Hallo Leutz,
Bei der Aktivierung der Hyper-V Replica zwischen zwei Windows Server 2012 R2 Hyper-V Server schlaegt das Aktivieren der Replikation mit einer Kerberos Fehlermeldung fehl. Schuld sind wie so oft die unterschaetzten Service Principal Name (SPN) Eintraege. Wie das Problem bhoben werden kann, steht in diesem Mini Bilderbuch:
http://www.it-training-grote.de/download/HV-Replica-SPN-Kerberos-Error.pdf
Gruss Marc
Hallo Leutz,
Hyper-V Replica sieht standardmaessig nicht die Verwendung eines dedizierten Netzwerkinterface fuer Replica Traffic vor. Mit Hilfe der Modifikation der HOSTS Datei und entsprechenden Zertifikaten ist es jedoch moeglich, ein dediziertes Netzwerkinterface einzurichten. Fuer einen Kunden haben wir heute ein PoC erstellt, damit Replica Traffic in der einzurichtenden Produktivumgebung ueber ein dediziertes 10 GBit/s Interface laeuft.
Das folgende Bilderbuch zeigt die Einrichtung einer zertifikatbasierten Hyper-V Replica ueber ein dediziertes Netzwerkinterface:
http://www.it-training-grote.de/download/HV-Replica-Cert-DNIC.pdf
Weitere Informationen:
http://www.it-training-grote.de/blog/?p=5209
http://www.it-training-grote.de/blog/?p=5482
Gruss Marc
Hallo Leutz,
fuer die Juli 2014 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema “Datensicherung von Windows Servern und Anwendungen mit Windows Server Backup” geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de
Gruss Marc
Hallo Leutz,
im Rahmen der “IT Jogging Veranstaltungen” der Fa. Netz-Weise (http://www.netz-weise.de) darf ich am 30.07.2014 in der Zeit von 18:30 – 21:00 Uhr einen Workshop zum Thema “System Center 2012 R2 und Microsoft Azure” halten.
Abstrakt:
In diesem Vortrag wird die Integration von Microsoft System Center 2012 R2 in Microsoft Azure vorgefuehrt.
Agenda:
– Kurzer Ueberblick ueber System Center und Microsoft Azure
– Einrichtung Microsoft Azure zur System Center Integration
– Windows Backup – Azure Integration
– DPM 2012 R2 – Azure Integration
– SCVMM 2012 R2 – Azure Integration (Microsoft Azure Hyper-V Recovery Manager)
– SCCM -Windows Intune Integration
Anmeldung hier: http://www.netz-weise.de/veranstaltungen/anmeldung/
Gruss Marc
Hallo Leutz,
mit Hilfe von GPP (Group Policy Preferences) kann man zum Beispiel zahlreiche Einstellungen vornehmen, bei denen User-Credentials gespeichert werden.
Die Credentials werden mit einem statischen symmetrischen AES Key in einer XML-Datei verschluesselt.
Ein “Attacker” welcher Zugriff auf den SYSVOL Share eines DC hat (Authenticated Users haben per Default Zugriff), kann die Verschluesselung aufheben und so Zugriff auf die Kennwoerter erhalten. An sich nichts neues und seit 2008 bekannt (http://blogs.technet.com/b/grouppolicy/archive/2008/08/04/passwords-in-group-policy-preferences.aspx).
Mit dem Mai 2014 Patchday hat Microsoft “endlich” eine Aenderung an den Moeglichkeiten zur Speicherung von Credentials in GPP durchgefuehrt und laesst fuer neue GPP nicht mehr zu, dass Credentials angegeben werden, bestehende GPP werden davon aber nicht beeinflusst. Microsoft stellt Scripts zur Verfuegung, welche in GPO nach Kennwoertern fuer Konten suchen und die Remote Aenderung von lokalen Administrator-Kennwoertern ermoeglichen.
MS14-025 geht in die Richtung was ich mir aus Security Sicht seit 2008 gewuenscht habe (leider nimmt nicht jeder Kunde meine Empfehlungen an, keine GPP mit Credential Speicherung zu verwenden), aus administrativer Sicht haette ich mir jedoch eine Aenderung des Sicherheitssystems gewuenscht, wie Credentials in GPP gespeichert werden.
Weitere Informationen findet man hier:
http://blogs.technet.com/b/srd/archive/2014/05/13/ms14-025-an-update-for-group-policy-preferences.aspx
http://technet.microsoft.com/security/bulletin/ms14-025
Gruss Marc
Hallo Leutz,
das folgende Bilderbuch zeigt die Integration des Hyper-V Wiederherstellungs-Manager von Microsoft Azure in System Center 2012 R2 Virtual Machine Manager zur Verwaltung von Hyper-V Replica zwischen zwei Private Clouds, verwaltet durch SCVMM 2012 R2:
http://www.it-training-grote.de/download/Hyper-V-RecoveryManager.pdf
Gruss Marc
Hallo Leutz,
vom 28.07. – 01.08.2014 darf ich fuer die Firma Netz-Weise in Hannover einen Workshop zum Thema Server Virtualization mit Windows Server Hyper-V und System Center halten. Angelehnt ist der Workshop an den MOC Kurs 20409, wir werden in dem Workshop aber sehr viel praxisrelevante Themen einbringen und eine echte Hyper-V Virtualisierungsumgebung mit den aktuellen System Center Produkten einrichten.
Wer also Interesse an diesem Workshop hat, meldet sich bei der Firma Netz-Weise (http://www.netz-weise.de).
Ich bin sicher, dass wir viel Spass und Erfolge in dem Workshop haben und ich mein Wissen aus Hyper-V und System Center Produkten einbringen kann.
Gruss Marc
Hallo Leutz,
Windows Server 2012 R2 verwendet fuer die Remote Desktop Connection ein selbst signiertes Zertifikat.
Anders als bei Windows Server 2008 R2 gibt es die MMC TSCONFIG.MSC in Windows Server 2012 / R2 nicht mehr.
Wie also das Zertifikat auf einem Server austauschen, ohne ueber den Server Manager ein Remote Desktop Services Deployment durch zu fuehren?
Die Loesung heisst per WMIC oder Powershell das alte Zertifikat und den Thumbprint zu ermitteln, ein neues Zertifikat anzufordern, mit privaten Schluessel zu exportieren und anschliessend per WMIC wieder an die RDS-Dienste zu binden.
Wie das geht, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/RDS-2012R2-SelfSignedCertificate.pdf
Gruss Marc
Hallo Leutz,
bei einem Kunden habe ich in den letzten Wochen und heute final die Online Enterprise Root CA dekommissioniert und eine zweistufige CA Hierarchie mit einer Offline Root CA und einer Online Enterprise Issuing CA auf Basis Windows Server 2012 R2 implementiert, um unter anderen der baldigen Abschaltung des Support fuer SHA1 seitens Microsoft nachzukommen: http://www.it-training-grote.de/blog/?p=6254
Die neue CA wurde mit CNG (SHA256 Hashalgorithmus) implementiert.
Durchgefuehrte Schritte:
Installation Offline Standalone Root CA
Installation Online Enterprise Issuing CA
Einrichtung der Schluesselarchivierung
Einbindung von Common PKI (Rollentrennung)
Ausstellen von neuen Zertifikaten fuer alle Server
Dekommissionierung der alten Online Enterprise CA
Dabei ist folgendes Bilderbuch entstanden: http://www.it-training-grote.de/download/OfflineRoot-EnterpriseOnline-CA.pdf
Gruss Marc
Hallo Leutz,
seit Windows Server 2008 R2 gibt es das Core Park Feature, um eine CPU in den Idle Mode zu setzen. Mit Windows Server 2012 hat Microsoft die Core Parking Policy geaendert (KB: http://support.microsoft.com/kb/2814791). Auszug: “Currently by default, Windows Server 2012 disables core parking for Intel based processors to maximize energy efficiency and CPU performance”.
Bei einem Kunden habe ich heute festgestellt, dass sowohl auf den physikalischen Hyper-V Servern als auch in den virtuellen Maschinen das Core Parking Feature aktiv ist. lt. den Windows Server 2012 / R2 Performance Tuning Guidelines (http://msdn.microsoft.com/en-us/library/windows/hardware/dn529134) kann die Funktion des Core Parking mit den Powerplan Einstellungen modifiziert werden. Standardmaessig wird der Energiesparplan “Ausbalanciert” verwendet. Wenn man diesen auf “Hoechstleistung” umstellt, ist das Core Parking auch desaktiviert. Die Energiesparplaene kann man auch per Gruppenrichtlinie steuern. Wenn Sie also das Core Parking Feature desaktivieren wollen, erstellen Sie eine Gruppenrichtlinie mit entsprechenden Einstellungen und wenden diese auf die Server an.
Diese und weitere Informationen stehen in folgendem Bilderbuch: http://www.it-training-grote.de/download/CPU-CoreParking-WS2012.pdf
Gruss Marc