Der Countdown läuft für Windows 7 und Windows Server 2008

Der Countdown läuft: Der Support für Windows 7, Windows Server 2008 und einige weitere Produkte läuft am 14. Januar 2020 endgültig aus. Das ist zwar noch ein paar Monate hin – aber nicht mehr richtig lange. Wer diese Produkte also noch einsetzt, sollte nun konkret die Ablösung planen.

Folgende wichtige Produkte haben das Support-Enddatum für den “Extended Support” am 14. Januar 2020:

  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 R2
  • Exchange Server 2010

Ein paar Monate später, am 13. Oktober 2020, folgen dann Office 2010 und SharePoint 2010.

Der Microsoft Support Lifecycle gibt an, welche Unterstützung der Hersteller leistet

„Der Countdown läuft für Windows 7 und Windows Server 2008“ weiterlesen

Windows-Updates im Oktober 2017 können zu Bluescreens führen

Durchs Web geht gerade eine Welle von Berichten, dass die Oktober-Updates für Windows gravierende Probleme verursachen. Konkret scheint es sich um „Delta-Updates“ zu handeln, die sich in vielen Konstellationen fehlerhaft auswirken. Diese Updates sollten eigentlich gar nicht veröffentlicht werden.

Microsoft empfiehlt, diese „Delta-Updates“ nicht auszurollen und nicht zu installieren.

Anscheinend werden diese Delta-Updates über WSUS für Windows 10 und Windows Server 2016 angeboten, möglicherweise aber auch für andere Varianten. Wenn die Fehler sich auswirken, kommt es zu Bluescreens „Inaccessible Boot Device“, weil anscheinend die BCD-Einträge zerstört werden. Microsoft hat die Updates zurückgezogen, sie können aber bereits auf WSUS-Servern im Umlauf sein.

Sollte der Fehler bereits auftreten, so kann schnelles und koordiniertes Handeln ihn beheben – es kommt aber auf die richtige Reihenfolge an. Näheres dazu findet sich in diesem Blog-Artikel:

[Quick Fix Publish: VM won’t boot after October 2017 Updates for Windows Server 2016 and Windows 10 (KB4041691) – Working Hard In IT]
https://blog.workinghardinit.work/2017/10/11/quick-fix-publish-vm-wont-boot-after-october-2017-updates-for-windows-server-2016-and-windows-10-kb4041691/

ADFS und User-Zertifikate in Windows Server 2016

ADFS arbeitet typischerweise mit einer “klassischen” Benutzeranmeldung über Benutzername und Kennwort. Hierzu wird in der Regel das AD-Konto des betreffenden Anwenders herangezogen. Seit einigen Versionen bietet ADFS allerdings auch eine zertifikatsbasierte Anmeldung für den Anwender. Diese kann an die Stelle der Kennwortanmeldung treten, man kann sie aber auch als zweiten Faktor nutzen.

Bis einschließlich Windows Server 2012 R2 gab es dabei aber eine gravierende Einschränkung: Damit ADFS die Userzertifikate prüfen kann, musste der Client (also der Rechner des Anwenders) eine parallele Verbindung über Port 49443 herstellen. Das war oft nicht möglich, weil dieser Port in vielen WLANs gar nicht ansprechbar ist (z.B. in Hotels). Daher hat Microsoft das Verfahren geändert. In Windows Server 2016 lässt sich die User-Anmeldung per Zertifikat nun über den (ohnehin verwendeten) Standardport 443 durchführen.

Damit das aber gelingt, muss auf dem ADFS-Server der Endpoint “certauth.farmname.tld” erreichbar sein. Schlauerweise trägt dieser einen separaten Hostnamen, sodass dieser auch in dem TLS-Zertifikat für die ADFS-Farm als zusätzlicher Hostname auftauchen muss (Subject Alternate Name).

Details zu den neuen Anforderungen an die ADFS-Konfiguration liefert dieses Dokument:

[AD FS 2016 Requirements | Microsoft Docs]
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/ad-fs-2016-requirements

Windows-PKI: Computerzertifikat manuell anfordern

Versucht man, auf einer Windows-Enterprise-CA einen Zertifikatsrequest für ein Computerzertifikat aus einer Datei zu bearbeiten, so kann der folgende Fehler auftreten:

Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE)
Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage noch das Anforderungsattribut “CertificateTemplate”.

Die Ursache dafür: Im Request ist keine Zertifikatsvorlage angegeben. Das geht bei einem manuellen Request auch nur mit Umständen, daher kann man sich anders behelfen.

„Windows-PKI: Computerzertifikat manuell anfordern“ weiterlesen

Windows-Update kann Gruppenrichtlinien beeinträchtigen

Ein aktuelles Windows-Update vom Juni 2016 kann in manchen Umgebungen dazu führen, dass Gruppenrichtlinien über Active Directory nicht mehr richtig abgearbeitet werden.

Der Patch MS16-072 (https://support.microsoft.com/en-us/kb/3163622) ändert die Anwendungslogik von Gruppenrichtlinien erheblich. Bisher wurden Gruppenrichtlinien für die User-Umgebung im Kontext des angemeldeten Benutzers heruntergeladen. Nach dem Patch geschieht der Download im Kontext des Computers.

„Windows-Update kann Gruppenrichtlinien beeinträchtigen“ weiterlesen

PortQRY: Ein Hilfsmittel zum AD-Troubleshooting

In verteilten Active Directory-Umgebungen mit mehreren Standorten tauchen regelmäßig immer wieder die folgenden “Klassiker” unter den gemeldeten Problemen auf:
  • Replikationsstörungen zwischen den Standorten
  • Probleme bei standortübergreifender Namensauflösung (DNS, sowie NetBIOS (WINS))
  • Probleme bei der Anmeldung
  • etc.
Schnell ist man geneigt, in den Eventlogs der beteitilgten Server zu suchen bzw. bekannte Bordmittel wie “DCDiag”, “NetDiag” oder “Replmon” zu bemühen. Oft wird man dort auch fündig, gerade wenn es um die Konnektivität zwischen Standorten oder DCs in verschiedenen Subnetzen geht. Woher diese Verbindungsprobleme letztendlich rühren, verraten die Ausgaben dieser Tools aber oft nicht, oder nur “höchst verklausuliert”.

„PortQRY: Ein Hilfsmittel zum AD-Troubleshooting“ weiterlesen

Neues Lizenzmodell für Windows 2016 macht SA-Abschluss jetzt attraktiv

​Gerade macht die Nachricht die Runde, dass Microsoft das Lizenzmodell für Windows Server 2016 verändern wird. Für einige Situationen kann das höhere Preise bedeuten.

Windows Server 2016 wird erst im kommenden Sommer erwartet, mittlerweile gilt die Einschätzung „zweite Jahreshälfte”.

Kunden, die eine aktive Software Assurance (SA) für ihre Serverlizenzen haben, werden ohne Aufpreis auf die neue Version umsteigen können. Dadurch könnte die SA jetzt sehr attraktiv werden, wenn Kunden planen, in absehbarer Zeit auf 2016 zu setzen.

 

Das neue Lizenzmodell für die Serverlizenz wechselt von einer Pro-CPU- zu einer Pro-Core-Lizenzierung. Dabei sind 16 Cores (!) pro Server das Minimum, pro CPU müssen mindestens 8 Cores (!) lizenziert werden. Ergänzende Lizenzen für Server mit höherer CPU-/Core-Ausstattung gibt es dann wohl in Schritten zu je 2 Cores.

Bislang (Windows Server 2012 R2) gelten sowohl die Standard- als auch die Datacenter-Lizenz für je zwei physische CPUs. Diese Zuordnung ändert sich zu den oben angegebenen Cores. Auch weiterhin bleibt es bei einem Server-/CAL-Modell, also werden auch weiterhin zusätzlich CALs für die Endgeräte/Benutzer erforderlich sein.

 

Die Preise für die Core-Packs sollen so definiert sein, dass heute übliche Lizenzkosten nicht überstiegen werden. Wer also bislang eine Standard-Lizenz hat (deckt 2 CPUs ab) und künftig für denselben Servertyp die „kleinste” Standard-Lizenz für 16 Cores kauft, wird etwa dasselbe bezahlen müssen.

 

Auch weiterhin werden mit der Standard Edition zwei Windows-Server-VMs mitlizenziert sein*, hierbei muss die Lizenz aber alle Cores abdecken, die im Server stecken. Datacenter wird wohl auch künftig „beliebig viele” VMs lizenzieren. Die Feature-Parität von Standard und Datacenter, die mit 2012/R2 galt, wird wieder verschwinden: Datacenter enthält mit 2016 einige Funktionen, die in Standard fehlen. Dazu zählen leistungsfähige Netzwerk- und Storagetechniken (Storage Replica und die Hyperconverged-Funktion S2D gibt es nur mit Datacenter!).

 

Alle Angaben ohne Gewähr, sie beziehen sich auf ein nicht rechtsverbindliches FAQ-Dokument. Nähere und verlässliche Details sind ohnehin erst zum Marktstart im nächsten Sommer zu erwarten. Wichtig aber noch mal der Hinweis, dass Kunden, die jetzt neue Serverlizenzen für Windows Server 2012 R2 kaufen, noch mal genauer über Software Assurance nachdenken sollten.

 

FAQ: https://t.co/fR2ybzibVx

 

(* Eine VM innerhalb einer VM bei „Nested Virtualization” zählt als zwei VMs. Wer sowas bauen möchte, wird also von vornherein die Datacenter-Lizenz einplanen müssen.)