Windows Server 2008 R2
Windows Server 2008 R2: Eine Einführung
William Stanek
Übersicht:
Windows Server-Editionen
Eine kurze Tour
Windows PowerShell 2.0 und WinRM 2.0
Parken von Kernen
Überblick über Active Directory-Änderungen
Branch-Caching
Mittlerweile haben Sie sicher von Windows Server 2008 R2, das ich in diesem Artikel in der Regel einfach R2 nennen werde, gehört und haben es sogar möglicherweise bereits installiert. Weil R2 eine Nachfolgeversion ist, gilt ein Großteil dessen, was Sie bereits über Windows Server 2008 und Windows 7 wissen. Windows Server 2008 R2 baut auf den Erweiterungen auf, die Microsoft mit Windows Server 2008 bereitstellte und hat auch mit Windows 7 Kernfunktionen gemeinsam. Wegen dieses gemeinsamen Kerns verfügen R2 und Windows 7 über einige gemeinsame Features und Komponenten, die in Windows und R2 auf ähnliche Weise verwaltet werden.
Wie in Windows Server 2008 wird auch in R2 die Modularisierung zur Erreichung von Sprachunabhängigkeit und für die Erstellung von Datenträgerabbildern genutzt. Microsoft liefert Windows Server 2008 R2 auf Medien mit Datenträgerabbildern im Windows-Abbildformat (WIM) aus. Wie Windows 7 verwendet R2 auch Windows Preinstallation Environment 3.0 (Windows PE 3.0), um vor der Installation und dem Systemstart Dienste mit einem Boot-Manager bereitzustellen, der Sie auswählen lässt, welche Startanwendung zum Laden des Betriebssystems ausgeführt werden soll. Auf Systemen mit mehreren Betriebssystemen kann über den Eintrag für veraltete Betriebssysteme in der Startumgebung auf Betriebssysteme, die älter als Windows Vista sind, zugegriffen werden..
Das Installationsprogramm für Windows Server 2008 R2 installiert auch eine Partition mit der Windows-Wiederherstellungsumgebung auf dem Server. Windows RE ermöglicht den Zugriff auf eine Befehlszeile zur Problembehandlung, damit Sie von einem Systemabbild neu installieren und eine Speicherdiagnose durchführen können.
Im Gegensatz zu Windows 7 sind die Windows Aero-Features (Aero-Glas, Flip, 3D Flip usw.), Windows-Sidebar, Windows-Minianwendungen und andere Verbesserungen der Darstellung nicht in Windows Server 2008 R2 enthalten. Sie können allerdings das Feature Desktopdarstellung installieren, um einen Server mit Windows 7-Desktopfunktionalität auszustatten. Zu den dann verfügbaren Windows 7-Features gehören Zeichentabelle, Desktopdesigns, Datenträgerbereinigung, Snipping Tool, Audiorekorder, Synchronisierungscenter, Video für Windows (AVI-Unterstützung), Windows-Defender und Windows Media Player. Diese Features ermöglichen es zwar, einen Server wie einen Desktopcomputer zu nutzen, sie können jedoch die Gesamtleistung des Servers beeinträchtigen.
Erläuterungen zu den R2-Editionen
Abgesehen vom gemeinsamen Kern, unterscheidet sich Windows R2 deutlich von Windows 7. R2 ist das erste reine 64-Bit-Betriebssystem, das Microsoft veröffentlich hat. Genauer gesagt, R2 unterstützt für die x64-Architektur konzipierte 64-Bit-Systeme. In Windows-Betriebssystemen werden 64-Bit- (IA-64) Itanium-Prozessoren nicht mehr standardmäßig unterstützt. Microsoft hat eine eigene Edition von R2 für Itanium-basierte Computer entwickelt.
Abbildung 1– Verwenden des Wartungscenters
Die R2-Betriebssystemfamilie umfasst die folgenden Editionen:
- Windows Server 2008 R2 Foundation Edition bietet kleinen Unternehmen eine kostengünstige technologische Grundlage. Diese Edition unterstützt weder ADFS (Active Directory-Verbunddienste) noch Hyper-V. Sie kann zum Bereitstellen von Zertifizierungsstellen verwendet werden, jedoch nicht als Host anderer verwandter Dienste fungieren. Diese Edition unterstützt alle anderen Rollen, wobei einige Einschränkungen gelten. Nicht unterstützt werden außerdem DirectAccess-Verwaltung und Failover-Clusterfunktion. In der Foundation Edition werden bis zu 8 GB Arbeitsspeicher und ein einzeln gesockelter Prozessor unterstützt.
- Windows Server 2008 R2, Standard Edition, stellt in einem Netzwerk anderen Systemen grundlegende Dienste und Ressourcen bereit. Diese Edition unterstützt Hyper-V und verfügt über einige Einschränkungen bei anderen Diensten. ADFS wird allerdings nicht unterstützt. Sie kann zum Bereitstellen von Zertifizierungsstellen verwendet werden, jedoch nicht als Host anderer verwandter Dienste fungieren. Nicht unterstützt wird außerdem die Failover-Clusterfunktion. In der Standard Edition werden bis zu 32 GB Arbeitsspeicher und bis zu vier einzeln gesockelte Prozessoren unterstützt.
- Windows Server 2008 R2, Enterprise Edition, stellt Skalierbarkeit und Verfügbarkeit für Unternehmen zur Verfügung. Diese Edition unterstützt alle Serverrollen, ohne dass die Einschränkungen von Foundation oder Standard Edition gelten, und bietet zudem weitere Features, darunter die Failover-Clusterunterstützung. In der Enterprise Edition werden bis zu 2 TB Arbeitsspeicher und bis zu acht einzeln gesockelte Prozessoren unterstützt.
- Windows Server 2008 R2, Datacenter Edition, bietet globale Skalierbarkeit und Verfügbarkeit für Datencenters und verfügt über erweiterte Features zum Hinzufügen von Speicher und Prozessoren während des Systembetriebs und zum Austauschen von Speicher und Prozessoren während des Systembetriebs. In der Datacenter Edition werden bis zu 2 TB Arbeitsspeicher und bis zu 64 einzeln gesockelte Prozessoren unterstützt.
- Windows Server 2008 R2 für Itanium-basierte Systeme ist eine Plattform der Unternehmensklasse zur Bereitstellung unternehmenswichtiger Anwendungen und Implementierung großer Virtualisierungslösungen. Diese Edition wurde nicht für die Bereitstellung von Basisdiensten konzipiert. Sie unterstützt nur die Anwendungsserver- und die Webserverrolle (IIS) und bietet Failover-Clusterunterstützung. Andere Rollen wurden zu dem Zeitpunkt, zu dem dieser Artikel verfasst wurde, nicht unterstützt. In dieser Edition werden bis zu 2 TB Arbeitsspeicher und bis zu 64 einzeln gesockelte Prozessoren unterstützt.
- Windows Web Server 2008 stellt Webdienste zum Bereitstellen von Websites und Webanwendungen zur Verfügung. Diese Edition beinhaltet nur die Features Microsoft .NET Framework, IIS, ASP.NET, Anwendungsserver und Netzwerklastenausgleich sowie DNS-Server, Windows Server Update Services und Media-Dienste. In dieser Edition werden bis zu 32 GB Arbeitsspeicher und bis zu vier einzeln gesockelte Prozessoren unterstützt.
Nachdem ich die Familie vorgestellt habe, wollen wir uns ansehen, wie R2 arbeitet und welche neuen Features verfügbar sind.
Abbildung 2 – Probleme lösen
Eine kurze Tour
Das in Abbildung 1 dargestellte Aktionscenter bildet den Ausgangspunkt für alle mit Sicherheit und Wartung in Zusammenhang stehenden Aktionen. Wenn die integrierte Diagnosefunktion Probleme erkannt hat, finden Sie im Aktionscenter Informationen zu diesen Problemen und eine Option, weitere Informationen zu jedem einzelnen Problem abzurufen. Häufig wird neben den ausführlichen Informationen zu einem Problem auch eine mögliche Lösung angeboten. In dem in Abbildung 1 gezeigten Beispiel liegt auf dem Server ein Problem mit der Soundkarte und dem Intel Active Management-Gerät vor. Wenn Sie auf die Schaltfläche "Meldungsdaten anzeigen" klicken, wird eine ausführliche Meldung angezeigt und ein Link zum Herunterladen des aktualisierten Treibers angegeben, wie in Abbildung 2 zu sehen ist.
Die integrierte Diagnosefunktion wird nicht alle Probleme finden oder Lösungen anbieten können, die zugehörigen Prozesse wurden jedoch gegenüber früheren Implementierungen verbessert. Im Bereich "Wartung" können Sie zudem auf den Link "Nach Lösungen suchen" klicken, um zu überprüfen, ob bislang nicht automatisch erkannte Probleme vorliegen.
Das Netzwerk- und Freigabecenter, das in Abbildung 3 dargestellt ist, stellt nach wie vor die Schaltzentrale zum Konfigurieren des Netzwerks dar. In Windows Server 2008 R2 werden Netzwerke einer der folgenden Kategorien zugeordnet:
- Domänennetzwerk
- Firmennetzwerk
- Öffentliches Netzwerk
Abbildung 3 – Verwenden des Netzwerk- und Freigabecenters
Jede Netzwerkkategorie verfügt über ein zugehöriges Netzwerkprofil. R2 speichert die Einstellungen für Netzwerkerkennung, Freigabe und Firewall für jede Netzwerkkategorie getrennt, sodass ein Server für jede Netzwerkkategorie andere Netzwerkerkennungs- und Freigabeeinstellungen verwenden kann. Auch Windows Firewall behandelt die Regeln für eingehenden Datenverkehr, die Regeln für ausgehenden Datenverkehr und die Sicherheitsregeln für jedes Netzwerkprofil getrennt, und R2 kann über mehrere aktive Firewall-Profile verfügen, die von den Netzwerken abhängen, mit dem ein Server verbunden ist.
Wie Windows Server 2008 unterstützt R2 das Feature TCP Chimney Offload, das dem Netzwerkteilsystem ermöglicht, die Verarbeitung einer TCP/IP-Verbindung von den Prozessoren des Servers auf die Netzwerkadapter zu verschieben, sofern diese Netzwerkadapter die TCP/IP Offload-Verarbeitung unterstützen. Sowohl TCP/IPv4-Verbindungen als auch TCP/IPv6-Verbindungen können verschoben werden. Standardmäßig werden TCP-Verbindungen auf 10 Gbps-Netzwerkadapter verschoben, nicht jedoch auf 1 Gbps-Netzwerkadapter. Sie können über Netsh die zugehörigen Einstellungen anpassen.
Neu in Windows Server 2008 R2 ist die Unterstützung für .DNSSEC (DNS Security Extensions, DNS-Sicherheitserweiterungen). Sowohl der DNS-Client für Windows 7 als auch der für R2 kann Abfragen senden, welche die DNSSEC-Unterstützung anzeigen, zugehörige Datensätze verarbeiten und ermitteln, ob ein DNS-Server für ihn Datensätze validiert hat. Die DNSSEC-Unterstützung ermöglicht es DNS-Servern, Zonen sicher zu signieren und als Host von DNSSEC-signierten Zonen zu fungieren. Sie ermöglicht es DNS-Servern zudem, zugehörige Datensätze zu verarbeiten und Datensätze zu validieren und zu authentifizieren.
In R2 wurden die Terminaldienste und alle zugehörigen Komponenten durch ein aktualisiertes und verbessertes Angebot namens Remotedesktopdienste ersetzt. Remotedesktopdienste ermöglichen den Benutzern den Zugriff auf sitzungsbasierte Desktops, auf Desktops von virtuellen Computern und auf Anwendungen, die von Remoteservern gehostet werden. In R2 wurden alle Rollendienste der Remotedesktopdienste ebenso wie die zugehörigen Verwaltungstools umbenannt. Abbildung 4 enthält den alten und den neuen Namen der einzelnen Rollendienste. Abbildung 5 enthält den alten und den neuen Namen der einzelnen Verwaltungstools.
Alter Rollendienstname | Neuer Rollendienstname |
Terminaldienste | Remotedesktopdienste |
Terminalserver | Remotedesktop-Sitzungshost (RD-Sitzungshost) |
Terminaldienstelizenzierung | Remotedesktoplizenzierung (RD-Lizenzierung) |
Terminaldienstegateway (TS-Gateway) | Remotedesktopgateway (RD-Gateway) |
Terminaldienste-Sitzungsbroker (TS-Sitzungsbroker) | Remotedesktop-Sitzungsbroker (RD-Sitzungsbroker) |
Terminaldienste-Webzugriff | Web Access für Remotedesktop |
Abbildung 4 – Namen von Rollendiensten
Für R2 wurden die Active Directory-Zertifikatdienste mit einigen neuen Features und Diensten ausgestattet, die die Bereitstellung einer PKI-Infrastruktur (Public Key Infrastructure) erleichtern und den Netzwerkzugriffsschutz (Network Access Protection, NAP) umfassender unterstützen. Dank der Webdienste für die Zertifikatregistrierung und Zertifikatregistrierungsrichtlinien können Zertifikate über HTTP und für Gesamtstrukturen registriert werden. Dadurch lassen sich Zertifizierungsstellen in Bereitstellungen mit mehreren Gesamtstrukturen zusammenfassen und die Datenbankgröße von Zertifizierungsstellen in einigen NAP-Bereitstellungen verringern.
Windows AppLocker ersetzt die Softwarebeschränkungsrichtlinien. Mit AppLocker können Administratoren leichter steuern, auf welche Weise die Benutzer auf Dateien, z. B. ausführbare Dateien, DLLs, Skripts und Windows Installer-Dateien, zugreifen und verwenden können. AppLocker ermöglicht zu diesem Zweck die Definition von Regeln, die festlegen, welche Dateien ausgeführt werden dürfen. Dateien, die nicht in den Regeln berücksichtigt werden, dürfen nicht ausgeführt werden.
Alter Name des Tools | Neuer Name des Tools |
Terminaldienste-Manager | Remotedesktopdienste-Manager |
Terminaldienstekonfiguration | Remotedesktopdienste-Konfiguration |
Terminaldienstegateway-Manager | Remotedesktopgateway-Manager |
Terminaldienstelizenzierungs-Manager | Remotedesktoplizenzierungs-Manager |
Terminaldienste-Manager für RemoteApp | RemoteApp-Manager |
Abbildung 5 – Namen von Verwaltungstools
R2 Enterprise Edition, Database Edition und die Edition für Itanium unterstützten Failovercluster. Ein Failovercluster ist eine Gruppe unabhängiger Server, die zusammenarbeiten, um die Verfügbarkeit von Anwendungen und Diensten zu erhöhen. Jeder zum Cluster gehörige Server, auch Knoten genannt, kann so konfiguriert werden, dass er im Fehlerfall Anwendungen oder Dienste von einem anderen Server im Cluster übernimmt. In R2 werden zusätzlich Windows PowerShell-Cmdlets für Failovercluster unterstützt. R2 bietet einen verbesserten Validierungsprozess für Cluster und eine verbesserte Verwaltung von zu einem Cluster gruppierten virtuellen Computern (über Hyper-V), die jetzt im Cluster freigegebene Datenträger nutzen können.
Neben den Diensten und Anwendungen, die früher in einem Failovercluster konfiguriert werden konnten, können Sie jetzt Remotedesktop-Verbindungsbroker für den Lastenausgleich und Sitzungsverbindungen in einer Remotedesktop-Serverfarm mit Lastenausgleich konfigurieren. Zudem können Sie die DFS-Replikation konfigurieren, damit Ordner auf verschiedenen Servern über Netzwerkverbindungen mit eingeschränkter Bandbreite synchronisiert werden. Jeder Mitgliedsserver einer Replikationsgruppe kann in ein Cluster aufgenommen werden.
Im Zusammenhang mit Clustern ist zu erwähnen, dass in R2 einige neue Features für hoch belastbare Hardware- und Datencenterlösungen verfügbar sind, darunter iSCSI Software Initiator und Multipfad-E/A. Microsoft iSCSI Software Initiator ermöglicht es, einen Windows-Server über einen Ethernet-Netzwerkadapter mit einem externen iSCSI-basierten Speicherarray zu verbinden. Die Benutzeroberfläche von iSCSI Initiator wurde für R2 neu gestaltet, damit der Benutzer leichter auf die am häufigsten verwendeten Einstellungen zugreifen kann. Es wurden einige neue Features hinzugefügt, wie die Schnellverbindung, mit der durch einmaliges Klicken eine Verbindung mit einem einfachen Speichergerät hergestellt werden kann. Außerdem ist jetzt iSCSI-Startunterstützung für bis zu 32 Pfade zur Startzeit verfügbar und überdies werden CRC-Header und das Verschieben von Datendigests unterstützt.
Multipfad-E/A unterstützt mehrere Datenpfade zu Datenspeichern und erhöht die Fehlertoleranz von Speicherverbindungen. R2 bietet verbesserte Multipfad-E/A-Statusberichte und erstmals die Erstellung von Konfigurationsberichten. Beide Änderungen erleichtern den Abruf von Pfaddaten. Mit dem Befehlszeilenprogramm MPClaim können Sie auch Richtlinien für den Lastenausgleich konfigurieren.
Abbildung 6 – Verwenden des Active Directory-Verwaltungscenters
Hyper-V wurde ebenfalls deutlich verbessert. Zu den Hyper-V-Verbesserungen gehören die neue Livemigrationsfunktion, die Unterstützung von dynamischem VM-Speicher sowie verbesserte Prozessor- und Netzwerkunterstützung.
Zuletzt möchte ich den Blick auf das Active Directory-Verwaltungscenter richten, das in Abbildung 6 dargestellt ist. Dieses neue Tool stellt eine aufgabenorientierte Schnittstelle zum Verwalten von Active Directory zur Verfügung. Sie können dieses Tool für folgende Aufgaben verwenden:
- Herstellen einer Verbindung mit einer oder mehreren Domäne(n)
- Erstellen und Verwalten von Benutzerkonten
- Erstellen und Verwalten von Gruppen
- Erstellen und Verwalten von Organisationseinheiten
- Durchführen globaler Suchläufe in Active Directory
Active Directory-Verwaltungscenter verwendet Windows PowerShell zum Ausführen von Verwaltungsaufgaben und stützt sich auf Microsoft .NET Framework 3.5.1. Deswegen müssen beide Features installiert und richtig konfiguriert worden sein, damit Sie Active Directory-Verwaltungscenter einsetzen können. Außerdem nutzt Active Directory-Verwaltungscenter die Webdienste, die von Active Directory-Webdiensten bereitgestellt werden. In jeder zu verwaltenden Active Directory-Domäne müssen mindestens auf einem Domänencontroller die Active Directory-Webdienste installiert worden sein und die zugehörigen Dienste ausgeführt werden. Verbindungen werden standardmäßig über TCP-Port 9389 hergestellt und die Firewall-Richtlinien müssen an diesem Port eine Ausnahme für die Active Directory-Webdienste ermöglichen.
Windows PowerShell 2.0 und WinRM 2.0
Sie fragen sich, wo Sie all diese wunderbaren, köstlichen Windows PowerShell-Cmdlets bekommen können? Windows PowerShell 2.0 wird standardmäßig in den meisten R2-Konfigurationen installiert. Bei vollständigen Serverinstallationen ist die Windows PowerShell-Konsole in der Schnellstart-Symbolleiste verfügbar, und Sie können die grafische Skriptingumgebung mit dem Assistenten zum Hinzufügen von Features hinzufügen. Auch bei einer minimalen Serverinstallation haben Sie jetzt die Möglichkeit, Windows PowerShell zu installieren.
Nach dem Start von Windows PowerShell können Sie den Namen eines Cmdlet an der Eingabeaufforderung eingeben, und dieses wird ähnlich wie in der Befehlszeile ausgeführt. Außerdem können Cmdlets in Skripts aufgerufen werden. Cmdlets sind mit englischen Verb-Substantiv-Paaren benannt. Das Verb gibt Aufschluss über die Funktion des Cmdlet. Aus dem Substantiv geht hervor, was vom Cmdlet im Einzelnen bearbeitet wird. Beispielsweise startet das Cmdlet start-service einen Windows-Dienst, und das Cmdlet stop-service stoppt einen Windows-Dienst.
Die netten Cmdlets, die dem Active Directory-Verwaltungscenter zugrunde liegen, sind ebenfalls verfügbar. Um sie verwenden zu können, müssen Sie das Active Directory-Modul importieren, indem Sie an der Windows PowerShell-Eingabeaufforderung "Import-Module ActiveDirectory" eingeben. Nachdem das Modul importiert wurde, können Sie es mit der aktuell ausgeführten Instanz von Windows PowerShell einsetzen. Beim nächsten Start von Windows PowerShell müssen Sie das Modul erneut importieren, wenn Sie dessen Features nutzen möchten. Stattdessen können Sie auch die Option "Active Directory-Modul für Windows Powershell"
im Menü "Verwaltung" auswählen, mit der das Modul beim Start von Windows PowerShell importiert wird (siehe Abbildung 7).
Abbildung 7 – Verwenden des Active Directory-Moduls für Windows Powershell
Sie können Windows PowerShell auch zur Remoteverwaltung einsetzen. Die Remoting-Features werden durch das WS-Verwaltungsprotokoll und den Windows-Remoteverwaltungsdienst unterstützt, der das WS-Verwaltungsprotokoll in Windows implementiert. R2 enthält WinRM 2.0. Sowohl Windows 7 als auch Windows Server 2008 R2 unterstützen standardmäßig die Remoteverwaltung über die Windows-Remoteverwaltung. Bei früheren Windows-Versionen können Sie unter Umständen das Windows Management Framework installieren, das Windows PowerShell 2.0 und WinRM 2.0 beinhaltet.
Um Windows PowerShell für die Remoteverwaltung nutzen zu können, müssen Sie das Programm als Administrator starten. Außerdem müssen Sie sicherstellen, dass die Windows-Remoteverwaltung auf dem Verwaltungscomputer und dem Zielcomputer bzw. –server richtig konfiguriert ist. Sie können die Konfiguration der Windows-Remoteverwaltung durch Eingabe des Befehls "winrm quickconfig" überprüfen und aktualisieren.
Mit dem Server-Manager (und anderen Microsoft Management Console-Snap-Ins) können Sie einige Remoteverwaltungsaufgaben ausführen, vorausgesetzt, die Computer gehören derselben Domäne an oder Sie arbeiten in einer Arbeitsgruppe und haben die Remotecomputer einer Domäne als vertrauenswürdige Hosts hinzugefügt. Sie können Verbindungen mit Servern herstellen, auf denen vollständige Serverinstallationen oder minimale Serverinstallationen ausgeführt werden.
Nachdem Sie die Remoteverwaltung für Server-Manager aktiviert haben, können Sie mit Server-Manager folgende Remoteverwaltungsaufgaben ausführen:
- Anzeigen und Verwalten von Rollen, Rollendiensten und Features (jedoch nicht Hinzufügen oder Entfernen)
- Anzeigen und Verwalten von Windows-Firewall mit erweiterter Sicherheit
- Anzeigen und Verwalten von Windows-Ereignissen und -Diensten
- Anzeigen und Verwalten der Leistungsüberwachung
- Anzeigen und Verwalten geplanter Aufgaben
- Anzeigen und Verwalten von Datenträgern
- Konfigurieren der Ausgabe von Fehlermeldungen und der Benutzerfreundlichkeit
- Anzeigen des Status automatischer Updates
Die Remoteverwaltung verwendet Windows PowerShell und setzt voraus, dass die Windows-Remoteverwaltung richtig konfiguriert wurde. Sowohl bei vollständigen als auch bei minimalen Serverinstallationen muss die Remoteverwaltung mit dem Server-Manager explizit aktiviert werden.
Abbildung 8 – Verwenden von Windows PowerShell-Skripts in Gruppenrichtlinien
Bei vollständigen Serverinstallationen können Sie die Option "Remoteverwaltung für Server-Manager konfigurieren" verwenden, wenn Sie lokal angemeldet sind, oder das SkriptConfigure-SMRemoting.ps1. Bei minimalen Serverinstallationen steht das Dienstprogramm für die Serverkonfiguration (Sconfig.exe) zur Verfügung.
R2 enthält auch einige Cmdlets, mit denen Sie Gruppenrichtlinien von Windows PowerShell aus verwalten können. Sie importieren einfach das Gruppenrichtlinien-Modul, indem Sie an der Windows PowerShell-Eingabeaufforderung "Import-Module GroupPolicy" eingeben. Nachdem das Modul importiert wurde, können Sie Gruppenrichtlinien-Cmdlets mit der aktuell ausgeführten Instanz von Windows PowerShell verwenden.
Windows PowerShell-Skripts können auch während der Anmeldung, der Abmeldung, dem Hoch- und Herunterfahren ausgeführt werden. Wie in Abbildung 8 dargestellt, können Sie Windows PowerShell-Skripts so konfigurieren, dass sie vor anderen Skripttypen ausgeführt werden. Es gibt auch eine Option, die bewirkt, dass Windows PowerShell-Skripts nach anderen Skripttypen ausgeführt werden. Vergessen Sie in Ihren Skripts nicht, die Arbeitsumgebung einzurichten, indem Sie alle erforderlichen Module importieren.
Einführung in das Parken von Kernen
Das Parken von Kernen ist ein Feature von R2, von dem Sie wahrscheinlich bereits gehört haben. Möglicherweise wissen Sie aber nicht, welchen Ursprung dieses Feature hat und wie es funktioniert. Durch das Parken von Kernen soll der Stromverbrauch reduziert werden, indem Prozessorkerne, abhängig von der Serverlast, gedrosselt oder in den Leerlauf versetzt werden. Dieses Feature ist möglich, weil Windows 7 und Windows Server 2008 R2 die Spezifikation Advanced Configuration and Power Interface (ACPI) 4.0 unterstützen, die im Juni 2009 verabschiedet wurde. Da Sie wahrscheinlich nicht die mehr als 700 Seiten der offiziellen Spezifikation lesen möchten, gebe ich Ihnen einen kurzen Überblick über einige Kernpunkte der Energieverwaltung.
Windows steuert über ACPI die Energiestatusübergänge von System und Geräten. Windows versetzt Geräte in Zustände mit vollem Energieverbrauch (Arbeitszustand), mit geringem Energieverbrauch und ohne Energieverbrauch (ausgeschaltet), um den Stromverbrauch zu reduzieren. Ein Zustand mit geringem Energieverbrauch (gedrosselter Zustand) hat eine Herabsetzung der Arbeitsfrequenz des Prozessors zur Folge. Ein Leerlaufzustand bringt mit sich, dass der Prozessor in einen Leerlauf- bzw. Standbyzustand versetzt werden muss.
Die Energieeinstellungen für Server werden dem aktiven Energiesparplan entnommen. Der vorgegebene aktive Energiesparplan von Windows Server 2008 R2 trägt die Bezeichnung "Ausgeglichen". Er nutzt die ACPI-Erweiterungen, um den Energieverbrauch zu senken. In der Spezifikation ACPI 3.0 wurden zwar minimale und maximale Prozessorzustände als Möglichkeit der Prozessurdrosselung definiert, diese Spezifikation war jedoch für einzeln gesockelte Prozessoren und nicht für logische Prozessorkerne konzipiert worden. Eine Lösung, die es ermöglicht, logische Prozessorkerne zu drosseln und in den Leerlauf zu versetzen, ist das, was ACPI 4.0 bietet (sowie eine Menge anderer Dinge, die aber nicht so interessant sind).
Wenn Sie untere und obere Grenzwerte für den Prozessorzustand in einer Energierichtlinie definieren, weiß Windows dank der Spezifikation ACPI 4.0, wie es diese Definitionen auf logische Prozessorkerne und einzeln gesockelte Prozessoren anwenden muss. Höchst- und Mindestwert definieren die Schranken der zulässigen Leistungszustände. Wenn der obere Grenzwert beispielsweise 100 Prozent und der untere Grenzwert 5 Prozent lautet, dann kann Windows die Prozessoren, sofern es die Arbeitslast zulässt, in diesem Bereich drosseln, um den Energieverbrauch zu reduzieren. Bei einem Computer mit mehreren 4-GHz-Prozessoren würde Windows die Taktfrequenz des Prozessors im Beriech zwischen 0,25 GHz und 4 GHz anpassen.
Abbildung 9 zeigt an einem Beispiel, das nur zur Veranschaulichung dient, wie ein Prozessor gedrosselt und in den Leerlauf versetzt wird. Hier verfügt der Computer über vier einzeln gesockelte Prozessoren, die jeweils über vier logische Prozessoren verfügen. Prozessorkerne, die für die aktuelle Arbeitslast nicht benötigt werden, werden in den Leerlauf versetzt, und die Prozessorkerne, die nur teilweise ausgelastet sind, werden gedrosselt. Zum Beispiel wird der logische Kern 1 (Core 1) von Prozessor 1 mit 90 Prozent getaktet, die logischen Kerne 2, 3 und 4 dagegen mit 80 Prozent. Bei einem 4 GHz-Prozessor würde dies bedeuten, dass der logische Kern 1 mit einer Taktgeschwindigkeit von 3,6 GHz arbeitet, die logischen Kerne 2, 3 und 4 dagegen mit einer Taktgeschwindigkeit von 3,2 GHz. Sie sehen auch, dass die Prozessoren 3 und 4 über Kerne verfügen, die sich im Leerlauf oder Standbyzustand befinden.
Abbildung 9 – Erläuterungen zu Prozessorzuständen
Dieselben Höchst- und Mindestwerte können eingesetzt werden, um Windows zu zwingen, einen bestimmten Leistungszustand beizubehalten. In diesem Fall passt Windows die Taktfrequenz des Prozessors nicht an. Es muss darauf hingewiesen werden, dass die Effektivität dieses Features durch die Gruppierung von Prozessoren zum Lastenausgleich eingeschränkt wird. Sie sollten daher sorgfältig überlegen, bevor Sie die Prozessoraffinitätseinstellungen für Anwendungen konfigurieren.
Überblick über Active Directory-Änderungen
Der Active Directory-Domänendienst weist in R2 viele neue Features auf. Wenn Sie mit R2 arbeiten und das Betriebssystem auf allen Domänencontrollern in allen Domänen der Active Directory-Gesamtstruktur bereitgestellt haben, dann können die Domänen auf der Funktionsebene der R2-Domänen und die Gesamtstruktur auf der Funktionsebene der R2-Gesamtstruktur arbeiten. Diese neuen Funktionsebenen ermöglichen es Ihnen, die Vorteile der Active Directory-Erweiterungen zu nutzen, welche die Verwaltung, Leistung und Wartbarkeit verbessern.
Eine der wichtigsten Verbesserungen ist der Active Directory-Papierkorb. Dieses Feature ermöglicht es Administratoren, ein versehentliches Löschen von Active Directory-Objekten rückgängig zu machen. Wenn Sie den Papierkorb aktivieren, werden alle Attribute eines gelöschten Objekts gespeichert, sodass das Objekt in dem Zustand wiederhergestellt werden kann, in dem es sich vor der Löschung befand, ohne dass eine autorisierte Wiederherstellung durchgeführt werden muss. Dieser Ansatz unterscheidet sich grundlegend von früheren Implementierungen, in denen gelöschte Objekte nur durch eine autorisierte Wiederherstellung zurückgewonnen werden konnten. Wenn früher ein Objekt gelöscht wurde, dann wurden die meisten Attribute dieses Objekts, deren Wert kein Link war, gelöscht, und alle Attribute, deren Wert ein Link war, wurde entfernt. Dies hatte zur Folge, dass sich ein gelöschtes Objekt zwar wiederherstellen ließ, es aber nicht in seinem vorherigen Zustand wiederhergestellt wurde.
Verwaltete Konten sind eine weitere wichtige Verbesserung. In erfolgsentscheidenden Anwendungen werden oft Dienstkonten verwendet. Auf einem lokalen Computer können Sie Anwendungen so konfigurieren, dass sie von integrierten Benutzerkonten ausgeführt werden, beispielsweise vom lokalen Dienstkonto oder vom lokalen Systemkonto. Diese Konten werden jedoch von mehreren Anwendungen gemeinsam genutzt und können nicht auf Domänenebene verwaltet werden. Wenn Sie Anwendungen für die Verwendung von Domänenkonten konfigurieren, können Sie die Berechtigungen für die Anwendung isolieren, müssen dann aber die Kontokennwörter und alle für die Kerberos-Authentifizierung erforderlichen Dienstprinzipalnamen (SPN, Service Principal Name) von Hand verwalten.
Um den mit der Verwaltung von Dienstkonten verbundenen Aufwand zu verringern, unterstützt R2 zwei neue Typen von verwalteten Konten:
- Verwaltete Dienstkonten
- Verwaltete virtuelle Konten
Verwaltete Dienstkonten sind ein spezieller Typ von Domänenbenutzerkonten für verwaltete Dienste, das das Auftreten von Dienstausfällen und anderen Problemen verringert, indem Windows die Verwaltung des Kontokennworts und der zugehörigen Dienstprinzipalnamen überlassen wird. Verwaltete virtuelle Konten sind ein spezieller Typ von lokalen Benutzerkonten für verwaltete Dienste, die es ermöglichen, mit einer Computeridentität in einer Domänenumgebung auf das Netzwerk zuzugreifen.
Bei den verwalteten Dienstkonten wird tatsächlich ein Konto erstellt, das standardmäßig in der Organisationseinheit "Verwaltete Dienstkonten" in Active Directory gespeichert wird. Als Nächstes wird das verwaltete Dienstkonto auf einem lokalen Server installiert, um es dem Konto als lokaler Benutzer hinzuzufügen. Schließlich wird der lokale Dienst so konfiguriert, dass er das Konto verwendet.
Bei virtuellen Konten wird ein lokaler Dienst so konfiguriert, dass er mit einer Computeridentität in einer Domänenumgebung auf das Netzwerk zugreift. Weil die Computeridentität verwendet wird, muss kein Konto erstellt werden und ist auch keine Kennwortverwaltung erforderlich.
R2 besitzt keine Benutzerschnittstelle zum Erstellen und Verwalten dieser Konten. Sie müssen zu deren Verwaltung das Active Directory-Modul für Windows Powershell verwenden.
In R2 können Sie auch die Vorteile der neuen Authentifizierungssteuerelemente nutzen. Durch das Feature Authentication Mechanism Assurance (Sicherung des Authentifizierungsmechanismus) wird der Authentifizierungsprozess verbessert, da Administratoren den Zugriff auf Ressourcen jetzt auf der Grundlage kontrollieren können, ob der Benutzer eine zertifikatbasierte Anmeldemethode verwendet hat. Einem Benutzer kann ein Satz von Zugriffsberechtigungen zugewiesen werden, der gilt, wenn er sich mit einer Smartcard anmeldet, und einen anderer Satz, der gilt, wenn er sich nicht mit einer Smartcard anmeldet.
Schließlich lässt R2 Offline-Domänenbeitritte zu, ohne dass hierzu die Funktionsebene von Domäne oder Gesamtstruktur angehoben wird. Durch einen Offline-Domänenbeitritt können Administratoren Computerkonten in der Domäne vorab einrichten, um Betriebssysteme auf die Bereitstellung vorzubereiten. Vorab eingerichtete Computer können dann der Domäne beitreten, ohne einen Domänencontroller zu kontaktieren. Das Befehlzeilenprogramm zum Einrichten dieser Konten heißt Djoin.exe.
Einführung in Branch-Caching
Windows BranchCache ist ein Feature zum Zwischenspeichern von Dateien, das mit dem intelligenten Hintergrundübertragungsdienst (BITS) zusammenarbeitet. In einer Domänenumgebung, in der auf Desktopcomputern Windows 7 und auf Servern R2 ausgeführt wird, können Administratoren das Branch-Caching aktivieren, damit Desktopcomputer Dokumente und andere Dateien aus dem lokalen Cache abrufen können und nicht Dateien von Remoteservern laden müssen.
Weil beim Branch-Caching Dateien unter Verwendung von HTTP übertragen und SMB (Server Message Block) übertragen werden, können von Intranet-Webservern und internen Dateiservern übertragene Dateien zwischengespeichert werden. Die grundlegende Arbeitsweise von Branch-Caching lässt sich wie folgt beschreiben:
- Wenn das Branch-Caching aktiviert wurde und zum ersten Mal auf eine Datei von einer Intranet-Website oder einem Dateiserver zugegriffen wird, überträgt Windows die Datei vom Ursprungsserver und speichert sie dann lokal am Standort zwischen.
- Wenn derselbe oder ein anderer Benutzer zu einem späteren Zeitpunkt auf die Datei zugreift, sucht Windows im lokalen Cache nach der Datei. Wenn die Datei gefunden wird, fragt Windows den Ursprungsserver ab, um zu ermitteln, ob die Datei seit ihrer Zwischenspeicherung verändert wurde.
- Wurde die Datei nicht verändert, dann ruft Windows die Datei vom lokalen Cache ab, sodass sie nicht über das WAN übertragen werden muss.. Wenn die Datei verändert wurde, ruft Windows die Datei vom Ursprungsserver ab und aktualisiert die Kopie im Cache.
Das Branch-Caching lässt sich für die Verwendung eines verteilten Cachemodus oder eines Host-Cachemodus konfigurieren. Bei Verwendung des verteilten Cachemodus verwalten Desktopcomputer mit Windows 7 verteilte Dateicaches. Hier ist kein Branch-Server erforderlich, weil jeder lokale Computer Dateien zwischenspeichert und aussendet. Im Host-Cachemodus verwaltet ein Server, auf dem R2 ausgeführt wird und der sich in der lokalen Niederlassung befindet, den lokalen Dateicache. Der Server speichert die Dateien zwischen und sendet sie an die Clients. Durch das Branch-Caching lassen sich die Antwortzeiten enorm verbessern und die Übertragungszeiten von Dokumenten, Webseiten und Multimediainhalten drastisch reduzieren.
Zusammenfassung
Nach einer Übersicht über die verfügbaren Windows Server 2008 R2 Editionen bis zu einer kurzen Tour durch neue Features sind wir am Ende angekommen. Ich hoffe, Sie finden diese Einführung hilfreich und sehen sich eines meiner neuen Bücher an: "Windows PowerShell 2.0 Administrator's Pocket Consultant", "Windows 7 Administrator's Pocket Consultant" und "Windows Server 2008 Administrator's Pocket Consultant, 2nd Edition".
William R. Stanek*(williamstanek.com) ist ein führender Technologieexperte, ein sehr guter Schulungsleiter und der preisgekrönte Autor von mehr als 100 Büchern. Unter Anderem sind folgende Bücher von ihm aktuell bzw. in Kürze auf dem Markt: "Active Directory Administrator's Pocket Consultant" "Group Policy Administrator's Pocket Consultant", "Windows 7 Administrator's Pocket Consultant" (Windows 7 – Taschenratgeber für Administratoren, "Windows PowerShell 2.0 Administrator's Pocket Consultant" und "Windows Server 2008 Inside Out". Verfolgen Sie Stanek auf Twitter unter WilliamStanek.*