über die Schaltfläche „Configure Apps“ hinzugefügt. Zudem lässt sich hier wählen, welche Techniken EMET auf das jeweilige Programm anwenden soll.

Warum sind die vom EMET geprüften Sicherheitsfunktionen nicht standardmäßig aktiv und Teil des Sourcecodes? Einige der Funktionen verursachen unter Umständen Probleme. Zudem bedeutet die Funktion nicht automatisch, dass die jeweilige Anwendung komplett gegen Attacken geschützt wird. Allerdings wird es deutlich schwerer, Schwachstellen in installierten Programmen auszunutzen, um Malware zu installieren. Dieser Blog-Eintrag erklärt beispielsweise, wie sich eine Zero-Day-Attacke auf Adobe Acrobat Reader mit Hilfe von EMET verhindern lässt. Adobe setzt zwar normalerweise auf Address Space Layout Randomization (ASLR), für eine spezielle DLL ist dieser Schutz aber nicht aktiviert - EMET rüstet die Funktion nach und schützt so vor dem Angriff.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Von Ramazan Can

Bitte beachten: Da der Event 1069 sehr “generisch” ist und auf unterschiedliche Fehlerquellen zeigen kann, ist dies nur eine mögliche Beispiellösung und soll als Erfahrungsbericht dienen. Zum Verifizieren, ob dieser Artikel bei Eurem Problem helfen kann, bitte die Cluster Logs überprüfen nach “'Failed to create cluster directory on witness”!

Bei einem Kunden hatten wir etwa alle 20 min die Events 1069 und 1558, obwohl es mit dem Quorum Laufwerk - Cluster Ressource online - keine sichtbaren Probleme gab und wir es auch ohne Probleme auf andere Knoten verschieben konnten.

Event ID 1069 — Clustered Service or Application Availability
http://technet.microsoft.com/en-us/library/cc756225(WS.10).aspx

Event ID 1558 — Cluster Witness Functionality
http://technet.microsoft.com/en-us/library/dd353960(WS.10).aspx

Nach weiterer System und Cluster Log Analyse habe ich folgenden interessanten Hinweis entdeckt:

ERR mscs::QuorumAgent::PostOnline: ERROR_PATH_NOT_FOUND(3)' because of 'Failed to create cluster directory on witness, path \\?\Volume{5c65f7b0-15e4-11e0-b316-002655db949a}\Cluster'

Dies deutet auf einen Fehler hin, dass der Cluster Service nicht auf die Quorum Disk zugreifen (schreiben/lesen) konnte und daher wir auch die Events 1069/1558 erhalten haben.

Da die Quorum Struktur (Cluster Hive=Cluster Konfiguration) “redundant” im Cluster verfügbar ist und diese auch durch die Quorum Konfiguration manuell neu generiert werden kann, war die Lösung in meinem Falle, ganz einfach:

1. Quorum Modell temporär geändert damit Quorum Disk “Q:” aus Cluster entfernt werden konnte

2. Quorum Disk aus Cluster entfernt, Neu-formatiert und wieder Cluster hinzugefügt

3. Quorum Konfiguration wiederhergestellt – in meinem Falle Node und Disk Majority

Ergebnis: Die Cluster DB wurde neu auf der Quorum erstellt

Nachdem die Cluster “Hive” auf der Quorum Disk erfolgreich erstellt worden ist, waren die Einträge im Cluster Log verschwunden und auch die Eventlogs wieder sauber.

Generelle Informationen zu Cluster Logs sind zu finden unter:

How to create the cluster.log in Windows Server 2008 Failover Clustering
http://blogs.msdn.com/b/clustering/archive/2008/09/24/8962934.aspx

Troubleshooting Cluster Logs 101 - Why did the resources failover to the other node?
http://blogs.technet.com/b/askcore/archive/2008/02/06/troubleshooting-cluster-logs-101-why-did-the-resources-failover-to-the-other-node.aspx

Introduction to Cluster Diagnostics and Verification Tool for Exchange Administrators
http://technet.microsoft.com/en-us/library/aa996161(EXCHG.65).aspx

Viele Spaß beim “Troubleshooten”

Viele Grüße

Ramazan Can ist Microsoft MVP Cluster und persönlich über seinen Blog zu erreichen http://ramazancan.wordpress.com

Wer wegen der angeblich höheren Sicherheit auf einen Mac gewechselt ist, der hat es zurzeit nicht leicht. Nicht nur ist mit Mac Defender/Mac Security eine recht erfolgreiche Scareware unterwegs (Kollege Melanchthon hat mehr Informationen in seinem Blog). Auch eine weitere Malwarevariante treibt derzeit ihr Unwesen.

Die Sicherheitsfirma Intego warnt in einem Blogeintrag vor einer neuen Version des Blackhole RAT. RAT steht dabei für Remote Administration Tool, also ein Programm, mit dem der Macher die komplette Kontrolle über das System erlangen kann. Zweifelhafte Popularität erfuhren RATs zuletzt durch die Night Dragon getaufte Attacke auf Unternehmen aus der Öl- und Gasindustrie.

Neu an dieser Version von Blackhole sind scheinbar zwei Komponenten. Die eine nennt sich Server.app, die zweite Keylogger.app. Beide Namen deuten schon darauf hin, was die beiden Programme anstellen. Zusätzlich scheint die Malware eine Video-Capture-Software einzurichten, mit der sie Bilder der integrierten Kamera aufnehmen und verschicken kann. Glücklicherweise ist die Mac-Malware noch nicht besonders ausgereift: Aktuelle Virenscanner (aber bitte nicht Mac Defender) sollte sie erkennen und vom System entfernen können.

Intego sieht die Gefahr der neuen Malware als relativ niedrig. Bösartige Nutzer müssten einen direkten Zugriff auf den Mac haben, um die Software zu installieren. Dieser Beurteilung möchten wir uns aber nicht anschließen: Deutlich einfacher ist es doch, den Nutzer selbst davon zu überzeugen, dass er die Malware installiert – und etwa, indem sie als populärer Download oder raubkopiertes Spiel getarnt ist.

Zudem existieren auch Schwachstellen auf dem Mac, über die Angreifer einen Systemzugriff erhalten kann, etwa indem Browser Safari als Ziel dient. Selbst iTunes lässt sich laut Secunia zumindest mit Hilfe einer Man-in-theMiddle-Attacke als Einfallstor nutzen, damit sich ein Angreifer kompletten Zugriff auf das System verschaffen kann.

Für Nutzer ist es daher wichtig, sämtliche installierte Software auf dem aktuellsten Stand zu halten - selbst wenn es dann immer noch möglicherweise unentdeckte Schwachstellen gibt, den größten Teil der Angriff läuft ins Leere, wenn es keine Grundlage gibt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Spieler von Call of Duty: Modern Warfare 2 erhalten aktuell möglicherweise bösartige Phishing-Nachrichten. Wie der Live-Status des Xbox-Support meldet, erhalten Nutzer gezielt Nachrichten, wenn sie den Ego-Shooter spielen. Glücklicherweise passiert nichts, solange man die Nachrichten einfach ignoriert. Unser Team ist aktuell damit beschäftigt, die Angriffe zu analysieren und Gegenmaßnahmen einzuleiten.

Das ist natürlich bei weitem nicht so tragisch, wie der kürzlich gemeldete Angriff auf das PSN. Allerdings wird eins dadurch deutlich: Angreifer sind nicht mehr nur hinter PC-Nutzern her, sondern suchen sich immer häufiger Alternativen. Konsolen und damit verknüpfte Online-Dienste sind dabei lohnende Ziele: Sie enthalten häufig nicht nur private Daten der Nutzer, sondern auch sensible finanzielle Informationen wie etwa zu Kreditkarten - auch weil Konsolen inzwischen nicht mehr nur klassische Spielmaschinen sind, sondern zusätzliche Dienste wie On-Demand-Videos bieten.

Sicherheitsbewusste Nutzer haben relativ wenige Möglichkeiten, sich gegen direkte Angriffe  zu schützen - auch weil es bislang kaum Zwischenfälle in dieser Größenordnung gab. Wie beim PC gilt es auch bei Konsolen, dass man den gesunden Menschenverstand nutzen muss, wenn Angebote hereinflattern, die einfach zu gut erscheinen. Zudem bieten nahezu alle System inzwischen eine Prepaid-Option an: Anstatt die Kreditkarteninformationen fest im System zu hinterlegen, kann man Xbox Live Punkte, PSN-Credit oder Wii-Punkte erwerben und zum eigenen Konto hinzufügen. Das mag nicht so bequem sein, wie eine hinterlegte Kreditkarte, die automatisch belastet wird - fallen die Daten in falsche Hände, spart man sich aber einiges an Ärger.

Ich frage mich, ob Hersteller von Spielekonsolen für die Geräte nicht inzwischen auch Sicherheitskonzepte entwickeln sollten, analog zu denen aus der Welt der PCs. Denn irgendwie mag ich nicht dran glauben, dass die beiden genannten Ereignisse rund um Xbox und das Playstation Network Einzelfälle bleiben.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Die Agenda der siebten IT-Profits am 11. und 12. Mai in Berlin ist interessanter und vielfältiger denn je. Unter dem Motto „Kosten senken, Flexibilität steigern“ zeigen mehr als 100 Referenten und Anbieter konkrete Lösungen, vermitteln frisches Wissen und stellen Trends unter Einsatz von IT, Web und Mobile vor.

Microsoft wird dieses Jahr erstmalig auf der IT-Profits als Sponsor vertreten sein. Besuchen Sie einen unserer Workshops zu Windows Intune (Aktionscode M11051000) und Dynamics CRM Online (Aktionscode M12051530) oder kommen Sie an unserem Stand vorbei.

Dort erhalten Sie dann auch das Virtualisierungs Starter-Kit von Microsoft TechNet – die Ressourcensammlung rund um Virtualisierung basierend auf Microsoft Technologien.

Melden Sie sich gleich zu einem der Vorträge an und erhalten Sie so kostenfreien Zutritt unter http://www.it-profits.de/registrierung

Alle Informationen rund um die Messe finden Sie unter http://www.it-profits.de

Im Frühjahr diesen Jahres hat mein Kollege Daniel Melanchthon noch an dem Office 365 Jump Start Training intern mitgearbeitet. Nach der Verfügbarkeit der öffentlichen Betaversion von Office 365 ist es nun soweit: Vom 24.-26. Mai 2011 wird das weltweit erste Virtual Classroom Training zu Office 365 auf Englisch angeboten…

Weiterlesen auf Daniels Blog