Das Scalable Network Pack (SNP) sollte eigentlich die Netzwerk-Funktionalitäten von Windows Servern deutlich beschleunigen, indem die CPU durch die Netzwerkkarte entlastet wird. Ab dem Service Pack 2 für Windows Server 2003 ist diese Funktion integriert, lässt sich aber für 2003 Server mit Service Pack 1 nachrüsten.

Administratoren brachte diese Funktion fataler Weise jede Menge Arbeit, denn wie sich im Nachhinein herausstellte, war sie die Quelle zahlreicher plötzlich auftauchender Netzwerkfehler. Durch Netzwerkkarten-Treiber, die nicht auf dem neuesten Stand sind, gibt es häufig Probleme mit SNP. Die Folge sind unerklärliche Netzwerkfehler, bei denen z.B. Authentifizierungsprobleme, Verbindungsfehler beim Aufbau von Remote Desktop-Verbindungen und DHCP-Störungen auftreten. Die Quelle ist nur schwer auszumachen.

Besonders Netzwerkkarten des Herstellers Broadcom, unter anderem das Modell NetXtreme, sorgen für zahlreiche Probleme im Netzwerk, wenn die Treiber nicht auf dem neuesten Stand sind. Dies ist besonders ärgerlich, da viele Mainboards im Serverbereich mit Broadcom-Netzwerkkarten bestückt sind.

Nur durch einen Workaround konnten Administratoren bisher das SNP, wenn es erst einmal als Fehlerquelle ausgemacht war, entweder im Netzwerkkartentreiber oder in der Windows-Registrierung deaktivieren.

Als Konsequenz aus den Problemen hat Microsoft im Windows Server 2008 die SNP-Funktionalitäten bereits von Haus aus deaktiviert. Mit einem neuen Update geschieht diese Deaktivierung nun auch für den Windows Server 2003.

Mit dieser Problematik habe ich selber ärgerliche Erfahrungen gemacht und kann nur allen Administratoren von Windows 2003 Servern mit Service Pack 2 raten, dieses Update einzuspielen.

Beim Zugriff auf Ihren Dateiserver sehen die Benutzer Ihres Netzwerks alle Freigabeinhalte, unabhängig davon, ob sie Zugriffsberechtigungen hierfür haben oder nicht.

Ein einfacher Weg, um dies zu ändern und z.B. den Anwendern die Suche nach den richtigen Daten somit zu vereinfachen, ist das Verbergen aller Daten, auf die der Benutzer keinen Zugriff hat.

Der Windows Server 2008 bietet hier von Haus aus eine Lösung: Access-based Enumeration (ABE) ist hier als Feature direkt integriert. Aber auch unter dem Windows Server 2003 ab Service Pack 1 steht Ihnen die Möglichkeit zur Verfügung, Freigabeinhalte nur für Benutzer mit entsprechenden Berechtigungen sichtbar zu machen.

Um die Funktion nachzurüsten, laden Sie sich zunächst direkt bei Microsoft die Erweiterung für ABE herunter. Nach der Installation öffnen Sie die Eigenschaften einer Freigabe und wechseln Sie zum neuen Register “Access-based Enumeration”. Hier aktivieren Sie die ABE nun für einzelne oder für alle Freigaben auf Ihrem Server.

Sobald die Einstellung aktiviert ist und Sie dies über “OK” oder “Übernehmen” bestätigt haben, sind die Ordnerinhalte beim Zugriff über die Freigabe nur noch für Benutzer sichtbar, die entsprechende Zugriffsberechtigungen darauf haben.

P.S.: In der April-Ausgabe von “Windows Server” zeigt unsere Redaktion Ihnen übrigens weitere Schritte, mit denen Sie Ihren Dateiserver absichern und härten.

Da viele Leser leider nicht die Möglichkeit hatten, das große Event live zu verfolgen, möchte ich Ihnen einen kleinen Trost anbieten: Die offiziellen Folien von der Start-Veranstaltung zum Windows Server 2008.

Nach etwas Wartezeit stehen die vier Präsentationen bei Microsoft zum Download bereit.

Mein Tipp: Laden Sie sich die begehrten Folien herunter und holen Sie sich so die grundlegenden Informationen zum neuen Server in komprimierter Form. Die Folien sind teilweise sehr gut ausgearbeitet und somit ideal für einen ersten Überblick.

Steht da wirklich Service Pack 1?? Für Windows Server 2008? Genau das habe ich heute gedacht, als ich mir einen Testserver angeschaut habe, auf dem wir Exchange 2007 installieren wollten. Beim Öffnen der Systemeigenschaften sah ich plötzlich, dass das System anscheinend bereits Service Pack 1 installiert hat.

Nachdem ich mich versichert hatte, dass keiner meiner Kollegen ein Service Pack auf dem Server installiert hatte (sie lachten mich eher aus, weil natürlich noch kein Service Pack erschienen sein kann), entschloss ich mich nachzuhaken.

Hat Microsoft mitbekommen, dass viele Firmen ihre Produkte erst ab SP1 nutzen, um vor Kinderkrankeiten verschont zu bleiben?? Ob diese Firmen sich aber eine plumpe Umbenennung des Systems überzeugen lassen? Da muss doch mehr hinter stecken…

Warum Microsoft seinen Windows Server 2008 direkt als Service Pack 1 ausliefert, habe ich mittlerweile erfahren. Es gibt eine einfache Erklärung: Es ist tasächlich ein System mit integriertem Service Pack 1. Aber wieso?

Windows Vista und der Server 2008 haben beide die gleiche Codebasis. Microsoft kann so z.B. Patches und Erweiterungen schneller entwicken, da sie auf beide Systeme anwendbar sind.

Windows Vista ist mit Service Pack 1 auf den Stand des Windows Servers 2008 aktualisiert worden. Die Schlussfolgerung hieraus ist natürlich (wie sollte es auch anders sein ), dass der Server das Service Pack schon integriert hat. Denn Immerhin sind nun beide Systeme wieder von der Codebasis her identisch. Was unter Vista nachgerüstet werden musste, ist beim Server also schon integriert gewesen, das Service Pack 1.

Liebe Leserin, lieber Leser,
es ist geschafft: die April-Ausgabe von Windows Server Praxis haben wir soeben fertiggestellt. Es erwarten Sie folgende interessante Themen:

• Windows-Vista-Upgrade: So verteilen Sie Vista SP1 in Ihrem Netzwerk
• Arbeiten mit der Windows PowerShell (2): So nutzen Sie Pipelines, Filter und Formatierungen
• Alltagsprobleme lösen (Active Directory): Karteileichen finden und veraltete Informationen aktualisieren
• Netzwerkfreigaben sicher im Griff (2): Mit diesen 6 Tipps härten Sie Ihre Dateifreigaben
• Protokollierung unter Windows-Server 2003: Wie Sie die Ereignisprotokolle zur Fehleranalayse nutzen

Wie immer haben wir natürlich aktuelle Leserfragen beantwortet und ein Automatisierungs-Script für Sie erstellt: Dieses Mal erfahren Sie, wie Sie ein Massenupdate von Active Directory-Objekten automatisieren. So halten Sie das Kernstück Ihrer Windows-Domäne aktuell.

Fall Sie noch kein Leser unseres Fachinformationsdiensts sind, bestellen Sie sich vollkommen unverbindlich eine Gratisausgabe. Hierduch haben Sie den gesamten Monat Zugriff auf unser vollständiges Onlinearchiv, in dem Sie alle bisher erschienenen Artikel finden.

Ich wünsche Ihnen viel Erfolg beim Umsetzen der Beiträge aus unserer aktuellen Ausgabe. Für Fragen und Anregungen wenden Sie sich gerne an mich persönlich.

“Da ist jemand fest entschlossen, die Benutzer alle auf Service Pack 1 zu bringen.”, sagte heute Mittag ein Kollege zu mir. Gemeint war das neue Angebot von Microsoft: Für Installationsprobleme mit dem aktuellen Service Pack 1 unter Windows Vista können Sie ab sofort kostenlos den Support von Microsoft nutzen:

Das Angebot ist bis zum 18.03.2009 gültig. Anfragen per E-Mail kann jeder Stellen, die Reaktion (also zumindest eine Antwort mit Standardlösungen) erhalten Sie spätestens am nächsten Arbeitstag.

Vergessen Sie nicht, bei der Support-Anfrage in dem Drop-Down-Menü am unteren Rand des Formulars “Windows Vista” auszuwählen, damit Ihre Anfrage auch sofort richtig (zu den kostenlosen Anfragen) zugeordnet werden kann. Im zweiten Schritt geben Sie Ihren Namen, Ihre E-Mail-Adresse und optional Ihre Telefonnummer an. Schon ist die Supportanfrage gestartet.

Natürlich wollte ich dieses Angebot sofort für Sie testen. Ich habe deshalb heute um 22:00 Uhr eine Supportanfrage gestellt. Innerhalb weniger Minuten gab es eine automatische Rückmeldung per E-Mail, in der mir eine Antwort innerhalb von 8 Geschäftsstunden garantiert wird:

==============================BESTÄTIGUNG

==============================

Ihre Supportanfrage wurde erfolgreich an Microsoft gesandt.

Ein Microsoft Supportmitarbeiter wird sichinnerhalb der vereinbarten

Zeit mit Ihnen in Verbindung setzen.

==============================

ANFRAGE DETAILS

==============================

[...]

Schweregrad: Schweregrad C (niedrig)

[...]

Antwort innerhalb von: Innerhalb von acht Geschäftsstunden

==============================

Ich bin gespannt auf die Antwort

“Was bringt mir Vista mit Service Pack 1?” und “Sollte ich mit der Installation noch warten?” sind wohl die häufigsten Fragen, die ich von Kunden und Freunden in den letzten Tagen zu hören bekomme. Obwohl keine großen Neuerungen versprochen wurden: Die Leute sind heiß auf Service Pack 1.

Das neue Service Pack bringt in erster Linie Stabilität und Performance und kann für 32 Bit (ca. 434 MB) oder 64 Bit (ca. 726 MB) direkt bei Microsoft heruntergeladen werden. Über die automatischen Updates, bei denen nur die für das System relevante Daten übertragen werden, fällt die Datenmenge mit ca. 70 MB (32 Bit) und ca. 130 MB (64 Bit) allerdings erheblich geringer aus. Das Service Pack wird in den automatischen Updates ubrigens nicht angezeigt, wenn Software installiert ist, zu der bereits Probleme in Kombination mit dem Service Pack bekannt sind.

Die wichtigsten neuen Features sind aus meiner Sicht die fogenden:

• Alle vor SP1-Veröffentlichung erschienenen Sicherheitspatches sind enthalten
• Bitlocker kann nun auch andere Partitionen als die Boot-Partition verschlüsseln
• Die Verschlüsselung wird durch neue Methoden der Zufallszahl-Generierung verbessert
• Bessere Unterstützung des “Hot-Patchings”, wodurch in Zukunft weniger Neustarts bei Updates nötig sind
• Die Installation eines 64-Bit-Systems von einem 32-Bit-System, z.B. WinPE, ist nun möglich, wodurch in Unternehmensnetzwerken ab sofort ein Installations-Image für beide Versionen ausreicht

Weiterhin wurde an der Performance gefeilt, was sich besonders beim Booten, Herunterfahren und Kopiervorgängen bemerkbar macht.

Diese Meldung ist übigens nur auf den ersten Blick lustig: Sie sollten für die Installation wirklich 1-2 Stunden einplanen…

Bei der Installation des Service Packs habe ich mehrere Stolptersteine ausgemacht, die Sie beachten sollten:

• Es muss genügendFestplattenspeicher frei sein, der zumindest temporär genutzt wird:
  • 5,5 GB bei 32 Bit
  • 8 GB bei 64 Bit
  • “nur” 1,5 GB bei beiden Versionen, wenn die über die automatischen Updates installiert werden

• Einige Treiber führen zu Problemen bei oder nach der Installation. Aktualisieren Sie diese Treiber. Eine Liste der problematischen Treiber gibt es bei Microsoft.
• Auch Schutzsoftware, wie z.B. Virenscanner und Firewalls sollten Sie auf den neuesten Stand bringen. Da diese eng mit dem Betriebssystem zusammenarbeiten, können auch hier ansonsten Probleme entstehen.

Besonders bedauerlich für Unternehmen: “Slipstreaming” ist nicht vorgesehen!

Bisher war es z.B. bei Windows XP möglich, über den Parameter “/integrate” das Service Pack in eine vorhandene Installations-CD zu integrieren, um sich die nachträgliche Installation zu ersparen. Dies ist bei Vistas erstem Service Pack Microsoft vorbehalten. Zwar können Sie mit dem Parameter “-x” die .cap-Dateien extrahieren und z.B. über VLite in eine Installations-DVD einbinden, steht dann aber bei Problemen alleine dar - not supportet by Microsoft…

Vor der Verwendung des Service Packs auf Ihrem Produktivsystem, sollten Sie es auf einem identisch konfigurierten Testsystem, z.B. in einer virtuellen Machine, auf die Kompatibilität mit Ihrer restlichen Software prüfen.

Fazit: Vistas Service Pack lohnt sich alleine schon durch die Geschwindigkeitsvorteile. Wenn Sie vor der Installation die Stolperfallen beseitigen, steht dem erfolgreichen Einsatz des Service Packs nichts im Wege.

„Wie war das Kennwort nur gleich nochmal?“ - Diese Frage stellt sich in der Praxis leider viel zu häufig. Betrifft diese Frage das Administratoren-Kennwort, bereitet die Antwort richtig Kopfschmerzen. Sie beugen dem vor, indem Sie das Administrator-Kennwort für den Notfall sicher im Tresor hinterlegen. Wie aber gehen Sie dabei am besten vor? - Dazu meine Empfehlung:

1. Drucken Sie eine Liste der Zugangsdaten aus.
2. Legen Sie die Liste in ein Kuvert und versiegeln Sie das Kuvert mit einem individuellen Wachsstempel. So können Sie unerlaubten Aufbruch des Kuverts jederzeit feststellen. (Was kostet eigentlich eine individuelle Siegelgravur?- Siehe siegelgravur.de oder anthalion.de oder google.de ;-) )
3. Regeln Sie eindeutig den Zugriff auf den Tresor: Nur der IT-Verantwortliche oder die Geschäftsführung dürfen das Kuvert im Notfall öffnen.

Möchten Sie den Zugriff noch weiter absichern, empfehle ich Ihnen die Implementierung eines 4-Augen-Prinzips:

Legen Sie ein neues Domänen-Administrator-Konto an, dass nur im Notfall verwendet werden darf. Das Kennwort lassen Sie von zwei verschiedenen Verantwortungsträgern (z.B. Personen der Geschäftsführung) hintereinander eingeben: Bitten Sie zunächst die erste Person, den ersten Teil des Kennwortes einzugeben und versiegeln Sie die Zeichenketten in einem Umschlag. Dann bitten Sie die zweite Person, den zweiten Teil einzugeben und versiegeln den Teil ebenfalls.

Beide Umschläge lagern Sie nun in unterschiedlichen Tresoren, auf die unterschiedliche Verantwortungsträger Zugriff haben. Dadurch gewährlisten Sie, dass stets zwei Personen erforderlich sind, um das Kennwort zurück zu setzen.

In Scripten und Server-Tools müssen Sie als Administrator immer wieder Absenderadresse für E-Mails hinterlegen, die Ihnen automatisch vom System zugeschickt werden. Viele Administratoren tragen dabei aber nicht die eigene Domain-Adresse ein, sondern verwenden beispeilsweise nobody@nobody.com oder nobody@DoNotReply.com. Wenn Sie eine solche E-Mail-Adresse verwenden und Sie oder Ihre Anwender doch einmal versehentlich antworten, landet die E-Mail beim Inhaber der Domain.

So empfängt der Inhaber der Domain donotreply.com täglich eine Vielzahl solcher E-Mails. Alleine heute hat Chet Faliszek (Inhaber der Domain) wieder 110,729 E-Mails archiviert. Die besten Exemplare veröffentlicht er regelmäßig in seinem Blog unter der gleichnamigen Adresse, wie ich soeben bei Heise gelesen habe. Die E-Mails haben durchaus Unterhaltungscharakter, denn Sie finden einige namhafte Institutionen, Banken und Unternehmungen.

Interesse geweckt? - Dann lesen Sie in einer ruhigen Kaffeepause doch mal selbst unter http://www.donotreply.com/

Wenn Sie einzelne Patches gezielt downloaden möchten, beginnt zumeist eine aufwändige Suche im Microsoft Download-Center. Verwenden Sie stattdessen den Microsoft Update Catalog. Hier können Sie verschiedenste Updates und Patches gezielt suchen, in einem Auswahlwarenkorb zusammenfassen und in einem Bündel downloaden. Außerdem können Sie zu Suchergebnissen sogar einen Feed abonieren und werden so stets über neue Patches zu Ihrer Suchanfrage informiert.

In dem nachfolgenden Screenshot sehen Sie beispielsweise das Suchergebnis für Windows Vista. Die Anzeige lassen Sie am besten nach der Spalte “Letzte Aktualisierung” sortieren, damit Sie die neusten Patches direkt oben in der Liste sehen.