04.10.2017

Windows Server

Windows Server Edition Übersicht
Windows Server Core
Windows Nano Server
Windows Hyper-V
Terminal-Server - Terminal-Sitzung
Windows SharePoint Service
Small Business Server
IIS-Server
Windows VPN-Server
WSUS
Windows Server Befehle
Ereignisse Filtern
Backup
Volume Shadow Copy Service (VSS)
Ereignisse beim Server
Druckserver
Key Management Service (KMS)
Arbeitsordner
Workplace Join
Servergespeicherte BenutzerProfile
Server Edition Upgrade
Storage Spaces Direct
sonstiges / FAQs

Remote Server Administration Tools (RSAT)

Remoteserver-Verwaltungstools für Windows 7 SP1
Remoteserver-Verwaltungstools für Windows 8
Remoteserver-Verwaltungstools für Windows 8.1
Remoteserver-Verwaltungstools für Windows 10

TechNet Windows Server Forum
Microsoft Products Support Lifecycle Policy

Windows Server 2016 Evaluierungsversion
Projekt Honolulu
Windows Server Insider Preview

Seitenanfang

Windows Server Edition Übersicht

Windows Server 2012 Hardwaremindestanforderung und Limits

Komponente Anforderung
Prozessorarchitektur x64
Prozessorgeschwindigkeit 1,4 GHz
Speicher (RAM) 512 MB
Speicherplatz auf der Festplatte 32 GB, bei mehr als 16 GB RAM, ist mehr Festplattenspeicherplatz erforderlich
Edition Lizenzierungsmodell Limits
Foundation max. 15 Benutzerkonten 32 GB RAM
Essentials max. 25 Benutzerkonten 64 GB RAM
Standard Prozessor + CAL 4 TB RAM
Datacenter Prozessor + CAL 4 TB RAM

Windows Server 2008 R2 Hardwaremindestanforderung und Limits

Komponente Anforderung
Prozessorarchitektur x64
Prozessorgeschwindigkeit 1,4 GHz
Speicher (RAM) 512 MB, empfohlen 2 GB RAM
Speicherplatz auf der Festplatte 32 GB, bei mehr als 16 GB RAM, ist mehr Festplattenspeicherplatz erforderlich
Edition Lizenzierungsmodell Limits
Foundation max. 15 Benutzerkonten 8 GB RAM
Standard Prozessor + CAL 32 GB RAM
Enterprise Prozessor + CAL 2 TB RAM
Datacenter Prozessor + CAL 2 TB RAM

Windows Server 2008 Hardwaremindestanforderung und Limits

Edition Lizenzierungsmodell Limits
Standard Prozessor + CAL 32 GB RAM
Enterprise Prozessor + CAL 1 TB RAM
Datacenter Prozessor + CAL 1 TB RAM

 

Seitenanfang

Windows Server Befehle

Befehl Beschreibung
ntdsutil Schnappschuß der AD-Datenbank
dsamain den gesicherten Schnappschuß als LDAP Verzeichnis bereitstellen
adsiedit LDAP Browser
ldifde LDAP Browser
gpupdate /force Richtlinienänderungen sofort übernehmen, ansonsten werden die Änderungen erst alle 5min übernommen.
gpresult /h c:\Temp\gp.html Gruppenrichtlinien Zugriff auf dem Client prüfen, HTML Ergebnisdatei wird erstellt
pathping <IP-Adresse oder DomainName> -R -T ähnlich tracert nur ausführlicher, ab W2k vorhanden
net localgroup Benutzer /delete <BenutzerName> entfernt <BenutzerName> aus der Localen Gruppe Benutzer
net user <BenutzerName> zeigt Infos und Gruppenzugehörigkeit von <BenutzerName> an
Systemsteuerung
appwiz.cpl Programme und Funktionen
desk.cpl Bildschirmauflösung anpassen
firewall.cpl Firewall
inetcpl.cpl Internetoptionen
ncpa.cpl Netzwerkkonfiguration
sysdm.cpl Systemeigenschaften
wscui.cpl Wartungscenter
Verwaltungskonsole
compmgmt.msc Computerverwaltung
devmgmt.msc Gerätemanager
diskmgmt.msc Datenträgerverwaltung
eventvwr.msc Ereignisanzeige
services.msc Dienste Manager
wf.msc Firewall (erweitert)
Windows Update-Einstellungen, Windows Update settings Windows Update Verwaltung (ab Win8.1)
   
   
Seitenanfang

Ereignisse Filtern

Sicherheitsprotokoll filtern

Sicherheitsprotokoll | Aktuelles Protokoll filter | XML
Manuell bearbeiten: aktivieren

<QueryList>
  <Query Id="0" Path="Security">
   <Select Path="Security">* [EventData[Data[@Name='subjectUsername']='benutzername']]</Select>
  </Query>
</QueryList>

- Es werden alle Ereignisse des Benutzers:Benutzername herrausgefiltert.

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
...
Antragsteller:
	Sicherheits-ID:		Domain\Benutzername
	Kontoname:		Benutzername
	Kontodomäne:		Domain

 

Seitenanfang

Backup

bis Windows Server 2003
ab Windows Server 2008
Fehlersuche
sonstiges

Seitenanfang

bis Windows Server 2003

Beispiel für ein Backup Job, bei Bandlaufwerken ist die Option /um wichtig, sonst wird der Job nicht ausgeführt.
/n - Name des Bandes
/v - nach Abschluss prüfen
/r - Zugriff aufs Band nur durch Administratoren
/hc - Hardwarekomprimierung
/m - Sicherungsart
/j - Auftragsname
/l - Umfang der Protokolldatei
/p - Medienpool
/UM - nimmt jedes verfügbare Band

Mit rsm refresh (Removable Storage Manager) wird das Laufwerk aktualisiert, nicht jedes Laufwerk bekommt ein Bandwechsel mit und ntbackup kann keine Sicherung durchführen.

start /wait rsm refresh /LF"Hewlett Packard DDS4 drive"
C:\WINDOWS\system32\ntbackup.exe backup "@C:\Dokumente und Einstellungen\Administrator\
Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows NT\NTBackup\data\taegliche Sicherung.bks"
 /v:yes /r:no /rs:no /hc:on /m normal /j "taegliche Sicherung" /l:s /p "4mm DDS" /n "taeglich" /UM

rsm view zeigt die Medien in der Bibliothek an

C:\>rsm view /tphysical_media

PHYSICAL_MEDIA
taeglich - 1
taeglich - 1
taeglich - 1
taeglich - 1
taeglich - 1

Der Befehl wurde ausgeführt.
Seitenanfang

ab Windows Server 2008

WBADMIN Befehlsübersicht
Wbadmin start backup

- Windows Sicherung Server 2008 R2

@echo off
REM C:\Scripte\backup.bat
for /f "delims=. tokens=1-3" %%a in ('echo %date%') do set datum=%%c-%%b-%%a
SET LOGFILE=C:\Scripte\%datum%-Backup.log
SET QUELLE=C:,E:
SET ZIEL=F:
SET AUSSCHLUSS="C:\$RECYCLE.BIN","E:\$RECYCLE.BIN","E:\Install","E:\Temp"
echo.
echo ------------------------------------------- >> %LOGFILE%
echo Backup-Start: %DATE% um %TIME% Uhr >> %LOGFILE%
echo ------------------------------------------- >> %LOGFILE%
echo.

wbadmin start backup -vssFull -allCritical -systemState -quiet -noVerify -backupTarget:%ZIEL% -include:%QUELLE% -exclude:%AUSSCHLUSS% >>%LOGFILE%

echo.
echo ------------------------------------------- >> %LOGFILE%
echo Backup-Ende: %DATE% um %TIME% Uhr >> %LOGFILE%
echo ------------------------------------------- >> %LOGFILE%
echo.

WBADMIN Optionen

Option Beschreibung
-vssFull Voll-Backup, Log- bzw. Transaktions-Dateien bei Exchange und SQL werden abgeschnitten und bereinigt
-allCritical alle kritischen Elemente
-systemState Systemstate sichern
-quiet keine Ausgabe auf der Konsole
-noVerify Backup nicht überprüfen
-backupTarget Ziel des Backups
-include Laufwerk, Ordner oder Dateien die gesichert werden sollen
-exclude Laufwerk, Ordner oder Dateien die nicht gesichert werden. Beim Restore des Backups z.B. über "Computer reparieren" | Systemwiederherstellung werden die ausgeschlossenen Laufwerke, Ordner und Dateien gelöscht.

Syntax für include oder exclude
- Laufwerk

C:,D:

- Verzeichnis

"C:\Temp","D:\Temp"

-Datei

"C:\Temp\*.tmp","D:\Temp\*.log"

- Task für die Aufgabenplanung automatisch anlegen

SCHTASKS /Create /SC DAILY /TN Backup-to-RDX /RL HIGHEST /ST 20:00 /TR "C:\Scripte\backup.bat"

beim Server 2008 wird die Option -systemState noch nicht unterstützt siehe Befehlsübersicht.

LOG Ausgabe von WBAdmin

Logdateien unter C:\Windows\Logs\WindowsServerBackup die .etl Dateien kann man mit der Ereignisanzeige | Gespeicherte Protokolle öffnen anzeigen lassen.
In der Ereignisanzeige unter Anwendungs- und Dienstprotokolle | Microsoft | Windows | Backup und Windows-Protokolle | Anwendungen

!!! Wenn die Option -allCritical (Bare Metal Recovery) gesetzt ist, kann man mit z.B. -exclude:D:\Temp keine Verzeichnisse ausschließen.

- zeigt GUIDs der Sicherungs-Laufwerke an

wbadmin get disks

- Systemstatus Backups löschen

wbadmin delete systemstatebackup -keepversions:N
wbadmin delete systemstatebackup -deleteoldest

- Einstellungen für eine tägliche Vollsicherung

Windows Server Sicherung | Leistungseinstellungen konfigurieren
Immer vollständige Sicherung durchführen

Backup auf RDX Laufwerk

Datei promptc.txt erstellen mit folgendem Inhalt

C
Y
type C:\Script\promptc.txt | WBADMIN START BACKUP -backuptarget:E: -include:C: -allcritical -systemState -quiet

 

Seitenanfang

Fehlersuche

Fehlermeldung beim Backup auf RDX Laufwerk

Protokollname: Application
Quelle: Microsoft-Windows-Backup
Ereignis-ID: 517
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Beschreibung:
Fehler bei der um XXX gestarteten Sicherung. Fehlercode: "2155347997" (Der Vorgang wurde vor Beendigung abgebrochen.). Suchen Sie in den Ereignisdetails nach einer Lösung, und führen Sie die Sicherung erneut aus, nachdem das Problem behoben wurde.

der Zugriff auf das Laufwerk schlägt fehl.

- Speicherplatz für Schattenkopien anzeigen und festsetzen

vssadmin list shadowstorage
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=15%

- Programme die Schattenkopien unterstützen auf Fehler prüfen

vssadmin list writers

- Backup auf der Kommandozeile ausführen, Ausgabe prüfen

wbadmin start backup -systemState -backupTarget:D:

- Protokolle des Backups auf Fehler prüfen
Ereignisanzeige | Gespeicherte Protokolle | Protokoll öffnen und nach Fehlern suchen, die letzten Einträge prüfen.

\Windows\Logs\WindowsServerBackup\Wbadmin.X.etl

Fehlermeldung: Fehler bei der um XXX gestarteten Sicherung. Fehlercode: "0x8078014B" (Fehler beim Erstellen eines Verzeichnisses am Sicherungsspeicherort.). Suchen Sie in den Ereignisdetails nach einer Lösung, und führen Sie die Sicherung erneut aus, nachdem das Problem behoben wurde.

Lösung: alte Einmal Backups vom Laufwerk vorher löschen

W2k12R2 Fehlermeldung nach Backup Wiederherstellung

Fehlermeldung: Bluescreen: BAD_SYSTEM_CONFIG_INFO

Lösung: Datei \Windows\System32\config\SYSTEM aus Backup überschreiben

Fehlermeldung: vom Backupprogramm:
Detaillierter Fehler: FEHLER - Vorgangsfehler im Volumeschattenkopie-Dienst (0x8004231f)
Es ist nicht gengend Speicher vorhanden, um die Schattenkopie-Speicherdatei oder andere Schattenkopiedaten zu erstellen.

Ereignisanzeige: Fehler bei der um ... gestarteten Sicherung. Beim Erstellen einer Schattenkopie der zu sichernden Volumes durch den Volumeschattenkopie-Diensts ist der folgende Fehler aufgetreten: "2155348249". Suchen Sie in den Ereignisdetails nach einer Lösung, und führen Sie die Sicherung erneut aus, nachdem das Problem behoben wurde.

Lösung: auf dem Volume System-reservierte ist weniger als 50MB frei. Es kann keine Schattenkopie erstellt werden.

chkdsk auf allen Laufwerken laufen lassen

diskmgmt.msc
das Volume System-reservierte wählen | Eigenschaften | Schattenkopien
\\?\Volume{GUID} wählen | Eigenschaften
Speicherbereich
Speicherplatz auf folgendem Volume: C:\
Maximale Größe:
Limit verwenden: 320MB

Seitenanfang

sonstiges

Taste F8 Boot-Optionen Verzeichnisdienstwiederherstellung

- per Kommandozeile als Administrator in den Verzeichnisdienst-Wiederherstellungsmodus starten

bcdedit /set safeboot dsrepair
shutdown -t 0 -r

- per Kommandozeile als Administrator wieder im Normalmodus starten

bcdedit /deletevalue safeboot
shutdown -t 0 -r
Seitenanfang

Volume Shadow Copy Service (VSS)

Technet Artikel vssadmin

ab Windows Server 2008

- Konfiguration anzeigen lassen

vssadmin list volumes

- Speicher für alle Volumes anzeigen

vssadmin list shadowstorage

- Speicher nur für Volume C: anzeigen

vssadmin list shadowstorage /for=C:

- Speichergröße für Drive C: auf 10GB setzen/ändern, Prozent Angaben sind auch möglich.

vssadmin resize shadowstorage /for=<Volume> /on=<Volume> /maxsize=<Größe>
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=10GB
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=15%

- zeigt die Schattenkopie selbst

vssadmin list shadows

- zeigt die Dienste an die VSS unterstützen

vssadmin list writers

- Schnapshot erstellen, für das angegebene Volume

vssadmin create shadow /for=<Volume>

- Schnapshot löschen, für das angegebene Volume

vssadmin delete shadows /for=<Volume> /oldest

/oldest - den ältesten Snapshot
/all - alle Snapshot
/quiet - ohne Ausgabe von Meldungen

VSS Konfigurieren

- für ein Volume aktivieren

vssadmin add shadowstorage /for=<Volume> /on=<Volume> /maxsize=<Größe>
vssadmin Add ShadowStorage /For=C: /On=C: /MaxSize=20%

- für ein Volume entfernen

vssadmin delete shadowstorage /for=<Volume> /on=<Volume>

- maximale Größe ändern

vssadmin resize shadowstorage /for=<Volume> /on=<Volume> /maxsize=<Größe>

Technet Artikel Diskshadow

ab Windows Server 2008 R2, (interaktiver Befehl)

Diskshadow
list shadows all
delete shadows oldest C:
exit

VSS TimeOut auf 20 Minuten setzen

wenn beim Backup ein VSS Fehler angezeigt wird. z.B. bei der Abfrage vssadmin list writers

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SPP]
"CreateTimeout"=dword:00124f80
Seitenanfang

Ereignisse beim Server

EVENT-ID 213
EVENT-ID 1015
EVENT-ID 2019
EVENT-ID 10016
EVENT-ID 10048
EVENT-ID 10154
EVENT-ID 13568

Seitenanfang

EVENT-ID 213

Variante 1

  1. Active Directory-Standorte und -Dienste öffnen
  2. Den Standort des Server wählen
  3. Eigenschaften von Licensing Site Settings wählen
  4. unter Lizenzierungscomputer einen Standortlizenzierungsserver auswählen

Variante 2

Folgende Befehle auf dem Domaincontroller der den Fehler in der Ereignisanzeige hat ausführen. Hinweis, einige Dateien gibt es erst ab Win2003

net stop licenseservice
# folgende Dateien verschieben oder löschen
move %Systemroot%\System32\Cpl.cfg c:\Temp
move %Systemroot%\System32\lls\llsuser.lls c:\Temp
move %Systemroot%\System32\lls\llsmap.lls c:\Temp
net start licenseservice
Seitenanfang

EVENT-ID 1015

Protokollname: Application
Quelle:        MsiInstaller
Ereignis-ID:   1015
Benutzer:      Domain\spfarm
Computer:      Server.domain.tld
Beschreibung:
Es konnte keine Verbindung mit dem Server hergestellt werden. Fehler: 0x80070005

Lösung:

 

Seitenanfang

EVENT-ID 2019

Ereignistyp: Fehler
Ereigniskennung: 2019
Beschreibung:
Der Server konnte keinen nicht ausgelagerten Poolspeicher reservieren,
da der Pool leer war.

MS KB Artikel

Lösung:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"PagedPoolSize"=dword:ffffffff
"PoolUsageMaximum"=dword:0000003c

Name: PoolUsageMaximum
Datentyp: REG_DWORD
Basis: Dezimal
Wert: 60

Wenn Sie den Wert auf 60 setzen, wird der Speicher-Manager informiert, den Vorgang der Verringerung bei 60 Prozent des maximalen ausgelagerten Poolspeichers (PagedPoolMax) an Stelle der Standardeinstellung von 80 Prozent zu starten. Wenn die Grenze von 60 Prozent bei Spitzenzeiten nicht ausreicht, sollten Sie den Prozentsatz auf 50 oder 40 Prozent reduzieren.

Name: PagedPoolSize
Datentyp: REG_DWORD
Basis: Hex
Wert: 0xFFFFFFFF

Wenn Sie "PagedPoolSize" auf "0xFFFFFFFF" setzen, wird dem Computer der maximale ausgelagerte Poolspeicher an Stelle anderer Ressourcen zugewiesen.

Zur Poolspeicherüberwachung kann das Programm poolmon.exe von der InstallCD unter \Support\Tools benutzt werden, nach dem Start des Programmes Taste P bis die zweite Spalte "Type" den Wert Paged anzeigt, dann Taste B für absteigend sortiert.

poolmon laufen lassen und nach der TAG Bezeichnung mittels strings suchen.

strings \windows\system32\drivers\*.sys | findstr /i Ntff

Download: strings

findstr /m /l R100 C:\WINDOWS\system32\drivers\*.sys

Standard
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"PagedPoolSize"=dword:00000000

Seitenanfang

EVENT-ID 10016

Protokollname: System
Quelle:        Microsoft-Windows-DistributedCOM
Ereignis-ID:   10016
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      NETZWERKDIENST

Beschreibung:
Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST von Adresse LocalHost (unter Verwendung von LRPC) keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID
{61738644-F196-11D0-9953-00C04FD919C1}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

in der Registry unter [HKEY_CLASSES_ROOT\AppID\{61738644-F196-11D0-9953-00C04FD919C1}] nach sehen welche Dienst das ist. In diesem Fall der IIS Admin Dienst

unter Verwaltung | Komponentendienste | DCOM-Konfiguration | IIS Admin Service
Eigenschaften | Sicherheit | Start- und Aktivierungsberechtigungen bearbeiten
Benutzer NETZWERKDIENST
Lokale Aktivierung Zulassen aktivieren

Seitenanfang

EVENT-ID 10048

Fehler: auf einem SBS 2003

10048 - IPSEC Dienst kann nicht gestartet werden
Netzwerkzugriff nicht mehr möglich

Ursache: Port 4500 für IPSEC ist belegt.

Lösung: Liste der Reservierten Ports in der Registry aktualisieren

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"ReservedPorts"=hex(7):31,00,36,00,34,00,35,00,2d,00,31,00,36,00,34,00,36,00,\
  00,00,31,00,37,00,30,00,31,00,2d,00,31,00,37,00,30,00,31,00,00,00,31,00,37,\
  00,31,00,38,00,2d,00,31,00,37,00,31,00,39,00,00,00,31,00,37,00,34,00,35,00,\
  2d,00,31,00,37,00,34,00,35,00,00,00,31,00,38,00,31,00,32,00,2d,00,31,00,38,\
  00,31,00,33,00,00,00,32,00,38,00,38,00,33,00,2d,00,32,00,38,00,38,00,33,00,\
  00,00,33,00,33,00,34,00,33,00,2d,00,33,00,33,00,34,00,33,00,00,00,33,00,35,\
  00,30,00,30,00,2d,00,33,00,36,00,31,00,39,00,00,00,34,00,35,00,30,00,30,00,\
  2d,00,34,00,35,00,30,00,30,00,00,00,00,00
Seitenanfang

EVENT-ID 10154

Protokollname: System
Quelle:        Microsoft-Windows-WinRM
Ereignis-ID:   10154
Beschreibung:
Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/Server.domain.tld; WSMAN/Server. 
 Zusätzliche Daten 

 Empfangener Fehler: 8344: %%8344.
 Benutzeraktion 

 Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.

Lösung:
Verwaltung | ADSI-Editor
Standardmäßiger Namenskontext | DC=domain,DC=tld | OU=Domain Controllers | CN=Server (Domaincontroller mit der Fehlermeldung)
Eigenschaften | Sicherheit
Gruppe: Netzwerkdienst
Berechtigung: Bestätigtes Schreiben an Dienstprinzipal: aktivieren

Änderungen durchführen und neu starten.

 

Seitenanfang

EVENT-ID 13568

auf dem DomainController

  1. net stop ntFRS
  2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters \Backup/Restore\Process at Startup]
    BurFlags auf D4 setzen, wenn es der einzige DC in der Domain ist - sonst D2
  3. net start ntFRS und warte bis ein 13516 erscheint
  4. Problem erledigt
  5. Wenn der Event 13568 wieder auftritt, chkdsk c: ausführen und bei 1. starten

KB290762
KB292438
KB315457

Seitenanfang

Druckserver

- Speicherort der Datei ntprint.inf

C:\Windows\System32\DriverStore\FileRepository\ntprint.inf_xxx

oder Remote auf einem 32Bit System unter

\\x86Client\c$\Windows\System32\DriverStore\FileRepository\ntprint.inf_xxx

- 32Bit Treiber auf einene 64Bit Server als Zusätzlichen Treiber hinzufügen
als Administrator, von einem 32Bit Windows7 oder Vista aus mit dem Drucker verbinden
\\<Server\, Druckerfreigabe anklicken, wenn der Drucker dann auf dem 32Bit System automatisch (über Windows Update) installiert wurde, im Menü auf Drucker | Freigabe | Zusätzlicher Treiber... | x86 wählen. Die Treiber werden dann vom x86 Client auf den Server übertragen und stehen danach zur Installation für WinXP bereit.

 

Seitenanfang

Key Management Service (KMS)

Microsoft Office 2010 KMS Host License Pack
Bereitstellen der Volumenaktivierung von Office 2010

KMS Einrichtung

Aktivierung durchführen (xxxx ist der KMS Key)

slmgr.vbs /ipk xxxx-xxxx-xxxx-xxxx-xxxx

Schlüssel bei Microsoft registrieren

slmgr.vbs /ato

Zu beachten ist, dass eine bestimmte Mindestanzahl an Servern (5) bzw. Clients (25) installiert sein muss, bevor der KMS die arbeit auf nimmt.

- Bei Problemen mit der Aktivierung eines Servers 2008 R2 folgende Befehle ausführen

slmgr.vbs /ipk YC6KT-GKW9T-YTKYR-T4X34-R7VHC
slmgr.vbs /ato

Konvertierung von Retail-, KMS- und MAK-Versionen von Win7 und Win Srv 2008 R2

 

Seitenanfang

Arbeitsordner / Workfolder

Arbeitsordner im Überblick

Der Arbeitsordner ist ab Win2012 R2 und Win 8.1 Client (als Domainmitglied/ohne Domainmitgliedschaft) verfügbar.

Der Anwender speichert Daten im Verzeichnis auf dem Client, diese werden dann mit dem Server automatisch syncronisiert. Der Inhalt kann dann vom Server aus gesichert werden und steht allen Rechnern des Anwenders zur Verfügung.

Wenn der Client kein Domainmitglied ist, werden die Kennwortrichtlinien auf Standard gesetzt, als komplexes Kennwort, Min. Länge 7 u.a.

Installation auf dem Server

- als Serverrolle
Datei-/Speicherdienste | Datei- und iSCSI-Dienste | Arbeitsordner

das Feature Hostfähiger Webkern für Internetinformationsdienste wird automatisch mit installiert.

- Installation per Powershell Workfolder und Internetinformationsdienste (IIS)-Manager

Install-WindowsFeature FS-SyncShareService,Web-Mgmt-Console

Selbstsigniertes Zertifikat in der Powershell erstellen

- neues Zertifikat erstellen (ist nur unter "Eigene Zertifikate" möglich), das Zertifikat ist ein Jahr gültig.

New-SelfSignedCertificate -CertStoreLocation cert:Localmachine\My -DnsName <server dns names>
New-SelfSignedCertificate -CertStoreLocation cert:Localmachine\My `
 -DnsName "srv.domain.zz","workfolders.domain.zz"

Thumbprint                                Subject
----------                                -------
58357DF2C425A2FA95B4C9B284F9CAA21C042B52  CN=srv.domain.zz

- Zertifikatsspeicher anzeigen "Eigene Zertifikate"

Get-ChildItem -Path cert:\LocalMachine\My
Get-ChildItem -Path cert:\LocalMachine\My | fl

- Zertifikatsspeicher anzeigen "Vertrauenswürdige Stammzertifizierungsstellen"

Get-ChildItem -Path cert:\LocalMachine\Root

- Zertifikatsspeicher anzeigen "WebHosting"

Get-ChildItem -Path cert:\LocalMachine\WebHosting

Zertifikat muss dann aus dem Zertifikatsspeicher "Eigene Zertifikate" exportiert und nach "Vertrauenswürdige Stammzertifizierungsstellen" importiert werden.

- Zertifikat mit der Powershell exportieren, beim Export muss der Thumbprint angegeben werden.

$pwd = ConvertTo-SecureString -AsPlainText -Force -String "passwort"
Export-PfxCertificate -Cert cert:Localmachine\My\58357DF2C425A2FA95B4C9B284F9CAA21C042B52 `
-FilePath C:\srv.domain.zz.pfx -Password $pwd

SSL-Zertifikat für die HTTPS Verbindung einrichten

SSL Zertifikat per Powershell erstellen

Verwaltung | Internetinformationsdienste (IIS)-Manager
Server wählen | Serverzertifikate | Importieren
Zertifikatsdatei: server.pfx
Passwort: ...
Zertifikatspeicher: Webhosting

Default Web Site wählen | rechte Maus Bindungen bearbeiten
Typ: https
Hostname: workfolders.domain.zz
SSL-Zertifikat: <das erstellt Zertifikat wählen>

- im DNS einen CNAME Eintrag anlegen
Aliasname: workfolders
FQDN: workfolders.domain.zz
Zielhost: server.domain.zz

Installation auf dem Win8.1 Client

in der Systemsteuerung | Arbeitsordner | Arbeitsordner einrichten
eMail Adresse: user@domain.zz
oder Arbeitsplatzordner-URL: https://workfolders.domain.zz
Speicherort der Arbeitsordner:
Richtlinien übernehmen

Fehlermeldung 0x80072EE7 (Host nicht gefunden) oder 0x80C80338 (Servername nicht im Zertifikat)

Bei der Eingabe der eMail Adresse, versucht sich der Client mit https://workfolders.domain.zz zu verbinden. Der CNAME muss im DNS angelegt sein und das Zertifikat muss den DNS Eintrag workfolders.domain.zz enthalten. Der Client muss das Zertifikat verifizieren können, entweder durch Import in den Zertifikatsspeicher des Zertifikates oder des ROOT Zertifikates der CA.

Der Arbeitsordner wird danach unter Dieser PC angezeigt.

Zugriff auf Arbeitsordner ohne SSL

Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Reg add HKCU\Software\Microsoft\Windows\CurrentVersion\WorkFolders /v ServerUrl /t REG_SZ /d http://<server.domain.zz>

nach dem Import der Registry Einträge, den Rechner neu starten.

Fehlersuche

Ereignisanzeige | Anwendungs- und Dienstprotokolle | Microsoft | Windows | Workfolders

 

Seitenanfang

Workplace Join

Technet Artikel

Workplace Join ab Win2012 R2 und Win 8.1 (ohne Domainmitgliedschaft, BYOD - Bring Your Own Device)

Installation auf dem Server

- Zertifikat erstellen, Zertifikat muss den DNS Namen des Servers sowie den DNS-Name enterpriseregistration.<FQDN> enthalten.
z.B. Domain: domain.tld
Server: server.domain.tld
DNS2: enterpriseregistration.domain.tld

!! Zertifikate per Powershell mit New-SelfSignedCertificate funktionieren hier nicht !!

- im DNS einen CNAME Eintrag für enterpriseregistration.domain.zz anlegen
Aliasname: enterpriseregistration
FQDN: enterpriseregistration.domain.zz
Zielhost: server.domain.zz

- Gruppenverwaltete Dienstkonten GUID wird angezeigt

ADD-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

- Server Rolle Active Directory-Verbunddienste über den Servermanager hinzufügen
Konfigurations-Assistenten für Active Directory-Verbunddienste
Erstellt den ersten Verbundserver in einer Verbundserverfarm
Domainadmin wählen
SSL Zertifikat wählen
Dienstkonto wählen: Gruppenverwaltete Dienstkonten GUID eingeben
Datenbank erstellen

Verwaltung | AD FS-Verwaltung

Installation auf dem Win8.1 Client

- Zertifikat des Servers importieren

Charms-Bar | Einstellungen | PC-Einstellungen | Netzwerk | Arbeitsplatz
Beitreten

 

Fehlersuche

Ereignisanzeige | Anwendungs- und Dienstprotokolle | Microsoft | Windows | Workplace Join

Das Zertifikat mit dem angegebenen Fingerabdruck "15D258A9F5DF2BD4A4667D5A3234EA8EDC360A92" verfügt über einen privaten CNG-Schlüssel (Cryptography Next Generation). Die Zertifikate mit dem privaten CNG-Schlüssel werden nicht unterstützt. Verwenden Sie ein Zertifikat, das auf einem Schlüsselpaar basiert, das von einem älteren Cryptographic Service Provider generiert wurde.

Seitenanfang

Server Edition Upgrade

Windows 2008 R2

liefert die aktuell verwendete Windows Edition

DISM /online /Get-CurrentEdition

liefert die möglichen Upgrade-Editionen

DISM /online /Get-TargetEditions

führt das In-Place Upgrade auf eine bestimmte Edition durch

DISM /online /Set-Edition:<edition ID> /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

mögliche Werte für Set-Edition: sind

ServerStandard
ServerEnterprise
ServerDataCenter

 

Seitenanfang

Servergespeicherte BenutzerProfile

- der Benutzer des Profiles, muß Eigentümer des ServerVerzeichnisses sein, wo das Profil gespeichert wird.

\\Server\Benutzer\%Username%
Zugriffsrechte auf Verzeichnis "Benutzer"
Gruppe
Benutzer -> Nur dieser Ordner, alles ausser Vollzugriff
Ersteller-Besitzer -> Nur Unterordner und Dateien, Vollzugriff

GPO für Servergespeicherte Benutzerprofile
Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Benutzerprofile
Eigentümer von servergespeicherten Profilen nicht prüfen: Aktiviert
Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen: Aktiviert

Seitenanfang

Storage Spaces Direct

Storage Spaces Direct

kann ab Server 2016 genutzt werden.

 

 

Seitenanfang

sonstiges / FAQs

Verzeichnisdienste und die Defragmentierung des AD kann man beim Server 2008 nach dem beenden des Active-Directory-Dienstes durchführen und nach beendigung der Arbeit den Dienst wieder starten. Ein herunterfahren und im Modus "Verzeichnisdienste wiederherstellen" zu starten ist nicht mehr notwendig.

Terminal IE8 Verstärkte Sicherheit deaktivieren

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"IEHarden"=dword:00000000
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"IEHarden"=dword:00000000

oder verstärkte Sicherheit deinstallieren

rundll32.exe setupapi.dll,InstallHinfSection IESoftenUser 128 %windir%\inf\IEHARDEN.INF

danach den TerminalServer neu starten.

Scalable Networking Pack (SNP)

http://support.microsoft.com/kb/950224/en-us
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=f5d41696-a83d-47cf-a06f-1bf708f6b567
http://technet.microsoft.com/de-de/library/cc164354.aspx
http://www.microsoft.com/technet/security/bulletin/MS09-029.mspx

DNS Probleme bei der Weiterleitung von DNS Anfragen an einen Router oder Server

Extended DNS Test deaktivieren

dnscmd /config /EnableEDNSProbes 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters]
"EnableEDNSProbes"=dword:00000000

DNS-Serverdienst benutzt UDP-Port der anderer Dienste

KB-Artikel

Ereignistyp: Fehler
Ereignisquelle: Server ActiveSync
Ereigniskategorie: Keine
Ereigniskennung: 3015
Beschreibung:
Das IP-basierte AUTD konnte nicht initialisiert werden, da die Verarbeitung von Benachrichtigungen nicht gestartet werden konnte. Fehlercode [0x80004005]. Vergewissern Sie sich, dass derzeit keine anderen Anwendungen mit dem UDP-Port [2883] verbunden sind, oder geben Sie eine andere Anschlussnummer an.

Ereignistyp: Fehler
Ereignisquelle: Server ActiveSync
Ereigniskategorie: Keine
Ereigniskennung: 3024
Beschreibung:
Das IP-basierte AUTD konnte nicht initialisiert werden. Fehlercode: [0x80004005].

Lösung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
ReservedPorts
Ports Programm, das diese Ports nutzt
1645-1646 IAS
1701-1701 L2TP
1718-1719 H.323 Gatekeeper (nur ISA 2000)
1745-1745 ISA Server 2000 oder ISA Server 2004
1812-1813 IAS
2883-2883 AUTD
3500-3619 Nur ISA Server 2000
4500-4500 IPSEC

Windows 2003 Support Tools

Support Tools Win2003 SP1

netdiag /test:dns
dcdiag /v /c /e

für einen Server mehrere Namen vergeben

Blog Eintrag

- mehrer Netbios Namen für einen Server vergeben, hex(7) ist der Typ: REG_MULTI_SZ

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"OptionalNames"=hex(7):73,00,65,00,72,00,76,00,65,00,72,00,32,00,00,00,73,00,\
  65,00,72,00,76,00,65,00,72,00,31,00,00,00,00,00
"DisableStrictNameChecking"=dword:00000001

- Win2003/2008/2012 Zugriff mit dem alternativen Netbios Namen, KB Artikel

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"DisableLoopbackCheck"=dword:00000001

- mehrer DNS Namen für einen Server vergeben (ab 2003), hex(7) ist der Typ: REG_MULTI_SZ

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters]
"AlternateComputerNames"=hex(7):73,00,65,00,72,00,76,00,65,00,72,00,31,00,00,\
  00,73,00,65,00,72,00,76,00,65,00,72,00,32,00,00,00,00,00

Windows 10 Server

Rolle Network Controller zur Verwaltung von virtuellen und physischen Netzwerken

mit dem ESD Decrypter lässt sich aus der Recovery\install.esd der Preview Version von Windows 10 Server eine neu ISO erstellen.

Windows Remotemanagement aktivieren

winrm quickconfig

Windows Firewall alle Dienste mit Remote*** aktivieren

Applocker (nur unter Enterprise)

Dienst AppIDSvc (Anwendungsidentität) auf "Automatisch" setzen und starten

sc config appidsvc start= auto
sc start appidsvc

GPEDIT oder in der AD-Gruppenrichtlinie
Computerkonfiguration | Windowseinstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | Applocker