SBS 2011 und Zertifikate

Problem:

Sie betreiben einen SBS 2011 mit einem selbstsigniertem Zertifikat (z.B. weil der Server nur intern betrieben wird). Das erstellte (Webserver) Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und steht vor dem Ablauf.

Im Systemprotokoll erhalten Sie u.a. folgende Meldungen:

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet “New-ExchangeCertificate“ aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx

Das Zertifikat stammt vom Webserver (IIS) und ist u.a. für OWA zuständig.

Lösung:

Um das Zertifikat für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

  • Öffnen Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
  • Lassen Sie den Wizard durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Wizard fertig ist (kann einige Zeit dauern)
  • Wenn der Wizard fertig ist und Sie nun das Zertifikat doppelt klicken, sollte dort der neue Gültigkeitszeitraum zu sehen sein (ab heute / bis in zwei Jahren)

Danach können Sie Ihren SBS 2011 wie gewohnt weiter verwenden.

Nachtrag:

Sollte Sie danach im Protokoll weiterhin Meldungen haben, dass das Zertifikat abgelaufen, oder nicht mehr gültig ist, machen Sie am besten folgendes:

  • Löschen Sie zunächst in der Exchange Management Konsole das abgelaufene Zertifikat
  • Öffnen Sie danach die zentrale Zertifikatverwaltung und sperren Sie das abgelaufene Zertifikat.

Durch die Sperrung haben Sie zusätzlich alles besser im Überblick.

Variante 2:

Wenn Sie den Einrichtungswizard nicht nutzen wollen, oder falls es dort zu einem Problem kam, können Sie versuchen die Zertifikate auch direkt über den IIS zu erneuern. Hierfür gehen Sie wie folgt vor:

  • Im Menü Verwaltung öffnen Sie dem Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus (Domainserver)
  • Rechts daneben (im Fenster mittig) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat gewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum und dem neuen Hashwert sehen. Prüfen Sie dies aber bitte zusätzlich durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmen, müssen Sie ggf. im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

Hinweis:

Sollte sich das Zertifikat nicht verlängern lassen (Anforderung abgelehnt o.ä.), bzw. nach der Verlängerung/Erneuerung der Zeitraum ungewöhnlich kurz sein, so müssen Sie ggf. zunächst das Zertifizierungsstellenzertifikat erneuern:

  • Im Menü Verwaltung öffnen Sie die Zertifizierungsstelle
  • Wählen Sie Ihre Zertifizierungsstelle
  • Klicken Sie sie mit der rechten Maustaste an und wählen Sie Alle Aufgaben > Zertifizierungsstellenzertifikat erneuern
  • Sollte nicht ein zwingender Grund vorliegen, können Sie den alten Signaturschlüssel behalten (nein anwählen)
  • Zertifikat erneuern lassen

Danach können Sie mit den obigen Schritten fortfahren.

Server 2011 SBS Stammzertifikat erneuern

So installieren wir ein vertrauenswürdiges Zertifikat

  1. Wir bzw. der Kunde kauft ein SSL-Zertifikat.
  2. Wir öffnen die Windows SBS-Konsole.
  3. Klicken auf der Navigationsleiste auf Netzwerk, und dann auf Konnektivität.
  4. Klicken im Aufgabenbereich auf Vertrauenswürdiges Zertifikat hinzufügen und anschließend auf Weiter.
  5. Klicken auf Ich verfüge über ein Zertifikat von meinem Zertifikatanbieter, und dann auf Weiter.
  6. Fügen auf der Seite Vertrauenswürdiges Zertifikat importieren die Information ein, die wir vom Anbieter erhalten haben, oder navigieren zum Speicherort der Datei mit dem vertrauenswürdigen Zertifikat, und klicken dann auf Weiter.
  7. Dann klicken wir auf der Seite Die Zertifikatdatei wird installiert auf Fertig stellen.

Selbst erstelltes Zertifikat (nicht gekauft) durch reparieren verlängern

  1. Wir öffnen die Windows SBS-Konsole.
  2. Klicken auf der Navigationsleiste auf Netzwerk, und dann auf Konnektivität.
  3. Klicken im Aufgabenbereich auf Beheben von Netzwerkproblemen und starte den Assistent der Probleme im Netzwerk ausfindig macht.
  4. Am Ende lasen wir das abgelaufene Zertifikat automatisch reparieren.
  5. Unter Systemsteuerung – Verwaltung – Zertifizierungsstelle sieht man nun in “Ausgestellte Zertifikate” einen neuen Eintrag mit dem neu ausgestellten Zertifikat.

Abgelaufene Zertifikate am Small Business Server 2011 erneuern

Wenn Sie einen Small Business Server 2011 (SBS 2011) mit einem selbstsigniertem Zertifikat betreiben, hat dieses Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und muss daher regelmäßig erneuert werden.

Im Ereignisprotokoll in den Anwendungen auf dem SBS2011 erhalten Sie u.a. folgende Meldungen:

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet “New-ExchangeCertificate“ aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx
  • MSExchangeTransport (12016):Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für den FQDN von ‚<Domain>‘ vorhanden. Das vorhandene Zertifikat für diesen FQDN ist abgelaufen. Die fortgesetzte Verwendung dieses FQDNs wird Nachrichtenübermittlungsprobleme verursachen. Ein neues Zertifikat, das den FQDN von ‚<Domain>‘ enthält, sollte so bald wie möglich auf diesem Server installiert werden. Sie können ein neues Zertifikat mithilfe des Tasks ‚New-ExchangeCertificate‘ erstellen.
  • MSExchange Web Services (25): Das Exchange-Zertifikat ‚[Subject]
    CN='<Domain>‘ [Thumbprint] läuft sehr bald ab
  • MSExchange Web Services (26): Das Exchange-Zertifikat ‚[Subject]
    CN='<Domain>‘ [Thumbprint] läuft am <Datum und Uhrzeit> ab.

Um das abgelaufene Zertifikat am Small Business Server 2011 für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
    Sollten Sie den Fehler:
    Windows SBS Internetadressenverwaltung
    Angezeigt bekommen, so führen Sie zuerst unter Task den Punkt Mit dem Internet verbinden aus
  • Lassen Sie den Assistenten durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Assistent fertig ist
  • Wenn der Assistent fertig ist und Sie nun das Zertifikat mit einem doppelklick öffnen, sollte dort der neue Gültigkeitszeitraum angezeigt werden (von heute / bis in zwei Jahren)

Anschließend können Sie Ihren Small Business Server 2011 wie gewohnt verwenden. Ein Neustart ist nicht notwendig.

Variante 2:

Wenn Sie den Einrichtungsassistent nicht nutzen wollen, oder falls es dort zu einem Problem gekommen ist, können Sie versuchen die Zertifikate auch direkt über den IIS-Manager zu erneuern. Hierfür gehen Sie wie folgt vor:

  • Im Menü Verwaltung öffnen Sie den Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus
  • Rechts daneben (im Fenster in der Mitte) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf das Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat ausgewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.
    Solltet Ihr bei diesem Vorgang den Fehler: „Die Zertifikatsanforderung wurde an die Online-Zertifizierungsstelle gesendet, das Zertifikat jedoch nicht ausgestellt.
    Die Anforderung wurde abgelehnt.“ erhalten, so können Sie versuchen die Uhrzeit auf Ihrem Server auf das Datum vor dem Ablauf des Zertifikates zurückzusetzen. In einigen Fällten konnte so dieses Problem umgangen werden.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum sowie dem neuen Hashwert sehen können. Überprüfen Sie dies jedoch bitte zusätzlich noch durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmt, müssen Sie gegebenenfalls im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

Variante 3:

Sollten die beiden Varianten nicht funktionieren, so können Sie noch einen Assistenten starten. Gehen Sie dazu wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Beheben von Netzwerkproblemen aus
  • Überprüfen Sie dass der Haken bei Das selbst ausgegebene Zertifikat ist abgelaufen gesetzt ist und lassen Sie den Wizard durchlaufen

Sollten Sie einen Exchange 2007 oder einen Small Business Server 2008 im Einsatz haben, dann schauen Sie einmal hier vorbei: msxfaq.de

In der Windows SBS Console fehlen einige Benutzer

Prinzipiell sollten alle Benutzer auf einem Windows Small Business Server in der Console angelegt werden. Hat man aber im Eifer des Gefechtes einige Benutzer in „Active Directory User und Computer“ angelegt, dann erscheinen diese nicht in der Konsole unter „Benutzer und Gruppen“.

Lösung

  • „Windows SBS Console“ aufrufen
  • „Benutzer und Gruppen“ aufrufen
  • Irgendeinen vorhandenen Benutzer anklicken
  • Rechts „Benutzerrolle für Benutzerkonten ändern“ anklicken
  • Rolle des Benutzers anwählen (z.B. Standardbenutzer)
  • Option darunter „Benutzerberechtigungen oder Einstellungen ersetzen“ wählen
  • „Weiter“ wählen
  • In der nächsten Maske unten „Alle Benutzerkonten in Active Directory anzeigen“ anwählen
  • Jetzt den oder die fehlenden Benutzer auswählen und „Hinzufügen“ wählen
  • „Benutzerrolle ändern“ wählen

Die betreffenden Benutzer werden jetzt mit der entsprechenden SBS Rolle vershen und erscheinen fortan in der „Windows SBS Console“.

Dabei ist allerdings zu beachten, dass eventuell vorhandene spezielle Gruppenzugehörigkeiten zurückgesetzt werden.

Quellen:

http://blogs.technet.com/b/sbs/archive/2008/09/22/why-are-some-of-my-users-not-displaying-in-the-sbs-console.aspx

How to Register Active Directory Schema MMC Snap-In

By default, the Active Directory Schema MMC snap-in is not registered on domain controllers or machines with the Remote Server Administration Tools (RSAT) installed. To use the snap-in for the first time on a new machine, you’ll need to register the DLL. To do this, follow the steps below:

  1. Open an elevated command prompt
  2. Run the following command: regsvr32 schmmgmt.dll
  3. You should receive a success message:
DllRegisterServer in schmmgmt.dll succeeded.

Once you have registered the snap-in, you can add it to an MMC by following these steps:

  1. Open a new MMC Console (Start>Run>mmc)
  2. In the MMC Console, go to File>Add/Remove Snap-in
  3. Add the Active Directory Schema snap-in as shown below:

Once you click OK, you’ll be able to access the snap-in through the MMC Console

Dateisortierung nach Sonderzeichen

_ Unterstrich
۞ Stern mit Loch ?

a A-Z
z Lower case Z

ι Greek letter
Ι Greek letter, capital version of above character, not an „I“)
α alpha U+03B1 Alt 224
Γ gamma U+0393 Alt 226
δ delta U+03B4 Alt 235
ε epsilon U+03B5 Alt 238
Θ theta U+0398 Alt 233
π pi U+03C0 Alt 227
Σ sigma upper U+03A3 Alt 228
σ sigma lower U+03C3 Alt 229
τ tau U+03C4 Alt 231
Φ phi upper U+03A6 Alt 232
φ phi lower U+03C6 Alt 237
Ω omega U+03A9 Alt 234
一 Japanese Character? (Thanks, Jam)
口 Japanese character? (Thanks, Jam)
末 Japanese character „End“ (Thanks, Jam)
 (a private use character) (Thanks, Peter O.)

Und man kann auch tatsächlich (fast) alle Sonder-Zeichen außer \ / : * ? “ < > | verwenden.

So, jetzt zum wirklich Wichtigen, die Buchstaben nach „Z“.

Zuerst habe ich das Ohm-Zeichen Ω gefunden (das griechische Omega).

Dann herausgefunden das alle griechischen Buchstaben α β γ δ ε … φ χ ψ ω nach den deutschen Buchstaben kommen
und danach die kyrillischen Buchstaben Ё Ђ Ѓ Є … Ҳ Ҹ Һ Ә Ө .

Vor der Null kommen anscheinend nur Satzzeichen und Symbole,
den Anfang macht das ! dann # $ % & irgendwann kommt das @ ,
Plus, Minus und Underline sind auch vor Null.

Ein paar schöne Symbole vor Null sind Pik, Kreuz, Herz und Karo ♠ ♣ ♥ ♦ ,
sowie ■ ▲ ▼ ► ◄ wobei diese komischer Weise im Explorer unterschiedlich groß dargestellt werden.

Und noch ein ganz Spezielles, weil ja * nicht erlaubt ist, kann man alternativ den arabischen Stern ٭ verwenden,
der aber hier im Textfenster etwas Probleme macht, ist wohl ein Steuerzeichen für irgend was,
er schaut hier im Text auch nicht so schön aus wie im Explorer.

Die Sortierreihenfolge nach unterschiedlichen Sonderzeichen, speziell Minus, bleibt wohl für ewig ein Rätsel,
hier ein Beispiel:



+
-+
+-
++

Unicode Chart:
https://unicode.org/charts/collation/

Automatically Log off Disconnected User Sessions on Windows

Many times users connect to remote Windows systems, do work and close the remote session without properly logoff the account. In that case multiple applications, which are still running with that login session uses system resources. Some times it causes slow response of our servers and create pain for us. So this will be good to auto log off disconnected sessions from Windows system.

This tutorial will help you to log all the disconnected remote sessions on the Windows system. This tutorial has been tested with Windows Server 2019.

Setup Auto Log Off Disconnected Sessions

We are making changes in Local group policy of systems. So be careful with the changes.

First of all, open the ‘Group Policy Editor‘ on your server. Start run window by pressing “Win + R” and type gpedit.msc on run window.

The local group policy editor will be opened on your system. Then navigate to the following location as the below given instructions:
Local Computer Policy => Computer Configuration => Administrative Templates => Windows Components => Remote Desktop Services => Remote Desktop Session Host => Session Time Limits
Windows remote session timeout limit

You will find a list of options on the right-side. Then Double click on “Set time limit for disconnected sessions” to open it.

Disconnected User Sessions on Windows

By default, it is configured a ‘Not configured. Change this to ‘Enabled. Now you will see an option “End a disconnected session” in the lower-left side. Set this value to the desired time. I have set this to 1 hour, so any disconnected user is logged off after 1 hour.

Conclusion

In this tutorial, you have learned to configure your Windows system to auto logout disconnected remote sessions.

Content retrieved from: https://tecadmin.net/windows-logoff-disconnected-sessions/.

Make Device Manager show Non present devices in Windows

  1. CMD als Admin
  2. set devmgr_show_nonpresent_devices=1
  3. start devmgmt.msc
  4. Device Manager Ausgeblendete Geräte anzeigen

Problembeschreibung


Der Geräte-Manager zeigt nur Plug&Play-Geräte, -Treiber und -Drucker an, wenn Sie im Menü Ansicht auf Ausgeblendete Geräte anzeigen klicken. Nicht an den Computer angeschlossene Geräte, die Sie installieren (z. B. USB-Geräte oder „verwaiste“ Geräte), werden im Geräte-Manager nicht angezeigt, auch dann nicht, wenn Sie auf Ausgeblendete Geräte anzeigen klicken.

Abhilfe


Gehen Sie folgendermaßen vor, um dieses Verhalten zu umgehen und Geräte mit der Option Ausgeblendete Geräte anzeigen anzuzeigen:

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Zubehör, und klicken Sie anschließend auf Eingabeaufforderung.
  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie anschließend die EINGABETASTE:set devmgr_show_nonpresent_devices=1
  3. Geben Sie an der Eingabeauforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:start devmgmt.msc
  4. Führen Sie eine Problembehandlung für die Geräte und Treiber im Geräte-Manager durch.

    HINWEIS: Klicken Sie im Menü Ansicht im Geräte-Manager auf Ausgeblendete Geräte anzeigen, um Geräte sehen zu können, die nicht an den Computer angeschlossen sind.
  5. Wenn Sie die Problembehandlung abgeschlossen haben, schließen Sie den Geräte-Manager.
  6. Geben Sie an der Eingabeaufforderung exit ein.

    Wenn Sie das Eingabeaufforderungsfenster schließen, deaktiviert Windows die Variable devmgr_show_nonpresent_devices=1 zurück, die Sie in Schritt 2 erstellt haben, und verhindert, dass verwaiste Geräte bei Anklicken von Ausgeblendete Geräte anzeigen angezeigt werden.

[Fix] Remote Desktop DPI scaling issues

Do you have a computer with High-DPI screen? A very high resolution display? And is everything too small to see within your Remote Desktop Connection, try this solution…

screreso

This issue is caused by lack of not being DPI scaling aware of the Remote Desktop Client. If you open a Remote Desktop connection to a server or other computer the native resolution of the computer is used instead of the scaling to 1920×1080, so you’ll get very small icons etc.

Some other blogs mention to fix the issue with using Remote Desktop Connection Manager 2.7 or using RD Tabs.

Another solution where you don’t need extra tools or programs is to make a manifest file, see the steps below.

First tell Windows to look for a manifest file for an application by default. This can be done by setting a registry entry.

Open regedit and navigate to the registry key:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSideBySide
Right-click, select NEW -> DWORD (32 bit) Value
Type PreferExternalManifest and then press ENTER.
Right-click PreferExternalManifest, and then click Modify.
Enter Value Data 1 and select Decimal.
Click OK. Exit Registry Editor.

Next step is to make the manifest file, mstsc.exe.manifest. Copy the contents below and put it in Notepad or similar tool and save it to a file as %SystemRoot%System32mstsc.exe.manifest. Download of the file is also available, here. Important is that you save the file in the same directory as the Remote Desktop Client executable (mstsc.exe).
<?xml version=“1.0″ encoding=“UTF-8″ standalone=“yes“?> <assembly xmlns=“urn:schemas-microsoft-com:asm.v1″ manifestVersion=“1.0″ xmlns:asmv3=“urn:schemas-microsoft-com:asm.v3″> <dependency> <dependentAssembly> <assemblyIdentity type=“win32″ name=“Microsoft.Windows.Common-Controls“ version=“6.0.0.0″ processorArchitecture=“*“ publicKeyToken=“6595b64144ccf1df“ language=“*“> </assemblyIdentity> </dependentAssembly> </dependency> <dependency> <dependentAssembly> <assemblyIdentity type=“win32″ name=“Microsoft.VC90.CRT“ version=“9.0.21022.8″ processorArchitecture=“amd64″ publicKeyToken=“1fc8b3b9a1e18e3b“> </assemblyIdentity> </dependentAssembly> </dependency> <trustInfo xmlns=“urn:schemas-microsoft-com:asm.v3″> <security> <requestedPrivileges> <requestedExecutionLevel level=“asInvoker“ uiAccess=“false“/> </requestedPrivileges> </security> </trustInfo> <asmv3:application> <asmv3:windowsSettings xmlns=“http://schemas.microsoft.com/SMI/2005/WindowsSettings“> <ms_windowsSettings:dpiAware xmlns:ms_windowsSettings=“http://schemas.microsoft.com/SMI/2005/WindowsSettings“>false</ms_windowsSettings:dpiAware> </asmv3:windowsSettings> </asmv3:application> </assembly>
Note that you can use the manifest for other applications also that aren’t scaling aware.

 

 

Siehe auch https://www.brankovucinec.com/fix-remote-desktop-dpi-scaling-issues/

oder https://www.windowspro.de/wolfgang-sommergut/anzeige-rdp-sitzungen-fuer-hochaufloesende-monitore-anpassen

Content retrieved from: https://www.brankovucinec.com/fix-remote-desktop-dpi-scaling-issues/.

Inplace Upgrade: Windows Server 2008 R2 → 2012 R2

Inplace Upgrade: Windows Server 2008 R2 → 2012 R2

Symbolbild Uprade

CC0 | Pixabay.com

Windows Server 2008 R2 wird von Microsoft nur noch bis zum 14.01.2020 mit Sicherheitsupdates versorgt. So gelingt mit Inplace Upgrade eine Aktualisierung auf Windows Server 2012 R2.

Inhaltsverzeichnis

  • Was ist ein Inplace Upgrade?
  • Inplace Upgrade oder Neuinstallation?
  • Lifecycle beachten
  • Migrationspfad prüfen
  • Kompatibilität prüfen
  • Wichtige Vorarbeiten
  • Upgrade durchführen
  • Finale: System bereinigen

Was ist ein Inplace Upgrade?

Bei einem Inplace Upgrade wird das aktuell installierte Betriebssystem auf eine neuere Betriebssystemversion aktualisiert. Daten, Einstellungen und Programme bleiben dabei erhalten.

Inplace Upgrade oder Neuinstallation?

Im Normalfall sollte eine Neuinstallation gegenüber einem Inplace Upgrade bevorzugt werden. Eine Neuinstallation erzeugt ein sauberes, frisches und stabiles System. Bei einem Inplace Upgrade wird meist ein altes, vielleicht etwas betagtes System hochgerüstet und möglicherweise schlummernde Probleme mitportiert.

Domänencontroller können mit Inplace Upgrade aktualisiert werden. Ich würde aber eine Neuinstallation empfehlen.

Quelle: Microsoft.com

Datenbankserver mit Microsoft SQL Server können theoretisch per Upgrade aktualisiert werden. Aber auch hier ist eine Neuinstallation meist ratsam.

Quelle: Microsoft.com

Bei einem Exchange Server muss definitiv eine Neuinstallation durchgeführt werden.

Quelle: msxfaq.de

Lifecycle beachten

Neue Sicherheitsupdates werden nur bis zum Ende des sogenannten Extended Lifecycles (erweiterter Support) veröffentlicht. Danach bleiben neue entdeckte Sicherheitslücken ungepatcht und stellen eine Gefahr für das System und meist auch das restliche Netzwerk dar.

Betriebssystemversion Ende Extended Lifecycle
Windows Server 2016 Standard/Datacenter 12.01.2027
Windows Server 2012 (R2) Standard/Datacenter 10.10.2023
Windows Server 2008 R2 Standard/Datacenter mit SP1 14.01.2020
Windows Server 2008 Standard/Enterprise mit SP2 09.04.2011
Windows Server 2008 Datacenter 12.07.2011

Quelle: Microsoft.com

Migrationspfad prüfen

Folgende Inplace Upgrades sind möglich:

Aktuelles System   Zielsystem(e)
Windows Server 2016 Standard Windows Server 2019 Standard/Datacenter
Windows Server 2016 Datacenter Windows Server 2019 Datacenter
Windows Server 2012 (R2) Standard Windows Server 2016 Standard/Datacenter
Windows Server 2012 (R2) Datacenter Windows Server 2016 Datacenter
Windows Server 2008 R2 Standard mit SP1 Windows Server 2012 R2 Standard/Datacenter
Windows Server 2008 R2 Datacenter mit SP1 Windows Server 2012 R2 Datacenter
Windows Server 2008 Standard/Enterprise mit SP2 Windows Server 2012 Standard/Datacenter
Windows Server 2008 Datacenter mit SP2 Windows Server 2012 Datacenter

Achtung:

  • Core-Server können nicht auf Server mit Desktopdarstellung migriert werden!
  • Sprache muss gleich sein
  • nur mehr bei Windows Server 2008 relevant: keine Migration von 32- auf 64-Bit möglich!

Quelle: docs.microsoft.com, Microsoft Upgrade Center

Kompatibilität prüfen

  • Hardware wird von zukünftigem Betriebssystem unterstützt bzw. verfügt über ausreichend Ressourcen?
  • Installierte Software wird von zukünftigem Betriebssystem unterstützt?

Wichtige Vorarbeiten

  • Freien Speicherplatz prüfen (mehr als 50 % frei)
  • Backup- und Recovery-Plan prüfen
  • Aktuelles Backup erstellen und prüfen (Wiederherstellungstest durchführen)
  • Bei einem physischem Server: BIOS & Firmware aktualisieren
  • Alle aktuell verfügbaren Windows-Updates für das aktuelle Betriebssystem installieren
  • Installierte Software aktualisieren (Patches, Updates, Servicepacks installieren)
  • Datenträgerbereinigung ausführen
  • ggf. nicht mehr benötigte Hard- und Software entfernen bzw. deinstallieren
  • Zeitfenster planen/abstimmen/bekanntgeben
  • Installationsmedium bzw. ISO vom geplanten Betriebssytem bereithalten (evtl. Installationsressource vorher mit Updates aktualisieren)

Upgrade durchführen

  • Aktuelles Backup erstellen und prüfen (Wiederherstellungstest durchführen)
  • Server ggf. offline nehmen, um Zugriff/Änderung während des Upgrades zu verhindern
  • Falls virtuell: Prüfpunkt/Snapshot erstellen
  • Installationsmedium bzw. ISO öffnen und Windows Setup starten:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Wenn die Netzwerk-Verbindung nicht für das Upgrade unterbrochen wurde:
    Online gehen, um jetzt Updates zu installieren (empfohlen):
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Zu installierendes Betriebssystem auswählen:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Lizenzbedingungen akzeptieren:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • „Upgrade: Windows installieren und Dateien, Einstellungen und Anwendungen behalten“:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Kompatibilitätsbericht prüfen:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Windows Upgrade wird gestartet:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Windows Upgrade wird durchgeführt:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Windows wird neu gestartet:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Das Windows Upgrade wird fortgesetzt:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Windows wird wieder neu gestartet:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Windows startet einige Male neu:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Windows Upgrade abgeschlossen.
    Der Anmeldebildschirm des neuen Systems erscheint:
    Windows Server 2008 R2 mit Inplace Upgrade auf Windows Server 2012 R2 aktualisieren
  • Windows-Anmeldung durchführen
  • Installierte Software auf Funktionstüchtigkeit prüfen
  • Windows-Dienste prüfen (alle automatischen zu startenden Dienste gestartet?)
  • Windows-Ereignisanzeige prüfen (besondere Warnungen, Fehler vorhanden?)
  • Windows Update ausführen
  • evtl. manuell ein weiteres Backup erstellen (oder auf automatisches Backup warten)

Finale: System bereinigen

Beim Upgradevorgang wird C:Windows.old erstellt und dort das alte System für eine eventuelle Wiederherstellung gesichert. Dieser Ordner kann nach einem erfolgreichen Upgrade (inkl. entsprechender Wartezeit) gelöscht werden. In meinem Fall mussten zuvor aber Besitzer- und NTFS-Rechte des Ordners inkl. allen darunterliegenden Objekten angepasst werden.

Da der Server nach dem Upgrade wahrscheinlich auch eine große Menge Windows Updates erhält, kann im Anschluss der Windows Komponentenspeicher „WinSXS“ bereinigt werden:

dism /online /cleanup-image /startcomponentcleanup dism /online /cleanup-image /startcomponentcleanup /resetbase

Quelle: Microsoft.com

Falls es sich um ein virtuelles System handelt und ein Prüfpunkt erstellt wurde: Den Prüfpunkt/Snapshot löschen, also die Änderungen übernehmen.

Active Directory und gängige Ports

Hier eine Auflistung der gängigsten Active Directory Ports sowie gängiger Ports für Paketfilter in Firewalls.

tcp/53 DNS
tcp/88 Kerberos
tcp/135 RPC
tcp/445 sysvol share
tcp/389 LDAP
tcp/464 Kerberos password (Max/Unix clients)
tcp/636 LDAP SSL (if the domain controllers have/need/use certificates)
tcp/1688 KMS (if KMS is used. Not necessarily AD, but the SRV record is in AD and clients need to communicate with the KMS).
tcp/3268 LDAP GC
tcp/3269 LDAP GC SSL (if the domain controllers have/need/use certificates)
tcp/49152 through 65535 (Windows Vista/2008 and higher) aka “high ports”

udp/53 DNS
udp/88 Kerberos
udp/123 time
udp/135 RPC
udp/389 LDAP
udp/445 sysvol share

You can minimize the high-port range by configuring a static RPC port for Active Directory.

Restricting Active Directory RPC traffic to a specific port
https://support.microsoft.com/en-us/kb/224196

It’s usually a good idea to force Kerberos to use only tcp/ip, particularly if you have a large, complex network, or accounts are members of large number of groups/large token size.

How to force Kerberos to use TCP instead of UDP in Windows
https://support.microsoft.com/en-us/kb/244474

Active Directory Ports

DienstebeschreibungTCP/UDPPortnummern, Beschreibung
DNSTCP/UDP53
KerberosTCP/UDP88
LDAPTCP/UDP389 (LDAP, 389/TCP, LDAP Ping 389/UDP)
LDAP-SSLTCP686
Microsoft-DSTCP/UDP445
UPnPTCP/UDP1900, 2869 (UPnP Framwework für Netzwerkkommunikation unter Windows
WINSTCP/UDP1512
NetBIOSTCP/UDP137
NetBIOS DatagrammUDP138
NetBIOS Session ServiceTCP139
WINS ReplikationTCP/UDP42

Active Directory KommunikationNotwendiger Datenverkehr
Netzwerkanmeldung eines Benutzers über eine Firewall Microsoft-DS-Datenverkehr (445/TCP, 445/UDP)
Kerberos-Authentifizierungsprotokoll (88/TCP,88/UDP)
LDAP-Ping (389/UDP)
DNS (53/TCP, 53/UDP)
Computeranmeldung an einem Domänencontroller Microsoft-DS-Datenverkehr (445/TCP, 445/UDP)
Kerberos-Authentifizierungsprotokoll (88/TCP,88/UDP)
LDAP-Ping(389/UDP)
DNS (53/TCP, 53/UDP)
Herstellen einer Vertrauensstellung zwischen Domänencontrollern in verschiedenen Domänen Microsoft-DS-Datenverkehr (445/TCP, 445/UDP)
Kerberos-Authentifizierungsprotokoll (88/TCP,88/UDP)
LDAP-Ping (389/UDP)
DNS (53/TCP, 53/UDP)
LDAP (389/TCP; 686/TCP bei Verwendung von SSL)
Verifizierung einer Vertrauensstellung zwischen zwei Domänencontrollern Microsoft-DS-Datenverkehr (445/TCP, 445/UDP)
Kerberos-Authentifizierungsprotokoll (88/TCP,88/UDP)
LDAP-Ping (389/UDP)
DNS (53/TCP, 53/UDP)
LDAP (389/TCP; 686/TCP bei Verwendung von SSL)
Netlogon

Microsoft SQL Server Ports

DienstebeschreibungTCP/UDPPortnummern, Beschreibung
SQL AbfragenTCP1433
SQL MonitorTCP1434

Microsoft Exchange Server Ports

NetzwerkkommunikationNotwendiger Datenverkehr
Kommunikation mit Domänen-
controllern
LDAP-Standardprotokoll (389/TCP; 636/TCP bei Verwendung von SSL)
LDAP-Kommunikation für Standortreplikationsdienst (379/TCP)
LDAP-Kommunikation für globalen Katalog (3368/TCP; 3269/TCP bei Verwendung von SSL)
Ausgehende DNS-Anforder-ungen an einen DNS Server DNS (53/TCP und 53/UDP)
Nachrichtenaustausch zwischen Servern SMTP Datenverkehr (25/TCP; 465/TCP bei Verwendung von TLS)
SMTP Verbindungsalgorithmus (691/TCP)
Clients, die E-Mail über POP3 herunterladen POP3 (110/TCP; 995/TCP bei Verwendung von SSL)
Clients, die E-Mail über IMAP4 herunterladen IMAP4 (143/TCP; 993/TCP bei Verwendung von SSL)
Client, der Newsreader einsetzt NNTP (119/TCP; 563/TCP bei verwendung von SSL)
Webbrowser, der E-Mail von OWA herunterlädt HTTP-Protokoll (80/TCP; 443/TCP bei Verwendung von SSL)
Clients, die Sofortnachrichten verwenden RVP (80/TCP sowie Anschlüsse über 1024/TCP)
Clients, die ein Chatprotokoll verwenden IRC/IRCX (6667/TCP; 994/TCP bei Verwendung von SSL

Internetauthentifizierungsdienst (RADIUS)

DienstebeschreibungTCP/UDPPortnummern, Beschreibung
Authentifizierungsdaten-verkehrUDP1645, 1812
KontoführungsdatenverkehrUDP1813, 1646
Benachrichtigungs- und Über-wachungsdatenverkehr der QuarantänesteuerungUDP7250

Diverse gängige Netzwerkports

DienstebeschreibungTCP/UDPPortnummern, Beschreibung
PPTP VPNTCP1723 (GRE, IP/47)
L2TP VPNTCP1701, sowie IKE Port 500/UDP
SSHTCP22
HTTPTCP80
HTTPSTCP443
RDPTCP3389, Microsoft Remote Desktop Protocol
iSCSITCP3260, 860
RPC LocatorTCP/UDP135, Remote Procedure Call
Microsoft Operations ManagerTCP/UDP1270
WINSTCP/UDP1512
Microsoft Message QueueTCP/UDP1801
Microosft Desktop Air Sync ProtocollTCP/UDP2175
Microsoft Active Sync Remote APITCP/UDP2176
Microsoft OLAP3TCP/UDP2382
Microsoft OLAP4TCP/UDP2383
Microsoft .NETsterTCP/UDP3126
Microsoft Business Rule Engine Update ServiceTCP/UDP3132
Microsoft Globaler KatalogTCP/UDP3268
Microsoft Globaler Katalog mit LDAP/SSLTCP/UDP3269
Microsoft Windows File System (WINFS)TCP/UDP5009
Microsoft Small BusinessTCP/UDP5356
Microsoft DFS ReplikationTCP/UDP5722
Microsoft maxTCP/UDP6074
NTPTCP/UDP123, Network Time Protocol
NetBIOSTCP/UDP137
NetBIOS DatagrammUDP138
NetBIOS Session ServiceTCP139
RPC Dynamic AssignmentTCP1024-65535
Server Message Block, SMB over IP (Microsoft-DS)TCP/UDP445
GRE, generic routing encapsulation (if using PPTP)IP47
IPSec ESPIP50, Encapsulated Security Payload
IPSec AHIP51, Authenticated Header
EmuleTCP4661, Ausgehend
EmuleTCP4662, Eingehend
EmuleUDP4665, Ausgehend
EmuleUDP4672, Eingehend
MSN MessengerÄltere Messenger Versionen:
IN TCP 6891 – 6900
IN TCP 1863
IN UDP 1863
IN UDP 5190
IN UDP 6901
IN TCP 6901 Neue Messenger Versionen:
UDP Ports: 135, 137, 138
TCP Ports: 135, 139, 445
Ältere MSN Messenger:
(Achtung!! Alte Messenger benötigen einen großen Portbereich!!)

Ports 6891-6900 erlauben Datei Sendungen
Port 6901 ist für Audio Kommunikation
Allows Voice, PC to Phone, Messages, and Full File transfer capabilities.
Thnx to Brad King & Bill Finch Jr.
Neue MSN Messenger:
UDP Ports: 135, 137, 138,
TCP Ports: 135, 139, 445

Die gesamten Well Known Ports und Registered Ports sind auf der Homepage der IANA auf: http://www.iana.org/assignments/port-numbers zu finden.

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑