Der Small Business Server 2003 (SBS 2003) erfreut sich in vielen kleinen und mittelständischen Unternehmen besonderer Beliebtheit. Allerdings stößt er bei stark wachsenden Unternehmen recht schnell an seine Grenzen.

Mit der R2-Version können Sie deshalb bereits Exchange Server 2003 Standard und SQL Server 2005 Workgroup Edition jeweils auf eine eigene Hardware auslagern, um die Performance zu verbessern.

Was aber hat Microsoft sich nun für die neue Version einfallen lassen, die den Windows Server 2008 enthalten wird?

Unter dem Namen “Windows Essential Server Solutions” wird Microsoft ab Herbst 2008 gleich vier Lösungspakete für kleine und mittelständische Unternehmen bereitstellen:

• Windows Small Business Server 2008 Standard
• Windows Small Business Server 2008 Premium
• Windows Essential Business Server 2008 Standard
• Windows Essential Business Server 2008 Premium

Welche Komponenten jeweils enthalten sind, habe ich Ihnen in einer Übersicht zusammengefasst.

So bringt Ihnen der Windows Small Business Server 2008 Standard die folgenden Technologien ins Haus:

• Windows Server 2008
• SharePoint Services 3.0
• Exchange Server 2007
• Forefront Security for Exchange Server
• Windows Server Update Services
• Windows Live OneCare for Server

Zusätzlich hierzu enthält der Windows Small Business Server 2008 Premium

• einen weiteren Windows Server 2008 Standard
• den SQL Server 2008 Standard

Beide Small Business Server sind auf Unternehmen mit bis zu 50 Mitarbeitern ausgelegt. Sie können aber, wie auch beim Vorgänger, mit bis zu 75 Clientlizenzen (Geräte oder Benutzer) auf die Server zugreifen.

Neu ist hier, dass Microsoft mit “Standard CALs” (Client Access Licenses) und “Premium CALs” die Zugriffslizenzen für die jeweilige Servervariante unterscheidet.

Der Windows Essential Business Server 2008 Standard, der für Unternehmen ab 50 Mitarbeitern gedacht ist, enthält die folgenden Komponenten:

• Windows Server 2008
• Exchange Server 2007
• Forefront Security for Exchange Server
• System Center Essentials 2007
• Internet Security and Acceleration (ISA) Server in der kommenden Version

Besonders ist hierbei, dass Sie den Exchange Server mit Forefront und den ISA Server jeweils auf einem eigenen Windows Server 2008 betrieben können und somit den Domänencontroller stark entlasten.

In der Variante Windows Essential Business Server 2008 Premium kommen auch hier der SQL Server 2008 Standard und ein Windows Server 2008 Standard hinzu.

Die Essential Business Server sind für Netzwerke mit bis zu 250 Benutzern oder Clients ausgelegt. Sie erlauben allerdings Netzwerke mit bis zu 300 CALs.

Microsoft bietet mit den Essential-Lösungen in Zukunft also auch für Unternehmen jenseits der 75 Clientlizenzen ein Lösungspaket an.

Wenn Sie die Grenze des Small Business Servers 2003 schon fast erreichen oder die Anschaffung einer Windows-Infrastruktur planen, dann beziehen Sie die Essential-Lösungen auf jeden Fall in Ihre Überlegungen mit ein. Durch die neuen Pakete bietet Microsoft Ihnen nun mehr Luft für Wachstum, hoffentlich weiterhin zu einem gleichermaßen attraktiven Preis.

Falls Sie mit dem Test der neuen Server Core-Installation des Windows Servers 2008 noch gezögert haben, weil Sie den Server nicht mühsam ohne die Unterstützung einer grafischen Oberfläche konfigurieren wollen, hilft Ihnen jetzt ein praktisches Programm.

Mit der grafischen Oberfläche für die Server Core-Installation, dem CoreConfigurator, nehmen Sie die wichtigsten Konfigurationen ohne die Konsole vor. 

Der Zweck der Server Core-Variante des Windows Servers 2008 bleibt dabei bestehen: Der Server selber läuft mit einem Minimum an Diensten und bietet somit weniger Angriffsfläche und Störanfälligkeit.

Die grafische Oberfläche unterstützt Sie aber bei den wichtigsten Einstellungen und erleichtert den Umstieg, denn ein Server so ganz ohne anklickbare Oberfläche ist für einen Windows-Admin doch eine große Umgewöhnung

Allerdings haben Sie unter einem deutschsprachigen Windows Server 2008 noch den Nachteil, dass die Installation von Rollen und die Konfiguration der Firewall mit dem Programm nicht funktionieren. Nutzen Sie hierfür die Befehle ocsetup (Installation von Rollen) bzw. netsh firewall und netsh advfirewall (Firewall-Konfiguration). Der Entwickler des CoreConfigurators hat bereits eine mehrsprachige Version in Aussicht gestellt.

Mit den Remote Server Administration Tools (RSAT) konfigurieren Sie Ihre Windows Server von Ihrem Client aus über die Verwaltungsprogramme, die Ihnen ansonsten nur auf Servern zur Verfügung stehen.

Sie nutzen somit beispielsweise die MMC-Snap-Ins  (Microsoft Management Console) für die Konfiguration des Active Directory (AD) von Ihrem Vista-PC aus.

Microsoft hat jetzt die RSAT auch in deutscher Sprache zum Download bereitgestellt.

Laden Sie sich die 32 Bit- oder 64 Bit-Version herunter, um Ihre Windows Server 2003 und 2008 komfortabel über die MMC-Snap-Ins zu verwalten.

Enthalten ist hier auch die Gruppenrichtlinien-Managementkonsole, die bei der Installation des Service Pack 1 entfernt wird.

Für Sie als Windows-Administrator sind die RSAT im Alltag eine enorme Erleichterung und nun endlich auch als deutsche Version unter Vista SP1 verfügbar. Sie finden die Menüpunkte somit wieder mit den Bezeichnungen vor, wie Sie sie von Ihrem deutschsprachigen Server kennen.

“Event-ID 16644: The maximum domain account identifier value has been reached. No further account-identifier pools can be allocated to domain controllers in this domain.”

Wahrscheinlich haben Sie diese Meldung bisher noch nicht gesehen. Das Limit der SIDs (Security Identifier) in einer Domäne kann aber ebenso erreicht werden, wie andere Grenzen.

Microsoft schlägt in diesem Fall übrigens als Workaround vor, eine zusätzliche Domäne zu erstellen und eine Vertrauensstellung zwischen den Domänen einzurichten, damit Sie einen neuen SID-Pool zur Verfügung haben.

Sicherlich profitieren Sie davon, wenn dies nicht ad hoc und auf die Schnelle geschehen muss, sondern rechtzeitig von Ihnen eingeplant und vorbereitet werden kann.

Microsoft hat deshalb diese Beschränkungen des Active Directory nun veröffentlicht. Auch wenn die Grenzen natürlich so hoch gesteckt sind, dass sie nicht so schnell erreicht werden, sollten Sie als Administrator sie zumindest kennen.

Im Folgenden finden Sie eine Übersicht der Limits des Active Directory:

• SIDs: Eine Domäne kann ca. eine Milliarde SIDs erzeugen
• Gruppenmitgliedschaften: Maximal kann ein Objekt in 1.015 Gruppen Mitglied sein
• FQDN-Namen: Der vollständige FQDN (Fully Qualified Domain Name) in der Domäne darf 64 Zeichen nicht überschreiten
• Dateinamen: Dateinamen inklusive Pfad dürfen maximal 260 Zeichen lang sein
• Organisationseinheit: Der Name einer OU (Organizational Unit) kann maximal eine Länge von 64 Zeichen haben
• Gruppenrichtlinien: Es können maximal 999 Gruppenrichtlinien auf ein Benutzer- bzw. Computerkonto angewendet werden
• LDAP-Operationen: Die empfohlene maximale Anzahl liegt bei 5.000 Operationen pro LDAP-Transaktion
• Domains: Maximal dürfen 800 Domains in einem Forest sein, wenn die Gesamtstruktur-Funktionsebene allerdings auf Windows Server 2003 eingestellt ist, sind 1.200 Domains möglich.
• Domänencontroller: Empfohlen wird, die Anzahl von 1.200 Domänencontrollern pro Domäne nicht zu überschreiten. Nutzen Sie Active Directory integrierte DNS-Zonen, müssen Sie bereits ab 800 Domänencontrollern Besonderheiten beachten.

Besonders die Begrenzung des Fully Qualified Domain Name auf 64 Zeichen sollten Sie beachten, wenn Sie Ihre Domain einrichten. Wählen Sie hier keinen zu langen Namen, damit Sie später bei der Benennung von Objekten in der Domäne keine böse Überraschung erleben.

Was Forschern nun mit wenig Aufwand gelungen ist, bietet Hackern in Zukunft die Möglichkeit, ihre Exploits binnen kürzester Zeit automatisch generieren zu lassen.

Durch den Vergleich von Programmdateien vor und nach dem Einspielen eines Patches kann mit einfachen Mitteln herausgefunden werden, wie sich die durch den Patch beseitigte Schwachstelle ausnutzen lässt.

Die Forscher haben hierzu die jeweiligen Änderungen mit Debugging-Mechanismen ausfindig gemacht. Meist wird bei den Patches eine zusätzliche Abfrage von Werten ergänzt. Hierdurch sollen diejenigen Werte verhindert werden, durch die sich die Sicherheitslücke ausnutzen lässt.

Die neu enthaltene Abfrage verrät einem Angreifer jedoch, welche Werte er erzeugen muss, um die Schwachstelle für seine Zwecke zu missbrauchen.

Auf Basis der so gewonnen Informationen kann nach Aussage der Forscher binnen Sekunden automatisch ein Programm generiert werden, das die entsprechenden Werte erzeugt, die durch den Patch verhindert werden. Somit würde die betroffene Anwendung zum Absturz gebracht. Mit geringem Aufwand kann dies zu einem Exploit erweitert werden, der die Sicherheitslücke beispielsweise zur Infektion des Systems ausnutzt.

Allerdings müssen die Patches in Unternehmensumgebungen vor dem Einspielen ausführlich getestet werden. Sicher zu stellen, dass alle Sicherheitspatches binnen Minuten nach dem Erscheinen installiert sind, wird in den wenigsten Bereichen möglich sein.

Bisher gibt es leider noch keinen Ansatz, nach dem dieses Problem gelöst werden kann.

Ich empfehle Ihnen in Ihrem Unternehmen für das Testen von Patches Standardabläufe zu entwickeln. Legen Sie sich eine Checkliste mit Programmen Betriebsabläufen an, die Sie in Ihrem Testsystem durchgehen. So halten sie zumindest die Testzeit für Patches möglichst gering und schließen verheerende Behinderungen Ihrer Unternehmensabläufe trotzdem weitestgehend aus.

Damn Small Linux (DSL), die 50 MB schlanke Linuxdistribution, ist auf Version 4.3 aktualisiert worden.

Große Änderungen gab es hierbei nicht. Erfreulich ist allerdings für alle Benutzer des Systems,  dass nun auch der Firefox in Version 2 zur Verfügung steht.

Eine vollständige Liste der Neuerungen finden Sie auf der Internetseite des Projekts.

Das auf Knoppix basierende DSL zeichnet sich als besonders kleine Linuxdistribution überall dort aus, wo die Hardwareanforderungen gering gehalten werden müssen (ab 486DX mit 16 MB RAM) oder eine mobile Linux-Lösung gewünscht wird. Denn DSL lässt sich mit seinen 50 MB auch auf kleineren USB-Sticks oder Mini-CDs kopieren und von dort aus booten.

Durch die MyDSL-Module erweitern Sie die Distribution übrigens um zusätzliche Anwendungen und Funktionen.

Für Windows-Admins, die ein Linuxsystem zu Testzwecken benötigen, ist DSL oft eine gute Wahl, denn die Distribution lässt sich unter Windows einfach ohne Installation oder zusätzliche Virtualisierungssoftware starten.

Laden Sie sich hierzu einfach die Embedded-Version herunter und starten Sie sie über die Daten dsl-base.bat. Sofort bootet das Linux-System brav in einem Windows-Fenster

SMS-Spam, Telefonspam, Spam in Foren und Blogs, … die Liste der Methoden auf denen unerbetene Informationen Sie belästigen wird immer länger. Jetzt reiht sich ein weiterer Trick ein: Kalender-Spam.

Wundern Sie sich also nicht, wenn Sie demnächst eine Terminerinnerung darauf hinweist, dringend Aktien für $99 zu kaufen oder günstige Pillen aus dem Ausland zu bestellen.

Ursache hierfür ist, dass nun auch Googles Kalenderfunktion mit einem Trick zu einer Spamschleuder umfunktioniert wird. Die Spammer senden hierüber einfach Einladungen zu einem Termin an Ihre E-Mail Adresse. Natürlich handelt es sich nicht um einen Termin zu einem wichtigen Meeting, sondern es wird Ihnen die übliche Palette an sinnloser Werbung präsentiert.

Für viele Empfänger ist dies einfach eine Spam-Mail ohne weitere Auswirkungen. Ist allerdings die automatische Annahme von Terminen bei Ihnen aktiviert, z.B. in Outlook oder direkt auf dem Exchange Server, hat der Spammer sein Ziel erreicht. Obwohl Sie die Mail sofort gelöscht haben, befindet sich ein Eintrag in Ihrem Kalender, der Ihnen Tage, Wochen oder Monate nach dem Erhalt der E-Mail das Geschäft Ihres Lebens verspricht.

So geschehen übrigens bei einem Mitarbeiter des Internet Storm Centers  (ISC): für $150 gleich 1,2 Millionen kassieren, was für ein Angebot.

Zum Glück ist diese Methode noch nicht sonderlich verbreitet. Ich bin aber mal gespannt, was als nächstes kommt…

Prüfen Sie doch einmal, ob Termine in Ihrem Netzwerk automatisch angenommen werden. Wer weiß, was für Termine Sie sonst annehmen

Bei Outlook 2003 und 2007 finden Sie die Einstellung für das automatische Annehmen von Besprechungsanfragen in den Optionen unter “Kalenderoptionen” -> “Ressourcenplanung”. Wenn Sie einen Exchange Server 2007 nutzen, ist die Option ausgegraut, da sie auf dem Server konfiguriert wird.

P.S.: Mein Kalender ist übrigens diese Woche schon voll, Spamtermine bitte nicht vor den 05.05. datieren

Selbstverständlich setzen Sie in Ihrem Windows-Netzwerk Gruppenrichtlinien für unzählige Einstellungen an Clients und Servern ein, denn die zentrale Konfiguration im Netzwerk ist schließlich eine der großen Stärken von Microsofts Betriebssystemen.

Problematisch ist nur das Finden derjenigen Richtlinie, die Ihre gewünschten Einstellungen vornimmt. Besonders wenn es sich nicht um eine Standardanforderung handelt, kann die Suche nach den passenden Konfigurationen hier schon mal länger dauern.

Wenn Sie Windows Vista oder den Windows Server 2008 mittlerweile in Ihrem Unternehmen einsetzen, wollen Sie natürlich auch direkt von den neuen Gruppenrichtlinien Gebrauch machen. Microsoft bietet Ihnen hierfür eine Excel-Datei, die alle Gruppenrichtlinien für Windows Vista und Windows Server 2008 inklusive Beschreibung und wichtigen Informationen enthält. So ist beispielsweise für die administrativen Vorlagen aufgeführt, welche Registrierungsschlüssel verwendet werden.

Hierdurch haben Sie eine gute Übersicht der vorhandenen Gruppenrichtlinien für Windows Server 2008 und Windows Vista, die Sie über Filter und die Suche schnell zu einer Lösung für Ihre Anforderungen bringt

Als ich heute die E-Mail eines Lesers beantworten wollte, konnte ich zwischen den Zeilen herauslesen, wie ihm beim Schreiben der E-Mail die Schweißperlen auf der Stirn standen.

Kein Wunder, denn es ging um den Alptraum eines jeden Administrators: Ein mit NTBackup auf seinem Windows XP-Computer erstelltes Backup ließ sich nicht auf dem frisch installierten Windows Vista-System zurücksichern. 

Direkt nach dem Erscheinen von Vista und Windows Server 2008 war die Wiederherstellung von Backups, die Sie mittels NTBackup unter Windows XP oder dem Windows Server 2003 angefertigt haben, auf den neuen Produkten tatsächlich ein Problem und nur über Umwege möglich.

Mit dem Windows NT Backup-Wiederherstellungsprogramm (Ntbackup-RestoreUtility), das Sie bei Microsoft im Downloadbereich finden, steht Ihnen allerdings hierfür mittlerweile ein offizielles Programm von Microsoft zur Verfügung.

Wie auf der Downloadseite beschrieben, müssen Sie die Wechselmedienverwaltung für die Nutzung des Programms installieren.

Unter Windows Vista erledigen Sie dies, indem Sie unter “Start” -> “Systemsteuerung” -> “Programme” -> “Windows-Funktion ein- oder ausschalten” die “Wechselmedienverwaltung” aktivieren. Auf dem Server 2008 fügen Sie die Wechselmedienverwaltung über den Server-Manager als Feature hinzu.

Installieren Sie anschließend das Programm mit der heruntergeladenen .msi-Datei.

Die Installation fügt im Startmenü den Eintrag “Windows NT Backup - Wiederherstellungsprogramm” hinzu, aus dem Sie das “Ntbackup-RestoreUtility” starten. Ihr Backup stellen Sie nun mit dem Assistenten wieder her.

Unser Leser hat übrigens mittlerweile seine Daten auch schon lange wieder

Falsche DLL-Versionen (Dynamic Link Library) oder Fehlermeldungen, die auf irgendwelche unbekannten DLL-Dateien verweisen, sind im Admin-Alltag leider keine Seltenheit. Sicherlich hatten Sie auch schon Probleme mit einer falschen DLL-Version oder brauchten Details zu einer bestimmten DLL-Datei. Wenn ich Informationen über DLLs suche, dann verwende ich die Online-Datenbank von Microsoft.

Während in Deutsch bisher nur Daten für eine enge Auswahl an Produkten zur Verfügung stehen, bringt ein Wechsel zu englischsprachigen Variante eine große Menge an Informationen zutage.

Hier finden Sie nicht nur Informationen darüber, welche DLL-Dateien in welcher Version vorhanden sein sollten. Sie suchen hier auch gezielt nach der Beschreibung zu einer bestimmten DLL-Datei, wenn diese einen Fehler verursacht.

Schade nur, dass die Informationssammlung anscheinend mit der technischen Entwicklung nicht Schritt halten kann: Die aktuellsten Dateiversionen für den Windows Server 2003 betreffen das SP1.

Trotzdem konnte ich Freitagnachmittag einem Leser damit zur Lösung eines Problems verhelfen und wollte es mir nicht nehmen lassen, diesen Tipp auch hier zu veröffentlichen.