Serverdienste, Authentifizierung, Berechtigungen, Virtualisierung

15 Administrationsfehler in Windows Server 2016

| Autor / Redakteur: Thomas Joos / Andreas Donner

Bei der Administration von Windows Server 2016 kann man einiges falsch machen.
Bei der Administration von Windows Server 2016 kann man einiges falsch machen. (Bild: Microsoft)

Beim Betrieb von Windows Server 2016 sollten Administratoren einiges beachten, damit Server fehlerfrei und leistungsstark funktionieren. Dabei gibt es einige Dinge, die auf jeden Fall vermieden werden sollten. Wir geben einen Überblick.

Windows Server 2016 ist ein vielseitiges Betriebssystem. Unternehmen können Server mit diesem System zum Beispiel als Anwendungs-Server, Domänencontroller, Datei- oder Druckserver, Virtualisierungs- und Container-Host, zur Namensauflösung, als Webserver und für viele weitere Dienste nutzen. Beim Einsatz gilt es aber, einiges zu beachten und Fehler zu vermeiden.

1. Ungeeignete Serverdienste gemeinsam betreiben

Vor allem in kleinen Unternehmen, kommen Administratoren oft in Versuchung, mehrere Serverdienste miteinander zu kombinieren. Dabei kann es, neben Stabilitätsproblemen, auch zu Sicherheitslücken und Einbrüche in der Leistung kommen. Wenn ein Server wiederhergestellt werden muss, ist es in den meisten Fällen zudem sehr komplex, alle auf einem Server installierten Serverrollen zu installieren und einzurichten.

Besonders häufig werden auf einem Active-Directory-Domänencontroller (siehe Abbildung 1) noch weitere Dienste installiert, zum Beispiel Webserver oder Druckserver. Das kann zu Sicherheitsproblemen führen. Generell sollten Domänencontroller immer dediziert eingesetzt werden. Manche Dienste wie DNS und DHCP – wenn das Netzwerk nicht zu groß ist – können aber zusätzlich auf einem Active-Directory-Domänencontroller betrieben zu werden (siehe Abbildung 2).

2. Serverdienste mit Benutzerauthentifizierung

Bestimmte Serverdienste benötigen zum Starten eine Benutzeranmeldung. Hier verwenden Administratoren oft selbst angelegte Benutzernamen und Kennwörter. Das Problem daran ist, dass sich Angreifer mit diesen Anmeldedaten auch im Netzwerk anmelden können und solche Kennwörter in der Regel selten geändert werden. Stattdessen sollten Administratoren lieber auf die verwalteten Dienstkonten setzen. Hier ändert Active Directory selbst regelmäßig die Kennwörter (siehe Abbildung 3).

3. Falsche Treiber installieren

Vor allem auf kleinen Servern, oder bei neuen Serverversionen werden häufig ältere Treiber eingesetzt. Diese können zwar generell kompatibel mit Windows Server 2016 sein, es ist aber keine gute Idee, Treiber für Windows Server 2012 R2 oder nicht unterstützte Geräte in Windows Server 2016 einzusetzen. Es muss nicht unbedingt zu Problemen mit der Soft- oder Hardware kommen, aber im Fehlerfall kann es sein, dass der Microsoft-Support bei Problemen die Unterstützung verweigert.

4. Zu wenig Netzwerk-Schnittstellen für Hyper-V

Vor allem auf Hyper-V-Hosts kommt es häufig vor, dass zu wenig Schnittstellen vorhanden sind. Vor dem Einsatz eines Servers als Hyper-V-Host sollte deshalb genau geplant werden, über welche Schnittstelle der Server verwaltet wird, wie die Datenspeicher angebunden sind, und welche VMs sich einen physischen Netzwerkadapter teilen. Falsche Netzwerkplanung gehört zu den häufigen Fehlern beim Einsatz von Hyper-V. Generell kann davon ausgegangen werden, dass ein Hyper-V-Host viele physische Netzwerkadapter nutzen sollte (siehe Abbildung 4).

5. Direkte Aktualisierung zu neuer Version

Eine direkte Aktualisierung zu Windows Server 2016 ist zwar von Windows Server 2012/2012 R2 möglich, allerdings problembehaftet. Das Betriebssystem lässt sich zwar meistens ohne Probleme aktualisieren, zumindest wenn die Hardware zertifiziert für Windows Server 2016 ist. Allerdings kommt es bei der Aktualisierung (siehe Abbildung 5) oft zu Problemen mit den installierten Serveranwendungen oder mit Tools wie Datensicherung und Virenschutz.

6. Active-Directory-Dienste miteinander kombinieren

Auch wenn die Namensgleichheit es vermuten lässt, ist es selten sinnvoll, mehrere Active-Directory-Dienste miteinander zu kombinieren. Active-Directory-Domänendienste funktionieren zwar bspw. zusammen mit den Active-Directory-Zertifikatsdiensten, allerdings ist eine Kombination nicht sinnvoll. Denn müssen Domänencontroller neu installiert werden, dann verlieren auch die Zertifikate ihre Gültigkeit und müssen neu erstellt werden (siehe Abbildung 6).

7. Server klonen

Natürlich lassen sich Server klonen. Allerdings muss darauf geachtet werden, dass bei einem solchen Vorgang auch die Security-ID zurückgesetzt wird. Wird ein Server geklont, der Mitglied einer Active-Directory-Domäne ist, werden auch Domäneneinstellungen und SID geklont. Es ist daher sinnvoll, vor dem Klonen auf Tools wie Sysprep zu setzen, um neue Server fehlerfrei zu installieren.

8. Serverdienste ohne Prüfung installieren

Serverdienste sollten nie ohne Planung installiert werden. Sobald zum Beispiel Administratoren auf einem Server DHCP installieren, zum Beispiel zu Testzwecken, kann es passieren, dass der Server auch im produktiven Netzwerk IP-Adressen verteilt. Bevor auf einem Server eine Serverrolle installiert wird, sollte daher genau geplant werden, welche Auswirkungen die Installation hat, und ob der Server überhaupt geeignet für die Rolle ist.

9. ReFS einsetzen – oder eben nicht

Das Dateisystem ReFS wurde von Microsoft entwickelt, um NTFS abzulösen. Allerdings nutzen wenige Administratoren ReFS, da das Dateisystem einige Einschränkungen mit sich bringt. Einige Serverdienste, wie Exchange, sollen laut Microsoft zwar auf Datenträgern mit ReFS besser funktionieren. ReFS unterstützt aber keine Komprimierung von Dateien über das Dateisystem und auch keine Verschlüsselung einzelner Dateien mehr. Auch Quotas auf dem Datenträger unterstützt ReFS nicht und auf ReFS-Laufwerken können auch keine Schattenkopien konfiguriert werden. Allerdings verursacht die automatische Korrektur des Dateisystems keine langen Ausfallzeiten durch Reparaturmaßnahmen mehr, da Reparaturen sich im laufenden Betrieb durchführen lassen.

10. Berechtigungen auf Benutzerbasis erteilen

Die Vergabe von Zugriffsberechtigungen sollte immer über Gruppen erfolgen, da damit der geringste administrative Aufwand entsteht (siehe Abbildung 7). Wenn ein weiterer Benutzer diese Berechtigung erhalten soll, müssen Administratoren nur ein Benutzerkonto der Gruppe zuordnen, die bereits entsprechende Zugriffe hat. Die Berechtigungen müssen nicht verändert werden. Ebenso lassen sich einzelnen Benutzern die Zugriffsberechtigungen entziehen, indem diese aus der Gruppe entfernt werden. Microsoft empfiehlt folgende Berechtigungsstruktur:

  • Eine domänenlokale Gruppe erhält Berechtigung auf den Ordner und Freigabe
  • Globale Gruppen mit Benutzern werden in die lokale Gruppe aufgenommen
  • Benutzerkonten der Anwender sind Mitglieder der einzelnen globalen Gruppen

11. Zu viele VMs auf einem Hyper-V-Host betreiben

Werden zu viele VMs auf einem Hyper-V-Host betrieben, oder bremsen einzelne VMs Server aus, leiden alle anderen VMs und die darauf installierten Serverdienste enorm. Es lohnt sich daher regelmäßig zu überprüfen, ob die Anzahl der VMs auf einem Hyper-V-Host nicht zu hoch ist, oder sich die Leistung deutlich verbessern lässt, wenn VMs auf andere Hosts verteilt werden.

12. Nano-Server als Hyper-V-Host oder zur Infrastruktur einsetzen

Microsoft hat Windows Server 2016 mit der Nano-Bereitstellung veröffentlicht. Diese konnte in den ersten Versionen auch als Infrastruktur-Server eingesetzt werden, zum Beispiel für Hyper-V und DNS. Microsoft hat hier den Einsatz der Nano-Server sogar empfohlen. Allerdings unterstützen neue Versionen des Nano-Servers keine Installation als Infrastruktur-Server mehr, sondern dienen nur noch als Container-Host. Daher stellt der Einsatz von Nano-Servern eine Sackgasse dar.

13. Hyper-V-Hosts mit herkömmlicher Datensicherung sichern

Bei der Datensicherung von Hyper-V-Hosts sollte spezielle Datensicherungen eingesetzt werden, die Hypervisoren unterstützt. Das stellt sicher, dass die zu sichernde Datenmenge geringer ist. Außerdem sichern angepasste Datensicherungen die Daten auf Ebene des Hypervisors. So können auch die Konfigurationsdaten von VMs gesichert werden. Herkömmliche Datensicherungen behandeln VMs wie herkömmliche Server. Das verlängert den Zeitraum der Sicherung deutlich.

14. Zu viele Snapshots erstellen

Snapshots ersetzen keine Datensicherung und bremsen VMs aus, wenn zu viele Snapshots vorliegen. Daher sollte die Anzahl der Snapshots begrenzt werden. Nicht mehr notwendige Snapshots sollten gelöscht werden. Windows Server 2016 unterstützt Produktionsprüfpunkte (siehe Abbildung 8). Diese sichern in Zusammenarbeit mit dem Volume Shadow Service in Windows Server 2016 Daten und sind ideal für Snapshots von virtuellen Servern mit Windows Server 2016.

15. Schattenkopien nicht aktivieren

Eine wichtige Funktionalität zur Datensicherung von Windows Server 2016 sind die Schattenkopien. Diese stehen aber nur in NTFS zur Verfügung. Auf ReFS-Laufwerken können keine Schattenkopien konfiguriert werden. Wenn zusätzliche Datenträger verbaut werden, müssen die Schattenkopien zunächst manuell aktiviert werden. Bei den Eigenschaften der Schattenkopien kann ein Limit für den maximal belegten Platz auf dem Datenträger definiert werden (siehe Abbildung 9).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45664541 / Client-/Server-Administration)