.: Michael Korp :.

Rund um die Windows Plattform, Systems Management und Virtualisierung

October, 2009

The best way to predict the future is to invent it.
(Alan Kay)
Artikel
  • Informationen (Dokumente) sichern…

    Letztens gab es in München die Discuss & Discover auf der ich zu einer Podiumsdiskussion rund um Datensicherheit und Backup geladen war.

    Im Vordergrund standen zwar Backuplösungen, die physische und virtuelle Server integriert behandeln, aber in der Diskussion kam dann die Frage nach dem Schutz von Dokumenten und Informationen auf. Konsens war, dass dies ein Thema ist, das umfassend betrachtet werden muss und nicht auf Backup/Restore verkürzt werden kann.

    Themen sind auch der Schutz der Informationen – wer darf die Informationen lesen, aber auch was darf er dann damit machen – und die Langzeitverfügbarkeit.

    Das erste Thema lässt sich nicht mit Backup/Restore angehen. Die Verwendung von Zugriffsrechten auf die Dokumente ist ein erster Schritt, aber wenn die Dokumente von dem Speicherort wegbewegt werden, ist der Schutz weg. Beispiel: Ich darf auf ein Dokument zugreifen und schicke es an einen Kollegen, der keine Zugriffsrechte hat. Oder ich kopiere es auf einen USB Stick, da ich das Dokument später brauche und der USB Stick geht verloren. Das USB Sticks üblicherweise kein NTFS Format haben, gibt es dort auch keine Zugriffsrechte.

    Geht der Stick jetzt verloren, kann der Finder das sensitive Dokument beliebig verwenden. (Wir erinnern uns noch an die Fälle von Datenträgern in offenen Müllcontainern?) Wie gut, dass Windows 7 da wieder mit “Bitlocker To Go” hilft.

    Richtig wäre es, die Informationen/Dokumente direkt zu schützen, so dass sie die Verwendungsberechtigung in sich tragen. Dazu dient im Microsoft Office seit einigen Jahren das “Information Rights Management”. Wer irgendwann einmal in diese Technologie einsteigen möchte, hat es einfach, die kommenden Dokumente zu schützen, aber was ist mit all den Dokumenten, die fertig auf irgendwelchen Server liegen?

    Hier hilft seit kurzem das “Active Directory Rights Management Services Bulk Protection Tool”. Beim Windows Server 2008 R2 gibt es ja die “File Classification Infrastructure”, die hilft, die richtigen Dateien zu finden und zu schützen. Auf diese Weise lassen sich die sensitiven bestehenden Dokumente mit einem angegebenen Policy Template schützen.

    Was dann noch bleibt, ist die Langzeitverfügbarkeit der Informationen. Hier muss man auch wieder zwei Themen auseinanderhalten: Backup und Archivierung. Backup ist kein Langzeitschutz! Backup dient der Wiederherstellung von Daten, wenn es einen “Unfall” oder Vorfall gibt, bei dem die Daten verloren gehen. Dazu gehören Defekte der Speichermedien (Platte) oder auch unabsichtliches Löschen, Verändern oder Überschreiben.

    Ein Langzeitschutz im Sinne von Aufbewahrungsrichtlinien muss per Archivierung adressiert werden. Hier gibt es auch Anbieter, die sich spezifisch diesem Thema widmen, daher möchte ich hier nicht näher auf Lösungen eingehen. Wichtig ist, dass man sich im Kontext der Archivierung auch über die Datenformate Gedanken machen muss, da man ein bestimmtes Dokument gegebenenfalls in 30 Jahren nochmal öffnen muss. Man muss also entweder Formate archivieren, die man später garantiert noch öffnen kann, oder aber eine Umgebung mit sichern, damit man später noch diese Dokumente mit passenden Anwendungen bereitstellen kann. Auf ca. 30 Jahre betrachtet ist das sicherlich nicht trivial und wird vermutlich immer mal wieder Arbeiten an den archivierten Daten bedeuten. Sicher ist das aber nicht, da es mir schwerfällt, die nächsten 30 Jahre vorherzusagen…

  • Windows 7 und “Windows XP Mode”

    Windows 7 bietet ja mit dem virtuellen “Windows XP Mode” ein Werkzeug, das helfen kann, die sogenannte letzte Meile der Kompatibilität bei Migrationen nach Windows 7 zu implementieren.

    Zentralisierte Verwaltung virtueller Maschinen für Desktop Systeme in Unternehmen bedeutet sinnvollerweise MED-V, das Teil des Microsoft Desktop Optimization Pack ist – nur unterstützt die aktuelle Version noch nicht den virtuellen Windows XP Mode (XPM).

    Daher lohnt es sich auf jeden Fall den Hinweisen von Ben Armstrong zu folgen. Er verweist auf ein Video und ein Whitepaper zur Anpassung und automatisierten Verteilung der XPM VMs.

  • Mach VHD aus WIM – für Hyper-V und native Boot

    Um Zeit und Aufwand zu sparen, generiere ich mir meine “Master VHDs” seit einiger Zeit direkt aus der “install.wim”. Alles, was man benötigt, ist frei verfügbar:

    Streng genommen benötigt man gar nicht das volle AIK, aber nachdem man einmal angefangen hat, gibt es doch noch einige weitere Aufgaben, die sich danach anbieten, die Erstellung der Unattended Dateien mit dem Windows System Image Manager ist nur eine davon. Daher habe ich immer auf meinem “Administrationsrechner” das ganze AIK installiert.

    Das schöne an diesen VHDs ist, dass sie direkt unter Hyper-V verwendet werden können, aber auch mit einer Windows 7 Startumgebung für den “native Boot” geeignet sind.

    Eine Vorbedingung will ich aber noch erwähnen: Diese Verfahren funktionieren nur für Windows 7 und Windows Server 2008 R2 VHDs. Windows Vista und Windows Server 2008 mussten noch einmalig installiert werden, damit Setup einige Korrekturen vornehmen konnte. Dies war nötig, da die Installationsdateien nicht für die direkte Nutzung vorgesehen waren – eine weitere Verbesserung von Windows 7 und Server 2008 R2. Werkzeuge, die diese Korrekturen für die Konvertierung von WIM nach VHD offline durchführen, wurden nie veröffentlicht.

  • How To… Windows Server 2008 R2 Server Core

    Mit der Verfügbarkeit von Windows 7 und Windows Server 2008 R2 kam auch für mich die Zeit die allgemeine “Renovierung” des “Test Lab” anzugehen, das ich für Demos und Webcasts nutze.

    Bisher waren praktisch alle virtuellen Server mit Windows Server 2003 installiert, während der Host unter Hyper-V mit Windows Server 2008 lief. Ziel der Aktualisierung ist die allgemeine Verwendung von Windows Server 2008 R2 und Windows 7 für die tragenden Funktionen.

    Seit Windows Server 2008 gibt es zwei Installationsoptionen – die volle Installation und die Server Core Installation. Best Practice ist die Konzentration auf die zentralen Funktionen und alles überflüssige weg zu lassen. Bezogen auf Windows Server ist es also empfehlenswert, soweit machbar, die Server Core Installation zu verwenden, auch, wenn dies eine Herausforderung darstellt, wenn man noch dabei ist Erfahrungen zu sammeln.

    Für Hyper-V Hosts ist auf jeden Fall die Server Core Installation vorzuziehen. Gerade in sehr kleinen Umgebungen besteht auch das Interesse den Hyper-V Server einzusetzen, wenn alle existierenden Serverinstanzen schon lizenziert sind.

    Neben dem “Step by Step” Guide hilft beim Hyper-V Server das eingebaute Konfigurationstool und, je nach Umgebung, das Tool “HVRemote”. Neu in der Server Core Installation beim Windows Server 2008 R2 ist “sconfig”, das für die wichtigsten Funktionen der Erstkonfiguration den gleichen Komfort wie beim Hyper-V Server bietet. Nachdem die Remoteverwaltung aktiviert ist, kann man weitere Administrationsaufgaben mit dem Server-Manager von einem anderen Server oder Windows 7 mit installierten “Remote Server Administration Tools” (RSAT) vornehmen.

    Was nicht geht, ist die Rollen und Funktionen remote per Server-Manager zu installieren. Hier greift man zu den “üblichen” Werkzeugen wie OCList, OCSetup, DISM oder PowerShell. Persönlich würde ich inzwischen die Variante PowerShell vorziehen, aber DISM geht mindestens genauso gut. DISM ist seit R2/7 immer mit dabei, PowerShell muss beim Server Core erst aktiviert werden. Sobald aber die Remoteadministration aktiviert ist, ist auch PowerShell aktiviert.

    Neu bei Windows Server 2008 R2 Server Core ist die Rolle der “Active Directory Zertifikatsdienste”. Diese lassen sich ziemlich einfach installieren, aber das war es dann… Administration geht nicht, da die CA noch gar nicht “existiert”. In der ganzen Dokumentation zum Windows Server 2008 (R2) und Server Core gibt es immer den Hinweis zur Installation der CA per Server-Manager, aber kein Wort zur Installation per Kommandozeile… Nur – der Server-Manager kann keine Rollen und Funktionen remote installieren.

    Wie so häufig naht Rettung in Form von Blogs. Ein Kollege nannte mir dann den richtigen Ort, den PKI Blog. Dort findet man den relevanten Artikel mit einem Installations Skript (SetupCA.vbs), das die auf MSDN dokumentierte Setup API nutzt. Bei aller Begeisterung für den Server Core darf man dann aber nicht vergessen, dass manche Funktionen einfach nicht unterstützt werden – bei einer CA ist dies das Web Enrollment.

    Am Ende laufen jetzt DC, DNS, DHCP, Root CA und auch der SQL Server 2008 (SP1 mit CU4) auf Server Core Maschinen…

    Administriert wird von einer Windows 7 Maschine mit den RSAT Tools und auch den sonstigen Administrationskonsolen (z.B. SQL Server Management Studio).

  • System Center Configuration Manager 2007 SP2

    Pünktlich zur allgemeinen Verfügbarkeit von Windows 7 und Windows Server 2008 R2 ist das Service Pack 2 (engl.) für den System Center Configuration Manager 2007 verfügbar geworden. Hier der Link für das Update Paket.

    Die Neuerungen, die ich zu der Beta vorgestellt habe, gelten weiterhin:

    Unterstützung neuer Betriebssysteme:

    • Windows 7
    • Windows Server 2008 R2
    • Windows Server 2008 SP2
    • Windows Vista Sp2

    Erweiterte Fähigkeiten bei der Integration der Intel Active Management Technologie (AMT):

    • Unterstützung für WLAN von mobilen Geräten (bis zu 8 Profile)
    • 802.1x Unterstützung für WLAN Endpunkte
    • Audit Log
    • Unterstützung verschiedener “Power States”

    Dazu wird die Verwendung der Asset Intelligence Funktionen wird einfacher, da das bisher benötigte Zertifikat nicht mehr benötigt wird.

    In Richtung 64-Bit Unterstützung gibt es Erweiterungen für die Remote Control für 64-Bit XP und Server 2003, sowie die Unterstützung der Betriebsüberwachung auf 64-Bit OS. ConfigMgr publiziert jetzt auch 64-Bit Perfmon Counter…

    Neue Fähigkeiten von Windows 7 und Windows Server 2008 R2, namentlich Branch Cache, werden auch unterstützt.

    Für internationale Installationen heißt es vermutlich noch etwas warten – die lokalisierte Versionen, wie auch die ICPs, sind noch nicht verfügbar, sondern benötigen noch ein wenig Zeit bis zur Fertigstellung.

  • Windows 7 Buch - als eBook kostenlos bis 31.10.2009

    Zur Kick-Off Veranstaltung der IT-Pro Launch Tour am 7.10.2009 konnten wir den Teilnehmern ein topaktuelles MS Press Buch zu Windows 7 anbieten, bevor es im Handel verfügbar war. Wissen rund um Windows 7 hat Konjunktur - es gilt informiert und vorbereitet zu sein.

    MS Press: Windows 7 - Auf einen BlickDa kommt ja ein weiteres Angebot passend, das bis 31.10.2009 gilt: Mit einer einfachen Registrierung erhält man das MS Press Buch "Windows 7 - Auf einen Blick" kostenlos als eBook im Download. Hier der Link: http://register.microsoft-press.de/?apid=60455.

    Das Buch adressiert typische Aufgaben und zeigt auf, wie sie mit Windows 7 erledigt werden. Dabei sind die Schritte übersichtlich mit den einzelnen Schritten dargestellt. 

    Zu den Themen:

  • Programme und Mini-Anwendungen ausführen
  • E-Mails senden, Termine planen, im Web surfen
  • Fotos, Musik und Videos organisieren, Spiele spielen
  • CDs und DVDs brennen und eigene Filme erstellen
  • Drucker einrichten und ein Heimnetzwerk erstellen
  • Sicherheit verbessern und Windows 7 optimal einrichten
  • Wer die etwa 350 Seiten lieber offline liest, bekommt das Buch natürlich auch in gesdruckter Form zu einem günstigen Preis im Buchhandel.

    Wen adressiert das Buch? Das ist jetzt natürlich eine persönliche Meinung, aber ich würde es allen empfehlen, die sich fragen, ob sie sich mit den Änderungen im Windows zurechtfinden. Der IT-Pro, der Netzwerke verantwortet und verwaltet, liest es vielleicht mit Interesse, wird vermutlich in weiten Bereichen nicht die technischen Hintergründe finden, die ihn interessieren. Dafür liest er vieles, was seinen Anwender interessiert und wie dieser effizient mit dem neuen Windows arbeiten kann. Aber auch IT Pros können profitieren - sie lesen über Anwenderthemen und wie man effizient mit WIndows umgeht. Erstaunlicherweise bevorzugen viele "Administratoren" noch die ältesten Einstellungen bevorzugen... Time for a change!