TechNet · Englische TechNet Blogs · TechNet Deutschland · itproblogs.de · .NET Blogs

Arnd Rößner: Azure Confidential Computing: Daten während der Verarbeitung in der Cloud verschlüsseln

Azure Confidential Computing: Daten während der Verarbeitung in der Cloud verschlüsseln In Zusammenarbeit mit Intel stehen die Dienste auch außerhalb von Azure-basierten Systemen zur Verfügung Mit Azure Confidential Computing ermöglicht Microsoft als erster Anbieter die Verarbeitung von verschlüsselten Daten in Public-Cloud-Diensten. Vorteile ergeben sich dadurch zum Beispiel für die Zusammenarbeit von Organisationen im Gesundheitswesen: Sensible […]

Hans Brender: OneDrive for Business | new version 17.3.7010.0912 published

a new Version of the Next Generation Sync Client is available

The first version with the number 7. Today Microsoft has released a new Version from the Next Generation Sync Client and some people will the the version 17.3.7010.9012 on the devices. The fully Update-Mechanism downloads the right version and update the new version. Enterprise customers will find the version 17.3.6998.0830.

The Change log file was updated with the version 17.3.6998.0830, no information about the latest version.

Here is my own Change-Log


Hans Brender: OneDrive for Business | neue Version 17.3.7010.0912

Eine neue Version des Next Generation Sync Client ist verfügbar

Die erste Version, die die 7 vorne trägt. Am heutigen Tag hat Microsoft eine neue Version des Next Generation Sync Clients freigegeben und einige werden die Version 17.3.7010.0912 schon auf dem Rechner vorfinden. Der eigenständige Update-Automatismus sorgt dafür, das der NGSC heruntergeladen und installiert wird. Enterprise Kunden finden die Version 17.3.6998.0830 vor.

Natürlich gibt es noch kein deutsches Change-Log,  das amerikanische Change-Log hat vor ein paar Tagen erst mit der Version 17.3.6998.0830 einen Eintrag erhalten.

 

Hier geht’s zu meinem Change- Log


Michael Greth: Zurück aus der Sommerpause: SharePointPodcast 379 mit Sascha Pallenberg

Der SharePointPodcast ist zurück aus der Sommerpause mit Verlosung von 2 Freikarten für die SharePointUnite und die European SharePoint, Office365 and Azure Conference.

Auch unsere Interviewserie setzen wir im Herbst fort. Auf der Enterprise Business Collaboration habe ich Sascha Pallenberg getroffen und mit ihm eine halbe Stunde über seine Erfahrungen bei Daimler als Head of Digital Content …

Weiter lesen »

SharePointPodcast: SPPD379 Talk mit Sascha Pallenberg und Freikarten-Verlosung


Das geht ja gut los – zurück aus der Sommerpause mit Grüßen von Carl Benz, 2 Verlosungen für Freikarten zu Konferenzen im Herbst und ein Gespräch mit Sascha Pallenberg über die digitalen Herausforderungen bei Daimler Benz.

Flattr this!

Michael Greth: Freikarte für die SharePointUnite in Haarlem

In der Tradition der SharePointConnect findet am 24.-26.10.2017 in Haarlem (Niederlande) die SharePointUnite statt. 3 Tage (24. Workshops, 25./26. Konferenz) geben internationale Top-Speaker wie Adis Jugo, Agnes Molnar, Spencer Harbar, Susan Hanley und Waldek Mastykarz wieder tiefe Einblicke in die SharePoint- und Office365 Plattform.

Hier das Programm der SharePointUnite

Als langjährige Partner der Konferenz können …

Weiter lesen »

Michael Greth: Freikarte für die Europäische SharePoint, Office365 und Azure Konferenz in Dublin zu gewinnen

Als langjähriger Partner der Europäischen SharePoint, Office365 und Azure Konferenz können wir ein Freiticket für die 3-Tages Konferenz im November im Dublin verlosen.

Neben vielen internationalen Sprechern aus der Community sind auch 18 Vorträge von Microsoft-Experten aus Redmond angekündigt, so z.B. Jeff Teper, Dan Holme, Chris McNulty, Naomi Moneypenny, Mike Ammerlaan,Vesa Juvonen.

Wie kommt ihr an das …

Weiter lesen »

Carsten Rachfahl [Hyper-V]: Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 4

Generelle Informationen

Dieser Blogpost ist der vier von insgesamt fünf Teilen, die in den folgenden Wochen veröffentlicht werden. Grundlage für die Beiträge ist ein Whitepaper, welches ich vor kurzem geschrieben habe und welches exklusiv für Newsletter-Abonnenten ​zur Verfügung steht. Sie können das vollständige Whitepaper als PDF weiterhin erhalten, wenn Sie sich für unseren Newsletter anmelden. Nach kurzer Zeit taucht ein Overlay auf, in dem Sie sich registrieren können.

Alle fünf Teile

​Im folgenden finden Sie Links zu den fünf Beiträgen. Sollte ein Link noch nicht vorhanden sein, liegt es daran, dass er noch nicht veröffentlicht wurde.

​​Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 1

​Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 2​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 3​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 4​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 5

Die Einrichtung des Datenträgerzeugen / Quorum

​Seit dem Windows Server 2012 müssen wir in einem Failover Cluster immer ein Quorum setzen, da das Cluster dem Quorum selbstständig, an Hand seiner Knoten-Anzahl, ein Stimmrecht gibt oder nicht. Mit dieser Änderung entfällt ein manueller Eingriff nach einem Wechsel bzw. einer Erweiterung der Knoten.

​Ein Quorum setzen können wir in meinem Fall mit dem folgenden Befehl:

Set-ClusterQuorum -FileShareWitness sofsShare

Nun sind wir mit dem Teil der Konfiguration, der in nahezu allen Clustern gleich ist, durch. Je nach Art des Clusters und dem Bedarf gibt es natürlich noch weitere Einstellungen, Optionen und Möglichkeiten, die man anpassen kann. Ich werde im Weiteren auf andere Arten von Storage und die damit geänderte Art der Konfiguration eingehen sowie auf ein paar Neuerungen im Cluster unter Windows Server 2016.

Ein automatisches Rebalancing der VMs

​Mit der aktuellen Version des Failover Clusters hat Microsoft eine Funktion mit aufgenommen, die bisher nur über den Virtual Machine Manager (oder mit einem manuellen PowerShell-Skript) verfügbar war: Eine automatische Verteilung der VMs über die Cluster-Knoten. Die Funktion ist standardmäßig eingeschaltet und über die Eigenschaften des Failover Cluster selbst zu finden:

In dieser Einstellung wird immer ein Ausgleich vorgenommen, alternativ könnte ein Ausgleich nur dann passieren, wenn ein Knoten aus einem "Down"-Zustand dem Cluster wieder aktiv beitritt, zum Beispiel nach der Installation von Updates und einem Neustart. Die zweite Option regelt, wann eine automatische Verteilung passiert. Hier können Sie zwischen drei Stufen wählen:

Low: Es erfolgt ein Ausgleich, wenn mehr als 80% Belastung auf einem Host festgestellt wird

Medium: Es erfolgt ein Ausgleich, wenn mehr als 70% Belastung festgestellt wird

High: Es erfolgt ein Ausgleich, wenn mehr als 5% Unterschied zwischen den Hosts besteht

Als Bewertung für die Last werden zwei Dinge betrachtet: Current Memory Pressure (Wie viel RAM ist in Nutzung) und CPU Utilization (Hier wird pro Knoten ein 5-Minuten Durchschnittswert betrachtet). Weitere Informationen dazu inkl. den entsprechenden PowerShell-Befehlen zur Steuerung finden Sie im TechNet: Failover Cluster VM Load Balancing in Windows Server 2016

Ich setze die Aggressivität mal auf High, um die Wirkung zu beobachten.

(Get-Cluster).AutoBalancerLevel = 3

Tipp

Tipp: Wenn Sie System Center Virtual Machine Manager im Einsatz haben und eine dynamische Optimierung dort aktiviert haben, wird dieser genutzt und die lokalen Einstellungen im Failover Cluster greifen nicht.

Die neuen Verhaltensweisen bei einem Ausfall (Cluster Resiliency)

​Microsoft hat das Standard-Verhalten im Failover Cluster bei einem Ausfall mit dem Windows Server 2016 geändert. Je nach Art des Failover Clusters sind diese Einstellungen anzupassen, aber erst einmal eine kurze Erklärung, was sich geändert hat.

​Wo sind die Einstellungen?

​Wenn Sie sich die Cluster-Einstellungen per Windows PowerShell anschauen, gibt es dort einige relevante Einträge:

ResiliencyLevel

Diese Einstellung definiert, wie mit Fehlern im Failover Cluster umgegangen wird. Der Standardwert ist 2; das bedeutet, dass ein Knoten in einen Isolated-Modus geschickt werden kann und das eine gewisse Zeit vergehen kann, bis dieser Knoten wieder den Besitz / Betrieb einer VM übernehmen kann.

ResiliencyPeriod

Dieser Wert definiert, wie lange eine VM in einem isolated-Zustand verbleiben kann. Der Standardwert ist 240 Sekunden, das entspricht vier Minuten. Wir kommen direkt nach dieser Auflistung auf diesen Eintrag zurück, da er verantwortlich für die Dauer von einem Failover ist.

QuarantineThreshold

Dieser Wert beschreibt die Häufigkeit, wie oft ein Cluster Knoten innerhalb von 60 Minuten das Cluster unerwartet verlässt, bevor er für eine bestimmte Zeit (der nachfolgende Wert) in Quarantäne gesetzt wird und das nicht nicht aktiv betreten darf. Diese Einstellung soll ein "flapping" verhindern, d.h. ein Server wechselt häufig zwischen online / offline oder stürzt mehrfach hintereinander ab oder die Verbindung zu diesem Knoten ist nicht dauerhaft stabil.

QuarantineDuration

Dieser Wert definiert die Dauer in Sekunden, wie lange ein Server in Quarantäne ist bzw. nach welcher Zeit er wieder aktiv dem Cluster beitreten darf. Der Standardwert liegt hier bei 7200 Sekunden bzw. 2 Stunden.

Die Option ResiliencyPeriod ist eine sehr wichtige Einstellung, da sie definiert wann im Fehlerfall eine Übernahme der VMs gemacht werden soll, die auf dem Hyper-V Host betrieben wurden, der ausgefallen ist. Ich beschreibe die Situation und das Verhalten mal an einem Beispiel, das ich auch immer im Hyper-V Powerkurs zeige: Das Failover Cluster besteht aus zwei Knoten, die ihre VMs auf einem oder mehreren SMB3 Shares betreiben. Beide Knoten betreiben eine Handvoll VMs.

Ich gehe nun zu einem der beiden Server hin und entferne die Stromzufuhr, indem ich die Netzstecker ziehe. Ein paar Sekunden nach dem Ausfall springt der Knoten im Failovercluster Manager in den Zustand isolated.

Die VMs, die auf dem Hyperv17 liefen, sind in diesem Moment im Status Unmonitored.

Dieser Zustand hält nun 4 Minuten (die oben aufgeführten 240 Sekunden) an, erst danach werden die VMs auf dem Hyperv16 wieder gestartet und stehen nach der Bootphase wieder zur Verfügung. Warum ist das so?

​Diese Einstellung kann Sinn machen, wenn die VMs auf einem Speicher abgelegt wird, der lokal verfügbar ist. Dies ist z.B. bei Storage Spaces Direct der Fall. Hier könnte es Sinn machen, dass die VMs nicht sofort per Failover auf einen anderen Knoten übertragen und wieder gestartet werden, sondern dass es eine gewisse Wartezeit gibt, wenn z.B. die Kommunikation der Knoten untereinander unterbrochen ist. Dies könnte durch einen Reboot / Kernel Panic vom Netzwerk ausgelöst werden oder durch sonstige Ausfälle im Rechenzentrum.

​Ich habe bisher bei einem Cluster mit SMB3 / iSCSI / Fibre Channel Storage noch keinen Mehrwert dieser Option erkennen können. Unsere Server sind immer über mehrere Netzwerke und mehrere Netzwerk-Komponenten verbunden, so dass schon mehrere Komponenten gleichzeitig ausfallen müssten, damit die Verbindung der Server untereinander unterbrochen wird und der Server trotzdem noch läuft. Aus diesem Grund stelle ich diese Option auf 0 Sekunden, um einen sofortigen Failover-Prozess zu haben. Vier Minuten sind bei einem Ausfall häufig eine ziemlich lange Zeit. Umstellen können Sie die Option mit der PowerShell.

(Get-Cluster).ResiliencyDefaultPeriod = 0

Falls Sie einen Knoten, der sich in Quarantäne befindet, wieder in den Regelbetrieb überführen möchten, können Sie dies ebenfalls per PowerShell durchführen. Dies ist zum Beispiel bei Ausfalltests wichtig oder wenn Sie den Fehler, der die Ausfälle verursacht hat, behoben haben.

Start-ClusterNode –ClearQuarantine

Im fünften und letzten Teil schauen wir uns die Konfiguration und Einrichtung von Storage-LUNs per iSCSI oder Fibre Channel an. Weiterhin habe ich eine Konfiguration des CSV Block Cache vorgenommen.

Der Beitrag Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 4 erschien zuerst auf Hyper-V Server Blog.

faq-o-matic: NIST: Kennwortrichtlinien runterschrauben

Das US-Standardisierungsinstitut NIST hat kürzlich neue Empfehlungen zum sicheren Umgang mit IT-Systemen herausgegeben. Für viele erstaunlich: Man plädiert dort an einigen Stellen dafür, die typischen Anforderungen an Kennwörter zu reduzieren, statt sie zu erhöhen.

[NIST SP 800-63 Digital Identity Guidelines]
https://pages.nist.gov/800-63-3/

Eine lesenswerte Interpretation der Empfehlungen, die sich auf Kennwortrichtlinien beziehen, liefert Jackson Shaw auf DarkReading:

[Why Relaxing Our Password Policies Might Actually …]
https://www.darkreading.com/endpoint/why-relaxing-our-password-policies-might-actually-bolster-user-safety/a/d-id/1329826

Arnd Rößner: Partner Werbung

Hans Brender: OneDrive for Business | News and new version 17.3.6998.0830

02-Ignite_thumb1 latest Version des NGSC: 17.3.6998.0830

one week until the big IT conference At Orlando, Florida: Microsoft Ignite

Florida?, Yes we have heard about it. The hurricane Irma was coming and a lot of damage all over the land. You are going to Ignite? Like the other 26.000?

You won’t miss something.

OneDrive is finally growing up. And during Ignite Microsoft will announce one thing, many of you will have missed. And one Microsoft Manager has talked about that public.

The NGSC is ready for  IRM

The Next Generation Sync Client will get the new functionality to sync IRM protected document libraries. Yes, you know, the old groove client have had this function lo0ng long time ago. And that was the reason, that some companies will sync still with the old client to Office 365.

But we stay and wait for the official announcement. For all people, which are going  to Ignite, you will visit my to OneDrive sessions:

Ignite Session expected attendees
THR 3011
Upgrade your organization to the latest OneDrive sync client
>600
THR 3021
Why Microsoft is updating the new OneDrive sync engine in a different way
>400

and here some other news:

 

New View Mode for lists

The next days you will see a new View-Mode, it should rolled out completely until end of September. So you may have a web based view of lists (MC118075)

 

Support for # and % in SharePoint Online and OneDrive

Microsoft added support for # and % as supported characters in file and folder names across document libraries in SharePoint Online and OneDrive for Business. They will begin rolling this feature out in October. This feature has been available for opt-in since earlier this year. They will begin turning this on-by-default to existing organizations, in October. The update will be completed by the end of March 2018. (MC118065)

 

Default link permission

Default link permission is a new Office 365 feature for OneDrive for Business and SharePoint Online. You’ll begin seeing this feature in the coming days. Admins can default all sharing from the new sharing dialog to "view only" by default instead of edit (the current default). (MC117805)

 

New version of the Next Generation Sync Client

Noting new one. some people have noticed, some have send me an Email. And with the begin of the month September, there is a new version with the number: 17.3.6998.0830

Until today, no changes on the change log. It looks, that’s the normal monthly update. My change log is ready.


Christian Küver: Soziales Experiment bei Orange - E-Mails waren gestern!

Hallo Leute,

um neben Industrie 4.0 Projekten auch einmal die eigene Kommunikation vom Arbeitsplatz 1.0 auf 4.0 anzuheben und die schier unendliche Flut von Emails drastisch zu reduzieren haben wir bei meinem aktuellen Arbeitgeber interne Emails komplett abgeschaltet:
Teams

Infos über unser soziales Experiment (Erfahrungen, welche Tools wir einsetzen usw. ) findet ihr hier:

https://orange-networks.com/blogs/144-teams-bei-orange

Ich werde hier und im offiziellen Firmen Blog kontinuierlich über die Erfahrungen berichten

Bei Interesse im eigenen Unternehmen stehe ich gerne für Fragen zur Verfügung.

Viele Grüße,

Christian

Carsten Rachfahl [Hyper-V]: Vorsicht bei Storage Spaces Direct (S2D) und KB4038782 (September CU)

Wir bekommen aktuell von mehreren Stellen die Information, dass es bei der Nutzung und der Wartung von Storage Spaces Direct (S2D) Failover Cluster Systemen zu Problemen kommt, wenn das September CU mit der Nummer KB4038782 eingespielt wird. Das Problem äußerst sich darin, dass die Datenträger nach einem Neustart der Systeme im Wartungsmodus stehen bleiben.

Eine genaue Beschreibung der Probleme, dem Status und einer Lösung zu dem Problem befindet sich auf dem Blog von Ben Thomas: Bug when applying KB4038782 September CU to Storage Spaces Direct Clusters

Cosmos Darwin, Storage PM bei Microsoft, hat diese Meldung und den Beitrag ebenfalls geteilt und geschrieben, dass sie an einer Lösung arbeiten: https://twitter.com/CosmosDarwin/status/909180774686978048

Der Beitrag Vorsicht bei Storage Spaces Direct (S2D) und KB4038782 (September CU) erschien zuerst auf Hyper-V Server Blog.

faq-o-matic: cim 2017: Die Videos sind online

imageWow, das Team der cim Lingen übertrifft sich in diesem Jahr selbst: Schon nach einer Woche waren alle Videos der Sessions fertig bearbeitet und online. Hier findet ihr sie:

http://www.cim-lingen.de/agenda_1/agenda_1.html

Oder auch direkt bei YouTube:

[cim lingen 2017 – tech track – YouTube]
https://www.youtube.com/playlist?list=PLm2XHeLAwqKtH-lzt-Fzdr5BEJrNxmpes

[cim lingen 2017 – vision track – YouTube]
https://www.youtube.com/playlist?list=PLm2XHeLAwqKs3osMnZlvwxm10UIc84ybf

[cim lingen 2017 – facts track – YouTube]
https://www.youtube.com/playlist?list=PLm2XHeLAwqKuuuoxIRySFuswDgoHXJlHH

[cim lingen 2017 – business track – YouTube]
https://www.youtube.com/playlist?list=PLm2XHeLAwqKtFqdfJXI4Y9AOUfcKbcvXt

Michael Greth: Über 200 Microsoft eBooks kostenlos zum Download

Microsoft’s Eric Ligman, Director of Business & Sales Operations Blog, verteilt in jedem Jahr kostenlose eBooks zu den verschiedensten Microsoft Technologien und Produkten. Anfang Juli hat er die neue Liste veröffentlicht, die gefühlt über 300 Bücher enthält (als PDF und teilweise auch im EPUB und MOBI Format).

Die Themen, die diese Bücher abdecken, sind u.a. …

Weiter lesen »

Michael Greth: Neues Design für den Office365 App-Launcher

Erst war er bunt, dann schwarz und in Zukunft wird er weiß, gekachelt und betextet sein: die Rede ist vom Office365 App-Launcher.

Microsoft hat in seinem Office Blog die Umgestaltung des App-Launchers angekündigt. Der Rollout soll demnächst für die Teilnehmer am First Release beginnen und dann in den nächsten Monaten auch allen anderen Tenants zur …

Weiter lesen »

Hans Brender: OneDrive for Business | Neuheiten und neue Version 17.3.6998.0830

02 Ignite neuste Version des NGSC: 17.3.6998.0830

Noch zwei Wochen bis zur großen Konferenz in Orlando, Florida: Microsoft Ignite.
Florida? War da nicht etwas? Richtig. Irma zog über das Land und verursachte Milliardenschäden. Sie fahren auch zur Ignite? Nein?

Dann verpassen Sie etwas.

OneDrive wird endlich erwachsen. Ein von mir lang ersehntes Feature wird angekündigt. Und da der zuständige Microsoft Manager schon öffentlich darüber geredet hat, darf auch ich:

Der NGSC kann IRM

Der Next Generation Sync Client erhält endlich die Möglichkeit, mit IRM versehene Dokumentenbibliotheken zu synchronisieren. Das konnte der alte Groove Client schon länger….  Aus Sicht der Sicherheit schließt sich damit eine nicht unerhebliche Sicherheitslücke. Und im Client kann man an einigen Stellen schon heute sehen…

Aber warten wir die offizielle Ankündigung ab.  Für alle, die den langen Weg zur Konferenz nicht scheuen und meine zwei Sessions besuchen wollen: Es wird eng werden.

Ignite Session erwartete Besucher
THR 3011
Upgrade your organization to the latest OneDrive sync client
500
THR 3021
Why Microsoft is updating the new OneDrive sync engine in a different way
350

Aber ich denke, wir werden auch für Sie noch ein Plätzchen finden. Also anmelden und Session auswählen.

 

Neuer View Mode für Listen

in den nächsten Tagen wird ein neuer View-Modus ausgerollt sein, bis Ende September sollte das abgeschlossen sein. Man wird also im Browser auf eine kompakte Ansicht von Listen zugreifen können (MC118075)

 

Unterstützung für # und % in SharePoint Online und OneDrive

Im April dieses Jahres wurde es angekündigt, ich habe darüber hier berichtet. Nun wird es bis zum März 2018 auch auf alle bestehenden Bibliotheken und Tenants von Office 365 ausgerollt werden. (MC0085065)

 

Die Standard-Einstellung der Rechte von Freigaben ändert sich

Bisher war die Standard-Einstellung für Freigaben auf EDIT. Das wird jetzt geändert auf “VIEW ONLY”. Die Umstellung soll bis Oktober 2017 abgeschlossen sein. (MC117805)

 

Neue Version des Next Generation Sync Client

Wie immer, keiner hat’s gemerkt. Doch  ein paar schon. Danke für die freundlichen Hinweise. Microsoft hat zum Beginn des Monats September wieder eine neue Version des NGSC freigegeben, dieser trägt die Version Nummer 17.3.6998.0830.

Da ich weder auf dem amerikanischen noch auf dem deutschen Change-Log etwas zu dieser Version finde… handelt es sich wahrscheinlich um das reguläre monatliche Update. Mein Change-Log ist soweit auf dem laufenden.


faq-o-matic: Windows-PKI: Computerzertifikat manuell anfordern

Dieser Beitrag erschien zuerst bei blog.michael-wessel.de

Versucht man, auf einer Windows-Enterprise-CA einen Zertifikatsrequest aus einer Datei zu bearbeiten, so kann der folgende Fehler auftreten:

Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE)
Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage noch das Anforderungsattribut „CertificateTemplate“.

Die Ursache dafür: Im Request ist keine Zertifikatsvorlage angegeben. Das geht bei einem manuellen Request auch nur mit Umständen, daher kann man sich anders behelfen.

Zur Vorbereitung muss man hier eine passende Zertifikatsvorlage erzeugen. Die Standard-Templates sollen direkt von den Computern angefragt werden, daher ist dort hinterlegt, dass der Computername aus dem AD geholt wird. Das ist bei einer manuellen Anfrage nicht möglich, daher brauchen wir eine separate Zertifikatsvorlage.

ACHTUNG: Diese Vorlage erfordert, dass die Identität des Computers „manuell“ geprüft und bestätigt wird. Eine solche Vorlage darf also nie auf „Enroll“ für irgendein Computerkonto stehen (und natürlich erst recht nicht auf „Autoenroll“).

Zertifikatsvorlage für manuelle Ausstellung erzeugen

  • Passende Basis-Vorlage (z.B. „Computer“) duplizieren.
    image
  • Den Namen der Vorlage anpassen, ggf. auch die Gültigkeitsdauer
    clip_image002
  • Unter „Antragstellername“ die erste Option auswählen (Warnung bestätigen)
    clip_image003
  • Lässt man diesen Schritt aus, so erscheint später diese Fehlermeldung beim Versuch, eine Anforderung zu bearbeiten:

Der DNS-Name ist nicht verfügbar und kann dem Subjektalternativnamen nicht hinzugefügt werden. 0x8009480f (-2146875377 CERTSRV_E_SUBJECT_DNS_REQUIRED)
Verweigert vom Richtlinienmodul

  • Unter „Sicherheit“ das Recht „Registrieren“ von allen Computergruppen entfernen; es sollte nur für bestimmte Administratorgruppen gelten! Für „Authentifiztierte Benutzer“ am besten auch das Leserecht entfernen, damit die Vorlage gar nicht erst angezeigt wird.
    clip_image004
  • Vorlage speichern. Auf der CA die Vorlage publizieren (ggf. vorher AD-Replikation abwarten, kann etwas dauern)
    image
  • Damit ist die Vorbereitung auf der CA abgeschlossen.

Auf dem Zielrechner einen Zertifikats-Request erzeugen

  • MMC „Zertifikate“ für den lokalen Computer
  • Rechtsklick, Alle Aufgaben, Erweiterte Vorgänge, Benutzerdefiniert …
    clip_image006
  • Vorgang ohne Registrierungsrichtlinie
    clip_image007
  • Im nächsten Schritt nichts ändern, dann Details öffnen und auf Eigenschaften klicken
    clip_image008
  • Passenden Anzeigenamen für das Zertifikat wählen (z.B. <Computername>-Manuell-Computer). Unter Antragsteller für „Vollständiger DN“ den LDAP-Namen des Computer-Accounts angeben, z.B.
    cn=PC4711,cn=computer,DC=domain,DC=tld
    clip_image009
  • Unter „Erweiterungen“:
    • Schlüsselverwendung „Digitale Signatur“ und „Schlüsselverschlüsselung“
    • Erweiterte Schlüsselverwendung: „Serverauthentifizierung“ und „Clientauthentifizierung“
    • Basiseinschränkungen: „Diese Erweiterung aktivieren“
      clip_image010
  • Unter „Privater Schlüssel“:
    Schlüsseloptionen/Schlüsselgröße passend wählen (hier 2048 Bit aus Kompatibilitätsgründen – wenn möglich, sollte es mehr sein)
    clip_image011
  • OK, dann Request in eine Datei speichern
  • Den Request auf den CA-Server kopieren
  • Auf der CA: Zertifikatsanforderung bearbeiten
    • Ein manueller Request kann über das GUI auf einer Enterprise-CA nicht vollständig bearbeitet werden, weil der Name der Vorlage fehlt. Das geht über die Kommandozeile.
    • CMD als Administrator starten. Eingabe:
      certreq -submit -attrib „certificateTemplate:<Name des Templates>“ c:\Pfad\<Request-Datei>.req
      ACHTUNG: Der Name ist der „technische“ Name, nicht der Anzeigename – die können unterschiedlich sein, sind es aber meist nicht.
    • Auf Rückfrage die richtige CA auswählen.
    • Nun sollte der Request bearbeitet und automatisch genehmigt werden. Es erscheint ein Fenster zum Speichern, hier mit passendem Namen an geeignetem Ort speichern.
    • Die Zertifikatsdatei auf den Client kopieren.
    • Falls die CA folgenden Fehler meldet:

    Die angeforderte Zertifikatsvorlage wird von dieser Zertifizierungsstelle (CA) nicht unterstützt. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)

    • Dann ist die Zertifikatsvorlage entweder nicht vorhanden (Name falsch angegeben oder im AD noch nicht repliziert)
    • Oder die Zertifikatsvorlage ist von einer unpassenden Vorlage kopiert worden. In dem Fall eine andere Vorlage als Basis nehmen, z.B. die vordefinierte „Computer“-Vorlage.

Zertifikat auf dem Zielrechner einrichten

  • MMC Zertifikate für lokalen Computer
  • Rechtsklick, Zertifikat importieren
  • Datei auswählen, das Zertifikat sollte importiert werden
  • Kontrolle: Zertifikat per Doppelklick öffnen, es sollte melden, dass der private Schlüssel vorhanden ist

Michael Greth: My Workspace – Office 365 auf einen Blick für Mac-User

Ein neues Tools aus der Microsoft Garage hat seinen Weg diesmal zu Mac-Usern gefunden: My Workspace gibt mir einen schnellen Zugriff auf die wichtigsten Dinge des Tages in Office365 und vereinfacht den Zugriff auf Office365.

My Workspace ist eine kleine App, die sich als Icon in der Menüleiste installiert und mit meinem Office365 Account verbunden. Mit …

Weiter lesen »

faq-o-matic: Interview bei der cim Lingen 2017

imageDas junge Team der cim Lingen ist stets vorn dabei, wenn es um neue Techniken geht. Bei der diesjährigen Ausgabe am 9. September 2017 wurde ich von Orga-Mitglied Conny per Periscope interviewt.

https://www.pscp.tv/cimlingen/1LyxBEyZQkbJN

Thorsten Christoffers: Verwaltung von Identitäten im Microsoft Windows Server 2016 (Just in Time Administration)

...

Michael Greth: Nachlese zum GDPR Workshop mit atwork, Microsoft und Grant Thornton

Das Thema GDPR haben wir hier ja schon mehrfach besprochen.

Die atwork.at organisierte in dieser Woche einen GDPR-Workshop bei Microsoft in Wien. Als kompetenten Partner aus der Wirtschaftsprüfung und Steuerberatung konnte Philipp Mattes von Grant Thornton gewonnen werden. Office 365 MVP und Security Expertin Martina Grom informierte über die technischen Möglichkeiten mit den Microsoft Cloud Services.

Weiter lesen »

faq-o-matic: Am Samstag noch nichts vor? Die cim ruft nach Lingen

imageAm Samstag, dem 9. September 2017, findet in Lingen an der Ems die IT-Community-Konferenz cim statt (Community in Motion). Den ganzen Tag lang gibt es IT-Fachvorträge von hochkarätigen Sprechern. Wie jedes Jahr läuft das Who’s Who der deutschen IT-Szene im Emsland auf.

Für Kurzentschlossene gibt es noch Plätze – wie immer kostenlos.

http://www.cim-lingen.de/

Hans Brender: OneDrive oder OneNote

Carl Mr.One...

Gestern ist er 1 Jahr alt geworden. Und kann sich noch nicht entscheiden. OneNote oder OneDrive?

Egal. Einfach Mr.ONEderful


Michael Greth: Konfiguration und Governance von Microsoft Teams

Wer als Admin oder Sicherheitsbeauftragter bisher aufgrund von Governance und Compliance eher mit gemischten Gefühlen auf Microsoft Teams geschaut hat, hat nun etwas mehr Einfluss auf die Nutzung.

Gastbeitrag von Carsten Büttemeier

Carsten arbeitet als Head of Development bei der deroso GmbH als Berater, Entwickler und Architekt zu Themen rund um die SharePoint und Office365 Technologien.

Die …

Weiter lesen »

Michael Greth: Konferenzen im Herbst – Der frühe Vogel wird zum Sparfuchs *

Wie jedes Jahr stehen im Herbst die beiden großen Konferenzen zu SharePoint und Office 365 und Azure auf dem Terminkalender: die SharePointUnite vom 24.-26.10.2017 in Haarlem und die European SharePoint, Office 365 & Azure Conference vom 13.-16.11.2017 in Dublin.

Beide Konferenzen haben umfangreiche Programme mit internationalen Top Speakern zusammengestellt und beide Konferenzen bieten Early BIrd …

Weiter lesen »

Carsten Rachfahl [Hyper-V]: Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 3

Generelle Informationen

Dieser Blogpost ist der dritte von insgesamt fünf Teilen, die in den folgenden Wochen veröffentlicht werden. Grundlage für die Beiträge ist ein Whitepaper, welches ich vor kurzem geschrieben habe und welches exklusiv für Newsletter-Abonnenten ​zur Verfügung steht. Sie können das vollständige Whitepaper als PDF weiterhin erhalten, wenn Sie sich für unseren Newsletter anmelden. Nach kurzer Zeit taucht ein Overlay auf, in dem Sie sich registrieren können.

Alle fünf Teile

Im folgenden finden Sie Links zu den fünf Beiträgen. Sollte ein Link noch nicht vorhanden sein, liegt es daran, dass er noch nicht veröffentlicht wurde.

​​Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 1​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 2​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 3​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 4​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 5

Die Einrichtung von RDMA over Converged Ethernet (RoCE)

​Wenn Sie RDMA-fähige Netzwerkkarten in Ihrem Server besitzen, müssen Sie diese noch einrichten und vollständig konfigurieren. Da wir in unserem Fall mit RoCE arbeiten, müssen wir neben einer Installation der Treiber auch die Konfiguration von PFC vornehmen. Wir nutzen in unseren Systemen RoCE-Karten von Mellanox, dies hat den Vorteil, dass wir eine Konfiguration per PowerShell durchführen können.

# Clear previous configurations
Remove-NetQosTrafficClass
Remove-NetQosPolicy -Confirm:$False

# Enable DCB
Install-WindowsFeature Data-Center-Bridging

# Disable the DCBx setting:
Set-NetQosDcbxSetting -Willing 0

# Create QoS policies and tag each type of traffic with the relevant priority
New-NetQosPolicy “SMB” -NetDirectPortMatchCondition 445 -PriorityValue8021Action 5
New-NetQosPolicy “DEFAULT” -Default -PriorityValue8021Action 5
New-NetQosPolicy “TCP” -IPProtocolMatchCondition TCP -PriorityValue8021Action 1
New-NetQosPolicy “UDP” -IPProtocolMatchCondition UDP -PriorityValue8021Action 1

# Enable Priority Flow Control (PFC) on a specific priority. Disable for others
Enable-NetQosFlowControl -Priority 5
Disable-NetQosFlowControl 0,1,2,3,4,6,7

# Enable QoS on the relevant interface
Enable-NetAdapterQos -InterfaceDescription “Mellanox ConnectX-3 Pro Ethernet Adapter”
Enable-NetAdapterQos -InterfaceDescription “Mellanox ConnectX-3 Pro Ethernet Adapter #2”

# Optionally, limit the bandwidth used by the SMB traffic to 60%
New-NetQoSTrafficClass “SMB” -Priority 5 -Bandwidth 60 -Algorithm ETS

Diese Konfiguration bewirkt folgendes:
Als erstes entfernen wir alle (möglicherweise) vorhandenen QoS-Klassen und Richtlinien. Danach installieren wir das DCB-Feature im Windows Server. Der dritte Schritt ist eine Deaktivierung von DCBx, diese Funktion ist bei der Nutzung von SMB Direct nicht unterstützt und wird daher deaktiviert. Nach der Deaktivierung erstellen wir vier unterschiedliche Richtlinien und legen fest, welche Art von Daten mit welcher Priorität belegt werden. Danach aktivieren wir PFC für die Priorität 5, für alle anderen sieben Prioritäten deaktivieren wir PFC. Im letzten benötigten Schritt müssen wir noch QoS für unsere RDMA-Karten aktivieren. Optional könnten wir noch eine Bandbreiten-Garantie mit Hilfe von ETS konfigurieren, dies ist aber in vielen Fällen nicht benötigt bzw. gewollt.

Tipp: Wenn Sie mit RDMA arbeiten möchten, wird Ihnen diese Beschreibung hier nicht ausreichen, da noch einige weitere Abhängigkeiten und Konfigurationen durchgeführt werden müssen. In unserem Blog finden Sie noch einige weitere Artikel zu diesem Thema, wir stehen Ihnen auch gerne mit Rat und Tat zur Seite.

Installation der benötigten Rollen und Features

​Nun können wir die Installation von Hyper-V und der Failover Cluster Funktionalität starten. Da wir mit einem GUI-System arbeiten, installiere ich die Management-Konsolen (Hyper-V Manager und Failover Cluster Manager) mit.

Install-WindowsFeature -Name Hyper-V, Failover-Clustering –IncludeAllSubFeature -IncludeManagementTools –Restart

Nach der Installation und zwei Reboots der Systeme kann die Konfiguration von Hyper-V beginnen. Wir starten hier mit der Erstellung unserer Hyper-V Switch, an die später die VMs an das Netzwerk angebunden werden. Achten Sie darauf, dass die Namen auf allen Systemen identisch sind.

New-VMSwitch -Name “VM” -NetAdapterName VM-Team -AllowManagementOS 0

Überprüfung der Konfiguration

​Nach der Erstellung können wir die Systeme mit dem Failovercluster-Manager gegenseitig testen lassen, um unsere Konfiguration zu verifizieren. Alternativ geht dies natürlich auch per PowerShell. Der Test ist wichtig, denn nur mit einem erfolgreichen Test ist sichergestellt, dass keine groben Fehler vorliegen. Ein weiterer wichtiger Aspekt ist, dass Sie nur mit einem erfolgreichen Test Support von Microsoft für Ihr Failover Cluster bekommen.

​Bei dem Cluster Test gibt es drei Arten von Ergebnissen: Fehler, Warnung und Erfolgreich. Bekommen Sie einen oder mehrere Fehler, so müssen Sie diese beheben und den Test danach erneut ausführen. Ein Beispiel für einen Fehler ist z.B. unterschiedliche Namen bei der Hyper-V Switch. Warnungen sollten Sie genau betrachten und dann bewerten, ob sie behebbar sind oder nicht. Haben Sie einen unterschiedlichen Updatelevel bei den Systemen, so sollten Sie unbedingt vor der Cluster-Erstellung alle benötigten Updates einspielen. Bekommen Sie aber, wie ich im weiteren Verlauf auch, eine Meldung über ein "fehlendes" Standardgateway, so ist dies ok. Da die Systeme bewusst kein Gateway haben, kann ich diese Warnung natürlich nicht beheben.

Test-Cluster -Node Hyperv16, Hyperv17

Schauen Sie sich nach dem Test den Report an. Ist alles grün, können Sie sofort fortfahren. Gibt es Warnungen oder Fehler, so sollten Sie schauen ob Sie diese beheben müssen/sollten oder nicht und dann fortfahren.

Tipp: Fehler beim ersten Durchlauf

Ich habe es mit dem Windows Server 2016 jetzt schon mehrfach gehabt, dass der erste Durchlauf direkt auf Fehler läuft und weitere Tests in dem Unterbereich gar nicht mehr durchführt. Dies können Sie durch einen erneuten Test (ohne Neustart der Systeme oder so) beheben.

Wie man in dem Screenshot erkennen kann, gibt es ein paar Warnungen in meinem Fall. Sie können nun den Report in dem aufgeführten Pfad aufrufen, alternativ können Sie auch immer alle Reports unter C:WindowsClusterReports finden.

Wie man erkennen kann, gibt es Warnungen im Bereich Network und System Configuration, Storage wurde erst gar nicht überprüft. Dies liegt daran, dass wir keinen gemeinsam genutzten Speicher (z.B. LUNs) besitzen. Da wir mit SMB3 Shares arbeiten, gibt es hier im Hyper-V Cluster keinen Test. Da das SMB3 Storage in den meisten Fällen auch ein Failover Cluster ist, werden die Tests dort gemacht.

​Die Warnungen schauen wir uns einmal näher an:

Die erste Meldung ist, wie bereits angesprochen, dass nicht vorhandene Standardgateway. Das Fehlen bewirkt, dass man bei der Erstellung des Failover Cluster manuell das Management-Netzwerk auswählen muss und dieses nicht automatisch passiert.

​Die zweite Meldung zeigt an, dass die Server jeweils noch einen Neustart offen haben. Diesen mache ich vor der Erstellung des Failover Cluster, danach beginnen wir mit der Erstellunga des Failover Cluster.

New-Cluster -Name PowerCluster4 -Node Hyperv16, Hyperv17 -NoStorage -StaticAddress 192.168.209.44 -IgnoreNetwork 192.168.207.0/24, 192.168.206.0/24

Der Befehl sorgt dafür, dass die beiden Knoten Hyperv16 und Hyperv17 zu einem Cluster mit dem Namen PowerCluster4 zusammengefasst werden. Mit dem Parameter -StaticAddress vergebe ich die IP-Adresse des Clusters, mit -IgnoreNetwork werden die beiden SMB3-Netzwerke angegeben.

Die Warnung bezieht sich auf ein fehlendes Quorum im Cluster

Die Cluster-Konfiguration

Nach der Erstellung des Failover Cluster müssen wir nun noch einige Einstellungen vornehmen. Ich beginne meist mit der Konfiguration der Netzwerke (also quasi von unten nach oben im Failovercluster-Manager, die Reihenfolge hat aber keine Relevanz).

Umbenennung der Netzwerke

​Die Netzwerke in einem Failover Cluster haben nach der Erstellung durchnummerierte Namen (Cluster Network 1, Cluster Network 2, ...). Diese passe ich an, damit ich mit sprechenden Namen arbeiten kann. Dies erleichtert mir die Arbeit mit den Netzwerken an anderen Stellen (Konfiguration der Metrik zum Beispiel), außerdem sieht es besser und aufgeräumter aus. Thanks to Aidan Finn for helping me out with the PowerShell cmdlets :)

(Get-ClusterNetwork | where-object {$_.Address -eq “192.168.208.0”}).Name = “Management”

(Get-ClusterNetwork | where-object {$_.Address -eq “192.168.207.0”}).Name = “SMB#1”

(Get-ClusterNetwork | where-object {$_.Address -eq “192.168.206.0”}).Name = “SMB#2”

Nach der Ausführung sehen die Netzwerke deutlich besser aus

Der nächste Schritt ist die Konfiguration der Livemigration, insbesondere die Reihenfolge der Netzwerke. In meinem Fall habe ich drei Netzwerke: SMB#1, SMB#2 und Management. Diese Netze sollen alle genutzt werden, die beiden SMB-Karten primär, Management soll als Fallback zur Verfügung stehen können. Direkt nach der Installation ist die Reihenfolge nicht so, wie ich sie gerne haben möchte:

Ich habe einige Zeit gesucht und probiert, bis ich letztendlich aus mehreren Beiträgen die passende Lösung ableiten konnte. Wie man es letztendlich löst ist nicht unbedingt toll, aber in meinem Fall hat es funktioniert. Eine kurze Erklärung der Befehle: Die Reihenfolge der Netzwerke wird über die ID der einzelnen Netzwerke gesetzt, diese bekomme ich mit den ersten drei Zeilen heraus. In die Variable $order setze ich dann die Reihenfolge zusammen, getrennt durch jeweils ein Semikolon. Hier muss man beachten, dass kein Leerzeichen enthalten ist. Danach kann ich diese Variable als Wert übergeben. Geholfen hat mir hierbei Mr. Hyper-V, Ben Armstrong, thanks for this :)

$1 = (Get-ClusterNetwork -Name “SMB#1”).ID

$2 = (Get-ClusterNetwork -Name “SMB#2”).ID

$3 = (Get-ClusterNetwork -Name “Management”).ID

$order = “$1;$2;$3”

Get-ClusterResourceType -Name “Virtual Machine” | Set-ClusterParameter -Name MigrationNetworkOrder -Value $order

Nun müssen wir noch die Metrik im Failover Cluster überprüfen. Die Metrik steuert, über welche Netzwerke die Knoten untereinander kommunizieren und woher möglicher Quertraffic geht. Abfragen können Sie die Metrik wie folgt:

Get-ClusterNetwork | ft Name, Metric, AutoMetric, Role

Die Werte sind so zu verstehen, dass eine kleinere Metrik eine höhere Priorität bedeutet (Metrik = Kosten). Je kleiner die Metrik, desto eher wird das Netzwerk genutzt. Befinden sich zwei oder mehr Netzwerke in einem Bereich, der kleiner als 16 voneinander getrennt ist (z.B. SMB#1 und SMB#2 in meinem Screenshot), so wird über diese Netzwerke eine Multichannel-Kommunikation per SMB3 gemacht.

​Ich möchte die Netzwerke so haben, wie wir sie in dem Screenshot sehen, d.h. es werden erst die 10 Gbps Karten genutzt und erst danach das 2 Gbps Management-Team. Wären die Einstellungen falsch oder Sie möchten manuelle Werte festlegen, so können Sie dies wie folgt machen:

(Get-ClusterNetwork “Management”).metric = 40000

Im vierten Teil der Reihe schauen wir uns die Einrichtung des Quorum, das automatische Balancing der VMs und das neue Ausfall-Verhalten in einem Failover Cluster unter Windows Server 2016 an.

Enter your text here...

Der Beitrag Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 3 erschien zuerst auf Hyper-V Server Blog.

faq-o-matic: Verschachtelte AD-Gruppen mit LDAP-Filter abfragen

Active Directory ermöglicht es, Gruppen zu verschachteln. So kann ein Benutzer Mitglied in Gruppe A sein, die selbst Mitglied von Gruppe B ist. Effektiv hat der Benutzer dann beide Gruppenmitgliedschaften, auch wenn er nur einer der Gruppen direkt angehört. Problematisch kann es sein, solche Verschachtelungen nachzuvollziehen – die Mitgliederliste von Gruppe B würde hier nur Gruppe A anzeigen, aber nicht den Benutzer. Ebenso würde man beim Benutzer nur die Mitgliedschaft in Gruppe A sehen, aber nicht die in Gruppe B.

Der Verzeichnisdienst verfügt über effiziente Methoden, solche Verschachtelungen aufzulösen, um die effektiven Mitgliedschaften herauszufinden. Wenig bekannt ist, dass man diese Methoden über einen LDAP-Filter direkt nutzen kann, ohne dass man selbst aufwändige rekursive Abfragen aufbauen muss. Einzig die Syntax solcher Abfragen ist etwas eigen.

LDAP-Filter arbeiten mit Vergleichsoperatoren. So lässt sich mit dem Filterausdruck (givenName=Nils) auf den Wert “Nils” im Feld für den Vornamen filtern. Mithilfe spezieller Operatoren lassen sich besondere Vergleiche anstellen, so gibt es etwa zwei Operatoren für bitweise AND- und OR-Vergleiche, mit denen sich die Werte einzelner Bits bei bestimmten Feldern prüfen lassen (beispielsweise userAccountControl, das verschiedene Zustände über Bits speichert). Seit Windows Server 2003 kennt Active Directory einen dritten Operator namens LDAP_MATCHING_RULE_IN_CHAIN.

Diese Spezialoperatoren hängt man über ihre Object ID an das Attribut an, das man prüfen will. Das sieht so aus:

(attribut:1.2.840.113556.1.4.1941:=Suchwert)

Schauen wir uns das an einem Beispiel an. Der EInfachheit halber nehmen wir zum Suchen hier das Programm Active Directory-Benutzer und -Computer, das auch LDAP-Suchstrings zulässt. Dazu wählt man im Dropdown des Suchdialogs “Benutzerdefinierte Suche” aus und wechselt dann auf die Registerkarte “Erweitert”.

Unser erstes Beispiel fragt nach allen Gruppen, in denen der Benutzer Nils direkt Mitglied ist. Der zugehörige Suchstring lautet:

(member=CN=Nils,OU=Gruppen,DC=domain,DC=tld)

Hier also noch keine Abfrage der Verschachtelungen. Das Ergebnis:

image

Wichtig hier: Es werden 32 Objekte gefunden, also 32 Gruppen, in denen Nils direkt Mitglied ist.

Das zweite Beispiel nutzt nun den Spezialoperator, um auch die indirekten Mitgliedschaften zu finden. Der Operator sorgt dafür, dass der Verzeichnisdienst für alle Objekte die Hierarchiekette im angegebenen Attribut nach “oben” durchläuft, also auch die “Eltern-Objekte” ausfindig macht.

(member:1.2.840.113556.1.4.1941:=CN=Nils,OU=Gruppen,DC=domain,DC=tld)

image

Hier gibt Active Directory 57 Objekte zurück – es gibt also 25 Gruppen, in denen Nils per Verschachtelung ein indirektes Mitglied ist.

Achtung aber: Dieses Beispiel ist sehr simpel, es fragt alle Gruppentypen ab und durchläuft die Rekursion. Will man auf diesem Weg herausfinden, über welche Gruppen ein Benutzer Berechtigungen erhält, so muss man den Filter erweitern. In diesem zweiten Beispiel sind nämlich auch alle Verteilergruppen enthalten, die keine Berechtigungen  bekommen können. Um nur Sicherheitsgruppen als Ergebnis anzufordern, erweitert man den Filter folgendermaßen:

(&(member:1.2.840.113556.1.4.1941:=CN=Nils,OU=Gruppen,DC=domain,DC=tld)(groupType:1.2.840.113556.1.4.803:=2147483648))

Dieser Suchstring fügt ein zweites Kriterium an und filtert den Gruppentyp auf Sicherheitsgruppen. Dazu verwendet er ebenfalls einen Spezialoperator, und zwar den für das bitweise AND.

image

Michael Greth: Office 365: Your Business is Waiting *

Knowing when to make any change to your business to move it forward is no easy decision to make, but failing to do so can prevent your organisation from progressing.  Cloud, mobile, social and other digital technologies have advanced into organisations to improve business best practices, and it is time to embrace them or risk …

Weiter lesen »

Michael Greth: Einfach Workflow mit WEBCON BPS für SharePoint – InstantChange

Einfach Workflow mit WEBCON BPS für SharePoint – InstantChange

Geschäftsprozesse sind immer noch eines der Top-Themen im SharePoint/Office365 Umfeld. WEBCON bietet mit Ihrem WEBCON BPS eine Plattform, die es dem Poweruser ermöglicht, ohne Entwicklungskenntnisse schnell, einfach und nahe am Standard seine Prozesse auf SharePoint abzubilden.

Wie das geht? Dafür haben wir diese Videoserie aufgenommen. SharePoint …

Weiter lesen »

Michael Greth: SharePoint AHA-Momente 2017 *

So viel SharePoint brauchen Sie wirklich!

Was bringt Microsoft Azure für Ihren SharePoint? Wann nutzt man eigentlich PowerApps? Die Möglichkeiten, wie Sie Ihren SharePoint einsetzen können, sind beinahe endlos und können unübersichtlich und verwirrend wirken. Damit Ihr Unternehmen erfolgreich durch den SharePoint Dschungel manövriert und alle essentiellen Vorteile auskostet, sollten Sie sich auf das Wesentliche …

Weiter lesen »

Michael Greth: SharePoint, Office365 und Azure Events im September 2017

Der Sommer ist vorbei und der Event-Herbst 2017 hat begonnen – unser Community-Terminkalender ist im September prall gefüllt mit Webinaren, UserGroups, Meetups, Konferenzen und mehr.

Nicht vergessen – für diverse Events gibt es hier Sonderkonditionen für die Community. Also viel Spaß auf den Events.

September 2017
  • Warum es Sinn macht, zur Cloud zu migrieren [Webcast] …

    Weiter lesen »

faq-o-matic: Die unendliche Geschichte von der Windows-Versionsnummer

imageMicrosoft hat ein neues Kapitel in der Geschichte der Windows-Versionsnummern aufgeschlagen. Schon mehrfach hatte der Konzern es geschafft, durch simple Änderungen an der Nummerierung seiner Betriebssysteme nicht nur Verwirrung zu stiften, sondern auch handfeste Probleme auszulösen.

Der jüngste Streich ist dabei ein echtes Geek-Thema. Anscheinend steht Redmond aktuell vor dem Problem, dass die internen Variablen im Windows-Quellcode, die die Versionsnummer speichern, schon in wenigen Wochen vor einem Werte-Überlauf stehen. Damit wäre die folgende Nummer dann plötzlich nicht größer, sondern (viel) kleiner als ihr Vorgänger.

Die amerikanische Webseite “Inside Windows” und der deutsche MVP-Kollege Günter Born haben das in ihren Artikeln sehr schön auseinandergedröselt. Aktuell gibt es nichts Offizielles dazu, sodass die Herleitungen einen hohen Spekulationsanteil aufweisen – aber es ist schon eine Story für Feinschmecker. Smiley mit geöffnetem Mund

[Windows 10: Build-Nummern und der Fluch der Vergangenheit | Borns IT- und Windows-Blog]
http://www.borncity.com/blog/2017/08/29/windows-10-build-nummern-und-der-fluch-der-vergangenheit/

[Inside Windows Versioning: Why letting legacy code stick around isn&#8217;t the best idea &#8211; Inside Windows]
http://insidewindows.net/2017/08/28/inside-windows-versioning/

Thorsten Christoffers: Deploy a node.js script in seconds to an Azure Web App with git and run it server-less

Deploy a node.js script in seconds to an Azure Web App with git and run it server-less In customer projects, I sometimes develop small applications to collect and process data from different data sources or to offer a web interface. In any case, I try to avoid rolling out a VM to run...

Carsten Rachfahl [Hyper-V]: Umzug eines bestehenden Storage Spaces Direct Clusters mit Daten in eine neue Domain

​In Vorbereitung für unseren S2D Powerkurs, sahen wir uns vor der Aufgabe unser bestehendes Storage Spaces Direct Hyper-converged Cluster ​von unserer Rachfahl Domain in die Powerkurs Domain umzuziehen. Natürlich sollten die Daten, heißt die VMs die bereits auf dem Storage Spaces Direct Hyper-converged Cluster liefen mit umziehen. Das war der Plan und der Wunsch. Ich möchte nun beschreiben wie wir vorgegangen sind um dieses Ziel zu erreichen.

  • ​​Alle VMs werden heruntergefahren und aus dem Failover Cluster entfernt. Dadurch werden die VMs nicht gelöscht, wir löschen lediglich die Hochverfügbarkeit der VMs durch diesen Schritt.


  • ​​Die Cluster Shared Volumes (CSVs)  werden aus dem Failover Cluster entfernt. In unserem Fall sind es drei Cluster Shared Volumes (CSVs) die entfernt werden müssen.

Danach werden die Disks im Failover Cluster Manager "nur noch" als Verfügbarer Speicher angezeigt und können auch aus dem Cluster entfernt werden. 

  • ​Im nächsten Schritt müssen die "Cluster Virtual Disks" aus dem Failover Cluster entfernt werden, das kann über die GUI oder mit folgendem PowerShell Befehl erfolgen. Mit dem ersten PowerShell Befehl zeigen wir uns die Cluster Festplatten an. "Get-ClusterResource | where ResourceType -eq 'Physical Disk' "  und mit dem zweiten PowerShell Befehl löschen wir die Cluster Festplatten. " Get-ClusterResource | where ResourceType -eq 'Physical Disk' | Remove-ClusterResource -Force "  ​


  • ​Mit dem PowerShell Befehl "Disable-ClusterS2D -Confirm:$false -verbose" ​ entfernen wir den SoftwareStorageBus und können im nachfolgenden Schritt das Failover Cluster abbauen. Es bleiben die Daten und die StoragePool Informationen die auf den Festplatten gespeichert sind, erhalten.


  • ​Jetzt müssen wir den Failover-Cluster abbauen. Das geht am schnellsten über die PowerShell. Wir ​lassen uns das Failover-Cluter mit "Get-Cluster" anzeigen, um sicher zu sein, dass wir das richtige Failover-Cluster löschen und mit "Get-Cluster | Remove-Cluster -force" löschen wir das Failover-Cluster.


  • ​Mit dem PowerShell Befehl  "Get-StoragePool" ​bekommen wir den StoragePool angezeigt. Dieser wird  jetzt als  "Read-only" angezeigt und ​ein Blick auf die Festplatten - dies geht mit dem  PowerShell Befehl "Get-PhysicalDisk" ​zeigt, dass wir nur noch Zugriff auf die lokalen Festplatten des Servers haben, die Festplatten des zweiten Clusterkontens werden ​mit "Lost Communication" angezeigt.
 Get-ClusterResource | where ResourceType -eq 'Physical Disk' | Remove-ClusterResource
  • Wir entfernen die Server aus der Rachfahl Domain. Nach dem Reboot und den notwendigen Netzwerkanpassungen können wir die Server in die Powerkurs Domain aufnehmen.


  • ​In den nächsten Schritten können wir das Storage Spaces Direct hyper-converged Cluster wieder aufbauen. ​Dazu führen wir einen Cluster Test durch. Der PowerShell Befehl hierfür lautet: "$ClusterNodes = @('DellS2D1';'DellS2D2')"   "Test-Cluster -node $ClusterNodes -Include "Storage Spaces Direct", "Inventory", "Network", "System Configuration" -Verbose"  Mit dem Parameter "Verbose" bekommen wir eine detailierte Auflistung aller Schritte, die mit dem PowerShell Befehl ausgeführt werden, dies kann bei Fehlern sehr hilfreich sein. In unserem Falle ​sind alle Tests erfolgreich bis auf dem "Software Update Level", dieser wird mit einer Warnung abgeschlossen, damit steht dem Neuaufbau des Failover Clusters nichts mehr im Wege.
$ClusterNodes = @('DellS2D1';'DellS2D2')
  • ​Wir bauen unser Failover Cluster über PowerShell auf. Dazu führen wir folgenden PowerShell Befehl aus: "New-Cluster -Name 'DellS2DCluster' -NoStorage -StaticAddress '​192.168.209.80' -IgnoreNetwork '192.168.207.0/24' , '192.168.206.0/24' -Verbose" ​. Die beiden Netzwerke die wir ignorieren, sind bei uns die SMB Netze.
  • Nachdem wir das Failover-Cluster erfolgreich konfiguriert haben, sehen wir jetzt bereits ​unseren StoragePool und die Cluster Festplatten, können aber noch nicht darauf zugreifen. Daher müssen wir jetzt den SoftwareStorageBus wieder installieren. Wir erinnern uns, den haben wir bei Abbau des Clusters ​über den PowerShell Befehl "Disable-ClusterS2D" deinstalliert. Nun müssen wir​ diesen ​wieder installieren um auf alle Festplatten in beiden Servern zugreifen zu können. Dies ​erfolg​t mit dem PowerShell Befehl: "​Enable-ClusterS2D -Autoconfig $false -Verbose". Den Parameter "Autoconfig" setzen wir auf $false, weil wir in diesem Schritt nur den SoftwareStorageBus installieren möchten, die Konfiguration ist ja noch da. ​


  • ​ In unserem Falle, möchten wir dem StoragePool einen neuen Namen geben, daher führen wir folgenden PowerShell Befehl aus. "Set-StoragePool -newFriendlyName 'S2D on DellS2DCluster' -Friendlyname 'S2D on S2DCluster' " ​
Enable-ClusterS2D -Autoconfig $false -Verbose
  • ​Wir müssen die Cluster Festplatten noch zu in Cluster Shared Volumes umwandeln, das geht mit folgendem PowerShell Befehl "Get-ClusterResource | Where ResourceType -eq 'Physical Disk' | Add-ClusterSharedVolume"​ aber natürlich auch über die GUI im Failover Cluster Manager.
  • Über den Failover Cluster Manager passen wir jetzt noch die Namen der Cluster Shared Volumes an. Wir benennen die CSV genau gleich wie in der vorherigen Installation.
  • ​​Es fehlt jetzt nur noch, dass wir auch den Namen des MountPoints unter C:ClusterStorage.... für das Cluster Shared Volume anpassen. Dieser Name ​sollte wieder genauso heißen, wie in unser vorherigen Umgebung, damit wir unsere VMs ohne Probleme​ starten können. Wir können den Namen des MountPoints über den DateiExplorer anpassen oder ​mit der PowerShell. ​Zuerst fragen wir die CSVs ab  "$CSVs=Get-ClusterSharedVolume"  und im Anschluss benennen wir die MountPoints in einer Schleife so, wie wir die CSVs im Failover Cluster Manager benannt haben. "ForEach ($CSV in $CSVs) { Rename-Item -Path ($CSV.SharedVolumeInfo.FriendlyVolumeName) -NewName $CSV.Name}

Mit den beschriebenen Schritten haben wir unser Storage Spaces Direct Hyper-convered Cluster erfolgreich in die PowerKurs Domain umgezogen. Es versteht sich von selbst, dass ​ vorher immer eine Sicherung der VMs erfolgen sollte und solche Aktionen nur mit äußerster Vorsicht durch zuführen sind. Jeder ist selbst dafür verantwortlich und wir übernehmen keine Gewähr dafür, dass dieser Umzug auch bei ​dir erfolgreich ist.

[…]

Der Beitrag Umzug eines bestehenden Storage Spaces Direct Clusters mit Daten in eine neue Domain erschien zuerst auf Hyper-V Server Blog.

Thorsten Christoffers: Verwaltung von Identitäten im Microsoft Windows Server 2016 (Just Enough Administration)

...

Johannes Schmidt: Beschleunigen der Antwortzeit von WordPress (für Apache)

Google und natürlich auch die Nutzer von Webseiten legen einen immer größeren Fokus auf die Antwortzeit des Webservers. Google bietet hierfür ein spezielles Tool welches eine Webseite auf Verbesserungsmöglichkeiten hin untersucht. Neben den recht einfach via Plugin’s lösbaren Problemen wie z. B. die minifizierung und Zusammenführung von CSS und Javescript Dateien gibt es auch etwas […]

SharePointPodcast: SPPD378 Sommerinterview mit Raphael Köllner


Zum Abschluss der Sommerinterviews 2017 diesmal zu Gast:

378 Raphael KöllnerRaphael Köllner, MVP, Windows Insider und IT-Rechtsexperte

 

Flattr this!

Hans Brender: Live Show #14 with the Microsoft Product Team

LiveShow#14, Collab365.community

If you do not have had time, you may see it on-demand: The Collab 365 Show with Nick Brtattoli, Andy Talbot, 2 memebers of the Microsoft Product Team from Redmond, Stephen Rose and Jason Moore,and me, talking about OneDrive, changes and …one thing they will talk about Ignite (it’s a secuirity issue, it is so important!), so you must see this talk.

Here you may see it on Demand


faq-o-matic: Den LDAP-Domänennamen im Batch verwenden

Namen sind ja so eine Sache in Active Directory. Es gibt so viele davon, dass man kaum auswählen kann, welcher denn nun welcher ist. Das trifft lustigerweise auch auf den Namen der Domäne selbst zu: Nicht nur hat jede Domäne zwei (den alten NetBIOS-Namen und den DNS-Namen), sondern es gibt auch noch eine LDAP-Notation dazu. Diese leitet sich von dem DNS-Namen ab.

Der NetBIOS- und der DNS-Name sind in einem Batch einfach zu verwenden: Windows kennt dafür die Umgebungsvariablen %userdomain% und %userdnsdomain%. Doch was ist, wenn man den LDAP-Namen braucht?

Dann kann man das tatsächlich auch in einem Batch erledigen. Man braucht aber ein wenig Magie dazu. So geht’s:

SET ADLDAP=DC=%userdnsdomain:.=,DC=%

Der gesuchte Wert findet sich dann in der Variablen %ADLDAP%.

Carsten Rachfahl [Hyper-V]: Webinar Hyper-V Deep Dive – RemoteFX and DDA (English)

On the 4th of September, we talk about RemoteFX and Discrete Device Assignment in our Hyper-V Deep Dive Webinar series. If you want the best Graphics performance in your VM that it possible both Features ​are your friends​.

Here is the Agenda:

  • toggle-on
    ​RDP Enhancements in 2016
  • toggle-on
    ​RemoteFX in 2016
  • toggle-on
    ​Discrete Device Assignment
  • toggle-on
    ​Demo
  • toggle-on
    ​Q&A

If you want to participate in the webinar click on the picture or here to register. If you are not sure if you can make it register anyway and you will receive a link to the webinar recording afterwards or visit our Webinar Archive where you find our previous Webinars.

Der Beitrag Webinar Hyper-V Deep Dive – RemoteFX and DDA (English) erschien zuerst auf Hyper-V Server Blog.

Carsten Rachfahl [Hyper-V]: Webinar Hyper-V Deep Dive – Netzwerk

Am 4. September um 11 Uhr ist wieder Webinar Zeit. Diesmal beschäftigen wir uns mit Netzwerk in der Microsoft Virtualisierung. Nicht nur ein ganz wichtiges Thema, wenn es um die Anbindung der VMs an die Aussenwelt geht, sondern auch wenn wir unsere Umgebung z.B. im Cluster performant und Hochverfügbar halten wollen.

Auszug aus dem Inhalte:

  • toggle-on
    ​LBFO and SET Team
  • toggle-on
    ​SMB Netze
  • toggle-on
    ​​RSS und VMQ
  • toggle-on
    Demo
  • toggle-on
    ​eure Fragen

Zum Anmelden klickt Ihr auf das Bild oder hier! Wenn Ihr keine Zeit habt meldet euch trotzdem an dann bekommt Ihr nach dem Webinar eine Mail mit dem Link zur Aufzeichnung!

Der Beitrag Webinar Hyper-V Deep Dive – Netzwerk erschien zuerst auf Hyper-V Server Blog.

SharePointPodcast: SPPD377 Sommerinterview mit Christian Glessner

377 Christian Glessner

Flattr this!

faq-o-matic: Triftiger Grund

Beim Kunden: “Wir können das Backup nicht einrichten. Wir haben zwar den Schlüssel zum Backup-Safe, aber niemand weiß, wo der Safe ist.”

Thorsten Christoffers: Sicherung des Betriebssystems im Microsoft Windows Server 2016

...

Carsten Rachfahl [Hyper-V]: Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 2

Generelle Informationen

Dieser Blogpost ist der zweite von insgesamt fünf Teilen, die in den folgenden Wochen veröffentlicht werden. Grundlage für die Beiträge ist ein Whitepaper, welches ich vor kurzem geschrieben habe und welches exklusiv für Newsletter-Abonnenten ​zur Verfügung steht. Sie können das vollständige Whitepaper als PDF weiterhin erhalten, wenn Sie sich für unseren Newsletter anmelden. Nach kurzer Zeit taucht ein Overlay auf, in dem Sie sich registrieren können.

Alle fünf Teile

​​Im folgenden finden Sie Links zu den fünf Beiträgen. Sollte ein Link noch nicht vorhanden sein, liegt es daran, dass er noch nicht veröffentlicht wurde.​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 1​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 2​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 3​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 4​

Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 5

Installation und Einrichtung des Betriebssystems

Die Einrichtung startet mit einer Grundinstallation von Windows Server 2016 in der Datacenter Edition. Für diesen Beitrag nutze ich die Evaluation Version von Microsoft, die kostenlos verfügbar ist und 180 Tage zu Testzwecken genutzt werden kann.

Nun muss als erstes eine feste IP-Adresse konfiguriert werden, hierfür wird ein Team aus den beiden 1 Gbps Adaptern benötigt. Ich starte mit der Umbenennung der Karten in der Systemsteuerung.

Get-NetAdapter | where InterfaceDescription -eq “Intel(R) 82574L Gigabit Network Connection” | Rename-NetAdapter -NewName “Mgmt#1”

Get-NetAdapter | where InterfaceDescription -eq “Intel(R) 82574L Gigabit Network Connection #2” | Rename-NetAdapter -NewName “Mgmt#2”

Get-NetAdapter | where InterfaceDescription -eq “Intel(R) Ethernet Converged Network Adapter X540-T2” | Rename-NetAdapter -NewName “VM#1”

Get-NetAdapter | where InterfaceDescription -eq “Intel(R) Ethernet Converged Network Adapter X540-T2 #2” | Rename-NetAdapter -NewName “VM#2”

Get-NetAdapter | where InterfaceDescription -eq “Emulex OneConnect OCe14102-NT, NIC” | Rename-NetAdapter -NewName “SMB#1”

Get-NetAdapter | where InterfaceDescription -eq “Emulex OneConnect OCe14102-NT, NIC #2” | Rename-NetAdapter -NewName “SMB#2”

Ein Wort zur Windows Firewall

Wir erleben häufig bei Kunden, dass die Windows Firewall sofort deaktiviert werden soll oder sogar schon ist, begründet wird dieses Verhalten häufig mit "Wir haben eine super Firewall Richtung Internet" oder "Das haben wir schon immer so gemacht" oder mit "die stört eh nur". Falls nicht bereits geschehen, sollten Sie dieses Verhalten dringend überdenken. Deaktivieren Sie die lokale Firewall, steht das System in Ihrem Netzwerk mit heruntergelassener Hose da. Der Betrieb der Firewall ist nicht im Ansatz hinderlich, wenn man sich einmal 10 Minuten damit befasst und die entsprechenden Regeln konfiguriert bzw. konfigurieren lässt, z.B. per GPO. Die meisten Dienste und MS-Applikationen schalten sich selbst in der Windows Firewall frei, spontan fällt mir nur die Hyper-V Replikation ein, die nicht automatisch eingeschaltet wird - hier muss ich allerdings nur eine bzw. zwei vordefinierte Regeln mit einem Klick einschalten​. Bringt jemand (mit oder ohne Absicht) Schadcode in Ihr Netzwerk und dieser versucht sich per Netzwerk zu verteilen, kann er Systeme ohne aktivierte Firewall deutlich leichter übernehmen und attackieren als Systeme mit eingeschalteter Firewall. Lassen Sie die Firewall eingeschaltet.

Die Nutzung von einem Anti-Virus-Agent auf dem Hyper-V Host

​Wenn Sie auf ihrem Hyper-V Host einen Anti-Virus-Agenten betreiben wollen oder müssen, müssen Sie unbedingt darauf achten, dass Sie für den Agenten Ausnahmen definieren. Tun Sie dies nicht, so laufen Sie Gefahr, dass die Anti-Virus-Lösung Prozesse unterbindet und es zu Fehlermeldungen oder Problemen im Betrieb kommt. Microsoft hat im TechNet eine Liste der Pfade, Prozesse oder Programme aufgeführt, die Sie unbedingt ausschließen müssen. Sie finden die Liste hier:

​Recommended antivirus exclusions for Hyper-V hosts

Wichtig: In dem Artikel wird die Dateiendung .bin nicht erwähnt. Diese wird, je nach Version von Hyper-V, ebenfalls genutzt. Setzen Sie Hosts mit Windows Server 2012 R2 oder früher ein, nehmen Sie diese Endung auch mit auf.

​Grundsätzlich stellt sich die Frage, ob ein Hyper-V Host einen Anti-Virus-Agenten haben sollte. Windows Server 2016 bringt den Microsoft-eigenen Defender mit, dieser ist völlig ausreichend. Schon mit vorherigen Versionen von Windows haben wir für uns entschieden, auf einen Virenschutz auf dem Host zu verzichten. Stellen Sie das System nicht direkt ans Internet, nutzen Sie den Host nicht zum Surfen und Herunterladen von Software, Treiber usw. und (wer hätte es gedacht ;)) lassen Sie die Windows Firewall eingeschaltet. Damit fahren Sie schon ziemlich gut, unter anderem auch deshalb, weil auf dem Hyper-V im Management OS nix betrieben werden sollte außer die Virtualisierung, ein Backup und ein Monitoring.

Die Erstellung des Management Teams

Nachdem nun alle Karten den von uns gewünschten Namen haben, können wir mit der Vergabe der IP-Adressen und der Erstellung der benötigten Teams fortfahren. Das Team auf dem Management-Adapter ist sehr wichtig, über dieses Netzwerk erfolgt eine Kommunikation mit der Active Directory, ein Management über ein anderes System und zusätzlich ein Heartbeat der Server untereinander. In dem folgenden Skript setze ich direkt die korrekte IP-Adresse, Subnetzmaske sowie den DNS Server. Ein Standardgateway könnte ebenfalls noch eingetragen werden, in meinem Fall arbeite ich aber ohne.

New-NetLBFOTeam -Name “Mgmt-Team” -TeamNICName “Mgmt-Team” -TeamMembers Mgmt#1, Mgmt#2 -TeamingMode SwitchIndependent -LoadBalancingAlgorithm Dynamic -Confirm:$false

sleep 5

New-NetIPAddress -AddressFamily IPv4 -PrefixLength 23 -InterfaceAlias “Mgmt-Team” -IPAddress 192.168.209.17

Set-DnsClientServerAddress -InterfaceAlias “Mgmt-Team” -ServerAddresses (“192.168.209.2”)

Hinweis: Das sleep in der zweiten Zeile ist notwendig, wenn die Befehle zusammen ausgeführt werden. Dies liegt daran, dass nach der Erstellung von dem Team noch kurz eine Installation des Teaming-Adapters gemacht wird. Dies dauert einen kurzen Moment. Würde Zeile 3 direkt danach ausgeführt kann es vorkommen, dass der Teaming-Adapter noch nicht zur Verfügung steht und daher schlägt die Adressvergabe fehl.

Tipp: Versuchen Sie, in den unterschiedlichen Netzwerken die gleiche Endadresse zu benutzen. Dies macht ein Management deutlich einfacher und vereinfacht die Verwaltung und die "Erkennung" von einem Server bzw. einer Adresse.

Die Erstellung des Teams für die Hyper-V Switch

​Um eine redundante und hochverfügbare Anbindung der VMs zu ermöglichen, benötigen wir noch ein weiteres Team für die Hyper-V Switch, die wir im späteren Verlauf erzeugen. Anders als bei dem Management-Team setzen wir keine IP-Adresse auf diesen Team-Adapter, er wird später ausschließlich für die VMs genutzt.

New-NetLBFOTeam -Name “VM-Team” -TeamNICName “VM-Team” -TeamMembers VM#1, VM#2 -TeamingMode SwitchIndependent -LoadBalancingAlgorithm Dynamic -Confirm:$false

Aufnahme in die Active Directory und Update der Systeme

​Nachdem wir nun Adressen vergeben haben, können wir die Server in die Domäne "powerkurs.local" aufnehmen und einen neuen Namen konfigurieren. Nach der Aufnahme müssen wir die Server einmal durchstarten, danach können wir mit der Installation der Updates beginnen.

Tipp: Bekommen Sie bei der Änderung des Namens oder bei der Aufnahme des Systems in die Active Directory einen "allgemeinen Fehler" bzw. einen „generic error“, so müssen Sie das System einmal durchbooten. Gerade bei der "RTM"-Version kommt mir dieser Fehler sehr häufig entgegen, gelöst wird es dann durch einen erneuten Reboot des Systems. Danach ist ein Umbenennen oder ein Domänenbeitritt problemlos möglich.

Der PowerShell-Befehl zur Aufnahme des Systems in die Active Directory sieht wie folgt aus:

Add-Computer -Domain “powerkurs.local” -NewName “Hyperv17” -Credential powerkursadmin17 -Restart

Nun beginnt die Installation der Updates, dies kann teilweise mehr als eine Stunde dauern, abhängig von der verfügbaren Bandbreite und der Leistung der Server.

Nach einem Update des Windows Betriebssystems selbst müssen häufig noch weitere Komponenten geupdatet werden, unter anderem Netzwerkkarten-Treiber, Netzwerkkarten-Firmware, Controller, BIOS und noch vieles mehr. Machen Sie sich an dieser Stelle die Arbeit und installieren Sie alle verfügbaren Treiber, Updates und sonstiges, wer weiß wann Sie nach einer Inbetriebnahme noch einmal die Gelegenheit dazu haben.

​Ich muss auf unseren Systemen noch die Emulex-Treiber sowie den Manager zur Administration der Karten installieren, dies geht per PowerShell in einer "silent installation" ohne eine Abfrage der Einstellungen.

Start-Process -FilePath “C:SystemEmulexbrcmdrvr-nic-11.2.1153.13-4.exe” -ArgumentList “/q1” -Wait

Start-Process -FilePath “C:SystemEmulexbrcmOneInstall-Setup-11.2.1153.25.exe” -ArgumentList “/q1” -Wait

Nach der Installation ist der Manager auf dem System und in den Eigenschaften der Emulex-Karten sind einige Optionen hinzugekommen:

Die Konfiguration der SMB Netzwerkkarten

​Die beiden verbleibenden Netzwerkkarten mit den Namen SMB#1 und SMB#2 müssen vor einer Überprüfung durch den Failovercluster-Manager noch konfiguriert werden. In meinem Fall benötige ich ein VLAN auf den beiden Karten und eine IP-Adresse. Die End-Adresse der Karten ist jeweils die gleiche (z.B. 17 beim Hyperv17), nur die logischen Subnetze ändern sich (Ich nutze in meinem Fall 192.168.207.0/24 und 192.168.206.0/24).

Set-NetAdapter -Name SMB#1 -VlanID 812 -Confirm:$false

Set-NetAdapter -Name SMB#2 -VlanID 812 -Confirm:$false

Set-NetIPInterface -InterfaceAlias “SMB#1” -dhcp Disabled

New-NetIPAddress -AddressFamily IPv4 -PrefixLength 24 -InterfaceAlias “SMB#1” -IPAddress 192.168.207.17

Set-NetIPInterface -InterfaceAlias “SMB#2” -dhcp Disabled

New-NetIPAddress -AddressFamily IPv4 -PrefixLength 24 -InterfaceAlias “SMB#2” -IPAddress 192.168.206.17

​Die Bindungen und Einstellungen der Karten sehen wie folgt aus:

Hinweis zu IPv6

Wenn Sie sich bei dem obigen Screenshot fragen, warum IPv6 nicht deaktiviert wurde: Es tut nicht weh :) Wir hatten noch keinerlei Probleme bei aktiviertem IPv6, laut Microsoft sollte es auch eingeschaltet bleiben. Wenn Sie unbedingt möchten können Sie hier den Haken entfernen, was aber gar nicht geht ist eine Deaktivierung per Registry, davon sollten Sie unbedingt Abstand nehmen!

Im nächsten Teil der Reihe geht es um die Einrichtung von RDMA (RoCE), die Installation der benötigten Rollen und Features sowie die Einrichtung des Failover Clusters.

Der Beitrag Installation und Konfiguration von einem Hyper-V Failover Cluster mit Windows Server 2016 – Teil 2 erschien zuerst auf Hyper-V Server Blog.

faq-o-matic: Certification Authority Authorization Records (CAA)

Im Rahmen einer Überprüfung einer Serververöffentlichung mittels des Qualys SSL Server Test ist dem einen oder anderen vielleicht schon der Punkt CAA Record aufgefallen.

clip_image001

Mittels des weiterführenden Links können weitere Infos über diesen neuen Resource Record abgerufen werden. Wer es ganz genau wissen will, kann sich das entsprechende RFC 6844 durchlesen (https://tools.ietf.org/rfc/rfc6844.txt). Eine deutschsprachige gut verständliche Zusammenfassung gibt es hier: https://gnuheidix.de/archives/64-DNS-CAA-Resource-Record.html

„Der CAA RR ist im RFC6844 beschrieben und definiert, dass man im DNS hinterlegen kann, welche CA einem ein Zertifikat ausstellen darf …“

Unter https://sslmate.com/labs/caa/ befindet sich ein Syntax-Generator, welcher für die Kombination der eigenen Domain und diverser Zertifizierungsstellen die entsprechenden CAA Ressource Records erstellt. Das Ergebnis sieht dann etwa folgendermaßen aus:

clip_image003

So weit, so einfach. Interessant wird es, wenn man versucht, diese Einträge in einen Windows Server 2016 DNS zu bekommen.

Windows 2016 unterstützt mittels RFC 3597 Syntax das Anlegen unbekannter Einträge (unknown records).
https://docs.microsoft.com/en-us/windows-server/networking/dns/what-s-new-in-dns-server

„Unknown record support

An „Unknown Record“ is an RR whose RDATA format is not known to the DNS server. The newly added support for unknown record (RFC 3597) types means that you can add the unsupported record types into the Windows DNS server zones in the binary on-wire format. The windows caching resolver already has the ability to process unknown record types. Windows DNS server will not do any record specific processing for the unknown records, but will send it back in responses if queries are received for it.“

Damit hat sich aber auch schon mehr oder weniger die komplette Dokumentation dieses Features erledigt. Es ist naheliegend, dass sich das Eintragen solcher Resource Records mittels Powershell erledigen lässt. Da sich offenbar kaum jemand einen DNS Server mit Windows für die public DNS Zone „hält“, findet sich aber auch nach längerer Recherche leider kein Beispiel oder Ähnliches. Deswegen hier kurz die Powershell-Syntax, sollte man selbst vor diesem Problem stehen.

Add-DnsServerResourceRecord -Name faq-o-matic.net -RecordData 0005697373756564696769636572742E636F6D -Type 257 

Ich habe keinen Weg gefunden, diese Art Einträge mittels der DNS-Konsole anzulegen, aber wenn sie mittels Powershell oder Editieren des Zonenfiles erstmal erzeugt sind, sieht das in der GUI folgendermaßen aus.

clip_image005

clip_image006

Das Ergebnis sieht dann so aus wie auf dem folgenden Screenshot.

clip_image007

Wer allerdings keinen eigenen DNS-Server betreibt, muss wohl noch eine Weile warten, bis die ganzen DNS-Hoster eine entsprechende Funktion direkt in der GUI ihrer Adminoberfläche oder zumindest mittels Support anbieten. Nachfolgend eine kleine Aufstellung meiner Nachfragen und Recherchen, die natürlich keinen Anspruch auf Vollständigkeit erheben. Sollten Ergänzungen oder Korrekturen benötigt werden, bitte ich um eine kurze Benachrichtigung über https://www.faq-o-matic.net/impressum/

Es bleibt also abzuwarten, wann und welche Provider mitziehen. Ist wohl ähnlich wie beim SPF Record, der auch relativ lange benötigte, bis man ihn endlich setzen konnte.

SharePointPodcast: SPPD376 Sommerinterview mit Nicki Borell

Im Gespräch mit Nicki Borell376 Nicki Borell

Flattr this!

Dieter Rauscher: Microsoft Ignite 2017 Session Builder

Seit dieser Woche sind die einzelnen Vorträge der diesjährigen Microsoft Ignite Konferenz (25.-29. September in Orlando, Florida) im Session Builder Tool verfügbar.

Damit könnt ihr loslegen, euch einen Vorlesungsplan zusammenstellen.

Session Schedule Screenshot

Aktuell sind 1100 Vorträge gelistet.

Ich kann nur sehr empfehlen, dieses Tool zu nutzen, damit ihr den Überblick behaltet und wisst, wann ihr wo sein müsst um den jeweiligen Vortrag eurer Wahl anzuschauen.

Wenn ihr anschließend auf “My Conference” geht, könnt ihr die Sessions zB in Outlook exportieren.

image

Zum Session Builder geht es hier.

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Mobility

Thorsten Christoffers: Sicherheit im Bereich Virtualisierung im Microsoft Windows Server 2016 (Hyper-V Container & Software Defined Networking)

...

Don't contact us via this (fleischfalle@alphasierrapapa.com) email address.