Für kleine Umgebungen sind die Microsoft Windows Server in der Foundation-Edition ein günstiger Einstieg. Steigen allerdings die Ansprüche oder wäscht die Umgebung, stösst man evtl. an Grenzen.

Dabei geht es nicht nur unbedingt um technische Details, sondern wie wiele Benutzer mit der jeweiligen Windows Server-Edition maximal arbeiten dürfen. Bei Foundation-Servern liegt die Obergrenze bei 15 Benutzern. Kommt man allmählich in die Nähe dieser Grenze sollte man sich Gedanken machen, wie es weiter geht.

Upgrade auf Standard-Edition

Da man in der Regel nicht alles neu aufsetzen möchte und technisch gesehen eigentlich auch nicht müsste, kann es dennoch notwendig sein. Hintergrund ist das Microsoft je nach Version keinen Wechsel auf eine höhere Edition unterstützt.

So ist es bei Windows Server 2008 R2 Foundation möglich via In-place Upgrade auf die Standard-Edition zu wechseln:

Windows Server 2008 R2 Foundation supports the following upgrade scenario:
“In-place” upgrade of Windows Server 2008 R2 Foundation to Windows Server 2008 R2 Standard.

Quelle: Microsoft TechNet – Introduction to Windows Server 2008 R2 Foundation

Bei Windows Server 2012 R2 Foundation sieht die Sache leider anders aus:

Upgrade of Windows Server 2012 Foundation is not supported.

Quelle: Microsoft TechNet – Introduction to Windows Server 2012 Foundation

Da hilft nur neu machen, was entsprechenden technischen wie finanziellen Aufwand bedeutet.

Persönliche Bemerkung

Einer unserer Kunden ist genau in dieser Situation und verwendet einen Windows Server 2012 R2 Foundation. Einst bestand die Firma nur aus drei Mitarbeitern und das war auch lange Zeit so. Allerdings ist das Unternehmen die vergangenen zwei Jahre gewachsen. Die Server-Hardware ist erst ein Jahr alt und bei weitem nicht ausgelastet, jede andere Software die der Kunde einsetzt kann einfach skaliert werden. Am aufwendigsten und folglich kostspieligsten ist dabei noch nicht mal der eigentliche Windows Server mit seinen Daten und Diensten, sondern die Warenwirtschaft neu zu installieren.

Bei einem Kunden trat das Phänomen auf, das bei manchen Benutzern auf einem Terminalserver das Öffnen und Ausdrucken von PDF-Anhängen aus Outlook heraus sehr lange, teils mehrere Minuten, dauerte.

Der Terminalserver basiert auf Windows Server 2008 R2 Standard, es kommt Microsoft Office 2010 und Adobe Reader 11 zum Einsatz. Da das Problem nicht bei allen Benutzern auftrat, musste es auf die jeweiligen Profile begrenzt sein. Ferner trat es nicht immer gleich auf, manche PDFs gingen ruck-zuck, weitere oder andere dann wieder sehr zäh.

Nach langem Suchen und Recherchieren viel auf, das bei den betroffenen Benutzern in deren Temp-Ordner viele Dateien mit dem Anfang „Z@…“ vorhanden waren und diese selbst wenn der Benutzer nicht angemeldet ist, sich nicht löschen liesen.

Diese Dateien werden vom Adobe Reader angelegt, enthalten True Type-Schriften und werden beim Ausdrucken von PDF-Dateien verwendet. Windows sperrt die Dateien bis zum Neustart, so das diese dann erst im Anschluss gelöscht werden können.

Laut Adobe soll die Sperre auch beendet werden, wenn sich der Benutzer ab- und wieder anmeldet. Wir konnten das allerdings nicht beobachten, die Dateien blieben gesperrt, so das letztlich nur der Neustart und anschließendes Löschen half.

Einen praktikableren Workaround findet sich unter

Adobe enterprise product blog | David McMahon – Acrobat/Reader: Z@xxx.tmp files left behind in Temp folder after printing

Der Beitrag bei Adobe bezieht sich zwar auf frühere Windows-Versionen und schließt ab, das man das Problem unter Windows 7 und Server 2008 wohl nicht hätte, der vorliegende Fall zeichnet allerdings ein anderes Bild.

Letztlich hat geholfen, die „acroct.ini“ (Abschnitt „Workaround1“) herunterzuladen, zu entpacken und nach „C:\Windows“ zu kopieren.

Windows lässt je nach Edition nur eine bestimmte Anzahl an SMB-Verbindungen zu. Bleiben Verbindungen hängen oder aus anderen Gründen bestehen kann es schnell eng werden.

Windows 7 Professional lässt z.B. maximal 20 Verbindungen zu. In einem Arbeitsgruppen-Netzwerk oder wenn ein solches System in einer Domäne als kleiner Server verwendet wird und besagtes Problem mit hängen gebliebenen Verbindungen auftritt, kann man sich wie folgt abhelfen:

Manuell kann man Verbindungen über die Computerverwaltung unter

System - Freigegebene Ordner - Sitzungen

mit einem Rechtsklick auf eine Verbindung beenden. Via Eingabeaufforderung oder Skript geht dies mit

net session \\<IP-oder-Hostname> /delete /y

für eine einzelne Verbindung oder via

net session /delete /y

für alle Verbindungen.

Die maximal möglichen Verbindungen lassen sich mit dem Befehl

net config server

in einer Eingabeaufforderung mit erhöhten Rechten auslesen. Die Angabe hinter „Max. angemeldete Benutzer“ gibt dabei die maximalen möglichen Verbindungen an.

Aus der Praxis

Live und in Farbe besteht dieses Problem bei einem unserer Kunden, bei dem der DATEV-Fileserver ein Windows 7 Professional x64 in einem Domänen-Netzwerk ist. Scheinbar seit DATEV pro 9.0 (zumindest seit dieser Version ist es aufgefallen, mit 9.1 scheint es etwas besser zu sein), bleiben Verbindungen selbst von PCs bestehen, die heruntergefahren wurden. Als workaround wurde der zuvor genannte Befehl zum Trennen aller Verbindungen als Aufgabe in den Nachtstunden hinterlegt.

Die Datenträgerbereinigung leistet beim Aufräumen von Windows durchaus gute Dienste, entfernt sie neben temporären Dateien nicht mehr benötigte Windows Updates und spart so einiges ein Speicherplatz ein.

Microsoft liefert dieses nützliche Tool sowohl bei den Client- als auch Server-Versionen von Windows mit. Ein weiterer Pluspunkt ist die Möglichkeit, die Einstellungen zu speichern und dann z.B. via Skript oder Aufgabe regelmässig ausführen zu lassen.

Steht die Datenträgerbereinigung z.B. bei Windows 7 ab Werk zur Verfügung, so muss man diese unter Windows Server 2008 oder 2012 erst nachinstallieren. Der offizielle Weg besteht darin, über den Server-Manager die Desktopgestaltung hinzuzufügen. Siehe dazu

Microsoft TechNet – Enabling Disk Cleanup Utility in Windows Server 2012

Wenn man allerdings nur dieses Tool haben möchte, ist das zu viel des Guten.

Die englische Version von clenamgr kann man auf der Seite von Sami Lehtinen herunterladen:

Sami Lehtinen – Download CleanMgr.exe for Windows Server 2012 R2 & 2008 R2

Letztlich werden nur zwei Dateien benötigt:

C:\Windows\System32\cleanmgr.exe
C:\Windows\System32\de-DE\cleanmgr.exe.mui

Diese kann man entweder aus den tiefen des Windows-Ordners heraussuchen oder z.B. von einer anderen Windows Server-Installation umkopieren. Im Test klappte es ebenso von einem Windows 8.1 die Dateien auf einen Windows Server 2012 R2 zu kopieren.

Die Verwendung von Zwischenspeichern (cache) bei Webbrowser als auch Webservern ist eigentlich eine gute Sache, beschleunigt es doch das (erneute) Aufrufen von Internetseiten. Manchmal kann einem das aber auch das Leben schwer machen.

Ist man gerade dabei, eine Internet-Auftriff zu aktualisieren oder neu zugestalten, so kann einem der Cache schnell in die Irre führen und man wundert sich, woher denn nun veralteter Inhalt stammt.

Oft reicht es aus, im Browser seiner Wahl die Seite neu zu laden. Welche Tastenkombination (F5 alleine reicht oft nicht) verwendet werden muss, zeigt eine Auflistung bei Wikipedia:

Wikipedia:Bypass your cache

Oft wird auch Server-seitig auf Zwischenspeicher gesetzt. Bei dynamischen Seiten kann das zum einen Last vom Server nehmen als auch den eigentlichen Inhalt schneller ausliefern (da ja die Seite z.B. mit PHP nicht jedesmal neu generiert werden muss). Allerdings kann das im Fall von Updates wie beim Browser auch zur „Fehlersuch-Falle“ werden. Je nach Anbieter hat man auf die eine oder andere Art die Möglichkeit den Cache zu kontrollieren oder gar ganz abzuschalten. Anbei ein Beispiel von one.com:

one.com – Faq – Wie kann ich den Varnish-Cache deaktivieren?

Persönliche Bemerkung

Solche potentiellen Schwierigkeiten sind mir nicht neu, manchmal geht man diesen „Dingern“ aber dennoch auf den Leim. So aktualisierte ich zwei Bilder auf einer Kundenhomepage, aber diese wollten je nach Browser einfach nicht erscheinen. Das Abschalten des Cache beim Anbieter als auch das Löschen der jeweiligen Browser-Caches in Verbindung mit einem Browser-Neustart löste dann die Angelegenheit auf.

Grundsätzlich kann man die Foundation-Edition des Windows Servers virtualisieren. Unter VirtualBox gab es keine größeren Schwierigkeiten (siehe hier), auch unter KVM-basierten Lösungen und soweit mir bekannt ist sollte VMware ebenfalls kein Problem sein. Unter Hyper-V sieht die Sache allerdings etwas anders aus.

Eigentlich sind in allen neueren Versionen von Windows die Integrationsdienste bereits integriert. Die Ausnahme stellen nach aktuellem Kenntnisstand die Home-Editionen und der Foundation-Server dar.

Darf man das?

Gute Frage, die Lage ist etwas schwierig, da Microsoft im Blog etwas formuliert, das man so auslegen kann, als sei es ok:

Windows Foundation Server und Virtualisierung

Auf der anderen Seite allerdings unter Introduction to Windows Server 2012 Foundation folgendes erwähnt ist:

"Virtual image use rights: None; cannot host virtual machines or be used as a guest operating system in a virtual machine."

Ungeachtet dessen ist es technisch möglich.

Warum eigentlich?

Bei einem Kunden ging es darum, das einiges zu testen ist bevor an der Produktikumgebung etwas verändert werden sollte. Da der Kunde neben dem Foundation-Server noch Hyper-V im Einsatz hat, war es naheliegend die Produktivumgebung dort nachzubilden bzw. ein Backup davon als virtuellen Computer wiederherzustellen.

Übrigens geht s um folgende Versionen:

• Windows Server 2012 Foundation
• Windows Server 2012 R2 Standard als Hyper-V Host

Sonderfall „Hyper-V“

Der Restore des Backups war dabei gewohnt einfach. Ein Drive Snapshot-Abbild wurde in eine zuvor angelegte VHDX eingespielt. Der anschl. Bootvorgang verlief erfolgreich.

Hinweis: Der verwendete virtuelle Computer entspricht der „Generation 1“.

Allerdings viel schnell auf, das die virtuelle Hardware nicht vollständig lief. Das fing bei der Maus an und betraf unter anderem die virtuelle Netzwerkkarte. Letztere liese sich zwar über das Hinzufügen einer „Älteren Netzwerkkarte“ zum virtuellen Computer lösen, allerdings handelt es sich dabei dann nur um eine Fast Ethernet-Variante.

Den Versuch die Integrationsdienste zu installieren quittiert das Setup mit der Meldung, das diese schon laufen. Faktisch ist das allerdings nur ein Teil, soll heißen: Wenige Treiber, keine Dienste. Für die Dienste wurde bislang keine Lösung gefunden. Wichtig sind zunächst die Treiber.

Wichtig: Der Server läuft ohne die Treiber relativ langsam, so das etwas Geduld aufgebracht werden muss!

Vorbereitung ist alles

Damit man die Treiber über den Geräte-Manager installieren kann, müssen diese zunächst entpackt werden. Dazu auf dem Hyper-V Host die Datei „C:\Windows\System32\vmguest.iso“ einhängen oder entpacken und anschließend die Datei „support\amd64\Windows6.2-HyperVIntegrationServices-x64.cab“ entpacken. Das geht mit Bordmitteln oder z.B. mit 7-Zip.

Als nächstes das SDK für Windows 8.1 herunterladen:

Windows Software Development Kit (SDK) für Windows 8.1

Die Installationsdatei ausführen, angeben das man lediglich Herunterladen möchte und nur das „Windows App Certification Kit“ benötigt.

Folgendes Skript unter dem Namen „Treiber-signieren.cmd“ abspeichern:

@echo off

title Treiber signieren ...

rem Konfiguration

 set SDKPath=C:\Program Files (x86)\Windows Kits\8.1\bin\x64
 cd "%SDKPath%"

rem Zertifikat erzeugen

 makecert -r -ss MeineZertifikate -n "CN=Microsoft Windows - Hyper-V" -sr LocalMachine

rem Zertifikate kopieren

 cls
 echo Das neuerstellte Zertifikate muss sowohl zu
 echo "Vertrauenswuerdige Stammzertifizierungstelle" als auch zu
 echo "Vertrauenswuerdige Herausgeber" kopiert werden.
 echo.
 echo Erst wenn dies erfolgt ist, eine beliebige Taste druecken!
 echo.
 pause
 echo.

rem Treiber signieren

 rem Microsoft Hyper-V-Eingabe
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\VMBusHID.sys"

 rem Microsoft Hyper-V-Video
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\HyperVideo.sys"

 rem Microsoft Hyper-V-Netzwerkadapter
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\netvsc63.sys"
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\NetVscCoinstall.dll"
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\netvscres.dll"

 rem Microsoft Hyper-V S3 Cap
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\vms3cap.sys"

 rem Microsoft Hyper-V-Generieungszähler
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\vmgencounter.sys"

 rem Microsoft Hyper-V - Virtuelle Tastatur
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\hyperkbd.sys"

rem BCD konfigurieren

 bcdedit /set TESTSIGNING ON

echo.
pause

Die entpackten Treiber, das StandaloneSDK und das Skript in die VHDX des virtuellen Computers kopieren.

Tipp: Die Dateien z.B. nach „C:\Temp“ o.ä. kopieren. Den Pfad möglichst kurz halten, das erspart später Tipperei.

Die Sache mit der Treiber-Signatur

Seltsam erscheint, das angeblich die Treiber nicht signiert seien oder Signaturinformationen fehlen. Das scheint aber nicht ganz zuzutreffen. In den Details der Treiber ist erkennbar, das manche Dateien signiert sind, manche wiederum (angeblich) nicht. Prüft man mit dem SignTool oder Sigverif bekommt man evtl. Ergebnisse wie das z.B. die Prüfung an einem (Root-)Zertifikat endet, dem nicht vertraut wird oder (bei Sigverif) alle Hyper-V Treiber nicht signiert wären.

Abhilfe schafft das Booten ohne erzwungene Treibersignatur und das anschl. Signieren der Treiber. Führt man dies nicht durch, so lassen sich die Treiber nicht installiert und die Treiber starten später nicht (Code 52).

Treiber der Integrationsdienste installieren

Die Treiber müssen für die betroffene Geräte über den Geräte-Manager installiert werden, das ist zwar ohne Maus etwas frickelig, aber machbar. Der imho kürzeste Weg lautet:

• Den virtuellen Computer starten, „F8“ drücken und „Erzwingen der Treibersignatur deaktivieren“ auswählen.
• Nachdem der virtuelle Computer gebootet ist und man sich angemeldet hat „Win+R“ drücken,
• „devmgmt.msc“ eingeben,
• mit der „Tab“-Taste zum Geräte-Baum springen,
• über die Pfeiltasten zu den mit einem Ausrufezeichen markierten Gerät(en) wechseln,
• „Enter“ drücken,
• mit der „Tab“-Taste zu „Treiber aktualisieren“ wechseln und „Enter“ drücken,
• „Auf dem Computer nach Treibersoftware suchen“ auswählen und „Enter“ drücken,
• „Diese Treibersoftware trotzdem installieren“ auswählen und „Enter“ drücken.
• Dieser Vorgang muss zunächst für alle Treiber mit einem Ausrufezeichen und anschließend für alle Treiber mit einem Fragezeichen wiederholt werden.

Die Maus als auch Netzwerk (und weiteres) sollten nun funktionieren.

SDK installieren, Zertifikat erstellen und Treiber signieren

Damit nicht bei jedem Bootvorgang „F8“ (usw.) gedrückt werden muss, wird ein eigenes Zertifikat erstellt, diesem dem System hinzugefügt und es werden die Treiber mit diesem Zertifikat signiert. Abschließend muss der BCD angepasst werden.

Als Grundlage für dieses Vorgehen dienen folgende Seiten:

Microsoft TechNet – Schritte zum Signieren eines Gerätetreiberpakets

UNAWAVE – Zertifikat erstellen und die gepatchte Kernel-Datei signieren

Um etwas Arbeit zu ersparen wurde ein Skript erstellt, dass das Zertifikat erstellt, die Treiber signiert und den BCD konfiguriert. Einzig das Kopieren des Zertifikats muss man von Hand vornehmen.

Zunächst muss das SDK installiert werden. Im Anschluss das Skript „Treiber-signieren.cmd“ mit erhöhten Rechten ausführen. Sobald folgende Meldung erscheint

• eine MMC öffnen,
• das „Zertifikate“-Snap-In für das lokale Computerkonto hinzufügen,
• zu „MeineZertifikate – Zertifikate“ wechseln,
• dort das Zertifikat „Microsoft Windows – Hyper-V“ kopieren und sowohl bei „Vertrauenswürdige Stammzertifizierungstellen“ als auch „Vertrauenswürdige Herausgeber“ einfügen.
• Nun für das Skript eine beliebige Taste drücken.

Sobald das Skript durchgelaufen ist, den Server normal (d.h. ohne „F8…“) starten. Anschließend kann wie bei jeder Migration die IP-Konfiguration wiederhergestellt und alle notwendigen Anpassung (Alte Treiber deinstallieren, …) durchgeführt werden.

Neuinstallation

Versucht man den Foundation-Server komplett von DVD oder ISO in einen virtuellen Computer zu installieren, so bleibt man ggf. bei der Eingabe des Produktschlüssels hängen. Die konkrekte Fehlermeldung dazu lautet:

"Der Product Key konnte nicht überprüft werden. Überprüfen sie bitte das Installationsmedium."

Ein möglicher Grund kann zuwenig Arbeitsspeicher sein, dieser sollte bei min. 2 GB liegen. Ob eine Netzwerkverbindung vorhanden ist spielt keine Rolle.

Abhilfe schafft der „Generic Installation Key“: PN24B-X6THG-274MF-YHM9G-H8MVG

Quelle: Windows Answer File Generator – Generic Installation Keys

Ob’s im Anschluss mit der Aktivierung unter Verwendung des vorhandenen Product Keys klappt wurde noch nicht getestet.

Als nächste Hürde steht man dann vor dem Problem, das nach dem Neustart beim Festlegen des Administrator-Kennworts weder Tastatur noch Maus funktionieren. Selbst über das „Zwischenablage“-Menü kann man nichts machen.

Abhilfe schafft das Neustarten des virtuellen Computers. Anschließend gelangt man wieder zur gleichen Stelle, mit dem Unterschied das nun die Tastatur funktioniert. Es kann eine Weile dauern, bis die Anmeldemaske erscheint.

Einfach ein paar Minuten warten, im Hintergrund wird die Hardware eingerichtet. Die Tastatur funktioniert dann i.d.R.. Wie zuvor weiter oben erwähnt müssen die Integrationsdienste bzw. deren Treiber installiert und signiert werden.

Beim Versuch mit den unterschiedlichen Generation (1 oder 2) stellte sich heraus, das offenbar „Generation 2“ nicht unterstützt wird:

Ob es funktioniert, die Treiber bzw. Integrationsdienste offline in den virtuellen Computer einzufügen wurde noch nicht getestet. Das grundsätzliche Vorgehen ist hier beschrieben:

How to install integration services when the virtual machine is not running

Was nicht funktioniert

Bevor man auf den zuvor genannten Lösungsweg gekommen ist, wurden folgende Möglichkeiten erfolglos getestet:

ReadyDriver Plus – Mit Hilfe dieses Tools wird automatisch beim Start von Windows bei den erweiterten Startoptionen der Punkt ausgewählt, das die Treiber-Signaturprüfung deaktiviert werden soll. Leider funktioniert das nur unter Windows 7 oder neuer. Beim Windows Server wäre ein weiterer emulierten Tastendruck nötig, um den richtigen Eintrag zu aktivieren.

Driver Signature Enforcement Overrider – Beim Test zeigte dieses Tool zumindest auf dem Windows Server keinerlei Wirkung.

Das Ändern des BCD mit den Befehlen

BCDEDIT /Set LoadOptions DDISABLE_INTEGRITY_CHECKS
BCDEDIT /Set TESTSIGNING ON

und einem Neustart änderte leider nichts.

Das in der *.cab-Datei enthaltene Zertifikat zu den vertrauenswürdigen Stammzertifizierungstellen und Herausgebern hinzuzufügen reicht ebenfalls nicht aus.

Das Kopieren von Treiberdateien aus einer Windows Server 2012 R2 Standard-Installation bringt nichts, da es binär die gleichen Dateien sind.

Weitere Quellen & Informationen

MSDN – SignTool.exe (Sign Tool)

MSDN – Using SignTool to Verify a File Signature

Früher oder später muss auch mal ein Verwaltungsserver für die AntiViren-Lösung umgezogen werden. Das kann z.B. beim Wechsel des zugrundeliegenden Betriebssystems oder beim Austausch der Hardware der Fall sein. Beim Einsatz von G Data Business Solutions ist das recht einfach der Fall.

Als Fallbeispiel dient der Wechsel bei einem Kunden von einem Windows Server 2012 Foundation zu einem Windows Server 2012 R2 Standard. Verwendet wird G Data AntiVirus Business in der Version 13.2.

Quellcomputer

Datenbank sichern

• Das Konfigurationswerkzeug „gdmmsconfig.exe“ aus dem Ordner „C:\Program Files x86\G DATA\G DATA AntiVirus ManagementServer“ ausführen.
• Auf „Datenbank Backup erstellen“ klicken.
• Ein Ziel-Verzeichnis angeben und auf „Backup erstellen“ klicken.
  Hinweis: Netzlaufwerke funktionierten im Test nicht als Ziel.

G Data ManagementServer deinstallieren

Über „Systemsteuerung – Programme und Features“ den „G Data ManagementServer“ deinstallieren. Auf Wunsch können die Datenbanken als auch die Dateien in der Quarantäne bei der Deinstallation gelöscht werden.

Die Quarantäne (und weitere Dateien) befinden sich unter

C:\ProgramData\G Data

Die Datenbank befindet sich unter

C:\Program Files (x86)\Microsoft SQL Server\MSSQL10.GDATASQLSRV2K8\MSSQL

Zielcomputer

G Data ManagementServer installieren

• Die aktuelle Version von G Data Downloads herunterladen und entpacken.
• Die Datei „Setup.exe“ ausführen, auf „G Data ManagementServer“ klicken und den Anweisungen folgen.

Datenbank wiederherstellen

• Das Konfigurationswerkzeug „gdmmsconfig.exe“ aus dem Ordner „C:\Program Files x86\G DATA\G DATA AntiVirus ManagementServer“ ausführen.
• Auf die Schaltfläche „Datenbank wiederherstellen“ klicken.
• Die Backupdatei auswählen und auf „Backup wiederherstellen“ klicken.

Clients aktualisieren

• Den „G Data Administrator“ starten und anmelden.
• Zur „Clients“-Ansicht wechseln.
• Alle Clients auswählen, mit der rechten Maustaste anklicken und „G Data Security Client installieren…“ auswählen.
• Die administrativen Anmeldedaten eingeben und die Sprache auswählen.

Es erscheint die Installationsübersicht, die über den aktuellen Status informiert. Bei den Clients sollte (nach kurzer Zeit) die Meldung „G Data Security Client ist bereits installiert. Der Servername wurde aktualisiert.“ erscheinen.

Alternativ: Änderung per Hand, Skript oder GPO:

32-bit: „HKEY_LOCAL_MACHINE\SOFTWARE\G DATA\AVKClient“

64-Bit: „HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\G DATA\AVKClient“

Den Eintrag „Server“ auf die IP-Adresse oder den Computernamen des aktuellen ManagementServers aktualisieren.

Quellen

G Data – Wie kann ich die ManagementServer Datenbank sichern bzw. wieder herstellen?

G Data TechPaper #0158 – Upgrade auf Generation 13 der G Data Unternehmenslösungen (PDF)

G Data Business Support

Dank des Monitoring durch Server-Eye viel bei einem Kunden auf, das alle G Data-Clients in Sachen Virensignatur nicht mehr aktuell waren. Beim Versuch sich mit dem G Data Administrator am ManagementServer anzumelden, erhielt man immer die gleiche Meldung:

"Es kann keine Verbindung zum ManagementServer hergestellt werden."

Das es ab und an nicht klappt kennen wir von einigen Installationen, meist reicht es dann aus, den Dienst „G Data ManagementServer“ neu zu starten. Diesmal reichte das allerdings nicht. Selbst ein kompletter Neustart des Servers änderte nichts, so das der Business Support des Herstellers kontaktiert wurde. Dieser schlug folgendes Vorgehen vor:

Schließen Sie den G Data Administrator und starten das Tool "gdmmsconfig.exe"
aus dem Verzeichnis "C:\Program Files (x86)\G DATA\G DATA AntiVirus ManagementServer"
und testen einmal die Einstellungen und im Anschluß aktualisieren Sie noch die Datenbank.

Wir taten wie uns geheißen wurde, allerdings klappte die Anmeldung dann immernoch nicht. Erst nachdem die Dienste „G Data ManagementServer“ und „SQL Server (GDATASQLSRV2K8)“ beendet und in umgekehrter Reihernfolge erneut gestartet wurden war die Anmeldung erfolgreich. Kurze Zeit später aktualisierte sich der ManagementServer und in Folge die Clients.

Letztlich half also nur die Kombination. Vielen Dank an den G Data Business Support für die schnelle Hilfe.

Bei zwei Kunden ist uns aufgefallen, das bei der Lieferung des Miniservers G2 jeweils die Recovery DVD für den Windows Server 2012 R2 Foundation gefehlt hat. Bei den G1-Geräten lag bislang immer eine DVD bei. Nun trat bei einem Kunden die Situation ein, das ein Miniserver G2 neu installiert werden soll.

Eine Download-Möglichkeit oder ein ungebrandetes Installationsmedium gibt es meines Wissens nach nicht. Die reguläre Windows Server 2012 R2-Installationsmedien helfen auch nicht weiter, da diese die Foundation-Edition nicht enthalten. Eine kurze Mail an den Support von Wortmann reichte aus, damit eine Recovery-DVD zugeschickt wird (1. Tag: Mail an Wortmann, 2. Tag: Mail von der Retoureabteilung erhalten, das der Artikel zugeschickt wird, 3. Tag: UPS brachte das Paket).

Vielen Dank an die Firma Wortmann für die prompte Erledigung.

pfSense kann man als Firewall-Router einsetzen, muss man aber nicht. Möchte man z.B. nur den Fernzugang mittels OpenVPN (Roadwarrior-Szenario) nutzen und aus Sicherheitsgründen den Verkehr durch die Firewall reglementieren, so ist das leicht möglich.

Angeregt wurde dieser Beitrag durch eine Kundenanforderung, einen Windows-basierten OpenVPN-Server abzulösen und die Daten die durch den Tunnel fließen mittels Firewall zu regeln. pfSense wurde dabei als virtueller Computer auf einem Hyper-V Server 2012, auf Basis eines Windows Server 2012 Standard, eingerichtet.

Die Einstellungen des virtuellen Computer sollten der Mindest-Hardwarevoraussetzung entsprechen. Es werden zwei virtuelle Netzwerkkarten benötigt, die Erste muss dem WAN-Interface zugeordnert werden (diese nicht verbinden, da sie nicht verwendet wird) und die Zweite wird dem LAN-Interface zugeordnet.

Typischerweise entspricht “hn0” WAN und “hn1” LAN. Sobald die Zuordnung erfolgt ist, eine IP-Adresse aus dem LAN vergeben als auch einen “Upstream-Gateway”, d.h. die IP-Adresse des Routers angeben, anschließend via Browser fortfahren. Im Grunde kann man den Assistenten einfach durchlaufen, lediglich die Zeitzone als auch die Konfiguration des WAN-Interfaces sollte durchgeführt werden. Bei der Abfrage der DNS-Server die IP-Adresse des internen DNS-Servers oder Routers angeben.

Tipp: Damit pfSense schneller bootet, dem WAN-Interface eine statische IP-Konfiguration zuweisen. Dabei sollte man beachten, das man ein nicht-verwendetes Netz eingibt.

Unter “VPN – OpenVPN” kann nun ein neuer Server manuell oder über “Wizards” per Assistent konfiguriert werden. Bei der Auswahl des Interfaces von “WAN” zu “LAN” wechseln.

Ist das “Client Export”-Package installiert und man exportiert OpenVPN-Konfigurationen, so sollte darauf geachtet werden, das man im Abschnitt “Client Connection Behavior” bei “Host Name Resolution” auf “Other” setzt und bei “Host Name” entweder den FQDN, DDNS oder die feste öffentliche IP-Adresse des Internetanschlusses einträgt.

Sowohl in unserer Test- als auch in der Kunden-Umgebung war ist nicht notwendig, eine Route auf den Netzwerkgeräten oder dem Router zum OpenVPN-Netz zu setzen.

Bei einem Kunden aktualisierte ein PC die Virensignaturen nicht mehr, der G Data Management Server meldete wiederum, das der Client seit sieben Tagen nicht mehr verbunden war.Sonst gab es bei dem PC keine Auffälligkeiten. Ping und Namensauflösung in beide Richtungen waren ok, die Firewall-Einstellungen passten ebenfalls und die entsprechenden Dienste liefen. Alle anderen Arbeitsplätzen funktionierten wie sie sollten, an dem betreffenden PC wurde (außer reguläre Updates) nichts geändert. Kurzum: Nur der G Data Client wollte nicht mehr so recht.

Der Hersteller schreibt dazu, das man per „telnet“ prüfen kann, ob die Kommunikation grundsätzlich aufbaubar ist:

G Data – Support FAQ – Im G DATA Administrator in der Registerkarte „Clients“ steht bei einigen/allen Clients die Meldung „Keine Verbindung zum Server“. Wie kann ich die Verbindung zwischen Client und Server prüfen?

telnet <Hostname oder IP-Adresse> 7161

Das brachte allerdings keine neuen Erkentnisse. Zur Sicherheit wurde noch geprüft, ob in der Registry der richtige Management Server eingetragen ist, zum Test wurde sogar der Hostname durch die IP-Adresse ersetzt:

HKEY_LOCAL_MACHINE\SOFTWARE\G_DATA\AVKClient

Den Wert von "Server" prüfen/ändern.

Quelle: WTsolutions – FAQ – Kommunikation zwischen ManagementServer und Clients prüfen 

Auch das half nichts. Letztlich bestand die Lösung darin, den G Data Client zu deinstallieren, neuzustarten, wieder zu installieren und nochmals neuzustarten.

Update 27.09.2016

Vom G Data Support kam noch die Info, man solle den „G Data ManagmentServer“-Dienst neu starten. Dies würde dazu führen, das die Datenbank neu aufgebaut wird.

Über den Download der Woche beim IT-Administrator wurde ich auf die Evorim Free Firewall aufmerksam.

Folgende Punkte wissen zu gefallen:

• Deutscher Hersteller
• Schutz der Privatsphäre, also mehr als „nur“ Firewall
• Bedienung via Touch möglich (relevant z.B. auf Windows-Tablets)
• Unterbinden des „Nach-Hause-telefonierens“ von Windows (Telemetrie sperren)
• „Kooperativer Modus“ (veträgt sich mit anderen Firewalls)
• Mehrsprachig
• Läuft ab Windows 7 und Windows Server ab 2008 R2
• Geringe Hardwareanforderungen

Das die Firewall auch auf Windows Servern eingesetzt werden kann, ist nicht selbstverständlich bei Desktop-Firewalls. Interessant ist die Ankündigung einer portablen Version und der Schutz vor betrügerischen Webseiten. Mit anderen Worten: Die Lösung wächst.

Vermissen tue ich aktuell die Integration ins Sicherheitscenter (soll kommen) als auch ein Protokoll. Die Evorim Free Firewall ist eine Application Firewall, d.h. sie reglementiert Anwendungen und Dienste. Wer mit Protokollen (tcp,udp,…) und Ports arbeiten möchte, findet bei dieser Firewall keine Einstellungsmöglichkeiten.

In der aktuellen Form betrachte ich persönlich die Evorim Free Firewall als Ergänzung zur Windows-Firewall. Die einfache Konfiguration als auch die Möglichkeit die Privatsphäre zu Schützen sind ein deutliches Plus.

Nicht überall findet sich ein (Netzwerk-)Schrank oder eine andere geeignete Abstellmöglichkeit für einen Askozia Desktop Server. Mit der entsprechenden Halterung kann man diesen schnell und einfach an die Wand montieren.

Die Hardware-Basis dieser Telefonanlage bildet (vmtl.) das PC Engines APU2C2-Bundle. folglich kann die dazu passende Wandhalterung verwendet werden:

Sorry für das schlechte Bild, in der Kammer des Kunden war nur ein recht ungünstiges Licht.

Die Wandhalterung bekommt man z.B. bei Varia:

Wandhalterung für ALIX 2D2/6E1/6E2/2D13/2D3 Gehäuse (kein Partner-Link o.ä.)

P.S.: Betreibt man auf der gleichen Hardware z.B. eine pfSense, kann man diese ebenfalls ordentlich montieren.

Eine relativ böse Überraschung gab es bei einem Kunden als der Hersteller einer Branchensoftware auf einen neuen Wortmann Terra Miniserver G3 mit Windows Server 2012 R2 Foundation einen Datenbank-Server auf Basis von Firebird installierte.

Als das Setup „Firebird-2.5.3.26778_0_x64.exe“ ausgeführt und Abhängigkeiten zu Microsoft Visuall C++ (MSVC) installiert wurden startete der Server ohne Vorankündigung und unvermittelt neu. Es handelte sich nicht um einen Bluescreen, sondern um einen Neustart zum Abschluss der Feature-Installation. Es dauerte trotz SSDs einige Zeit bis die 100% erreicht waren, allerdings erschien selbst nach 45 Minuten keine Anmeldemaske. Ein Reset brachte nur recht schnell wieder die 100% und keine Anmeldung hervor.

Da es sich um den einzigen Server im Netzwerk handelt, wurde über folgende Wege auf die Maschine zugegriffen, um in Erfahrung zu bringen, was los ist:

Auf Freigaben konnte zugegriffen werden, allerdings sowohl an der Konsole und via Remotedesktopverbindung gab es nur die „Feature/100%“-Meldung zu sehen.

Als nächstes wurde der Zugriff via PsExec auf die Eingabeaufforderung des Servers erfolgreich durchgeführt:

psexec \\<Server> -u administrator -p <Kennwort> cmd

Und dort die Firewall deaktiviert:

netsh advfirewall set allprofiles state off

Um auf die Ereignisprotokolle und Dienste zugreifen zu können, muss die MMC am eigenen Computer wie folgt aufgerufen werden:

runas /noprofile /netonly /user:administrator mmc

Nun das Kennwort eingeben und sobald die MMC geöffnet ist können die entsprechenden Snap-ins hinzugefügt werden. Die Logs waren allerdings relativ sauber und die Dienste liefen alle.

Um dahinterzukommen, was das System im Hintergrund ausführt wurde mittels WinTail auf das Protokoll

\\<Server>\c$\Windows\Logs\CBS\CBS.log

zugegriffen (Notepad geht auch, dann hat man allerdings kein „Live Update“). Dort konnte gut beobachtet werden, das ständig Pakete verarbeitet wurden. Summa summarum hat es eine gute Stunde gedauert, bis alle Pakete verarbeitet waren und die Anmeldemaske wieder zur Verfügung stand. Bei testweise weiteren durchgeführten Neustarts tauchte das genannte Verhalten nicht mehr auf.

Update 02.02.2017

Anderer Kunde, „etwas“ anderer Server (SuperMicro Hardware, VM unter Hyper-V, alles auf Basis von Windows Server 2012 R2 Standard) und Firebird-Setup „Firebird-2.5.6.27020_0_Win32.exe“, keine Probleme oder ungefragte Neustarts.

Es kann mehrere Gründe dafür geben, auf alternative DNS-Server zurückzugreifen. So verteilen viele ISP keine festen Adressen für die Namensauflösung. Mitunter kann es auch vorkommen das die DNS-Dienste des Providers gestört sind oder man im Rahmen von Fallback-/Backup- oder Hochverfügbarkeitslösungen unterschiedliche Quellen nutzen möchte. Unerwähnt sollen auch solche Punkte wie Werbung oder Zensur nicht bleiben.

Die bekannteste alternativen DNS-Server dürften die von Google sein (IP-Adressen: 8.8.8.8, 8.8.4.4). Allerdings stellt sich beim Anbieter aus dem amerikanischen Mountain View schnell die Frage nach dem Datenschutz. Vom Namen her könnte man zwar bei OpenDNS meinen, das es dort anders aussehen könnte, allerdings gehört der Dienst seit einer Weile zu Cisco (siehe Wikipedia).

Vor der Umstellung auf Anycast war ORSN (Open Root Server Network) eine Alternative zu den von der ICANN koordinierten DNS-Rootservern. Nach einer „kurzen“ Pause zwischen Anycast-Einführung und den Snowden-Enthüllungen stehen diese Rootserver wieder zur Verfügung.

Als weiterer Anbieter kann OpenNIC genannt werden. Gut gefällt dabei, das sowohl Tier 1- als auch Tier 2-Server angeboten werden. Über die Seite OpenNIC Public Servers kann der nächstgelegende Server samt weiterer Informationen ermittelt werden.

Quellen

Wikipedia – OpenNIC

Wikipedia – Root-Nameserver

Mit Visual Syslog Server for Windows steht ein kleiner, schneller und dennoch mächtiger Syslog Server zur Verfügung. Das Programm ist schnell installiert und kann quasi sofort verwendet werden.

Auf der Gegenseite muss nur eingestellt werden, das zum Visual Syslog Server die Protokolldaten geschickt werden sollen. Weiter kann man Ereignisse bei bestimmten Log-Meldungen auslösen lassen und es lässt sich die Ansicht filtern. Ideal also für die Fehlersuche oder -analyse. Im Screenshot sind z.B. Meldungen eines Switches zu sehen:

Zugegeben „link up/down“-Meldungen sind nun nicht allzu spannend (wenn sie zum Ein-/Ausschaltzeitpunkt von Netzwerkgeräten passen). Interessant wird es z.B. bei „warm-“ oder „cold-reset“-Einträgen, wenn diese ungeplant erscheinen kann das ein Hinweis auf Abstürze des Switches oder Stromversorgungsprobleme sein.

Leider läuft Visual Syslog Server nicht als Systemdienst, folglich muss immer ein Benutzer angemeldet und das Programm gestartet sein. Für zeitlich befristete, vorübergehende Situationen wie in diesem Szenario während einer Fehlersuche ist das durchaus in Ordnung. Für langfristige Installationen sollte man sich eher eine andere Lösung aussuchen.

Je nach Dauer und Umfang der Protokolldaten können die lokalen Dateien des Syslog Servers recht umfangreich ausfallen, daher sollte der Speicherplatz im Auge behalten oder Protokolle regelmässig gelöscht oder überschrieben werden.

Nach der Installation und den üblichen Windows Update-Runden auf einem neuem Windows Server 2016 viel mir folgendes zwischen „Updateverlauf“ und „Updateinstellungen“ ins Auge:

Ehrlich Microsoft, muss das sein? Man fragt sich allmählich, wofür man Geld bezahlt, wenn jetzt sogar (mehr oder weniger) Werbung auf einem Server erscheint. Erst kürzlich gab’s die Meldungen zu OneDrive-Werbung unter Windows 10:

heise online – Windows 10: Berichte über OneDrive-Werbung im Datei-Explorer

„Schlimm genug“, das man die Telemetrie nicht vollständig deaktivieren kann (ausgehend von der Standard-Ausgabe des Servers) und das Xbox-Dienste installiert sind:

In der kleinsten Ausgabe des Microsoft SQL Server fehlt die Möglichkeit, eine Datensicherung zu automatisieren. Dieses kann man z.B. mit diversen Skripten tun oder ganz bequem mit einem Tool.

Bei der Einführung von JTL-Wawi kam unter anderem das Thema Datensicherung auf. In der Dokumenation wird darauf hingewiesen und für die Express-Ausgabe des MS SQL Server auch gleich eine Möglichkeit genannt:

SQLBackupAndFTP

Für ein simples regelmässiges Backup reicht die Free Version vollkommen aus. Das Tool ist leicht zu bedienen und schnell einsatzbereit. Gegenüber so mancher Skript-Lösung gefällt die ausführliche Benachrichtung über Erfolg oder Misserfolg der Datensicherung.

USB 2.0 verrichtet nach wie vor Tapfer seinen Dienst, möchte man allerdings größere Datenmengen wie zum Beispiel bei einer Datensicherung bewegen, so ist dies recht langsam.

Konkret ging es im vorliegenden Fall auf dem dieser Beitrag beruht um einen älteren Server (Fujitsu-Siemens Econel 100 S2 mit Windows Server 2008 R2) bei dem USB 3.0 nachgerüstet werden soll, damit die Datensicherung schneller von statten geht.

Eine solche Maßnahme kann vorallem dann Sinn ergeben, wenn PCs oder Server noch nicht ausgetauscht werden können oder sollen und das Zeitfenster für die Datensicherung relativ klein ist.

Beim Aufrüsten von USB 3.0 mittels PCI-Express-Karte muss zum einem geprüft werden, ob die Hardware kompatibel ist, d.h. entsprechende Steckplätze auf dem Mainboard vorhanden und frei sind als auch das es Treiber für das verwendete Betriebssystem gibt. Nicht jede Karte liefert Treiber für Windows Server mit. Nach kurzer Suche wurden wir bei Lindy fündig. Für die „USB 3.0 Karte Lite, 2 Port, PCIe“ (Artikelnummer 51118) liefert der Anbieter Treiber von Windows XP bis einschließlich 8 und Windows Server 2003 bis 2008 R2 (auf der Artikelseite ist sogar von Windows 2000 und MacOS die Rede).

Um vorab zu prüfen, ob alles passt bevor es beim Kunden „ernst wird“, wurde ein baugleicher Server (wurde uns von einem anderen Kunden mal überlassen) samt der erwähnten Karte getestet. Dieser wurde frisch mit Windows Server 2008 R2 Standard (Evaluierungsversion) installiert und mittels Windows Updates und Treiber der Herstellers auf den aktuellen Stand gebracht. D.h. das System ist quasi jungfräulich und es sind nur ca. 20 GB belegt. Anschließend wurde mittels CrystalDiskMark und Drive Snapshot getestet. Anbei die Ergebnisse:

Lokale Festplatte:

USB 3.0-Festplatte via USB 2.0 angeschlossen:

USB 3.0-Festplatte via USB 3.0 angeschlossen:

Zeit für die Vollsicherung via Drive Snapshot:

• USB 2.0 – 4:14 Minuten
• USB 3.0 – 2:35 Minuten

Soweit schonmal ein paar Unterschiede, allerdings eben nur Testumgebung. Live und in Farbe wird es vermutlich nochmal etwas anders aussehen. Sobald die Karte beim Kunden verbaut ist und es (hoffentlich) Feedback gibt, wird der Beitrag ergänzt.

rsync ist unter anderem für den Abgleich von nur innerhalb einer Datei geänderten Daten (aka Delta-Kodierung/-Abgleich) für allem für die Synchronisation oder Datensicherung via Netzwerk oder Internet attraktiv. Für den Betrieb unter Windows gibt es verschiedene fertige Pakete, die das Tool zusammen mit den benötigten Cygwin-Teilen und ggf. einer grafischen Oberfläche bündeln.

Mit wenig Einarbeitung lässt sich das Tool bequem z.B. via Skript, Eingabeaufforderung oder als Aufgabe nutzen. Im Netzwerkbetrieb unter Windows (lokal wurde nicht getestet) fällt allerdings schnell auf, das die verfügbare Bandbreite bei weitem nicht genutzt werden.

Das rsync unter Windows durch die Emulation von Cygwin leidet ist Prinzip-bedingt klar. Aber das es sich so drastisch auswirkt das z.B. beim ersten Kopieren einer Datei im Gigabit-LAN gerade mal im Durchschnitt nur 15 Mbit/s übertragen werden tut schon fast weh. Recherchiert man ein wenig, findet man noch Angaben von um die 40 Mbit/s, das ist zwar besser aber auch nicht gerade der Hit. Scheinbar war es mit früheren Cygwin-Versionen wohl mal besser, aktuell ist leider „kein Land in Sicht“.

Acrosync – Ein nativer rsync-Client für Windows

Die Auswahl an nativen rsync-Clients für Windows ist gelinde gesagt überschaubar. Es findet sich bei Sourceforge ein älteres, offenbar nicht mehr gepflegtes Projekt, das über das Alphastadium nicht hinweis kam und dann ist da noch Acrosync.

Anbei ein Screenshot von einem Testaufbau mit einem Windows Server 2012 R2 Standard, Acrosync 1.16 (Trial) und als Gegenstelle kommt ein Debian 8.7 Jessie, das als rsync-Server (Daemon), agiert zum Einsatz

Wie man am Task-Manager unschwer erkennen kann kommt man locker über die 15 Mbit/s hinaus. Gesynct wird dabei eine virtuelle Maschine unter Hyper-V zum Debian basierten-Backupserver.

Nachfolgend ein paar Notizen eines kurzen Tests:

Pro:

• Profilverwaltung
• Läuft als Dienst
• Unterstützt VSS (Schattenkopien)
• Integrierte Aufgabenplanung
• integrierter SSH-Client
• Fortschrittsanzeige in der Fusszeile des Programs

Contra:

• Erzeugt VSS-Fehler: 0x80070005: Lässt wie mit folgenden Schritten beheben:
  Ryadel – Volume Shadow Copy Service Error: Unexpected error querying for the IVssWriterCallback interface – how to fix that
  Bemerkung: Seit Fehlerbehebung und Neustart des Hosts läuft der Abgleich einer virtuellen Maschine mit ca. 26 GB Umfang gut 10 Minuten schneller.
• Fehlende Statistik wie bei „rsync –stats“ (persönliche Geschmackssache, ich find’s informativ)
• Nur rsync-Client, kein Server/Daemon

Acrosync gibt es außer für Windows zusätzlich für macOS und iOS sowohl mit Personal oder Commercial License.

Im Forum des Anbieters finden sich Hinweise auf einen Acrosync-Server:

Acrosync server

Client / Server

Aber die Einträge sind bereits Jahre alt. Wer weiß, ob da noch etwas kommt, wünschenwert wär’s allemal. Der Client hingegen wird nach wie vor gepflegt (letztes Update zum Zeitpunkt als der Beitrag geschrieben wurde: April 2017).

Windows-only Alternative

Wer nur mit Windows arbeitet und Wert auf Performance und den Delta-Abgleich legt, sollte sich Bvckup2 ansehen. Dabei handelt es sich zwar um ein kommerzielles closed-source Programm, dieses erfüllt seine Aufgabe (imho) außerordentlich gut.