Mit Desktop-Betriebssystemen virtualisieren
In kleinen Unternehmen werden manche Server, wie zusätzliche Domänencontroller, mangels Hardware oft auf Arbeitsstationen mit kostenloser Virtualisierungssoftware bereitgestellt. Das funktioniert zwar grundsätzlich, allerdings sind Arbeitsstationen nicht vor Ausfall geschützt und auch nicht für den Dauerbetrieb geeignet. Viren und andere Angreifer auf Arbeitsstationen können auch Server kompromittieren. Virtualisierungsanwendungen für Arbeitsstationen sind außerdem nicht für Serverdienste ausgelegt. Setzen Sie in diesem Fall besser auf einen günstigen Server mit passender Hardware.
Benötigen Sie mehrere Server, haben aber nur einen physischen Server, sollten Sie die Virtualisierung der Serverdienste prüfen. Hier gibt es auch professionelle, aber kostenlose Lösungen wir Microsoft Hyper-V Server 2012 R2, VMware ESXi oder Citrix XenServer 6.5.
Server ohne Virenschutz betreiben
Auch wenn auf einem Server keine Daten von Anwendern gespeichert werden, sollten Sie auf allen Servern im Netzwerk einen Virenschutz installieren. Ungeschützte Server können von Viren befallen werden und das Netzwerk kompromittieren.
Auch auf Domänencontrollern sollten Sie Virenscanner installieren, da bei Ausfall ansonsten die Gefahr besteht, dass das komplette Netzwerk nicht mehr zur Verfügung steht. Es gibt keinerlei Gründe auch unwichtige Server ohne Virenschutz zu betreiben.
Dynamischen Arbeitsspeicher und Zeitsynchronisierung bei virtuellen Servern nutzen
Die Verwendung des dynamischen Arbeitsspeichers wird nicht von allen Serverdiensten unterstützt, die auch die Virtualisierung unterstützen. Microsoft rät zum Beispiel bei der Virtualisierung von Exchange Server 2013 eindeutig von der Verwendung des dynamischen Arbeitsspeichers ab. Verwenden Sie diese Technologie nur für Serverdienste, welche diese Funktion auch unterstützen.
In den Integrationsdiensten der verschiedenen Virtualisierungslösungen, wird die Uhrzeit mit dem Virtualisierungshosts synchronisiert. Das ist in Active Directory-Umgebungen nicht empfohlen. Hier synchronisieren die Mitgliedsserver ihre Zeit mit den Domänencontrollern und die Domänencontroller Ihre Zeit jeweils mit dem übergeordneten Domänencontroller mit der PDC-Master-Rolle. Verwenden Sie zusätzlich noch die Synchronisierung mit den Integrationsdiensten kann es zu Inkonsistenzen kommen.
- Server-Manager-Autostart ausschalten
Standardmäßig startet der Server-Manager bei der jeder Benutzeranmeldung automatisch. Diese Konfiguration wird im Benutzerprofil gespeichert. Bevor Sie also den Autostart ausschalten, sollten Sie den Rechner erst in die Domäne aufnehmen, da sich dadurch noch einmal das Benutzerprofil ändert.<br> Sie finden die Einstellung über <i>Verwalten\Server-Manager-Eigenschaften.</i> - Server über Windows-Update aktualisieren/Windows Server 2012 R2 Update 1
Nach der Installation von Windows Server 2012 R2 sollten Sie alle Updates, vor allem das Windows Server 2012 R2 Update 1 installieren. - Server über Windows-Update aktualisieren/Windows Server 2012 R2 Update 1
Durch das Windows Server 2012 R2 Update 1 wird die Navigation auf der Startseite durch ein besseres Kontextmenü optimiert. - Leistungsindikatoren starten
Windows Server 2012 R2 kann über den Server-Manager die anderen Server im Netzwerk überwachen und deren Online-Status anzeigen. Dazu müssen Sie nach der Installation aber über das Kontextmenü des Servers in der Mitte des Servers-Manager über <i>Alle Server</i> die Leistungsindikatoren zur Überwachung manuell starten. Erst dann erkennen andere Server, dass der aktuelle Server funktioniert. - Lokale Einstellungen im Server-Manager überprüfen
Klicken Sie im Server-Manager auf Lokaler Server, können Sie im mittleren Bereich zahlreiche Einstellungen für den Server vornehmen. Hier aktivieren Sie zum Beispiel die verstärkte Sicherheit für den Internet Explorer, konfigurieren Namen und Domäne, aktivieren Netzwerk-Teams und vieles mehr. - Fehler im Server-Manager und der Ereignisanzeigen überprüfen
Nach der Installation finden Sie im Server-Manager das Benachrichtigungscenter rechts oben. Hier sind Fehler zu sehen, sowie Hinweise, wie Sie die Fehler beheben können. Sehen Sie sich die Fehler an und lösen Sie diese. Rufen Sie noch die Ereignisanzeige über die Startseite auf und lassen Sie hier nach Fehler filtern. Beheben Sie auch hier die Fehler. - Server mit gleichen Serverrollen im Server-Manager hinzufügen
Über <i>Verwalten\Server hinzufügen</i>, können Sie andere Server aus der Domäne zum aktuellen Server hinzufügen. Hier sollten Sie zumindest die Server mit den gleichen Serverrollen, zum Beispiel Hyper-V-Hosts hinzufügen. Denn so haben Sie im Server-Manager immer einen Überblick zu den Fehlern und Problemen auf anderen Servern mit den gleichen Diensten. Davon wird auch der lokale Server beeinflusst.<br> Klicken Sie danach auf die Serverrolle und überprüfen Sie, ob mit den Servern alles in Ordnung ist, oder Aufgaben anstehen. - Server im Netzwerk im Überblick
Im Server-Manager haben Sie eine Serverrolle für alle Server im Netzwerk im Überblick. - Zertifikate und Zertifizierungsstellen überprüfen
Verwenden Sie Zertifikate im Netzwerk und arbeiten Sie mit den Active Directory-Zertifikatdiensten, sollten Sie überprüfen ob das Zertifikat der Zertifizierungsstelle in den internen Speicher eingetragen wurde. Nur so ist sichergestellt, dass die Zertifikate und damit viele Dienste auf dem Server funktionieren. Die Active Directory-Zertifikatdienste werden durch eine Gruppenrichtlinie in den Zertifikatespeicher der lokalen Server eingetragen. <br> Rufen Sie dazu die Verwaltungskonsole <i>certlm.msc</i> auf und navigieren Sie dann zu <i>Eigene Zertifikate\Zertifikate</i>. Hier sollten automatisch ausgestellte Zertifikate erscheinen. Das Zertifikat der Zertifizierungsstelle finden Sie über <i>Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate.</i> - Namensauflösung testen
Bevor Sie einen Server produktiv verwenden, sollten Sie erst überprüfen, ob er sich selbst in der Active Directory-DNS-Zone aufgenommen hat und ob die Namensauflösung zu den Domänencontrollern und den anderen Servern im Netzwerk funktioniert. Am schnellsten testen Sie das mit nslookup und Ping. Prüfen Sie die Verbindung zu allen wichtigen Servern. <br> Arbeiten Sie auch mit Reverse-DNS-Zonen, testen Sie auch die Namensauflösung von IP-Adressen nach Rechnernamen, nicht nur die Auflösung von Rechnernamen nach IP-Adresse.
Fernwartungssoftware automatisiert und ungesichert starten lassen
Oft werden Fernwartungstools ungesichert und automatisiert auf den Servern gestartet. Das birgt die Gefahr, dass sich unbefugte Administratoren mit den Servern verbinden können.
Foto: Thomas Joos
Sie sollten bei der Verwendung von Fernwartungssoftware auf jeden Fall auf ausreichende Authentifizierung setzen. Außerdem kann es sinnvoll sein interne Firewalls einzusetzen, die nur den Zugriff von bestimmten Rechnern auf den Server gestattet.
Selbst wenn der Server noch so gesichert betrieben wird und im Serverraum untergebracht ist, besteht die Gefahr, dass unbefugte Anwender Zugriff auf den Server nehmen. Das lässt sich nur durch Verwendung sicherer Fernwartungssoftware für Unternehmen verhindern.
Keine Ausfallpläne erstellen oder testen
Sie sollten sich nicht auf die Hardware verlassen oder auf die schnelle Wiederherstellung eines Servers durch die Datensicherung. Sie sollten für jeden Server im Netzwerk einen genauen Plan haben, wie sich dieser schnell wieder in Betrieb setzen lässt, wenn er ausfällt. Liegt ein Ausfallplan vor, sollten Sie diesen testen.
Fällt ein Server aus, und die Wiederherstellung funktioniert ist, kann es im Unternehmen zu unerwünschten Ausfällen kommen. Daher sollten sich alle Administratoren ihre Server ansehen, Ausfallpläne erstellen und Wiederherstellungen auch testen. (mje)
- Windows Server: Befehle, die ein Admin kennen sollte
Bei der Arbeit übers Netzwerk oder über langsame WAN-Verbindungen sind PowerShell-Befehle unerlässliche Helfer. Wir haben für Sie PowerShell- und Befehlszeilen-Tools zusammengestellt. - Windows-Praxis
Mit dcdiag überprüfen Sie jeden Domänencontroller zuverlässig. - Windows-Praxis
Mit Nltest überprüfen Sie die Active-Directory-Standorte und Domänencontroller. - Windows-Praxis
Geöffnete Dateien zeigen Sie in der Befehlszeile mit verschiedenen Befehlen an. - Windows-Praxis
Die Aktivierung von Windows 8 und Windows Server 2012 können Sie auch in der Befehlszeile vornehmen. - Windows-Praxis
Active Directory lässt sich in Windows Server 2012 auch in der PowerShell verwalten. - Windows-Praxis
Hyper-V 3.0 in Windows Server 2012 verwalten Sie vor allem in der PowerShell sehr effizient.