Nach der Installation des aktuellen Remote Desktop Clients klagen unsere Leser häufig darüber, dass sie nicht mehr die Möglichkeit haben, über den Schalter “/console” die Konsolensitzung eines Rechners zu öffnen.

In den bisherigen Versionen des Remote Desktop Clients diente der Schalter “/console” dazu, sich mit der Konsolensitzung des entfernten Rechners zu verbinden, anstatt eine weitere Sitzung zu öffnen.

Die allgemeine Verwirrung ist kein Wunder, denn Microsoft hat einfach den Namen des Parameters geändert, jedoch die Hilfedateien nicht entsprechend aktualisiert. Über die Taste [F1] suchen Sie vergeblich nach Hilfe. Die veralteten Informationen nennen Ihnen weiterhin den Schalter “/console” für das Öffnen einer Konsolensitzung.

Microsoft hat den Schalter „/console“ bei der neuen Version des Remote Desktop Clients umbenannt. Sie müssen nun den Parameter „/admin“ nutzen. Der neue Client (aktuelle Version ist 6.1) ist in Windows Vista und ins Service Pack 3 von Windows XP integriert. Sie können Ihn aber ebenso separat über Microsofts Download-Portal herunterladen.

Übrigens: Mit “Start” -> “Ausführen” -> “mstsc /?” bekommen Sie die möglichen Parameter angezeigt. Diese Auflistung kommt direkt aus dem Programm und ist unabhängig von den Informationen in der Hilfe. Hier finden Sie auch den richtigen Schalter für die Konsolensitzung.

Sicherlich kennen Sie bereits einige der zahlreichen Tools von Sysinternals, das mittlerweile zu Microsoft gehört. Aber kennen Sie auch Sysinternals Live? Das neue Projekt, das sich noch in der Beta-Phase befindet, ist unter http://live.sysinternals.com/ für Sie erreichbar.

Was zunächst nur wie eine chaotische Auflistung der Tools von Sysinternals wirkt, ist für Sie als Administrator auf den zweiten Blick eine absolut nützliche Arbeitshilfe. Da die Tools keine Installation benötigen, können Sie auf jedem beliebigen PC mit Internetanbindung sofort die aktuelle Version der Programme verwenden.

Noch hilfreicher als der Zugriff über den Browser erweist sich die Möglichkeit, dass Sie sich unter “Start” -> “Ausführen” per \\live.sysinternals.com\tools\ das Verzeichnis anzeigen lassen und z.B. per \\live.sysinternals.com\tools\procexp.exe direkt den Process Explorer starten können. Beim ersten Aufruf müssen Sie sich hier aber leider ein Wenig gedulden.

In der Eingabeaufforderung ist es Ihnen zudem möglich, das Verzeichnis mit den Tools von Sysinternals zu mappe, z.B. als Laufwerk “S:”: net use S: \\live.sysinternals.com\tools\.

Mit den Remote Server Administration Tools (RSAT) konfigurieren Sie Ihre Windows Server von Ihrem Client aus über die Verwaltungsprogramme, die Ihnen ansonsten nur auf Servern zur Verfügung stehen.

Sie nutzen somit beispielsweise die MMC-Snap-Ins  (Microsoft Management Console) für die Konfiguration des Active Directory (AD) von Ihrem Vista-PC aus.

Microsoft hat jetzt die RSAT auch in deutscher Sprache zum Download bereitgestellt.

Laden Sie sich die 32 Bit- oder 64 Bit-Version herunter, um Ihre Windows Server 2003 und 2008 komfortabel über die MMC-Snap-Ins zu verwalten.

Enthalten ist hier auch die Gruppenrichtlinien-Managementkonsole, die bei der Installation des Service Pack 1 entfernt wird.

Für Sie als Windows-Administrator sind die RSAT im Alltag eine enorme Erleichterung und nun endlich auch als deutsche Version unter Vista SP1 verfügbar. Sie finden die Menüpunkte somit wieder mit den Bezeichnungen vor, wie Sie sie von Ihrem deutschsprachigen Server kennen.

“Event-ID 16644: The maximum domain account identifier value has been reached. No further account-identifier pools can be allocated to domain controllers in this domain.”

Wahrscheinlich haben Sie diese Meldung bisher noch nicht gesehen. Das Limit der SIDs (Security Identifier) in einer Domäne kann aber ebenso erreicht werden, wie andere Grenzen.

Microsoft schlägt in diesem Fall übrigens als Workaround vor, eine zusätzliche Domäne zu erstellen und eine Vertrauensstellung zwischen den Domänen einzurichten, damit Sie einen neuen SID-Pool zur Verfügung haben.

Sicherlich profitieren Sie davon, wenn dies nicht ad hoc und auf die Schnelle geschehen muss, sondern rechtzeitig von Ihnen eingeplant und vorbereitet werden kann.

Microsoft hat deshalb diese Beschränkungen des Active Directory nun veröffentlicht. Auch wenn die Grenzen natürlich so hoch gesteckt sind, dass sie nicht so schnell erreicht werden, sollten Sie als Administrator sie zumindest kennen.

Im Folgenden finden Sie eine Übersicht der Limits des Active Directory:

• SIDs: Eine Domäne kann ca. eine Milliarde SIDs erzeugen
• Gruppenmitgliedschaften: Maximal kann ein Objekt in 1.015 Gruppen Mitglied sein
• FQDN-Namen: Der vollständige FQDN (Fully Qualified Domain Name) in der Domäne darf 64 Zeichen nicht überschreiten
• Dateinamen: Dateinamen inklusive Pfad dürfen maximal 260 Zeichen lang sein
• Organisationseinheit: Der Name einer OU (Organizational Unit) kann maximal eine Länge von 64 Zeichen haben
• Gruppenrichtlinien: Es können maximal 999 Gruppenrichtlinien auf ein Benutzer- bzw. Computerkonto angewendet werden
• LDAP-Operationen: Die empfohlene maximale Anzahl liegt bei 5.000 Operationen pro LDAP-Transaktion
• Domains: Maximal dürfen 800 Domains in einem Forest sein, wenn die Gesamtstruktur-Funktionsebene allerdings auf Windows Server 2003 eingestellt ist, sind 1.200 Domains möglich.
• Domänencontroller: Empfohlen wird, die Anzahl von 1.200 Domänencontrollern pro Domäne nicht zu überschreiten. Nutzen Sie Active Directory integrierte DNS-Zonen, müssen Sie bereits ab 800 Domänencontrollern Besonderheiten beachten.

Besonders die Begrenzung des Fully Qualified Domain Name auf 64 Zeichen sollten Sie beachten, wenn Sie Ihre Domain einrichten. Wählen Sie hier keinen zu langen Namen, damit Sie später bei der Benennung von Objekten in der Domäne keine böse Überraschung erleben.

Selbstverständlich setzen Sie in Ihrem Windows-Netzwerk Gruppenrichtlinien für unzählige Einstellungen an Clients und Servern ein, denn die zentrale Konfiguration im Netzwerk ist schließlich eine der großen Stärken von Microsofts Betriebssystemen.

Problematisch ist nur das Finden derjenigen Richtlinie, die Ihre gewünschten Einstellungen vornimmt. Besonders wenn es sich nicht um eine Standardanforderung handelt, kann die Suche nach den passenden Konfigurationen hier schon mal länger dauern.

Wenn Sie Windows Vista oder den Windows Server 2008 mittlerweile in Ihrem Unternehmen einsetzen, wollen Sie natürlich auch direkt von den neuen Gruppenrichtlinien Gebrauch machen. Microsoft bietet Ihnen hierfür eine Excel-Datei, die alle Gruppenrichtlinien für Windows Vista und Windows Server 2008 inklusive Beschreibung und wichtigen Informationen enthält. So ist beispielsweise für die administrativen Vorlagen aufgeführt, welche Registrierungsschlüssel verwendet werden.

Hierdurch haben Sie eine gute Übersicht der vorhandenen Gruppenrichtlinien für Windows Server 2008 und Windows Vista, die Sie über Filter und die Suche schnell zu einer Lösung für Ihre Anforderungen bringt

Nicht immer haben Sie die Möglichkeit, bei der Verteilung von Windows-Updates eine zentrale Softwarelösung, z.B. den kostenlosen WSUS-Server, einzusetzen.

Aus diesem Grund bietet Microsoft Ihnen jeden Monat die neuesten Updates als ISO-Image zum Download an. Sie haben so die Updates des aktuellen Monats in zahlreichen Sprachversionen für Ihre Microsoft-Betriebssysteme zur Verfügung.

So enthält das aktuelle Image für den Monat April  mit seinen über 2 GB Größe die Updates MS08-020 bis MS08-025 für alle Windows-Betriebssysteme von Windows 2000 bis zum Windows Server 2008.

Laut Microsoft ist dieser Service besonders für Administratoren gedacht, die ohne zentrales Patch-Management Updates in vielen Sprachen bereitstellen müssen.

Auch wenn Ihr Unternehmen nicht international tätig ist: Oft sind Einzelsysteme vom Netzwerk losgelöst. Durch dieses Image wird Ihnen die Aktualisierung solcher Systeme enorm vereinfacht.

Ich selber verwende diese Update-Images direkt nach der Installation von Windows-Computern. So sind die Rechner mit den neuesten Sicherheitsupdates versorgt, bevor Sie an das Internet angeschlossen werden.

Das aktuelle Image erhalten Sie jeden Monat direkt von Microsoft.

Viele Administratoren nutzen für Netzwerkpläne Visio von Microsoft. Mit einem Plug-In wird Visio nun um die Funktionalitäten des Microsoft Baseline Security Analyzers (MBSA) erweitert.

Das Add-In Microsoft Office Visio 2007 Connector for MBSA 2.1 bringt Ihnen die Funktionen des MBSA zum Prüfen Ihrer Netzwerkcomputer auf bekannte Schwächen und auf fehlende Patches direkt in Ihr Netzwerkdiagramm.

Damit Sie das Add-In einsetzen können, müssen Sie die folgenden Programme installiert haben:

• Visio 2003 Professional oder 2007 Prof.
• .NET Framework 2.0
• Microsoft Baseline Security Analyzer v2.1 (aktuell Beta 2)

Nach der Installation des Add-Ins starten Sie Visio wie gewohnt und wählen entweder ein Basis-Netzwerkdiagramm als Template aus. Ziehen Sie einen Server auf das Arbeitsblatt und tragen Sie den Hostnamen unter „Network Name“ oder die IP-Adresse unter „IP Address“ ein.

Wenn Sie nun den Mauszeiger über den Server platzieren, erscheint links unterhalb des Server-Symbols ein Informationszeichen (kleines “i”). Klicken Sie mit der linken Maustaste auf dieses Zeichen und wählen Sie „Perform Baseline Security Scan…“, um die Optionen für den Sicherheits-Scan zu öffnen, die bereits aus der eigenen Oberfläche des MBSA bekannt sind. Starten Sie hier den Scan.

Als Ergebnis bekommt Ihr Server eine Ampelfarbe zugeordnet, je nach Zustand des Systems. Den ausführlichen Bericht sehen Sie unter dem Zeichnungsblatt.

Anstatt nun alle Geräte in Ihrem Netzwerkdiagramm einzeln zu untersuchen, starten Sie am besten einen kollektiven Untersuchungsvorgang. Sobald Sie in Ihrem die IP-Adressen oder Hostnamen für Ihre Netzwerkobjekte eingetragen haben, tauchen diese innerhalb der Liste im Optionsfenster des MBSA-Scans auf und können für einen kollektiven Scan ausgewählt werden.

Heute Morgen wollte ein Leser gerne einen Windows Server 2003 neu installieren, zu dem ihm der Lizenzschlüssel nicht mehr vorlag. Zwar ist mir das bei einem Server bisher noch nicht passiert, aber wie jeder Administrator kenne ich auch die Suche nach dem passenden Produktschlüssel.

Ob Windows XP, Windows Vista, Windows Server 2003 oder Windows Server 2008: Egal welchen Produktschlüssel Sie auslesen wollen, das Tool ProduKey hilft Ihnen.

Es listet die Produktschlüssel des Betriebssystems und zusätzlich die Produktschlüssel von Office, dem Exchange Server und dem SQL Server auf, wenn diese vorhanden sind. Zudem existiert ein HTML-Export, mit dem Sie Ihre Lizenzschlüssel sichern können. Das Auslesen der Produktschlüssel erledigen Sie somit einfach per Mausklick.

Ich bin mittlerweile dazu übergegangen die Lizenzschlüssel zentral zu Archivieren, damit ich diese auch bei einem Festplattencrash der Systeme noch griffbereit habe.

Nutzen Sie ProduKey über die Kommandozeile, um das Auslesen für Ihr Netzwerk zu automatisieren. Die Ergebnisse exportieren Sie einfach in HTML-, XML-, CSV- oder Textdateien.

Über “ProduKey.exe /remoteall /shtml <DATEINAME>.html” lesen Sie alle Produktschlüssel im Netzwerk aus und schreiben sie in eine HTML-Datei im aktuellen Verzeichnis. Mit “ProduKey.exe /remote <COMPUTERNAME> /shtml <DATEINAME>.html” erreichen Sie dasselbe für einen einzelnen PC. Weitere Parameter finden Sie in der beiliegenden Dokumentation.

Das Tool habe ich bereits erfolgreich unter Windows XP, Windows Vista, Windows Server 2003 R2 (mit SP2) und Windows Server 2008 (mit SP1 ) genutzt. Jedes Mal wurden die Produktschlüssel problemlos ausgelesen.

Wenn Sie unter Windows Vista das Service Pack 1 installieren, wird automatisch die Gruppenrichtlinien-Verwaltungskonsole entfernt, sofern diese vorhanden war.

Der Grund dafür liegt darin, dass sie, wie auch andere Remote-Verwaltungsprogramme, ersetzt wurde und nun zum Windows Server 2008 kompatibel ist. Ab sofort administrieren Sie also von Ihrem Windows Vista SP1-Computer mit den Remote Server Administration Tools (RSAT) von Microsoft Ihre Server über das Netzwerk.

Laden Sie sich einfach die 32 Bit- oder die 64 Bit-Version herunter. Nach der Installation sind auf Ihrem Client die zahlreichen Verwaltungsprogramme direkt nutzbar, um eine Verbindung zu Ihren Server herzustellen. Sie finden hier die Gruppenrichtlinien-Verwaltungskonsole und die anderen Verwaltungsprogramme wieder, die Sie bereits vom Windows Server 2003 kennen, zusätzlich jedoch auch einige neue Verwaltungstools für den Windows Server 2008. Unter anderem:

• BitLocker-Tools
• Failover Cluster-Verwaltung
• Netzwerklastenausgleich-Verwaltung
• SMTP-Snap-In
• Wechselmedienverwaltung für Storage Area Networks (SANs)
• Windows System Resource Manager Tools

Mit den RSAT konfigurieren Sie Ihren Server ohne sich über Remote Desktop oder andere Steuerungsprogramme anmelden zu müssen. Übrigens werden diese Verwaltungstools gerne dazu genutzt, an Auszubildende im IT-Bereich oder Junior-Administratoren Verwaltungsaufgaben zu delegieren, ohne ihnen die Anmeldung an den Servern erlauben zu müssen

Das Scalable Network Pack (SNP) sollte eigentlich die Netzwerk-Funktionalitäten von Windows Servern deutlich beschleunigen, indem die CPU durch die Netzwerkkarte entlastet wird. Ab dem Service Pack 2 für Windows Server 2003 ist diese Funktion integriert, lässt sich aber für 2003 Server mit Service Pack 1 nachrüsten.

Administratoren brachte diese Funktion fataler Weise jede Menge Arbeit, denn wie sich im Nachhinein herausstellte, war sie die Quelle zahlreicher plötzlich auftauchender Netzwerkfehler. Durch Netzwerkkarten-Treiber, die nicht auf dem neuesten Stand sind, gibt es häufig Probleme mit SNP. Die Folge sind unerklärliche Netzwerkfehler, bei denen z.B. Authentifizierungsprobleme, Verbindungsfehler beim Aufbau von Remote Desktop-Verbindungen und DHCP-Störungen auftreten. Die Quelle ist nur schwer auszumachen.

Besonders Netzwerkkarten des Herstellers Broadcom, unter anderem das Modell NetXtreme, sorgen für zahlreiche Probleme im Netzwerk, wenn die Treiber nicht auf dem neuesten Stand sind. Dies ist besonders ärgerlich, da viele Mainboards im Serverbereich mit Broadcom-Netzwerkkarten bestückt sind.

Nur durch einen Workaround konnten Administratoren bisher das SNP, wenn es erst einmal als Fehlerquelle ausgemacht war, entweder im Netzwerkkartentreiber oder in der Windows-Registrierung deaktivieren.

Als Konsequenz aus den Problemen hat Microsoft im Windows Server 2008 die SNP-Funktionalitäten bereits von Haus aus deaktiviert. Mit einem neuen Update geschieht diese Deaktivierung nun auch für den Windows Server 2003.

Mit dieser Problematik habe ich selber ärgerliche Erfahrungen gemacht und kann nur allen Administratoren von Windows 2003 Servern mit Service Pack 2 raten, dieses Update einzuspielen.