Tipps und Tricks

10 Dinge, die Sie auf und mit Windows Server 2012 R2 nicht tun sollten

Datum:16.09.2015
Autor(en):Thomas Joos

Betreiben Sie im Netzwerk Server mit Windows Server 2012 R2¹ für verschiedene Dienste, wie Active Directory-Domänencontroller² oder andere Funktionen, müssen einige Punkte beachtet werden. Im Folgenden listen wir zehn Punkte, die Sie keinesfalls auf Servern machen sollten, auch nicht auf Vorgängerversionen

Auf Domänencontrollern andere Serverdienste installieren

Domänencontroller sollten nur diesen Dienst bereitstellen. Vermeiden Sie die Installation weiterer Dienste, vor allem es um Sicherheitsdienste, wie Active-Directory-Zertifikatdienste geht. Auch zusätzliche Serveranwendungen wie Exchange Server 2013 sollten Sie nicht auf Domänencontrollern installieren. Auch wenn viele Administratoren davon ausgehen, dass ein Domänencontroller, außer der morgendlichen Anmeldung der Benutzer, nicht viel zu tun hat, kann sich die Leistung in der Domäne deutlich reduzieren, wenn der Server belastet wird.

Müssen Sie den Server neu installieren, fallen auch die anderen Serverdienste aus, und müssen auch neu installiert werden. Bei den Active-Directory-Zertifikatdiensten ist das besonders ärgerlich, weil dann auch alle Zertifikate ihre Gültigkeit verlieren. Außerdem sind auf den Domänencontrollern auch die Benutzer der Domäne gespeichert, da sich hier die AD-Datenbank³ befindet. Auf solchen Servern gibt es keine lokalen Administratoren. Alle Administratoren dieser Server sind gleichzeitig auch Administratoren der Domäne und aller anderen Server.

Freeware-Tools für Arbeitsstationen installieren

Vor allem in kleinen Unternehmen werden auch auf Servern Tools und Sicherheitsanwendungen für Arbeitsstationen installiert. Zwar laufen die meisten Anwendungen für Windows 8/8.1 auch auf Servern mit Windows Server 2012 R2, allerdings kann es bei der Installation auf dem Serverbetriebssystem zu unvorhersehbaren Problemen kommen. Vor allem Tools zum Scannen nach Viren oder Systemoptimierungs-Tools sollten keinesfalls auch auf Servern installiert werden. Tools für ältere Serverversionen müssen außerdem nicht unbedingt auch auf Servern mit Windows Server 2012 R2 laufen.

Das gilt auch für Windows-Server-2012-R2-Tools auf Servern mit Windows Server 2016. Hier besteht Absturzgefahr oder sogar Datenverlust. Verwenden Sie nur Tools, die vom Entwickler auch für Windows Server 2012 R2 freigegeben wurden und keinesfalls Tools, die für Arbeitsstationen entwickelt wurden, das gilt in erster Linie auch für Virenscanner. Hier müssen Sie in jedem Fall auf Versionen für Windows Server 2012 R2 setzen.

Snaphots von nicht unterstützen Serverdiensten erstellen

Virtualisieren Sie Domänencontroller, Exchange, SharePoint oder SQL und andere Serverdienste mit Datenbanken, sollten Sie beim Erstellen von Snapshots sehr vorsichtig vorgehen. Bei der Erstellung eines Snapshots wird auch ein Snapshot der Datenbank erstellt. Setzen Sie den Snapshot zurück, kann es zu Inkonsistenzen von Datenbanken kommen. Hier sollten Sie vorher überprüfen, ob die Anwendung die Erstellung von Snapshots unterstützt.

Ab Windows Server 2016 wird das Problem entschärft, da hier bei der Erstellung von Snapshots auch das Gastbetriebssystem informiert und verwendet wird. Das ist bis Windows Server 2012 R2 allerdings nicht der Fall.

[Hinweis auf Bildergalerie: Bildergalerie:] ^gal1

Direkte Internetverbindung herstellen

Sie sollten keinesfalls einen Server direkt mit dem Internet verbinden. Vor allem wenn es um die Veröffentlichung von Serverdiensten wie Exchange, SharePoint, IIS, Remotedesktop-Dienste oder andere Funktionen geht, sollten Sie auf zusätzliche Sicherheitsinfrastruktur setzen. Natürlich können Sie auf einem Server direkt das Standard-Gateway pflegen, damit er ohne Umweg Daten und Patches aus dem Internet herunterladen kann. Besser ist für interne Server aber das Verwenden von Windows Server Update Services (WSUS). Dieser Serverdienst sollte seine Updates wiederum am besten über einen Proxy-Server bei Microsoft herunterladen.

Serverdienste sollten Sie nur über einen Reverse-Proxy oder eine dafür optimierte Firewall im Internet bereitstellen. Ansonsten besteht die Gefahr, dass der Server angegriffen wird und Daten verloren gehen. Das Internet ist eine der schlimmsten Gefahren für interne Server.

Nicht zertifizierte Treiber und Druckersoftware installieren

Installieren Sie auf einem Server keinesfalls nicht zertifizierte Treiber und Druckersoftware. Handelt es sich um einen Druckserver, kommen Sie zwar kaum um die Installation von Druckertreiber herum, diese sollten aber so eingeschränkt wie möglich installiert werden. Außerdem sollten Sie vor der Installation neuer Druckertreiber eine vollständige Sicherung des Servers durchführen, da die Installation von Druckertreiber auch noch moderne Server wie Windows Server 2012 R2 zum Absturz bringen können.

Natürlich sollten Sie auch keine Treiber für Windows 8 oder 8.1 auf Servern mit Windows Server 2012 R2 installieren, falls Sie keinen Treiber finden können. Setzen Sie in diesem Fall besser auf ein anderes Gerät. Bei nicht zertifizierten Treiber kann der Server nicht nur bei der Installation abstürzen, sondern generell instabil laufen.

Mit Desktop-Betriebssystemen virtualisieren

In kleinen Unternehmen werden manche Server, wie zusätzliche Domänencontroller, mangels Hardware oft auf Arbeitsstationen mit kostenloser Virtualisierungssoftware bereitgestellt. Das funktioniert zwar grundsätzlich, allerdings sind Arbeitsstationen nicht vor Ausfall geschützt und auch nicht für den Dauerbetrieb geeignet. Viren und andere Angreifer auf Arbeitsstationen können auch Server kompromittieren. Virtualisierungsanwendungen für Arbeitsstationen sind außerdem nicht für Serverdienste ausgelegt. Setzen Sie in diesem Fall besser auf einen günstigen Server mit passender Hardware.

Benötigen Sie mehrere Server, haben aber nur einen physischen Server, sollten Sie die Virtualisierung der Serverdienste prüfen. Hier gibt es auch professionelle, aber kostenlose Lösungen wir Microsoft Hyper-V Server 2012 R2, VMware ESXi oder Citrix XenServer 6.5.

Server ohne Virenschutz betreiben

Auch wenn auf einem Server keine Daten von Anwendern gespeichert werden, sollten Sie auf allen Servern im Netzwerk einen Virenschutz installieren. Ungeschützte Server können von Viren befallen werden und das Netzwerk kompromittieren.

Auch auf Domänencontrollern sollten Sie Virenscanner installieren, da bei Ausfall ansonsten die Gefahr besteht, dass das komplette Netzwerk nicht mehr zur Verfügung steht. Es gibt keinerlei Gründe auch unwichtige Server ohne Virenschutz zu betreiben.

Dynamischen Arbeitsspeicher und Zeitsynchronisierung bei virtuellen Servern nutzen

Die Verwendung des dynamischen Arbeitsspeichers wird nicht von allen Serverdiensten unterstützt, die auch die Virtualisierung unterstützen. Microsoft rät zum Beispiel bei der Virtualisierung von Exchange Server 2013 eindeutig von der Verwendung des dynamischen Arbeitsspeichers ab. Verwenden Sie diese Technologie nur für Serverdienste, welche diese Funktion auch unterstützen.

In den Integrationsdiensten der verschiedenen Virtualisierungslösungen, wird die Uhrzeit mit dem Virtualisierungshosts synchronisiert. Das ist in Active Directory-Umgebungen nicht empfohlen. Hier synchronisieren die Mitgliedsserver ihre Zeit mit den Domänencontrollern und die Domänencontroller Ihre Zeit jeweils mit dem übergeordneten Domänencontroller mit der PDC-Master-Rolle. Verwenden Sie zusätzlich noch die Synchronisierung mit den Integrationsdiensten kann es zu Inkonsistenzen kommen.

[Hinweis auf Bildergalerie: 10 Dinge, die Sie nach der Installation von Windows Server 2012 R2 konfigurieren müssen -] ^gal2

Fernwartungssoftware automatisiert und ungesichert starten lassen

Oft werden Fernwartungstools ungesichert und automatisiert auf den Servern gestartet. Das birgt die Gefahr, dass sich unbefugte Administratoren mit den Servern verbinden können.

Fernwartungssoftware für Server sollte besonders abgesichert werden
Foto: Thomas Joos

Sie sollten bei der Verwendung von Fernwartungssoftware auf jeden Fall auf ausreichende Authentifizierung setzen. Außerdem kann es sinnvoll sein interne Firewalls einzusetzen, die nur den Zugriff von bestimmten Rechnern auf den Server gestattet.

Selbst wenn der Server noch so gesichert betrieben wird und im Serverraum untergebracht ist, besteht die Gefahr, dass unbefugte Anwender Zugriff auf den Server nehmen. Das lässt sich nur durch Verwendung sicherer Fernwartungssoftware für Unternehmen verhindern.

Keine Ausfallpläne erstellen oder testen

Sie sollten sich nicht auf die Hardware verlassen oder auf die schnelle Wiederherstellung eines Servers durch die Datensicherung. Sie sollten für jeden Server im Netzwerk einen genauen Plan haben, wie sich dieser schnell wieder in Betrieb setzen lässt, wenn er ausfällt. Liegt ein Ausfallplan vor, sollten Sie diesen testen.

Fällt ein Server aus, und die Wiederherstellung funktioniert ist, kann es im Unternehmen zu unerwünschten Ausfällen kommen. Daher sollten sich alle Administratoren ihre Server ansehen, Ausfallpläne erstellen und Wiederherstellungen auch testen. (mje)

[Hinweis auf Bildergalerie: Windows Server: Befehle, die ein Admin kennen sollte -] ^gal3

Links im Artikel:

Bildergalerien im Artikel:

Auf Domänencontrollern andere Serverdienste installieren
Auf Domänencontroller sollten keine anderen Dienste installiert werden. Ansonsten kann es bei der Wiederherstellung oder dem Betrieb zu Problemen kommen.
Foto: Thomas Joos

Snaphots von nicht unterstützen Serverdiensten erstellen
Snapshots sind nicht bei allen virtualisierten Serverdiensten eine gute Idee und können Datenbanken zerstören.
Foto: Thomas Joos

Snaphots von nicht unterstützen Serverdiensten erstellen
Ab Windows Server 2016 werden Snapshots auch für Datenbank-Server problemlos möglich sein, zumindest für die meisten.
Foto: Thomas Joos

Dynamischen Arbeitsspeicher und Zeitsynchronisierung bei virtuellen Servern nutzen
Der dynamische Arbeitsspeicher sollte nicht für jeden Serverdienst verwendet werden. Exchange Server 2013 unterstützt diese Virtualisierungsfunktion zum Beispiel nicht.
Foto: Thomas Joos

Fernwartungs-Software automatisiert und ungesichert starten lassen
Fernwartungs-Software für Server sollte besonders abgesichert werden.
Foto: Thomas Joos

Server-Manager-Autostart ausschalten
Standardmäßig startet der Server-Manager bei der jeder Benutzeranmeldung automatisch. Diese Konfiguration wird im Benutzerprofil gespeichert. Bevor Sie also den Autostart ausschalten, sollten Sie den Rechner erst in die Domäne aufnehmen, da sich dadurch noch einmal das Benutzerprofil ändert.
Sie finden die Einstellung über Verwalten\Server-Manager-Eigenschaften.
Foto: Thomas Joos

Server über Windows-Update aktualisieren/Windows Server 2012 R2 Update 1
Nach der Installation von Windows Server 2012 R2 sollten Sie alle Updates, vor allem das Windows Server 2012 R2 Update 1 installieren.
Foto: Thomas Joos

Server über Windows-Update aktualisieren/Windows Server 2012 R2 Update 1
Durch das Windows Server 2012 R2 Update 1 wird die Navigation auf der Startseite durch ein besseres Kontextmenü optimiert.
Foto: Thomas Joos

Leistungsindikatoren starten
Windows Server 2012 R2 kann über den Server-Manager die anderen Server im Netzwerk überwachen und deren Online-Status anzeigen. Dazu müssen Sie nach der Installation aber über das Kontextmenü des Servers in der Mitte des Servers-Manager über Alle Server die Leistungsindikatoren zur Überwachung manuell starten. Erst dann erkennen andere Server, dass der aktuelle Server funktioniert.
Foto: Thomas Joos

Lokale Einstellungen im Server-Manager überprüfen
Klicken Sie im Server-Manager auf Lokaler Server, können Sie im mittleren Bereich zahlreiche Einstellungen für den Server vornehmen. Hier aktivieren Sie zum Beispiel die verstärkte Sicherheit für den Internet Explorer, konfigurieren Namen und Domäne, aktivieren Netzwerk-Teams und vieles mehr.
Foto: Thomas Joos

Fehler im Server-Manager und der Ereignisanzeigen überprüfen
Nach der Installation finden Sie im Server-Manager das Benachrichtigungscenter rechts oben. Hier sind Fehler zu sehen, sowie Hinweise, wie Sie die Fehler beheben können. Sehen Sie sich die Fehler an und lösen Sie diese. Rufen Sie noch die Ereignisanzeige über die Startseite auf und lassen Sie hier nach Fehler filtern. Beheben Sie auch hier die Fehler.
Foto: Thomas Joos

Server mit gleichen Serverrollen im Server-Manager hinzufügen
Über Verwalten\Server hinzufügen, können Sie andere Server aus der Domäne zum aktuellen Server hinzufügen. Hier sollten Sie zumindest die Server mit den gleichen Serverrollen, zum Beispiel Hyper-V-Hosts hinzufügen. Denn so haben Sie im Server-Manager immer einen Überblick zu den Fehlern und Problemen auf anderen Servern mit den gleichen Diensten. Davon wird auch der lokale Server beeinflusst.
Klicken Sie danach auf die Serverrolle und überprüfen Sie, ob mit den Servern alles in Ordnung ist, oder Aufgaben anstehen.
Foto: Thomas Joos

Server im Netzwerk im Überblick
Im Server-Manager haben Sie eine Serverrolle für alle Server im Netzwerk im Überblick.
Foto: Thomas Joos

Zertifikate und Zertifizierungsstellen überprüfen
Verwenden Sie Zertifikate im Netzwerk und arbeiten Sie mit den Active Directory-Zertifikatdiensten, sollten Sie überprüfen ob das Zertifikat der Zertifizierungsstelle in den internen Speicher eingetragen wurde. Nur so ist sichergestellt, dass die Zertifikate und damit viele Dienste auf dem Server funktionieren. Die Active Directory-Zertifikatdienste werden durch eine Gruppenrichtlinie in den Zertifikatespeicher der lokalen Server eingetragen.
Rufen Sie dazu die Verwaltungskonsole certlm.msc auf und navigieren Sie dann zu Eigene Zertifikate\Zertifikate. Hier sollten automatisch ausgestellte Zertifikate erscheinen. Das Zertifikat der Zertifizierungsstelle finden Sie über Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate.
Foto: Thomas Joos

Namensauflösung testen
Bevor Sie einen Server produktiv verwenden, sollten Sie erst überprüfen, ob er sich selbst in der Active Directory-DNS-Zone aufgenommen hat und ob die Namensauflösung zu den Domänencontrollern und den anderen Servern im Netzwerk funktioniert. Am schnellsten testen Sie das mit nslookup und Ping. Prüfen Sie die Verbindung zu allen wichtigen Servern.
Arbeiten Sie auch mit Reverse-DNS-Zonen, testen Sie auch die Namensauflösung von IP-Adressen nach Rechnernamen, nicht nur die Auflösung von Rechnernamen nach IP-Adresse.
Foto: Thomas Joos

Windows Server: Befehle, die ein Admin kennen sollte
Bei der Arbeit übers Netzwerk oder über langsame WAN-Verbindungen sind PowerShell-Befehle unerlässliche Helfer. Wir haben für Sie PowerShell- und Befehlszeilen-Tools zusammengestellt.
Foto: fotolia.com/Cybrain

Windows-Praxis
Mit dcdiag überprüfen Sie jeden Domänencontroller zuverlässig.

Windows-Praxis
Mit Nltest überprüfen Sie die Active-Directory-Standorte und Domänencontroller.

Windows-Praxis
Geöffnete Dateien zeigen Sie in der Befehlszeile mit verschiedenen Befehlen an.

Windows-Praxis
Die Aktivierung von Windows 8 und Windows Server 2012 können Sie auch in der Befehlszeile vornehmen.

Windows-Praxis
Active Directory lässt sich in Windows Server 2012 auch in der PowerShell verwalten.

Windows-Praxis
Hyper-V 3.0 in Windows Server 2012 verwalten Sie vor allem in der PowerShell sehr effizient.