Windows-Update kann Gruppenrichtlinien beeinträchtigen

Ein aktuelles Windows-Update vom Juni 2016 kann in manchen Umgebungen dazu führen, dass Gruppenrichtlinien über Active Directory nicht mehr richtig abgearbeitet werden.

Der Patch MS16-072 (https://support.microsoft.com/en-us/kb/3163622) ändert die Anwendungslogik von Gruppenrichtlinien erheblich. Bisher wurden Gruppenrichtlinien für die User-Umgebung im Kontext des angemeldeten Benutzers heruntergeladen. Nach dem Patch geschieht der Download im Kontext des Computers.

„Windows-Update kann Gruppenrichtlinien beeinträchtigen“ weiterlesen

PortQRY: Ein Hilfsmittel zum AD-Troubleshooting

In verteilten Active Directory-Umgebungen mit mehreren Standorten tauchen regelmäßig immer wieder die folgenden „Klassiker“ unter den gemeldeten Problemen auf:
  • Replikationsstörungen zwischen den Standorten
  • Probleme bei standortübergreifender Namensauflösung (DNS, sowie NetBIOS (WINS))
  • Probleme bei der Anmeldung
  • etc.
Schnell ist man geneigt, in den Eventlogs der beteitilgten Server zu suchen bzw. bekannte Bordmittel wie „DCDiag“, „NetDiag“ oder „Replmon“ zu bemühen. Oft wird man dort auch fündig, gerade wenn es um die Konnektivität zwischen Standorten oder DCs in verschiedenen Subnetzen geht. Woher diese Verbindungsprobleme letztendlich rühren, verraten die Ausgaben dieser Tools aber oft nicht, oder nur „höchst verklausuliert“.

„PortQRY: Ein Hilfsmittel zum AD-Troubleshooting“ weiterlesen

Neues Lizenzmodell für Windows 2016 macht SA-Abschluss jetzt attraktiv

​Gerade macht die Nachricht die Runde, dass Microsoft das Lizenzmodell für Windows Server 2016 verändern wird. Für einige Situationen kann das höhere Preise bedeuten.

Windows Server 2016 wird erst im kommenden Sommer erwartet, mittlerweile gilt die Einschätzung „zweite Jahreshälfte“.

Kunden, die eine aktive Software Assurance (SA) für ihre Serverlizenzen haben, werden ohne Aufpreis auf die neue Version umsteigen können. Dadurch könnte die SA jetzt sehr attraktiv werden, wenn Kunden planen, in absehbarer Zeit auf 2016 zu setzen.

 

Das neue Lizenzmodell für die Serverlizenz wechselt von einer Pro-CPU- zu einer Pro-Core-Lizenzierung. Dabei sind 16 Cores (!) pro Server das Minimum, pro CPU müssen mindestens 8 Cores (!) lizenziert werden. Ergänzende Lizenzen für Server mit höherer CPU-/Core-Ausstattung gibt es dann wohl in Schritten zu je 2 Cores.

Bislang (Windows Server 2012 R2) gelten sowohl die Standard- als auch die Datacenter-Lizenz für je zwei physische CPUs. Diese Zuordnung ändert sich zu den oben angegebenen Cores. Auch weiterhin bleibt es bei einem Server-/CAL-Modell, also werden auch weiterhin zusätzlich CALs für die Endgeräte/Benutzer erforderlich sein.

 

Die Preise für die Core-Packs sollen so definiert sein, dass heute übliche Lizenzkosten nicht überstiegen werden. Wer also bislang eine Standard-Lizenz hat (deckt 2 CPUs ab) und künftig für denselben Servertyp die „kleinste“ Standard-Lizenz für 16 Cores kauft, wird etwa dasselbe bezahlen müssen.

 

Auch weiterhin werden mit der Standard Edition zwei Windows-Server-VMs mitlizenziert sein*, hierbei muss die Lizenz aber alle Cores abdecken, die im Server stecken. Datacenter wird wohl auch künftig „beliebig viele“ VMs lizenzieren. Die Feature-Parität von Standard und Datacenter, die mit 2012/R2 galt, wird wieder verschwinden: Datacenter enthält mit 2016 einige Funktionen, die in Standard fehlen. Dazu zählen leistungsfähige Netzwerk- und Storagetechniken (Storage Replica und die Hyperconverged-Funktion S2D gibt es nur mit Datacenter!).

 

Alle Angaben ohne Gewähr, sie beziehen sich auf ein nicht rechtsverbindliches FAQ-Dokument. Nähere und verlässliche Details sind ohnehin erst zum Marktstart im nächsten Sommer zu erwarten. Wichtig aber noch mal der Hinweis, dass Kunden, die jetzt neue Serverlizenzen für Windows Server 2012 R2 kaufen, noch mal genauer über Software Assurance nachdenken sollten.

 

FAQ: https://t.co/fR2ybzibVx

 

(* Eine VM innerhalb einer VM bei „Nested Virtualization“ zählt als zwei VMs. Wer sowas bauen möchte, wird also von vornherein die Datacenter-Lizenz einplanen müssen.)

SSL für alle: Let’s Encrypt geht den nächsten Schritt

Verschlüsselung ist die wichtigste Methode, in der Internetkommunikation für Vertraulichkeit und für Sicherheit zu sorgen. Es lassen sich damit nicht nur Inhalte gegen unerwünschtes Mitlesen schützen, sondern man kann mit kryptographischen Funktionen auch digitale Identitäten nachweisen. So ist es einem Anwender möglich zu überprüfen, dass er wirklich mit dem richtigen Server verbunden ist, bevor er sensible Daten dorthin sendet.

Die Technik, die dazu im Web eingesetzt wird, ist bekannt als SSL (Secure Sockets Layer). Richtiger wäre der Ausdruck TLS (Transport Layer Security), weil das ältere SSL-Protokoll schon vor vielen Jahren durch den Nachfolger TLS abgelöst wurde. Trotzdem hält sich der Begriff SSL im allgemeinen Sprachgebrauch, gemeint ist aber eigentlich immer TLS. Das Protokoll beruht auf kryptographischen Zertifikaten, die einen sicheren Austausch von digitalen Schlüsseln für die eigentliche Datenverschlüsselung erlauben. Wenn es richtig eingerichtet ist, gilt TLS als hochsichere und effektive Methode.

Um nicht nur Spionage, sondern auch kriminelle Machenschaften im Internet sehr weitgehend einzuschränken, wäre es also wünschenswert, wenn alle wichtigen Webseiten TLS nutzen würden. Tatsächlich gehen viele Security-Experten so weit zu sagen, dass am besten gleich sämtlicher Web-Traffic verschlüsselt werden sollte. Zwei große Hürden haben allerdings bislang verhindert, dass TLS umfassend zum Einsatz kommt:

  • Die Technik dahinter ist recht komplex. TLS auf einem Webserver einzurichten, erfordert eine Reihe manueller Schritte und vor allem einigen organisatorischen Aufwand.
  • Zuverlässige TLS-Zertifikate (von Anbietern oft immer noch als “SSL-Zertifikate” bezeichnet) kosten Geld. Zwar sind die Preise nicht richtig hoch, doch für viele Zwecke fallen sie schon ins Gewicht.

Eine Initiative aus der Open-Source-Community hat sich auf die Fahnen geschrieben, diese beiden Kernprobleme anzugehen. Unter dem Namen “Let’s Encrypt” plant die Gruppe nicht weniger, als zuverlässige SSL-Zertifikate kostenlos für jedermann anzubieten – und zwar verbunden mit Werkzeugen, die den Aufwand drastisch reduzieren, bis hin zur völligen Automatisierung. Mittlerweile hat die Initiative Unterstützung von Branchengrößen wie Cisco, Akamai oder Automattic erhalten. Seit den ersten Ankündigungen vor einem Jahr ist die Initiative ISRG (Internet Security Research Group) große Schritte vorangekommen: Sie hat die Kernsoftware entwickelt, eine zuverlässige Infrastruktur aufgebaut und dafür gesorgt, dass ihre Zertifikate von allen wichtigen Browsern und Systemen akzeptiert werden.

Nach einer geschlossenen Betaphase im Sommer 2015 folgt nun der nächste große Meilenstein: Am 3. Dezember 2015 wird Let’s Encrypt eine öffentliche Betaphase beginnen, in der alle Interessierten kostenlose und funktionierende TLS-Zertifikate erhalten können. Im Prinzip gehen die Betreiber davon aus, dass das System bereits produktionsreif ist. Den Status als “Beta” behält man deswegen bei, weil die ehrgeizigen Ziele der Automatisierung noch nicht so vollständig erreicht sind, wie sie definiert sind.

Let’s Encrypt wartet bereits jetzt mit folgenden Merkmalen auf:

  • Die ausgestellten TLS-Zertifikate werden von allen wichtigen Browsern akzeptiert. Möglich wird dies durch ein so genanntes “Cross-Signing” mit einem bestehenden Zertifikatsanbieter.
  • Administratoren von Apache-Webservern können den Vorgang, ein Zertifikat anzufordern, es einzubinden und danach regelmäßig zu aktualisieren, bereits jetzt mit einem Software-Tool vollständig automatisieren.
  • Die Zertifikate sind für 90 Tage gültig. Der Webserver kann die Aktualisierung selbstständig und ohne manuellen Eingriff abwickeln.
  • Es handelt sich um TLS-Zertifikate vom Typ “Domain Validation” (DV). Dieser Zertifikatstyp belegt, dass der betreffende Webserver tatsächlich zu der angegebenen Web-Adresse gehört und dies nicht nur vortäuscht.
    (Er belegt jedoch nicht, dass die Webadresse ihrerseits zu einer bestimmten Organisation gehört. Hierzu wäre ein “Extended Validation”-Zertifikat (EV) nötig, das Let’s Encrypt bis auf Weiteres nicht ausstellen wird.)

Wenn die technische Entwicklung so schnell voranschreitet wie bisher, wird Let’s Encrypt schon in wenigen Monaten in der Lage sein, eine wirklich einfach handhabbare und kostenlose Zertifikatslösung “für jedermann” anzubieten. Die Software für Windows-Webserver etwa ist derzeit noch nicht in offizieller Entwicklung, doch es gibt bereits fortgeschrittene Projekte in der Community.

Macht Let’s Encrypt damit bestehende Anbieter oder interne PKI-Strukturen überflüssig? Nein, für diese gibt es weiterhin zahlreiche Einsatzfelder:

  • Da Let’s Encrypt nur Zertifikate für öffentlich erreichbare Webserver ausstellt, bleiben für alle anderen Zwecke die kommerziellen Anbieter im Spiel. Dazu gehören z.B. Mailverschlüsselung oder Code-Signing.
  • Auch Organisationen, die auf ihrer Webseite “erweitertes Vertrauen” benötigen (z.B. Banken, große Web-Shops usw.), werden weiter mit kommerziellen Anbietern arbeiten. Hier sind “Extended Validation”-Zertifikate (EV) das Mittel der Wahl, die einen aufwändigeren Prozess umfassen, in dem das Unternehmen nachweist, dass es die jeweilige Web-Adresse tatsächlich besitzt.
  • Zertifikate mit erweiterten Eigenschaften wird Let’s Encrypt bis auf Weiteres ebenfalls nicht anbieten. Dazu zählen Wildcard-Zertifikate oder  andere spezielle Zertifikate. SAN-Zertifikate (Subject Alternative Name bzw. Unified Communications) hingegen soll das Protokoll ebenfalls unterstützen, dazu finden sich allerdings bislang keine offiziellen Angaben.
  • Und schließlich bleibt es für Unternehmen interessant, eine eigene, interne Zertifikats-Infrastruktur zu unterhalten. Damit lässt sich z.B. interne Kommunikation per TLS absichern (was etwa für Microsoft Exchange notwendig ist). Ebenso sind damit Vorgänge wie Code-Signing (Signieren von Programmcode und Applikationen) abbildbar.

Für den “Standard-Zweck”, die Kommunikation mit einem Webserver über das Internet abzusichern, scheint Let’s Encrypt eine sehr interessante Initiative zu sein. Es ist durchaus zu erwarten, dass sie einen “Ruck” in der IT erzeugt und der Verschlüsselung im Web endlich zum Durchbruch verhilft.

A PowerShell script to create a chart of Lync response groups

Lync operators and Lync users often need an overview of the response group configuration. This helps them identify how incoming calls are routed between users or mailboxes.

Our company’s trainee Philipp Baar created a PowerShell script that uses the free Graphviz tool to assemble a graphical chart of the Lync response group configuration. The script reads the corresponding data from Lync’s configuration and compiles it into a Graphviz script file. This is then converted into a graphical chart.

 

We published the script to Microsoft’s TechNet Gallery where you can download it for free. Please note that the script comes without any warranty or support.

[TechNet Get-LyncResponseGroupChart: Create a graphical overview of Lync response groups]
https://gallery.technet.microsoft.com/Get-LyncResponseGroupChart-d59e391e

 

VMware-VMs mit MVMC offline konvertieren

Eine VM-Migration kann kostenlos mit Hilfe des Microsoft Virtual Machine Converters durchgeführt werden. Die mögliche Konvertierung der ganzen VM schlägt leider oft fehl, und die Oberfläche bietet auch nicht die Möglichkeit nur die Disks zu konvertieren. Was kann man machen?

Der Microsoft Virtual Machine Converter bringt einige nützliche PowerShell-Cmdlets mit, diese müssen aber zunächst importiert werden. Dafür startet man die PowerShell 4.0, ggf. aktualisieren, mit administrativen Rechten und importiert das Modul mit folgendem Befehl:

Import-Module „C:\Program Files\Microsoft Virtual Machine Converter\MvmcCmdlet.psd1“

Folgender Befehl zeigt uns die neuen Cmdlets an:
Get-Command -Module mvmccmdlet

Die Konvertierung starten wir mit folgendem Befehl (Quelle & Ziel anpassen):

PS C:\Windows\system32> ConvertTo-MvmcVirtualHardDisk -SourceLiteralPath „G:\VMWareTest\Windows Server 2008 R2 x64 2 clone.vmdk“ -DestinationLiteralPath „G:\HyperVTest“ -VhdType DynamicHardDisk -VhdFormat Vhd

Hinweise:

  • Gesplittete VMDK-Dateien können auch konvertiert werden.
  • Powershell muss in der Version 4 vorhanden sein.
  • VMWare-Tool können nur im Online-Modus deinstalliert werden.
  • In Windows 7 steht nur das VHD-Format zur Verfügung.

In den neuen VHD-Dateien kann man mit
Disable-MvmcSourceVMTools -DestinationLiteralPath ‚G:\HyperVTest\Windows Server 2008 R2 x64 2 clone.vhd‘ (-debug)
den Start der VMware-Tools deaktivieren.

Hyper-V-Dokumentation per PowerShell-Skript

Auf der TechNet-Gallery steht jetzt ein PowerShell-Skript namens Get-HyperVInventory.ps1 bereit, mit dem man umfassende Konfigurations-Reports einer Hyper-V-Umgebung erzeugen kann. Diese Berichte dienen der Inventarisierung und bieten einen schnellen, recht vollständigen Überblick über die Virtualisierungsumgebung. Sie enthalten keine Performance-Daten und keine Angaben zum “Gesundheitszustand” der Umgebung. Man kann aber auf Basis der gesammelten Daten einschätzen, ob die jeweilige Umbgebung “sauber” implementiert ist.

„Hyper-V-Dokumentation per PowerShell-Skript“ weiterlesen

End of Support für Windows Server 2003: Sind Sie bereit?

Der 14. Juli ist nicht nur französischer Nationalfeiertag, sondern in diesem Jahr auch für die IT bedeutsam. Denn an diesem Tag endet der Support für Windows Server 2003.

Im vergangenen Jahr hat Microsoft den Support für Windows XP endgültig eingestellt. Für den „großen Bruder“ des Client-Windows tritt im Juli dasselbe Schicksal ein: Es wird dann keine Updates, keine Security-Fixes und keine Unterstützung mehr geben.

Windows Server 2003 war ein sehr beliebtes Server-Betriebssystem, und in einigen Unternehmen ist es das immer noch. Setzen Sie Windows Server 2003 noch ein? Dann lautet unsere Empfehlung, jetzt zügig auf eine aktuellere Windows-Version umzusteigen. Denn die Erfahrung mit Windows XP zeigt, dass nicht nur die Angriffe auf das veraltete System schnell zunehmen werden. Auch das Know-how im Markt schwindet schnell, sodass auch Drittanbieter oft keine Fragen mehr dazu beantworten können.

Wir stehen an Ihrer Seite: Unsere Systems Engineers analysieren mit Ihnen die Systeme in Ihrem Netzwerk und entwickeln einen Plan zum Umstieg. Dabei nehmen wir auch gern Kontakt zu den Herstellern Ihrer Fachapplikationen auf, um deren Empfehlungen für die Migration aufzunehmen.

Oder Sie kommen zu uns: Am 28. April 2015 laden wir Sie und Ihre Kollegen aus anderen Unternehmen zu einem „Chalk Talk“ ein. Gemeinsam mit Consultants aus unserem Haus diskutieren Sie anhand konkreter Beispiele, wie ein Umstieg von Windows Server 2003 auf ein aktuelles System aussehen kann. Ob Active Directory, Exchange oder Applikationsserver – eine technische Diskussion, die sicher viele gute Ideen erzeugt.

Die Teilnehmerzahl ist begrenzt, daher bitten wir um Ihre Anmeldung.

Wir freuen uns, mit Ihnen ins Gespräch zu kommen! Als kleinen zusätzlichen Service finden Sie im Anhang dieses Artikels auch noch eine Übersicht über die Support-Daten weiterer Microsoft-Systeme. So können Sie schon für die Zukunft vorplanen.

Kontakt: Nils Kaczenski, Teamleiter Microsoft-Consulting

Support-Daten für wichtige Microsoft-Produkte