IIS 2019 überwachen und Protokolldateien konfigurieren

Doppelklicken Sie im Internetinformationsdienste-Manager auf das Feature Ablaufverfolgungsregeln für Anforderungsfehler, können Sie Regeln erstellen, mit denen Sie die fehlerhaften Zugriffe auf den Server überwachen.

Neue Regeln lassen sich über das Kontextmenü oder den Aktionen-Bereich erstellen. Das Feature ist aber erst verfügbar, wenn Sie die Rollendienste Ablaufverfolgung und Anforderungsüberwachung bei Systemzustand und Diagnose installieren.

Neben der Ablaufverfolgung für fehlerhafte Anforderungen, können Sie auch den normalen Betrieb von IIS protokollieren. Dazu steht der Punkt Protokollierung auf der Startseite des Internetinformationsdienste-Managers zur Verfügung.

Über das Feature Arbeitsprozesse auf der Startseite des Internetinformationsdienste-Managers werden die laufenden Prozesse sowie deren Ressourcenverbrauch angezeigt. Anwendungspools können dabei auch mehrere Arbeitsprozesse, oft auch als Worker Processes bezeichnet, starten. Die eigentlichen Websites, sei es in Form von simplen statischen Websites oder als komplexe webbasierende Anwendungen, werden über diese Worker Processes abgewickelt, die eine Art von Mini-Webservern sind.

Diese Arbeitsprozesse nutzen die Dienste der zentralen Komponenten, agieren also aus Sicht der Anwendungen als Webserver. Die Verwaltungskomponente überwacht den Status der Arbeitsprozesse, löscht sie, wenn sie nicht mehr erforderlich sind und kann sie neu starten, wenn Fehler in diesen Prozessen auftreten.

Leistungsdichte in Hochschulrechenzentren steigt weiter an

Steigende Leistungsdichten von IT-Systemen stellen die typische Luftkühlung immer mehr vor Herausforderungen. Wasser als Kühlmittel ermöglicht einen gleichmäßigen Wärmetransport und kann eine große Wärmemenge abführen. Außerdem ist die Wasserkühlung effizienter. Aus diesen Gründen hat sie sich in der Vergangenheit im Automobil bei immer weiter steigenden Leistungsdichten der Motoren vollständig durchgesetzt. Auch für IT-Systeme werden seit einigen Jahren mehr und mehr flüssigkeitsbasierte Lösungen angeboten. Bislang werden diese vor allem im High Performance Computing bei Hochschul- und Forschungsrechenzentren eingesetzt, wie eine NeRZ-Befragung bei Rechenzentrumsbetreibern ergab.

Hochschul- und Forschungsrechenzentren erwarten auch für die Zukunft mehrheitlich steigende Leistungsdichten ihrer IT-Systeme: Mehr als 50% der Betreiber solcher Rechenzentren gehen davon aus, dass sie im Jahr 2025 mehr Server betreiben, aber 85 % gehen von gleichbleibender oder sinkender IT-Fläche in ihrem Rechenzentrum aus (siehe Grafik). 

Es ist also zu erwarten, dass aufgrund der dargestellten Vorteile in Zukunft immer mehr IT-Systeme mit Wasserkühlung in Hochschul- und Forschungsrechenzentren betrieben werden. NeRZ-Mitglied Thomas Krenn bietet mit seinem Hot-Fluid-System ein innovatives Kühlkonzept für Server und andere RZ-Komponenten an, das Flüssigkühlung und die Möglichkeit der Abwärmenutzung verbindet. Das Kühlwasser mit einer Temperatur von 55°C oder mehr kann sehr gut für Zwecke der Heizung oder Warmwasserversorgung genutzt werden. Auch eine Kombination mit einer Adsorptionskältemaschine wäre möglich. NeRZ-Mitglied InvenSor stellt entsprechende Lösungen zu Verfügung.

Weitere Informationen zum Thema Energieeffizienz in Rechenzentren: www.ne-rz.de

Freigegebene Konfiguration in IIS

Die Konfiguration dieser Funktion erfolgt im Internetinformationsdienste-Manager im Abschnitt Verwaltung über das Feature Freigegebene Konfiguration (Shared Configuration)

Im angegebenen Ordner müssen sich alle Konfigurationsdateien von IIS befinden. Erst dann lässt sich die Konfiguration durchführen. Aus diesem Grund bietet es sich vor der Konfiguration der freigegebenen Konfiguration an, zunächst Einstellungen auf einem Webserver vorzunehmen und dann über den Link Konfiguration exportieren in den Einstellungen für die freigegebene Konfiguration die notwendigen Installationsdateien in eine Netzwerkfreigabe zu exportieren.

Beim Exportieren werden folgende Daten berücksichtigt:

  • config– Diese Datei enthält die Servereinstellungen für den Internetinformationsdienste-Manager.
  • config– Diese Datei enthält die Einstellungen auf Serverebene.
  • key– Diese Datei enthält den Verschlüsselungsschlüssel für den Zugriff auf die freigegebene Konfiguration. Alle Computer, welche die gemeinsame Konfiguration nutzen, importieren diesen Schlüssel und speichern ihn lokal.

Wird die freigegebene Konfiguration auf einem Server aktiviert, muss das Kennwort angegeben werden, dass beim Exportieren konfiguriert wurde. Erst dann wird diese Konfiguration übernommen. Nachdem die gemeinsame Konfiguration aktiviert wurde, sollten Sie den Internetinformationsdienste-Manager schließen und den Dienst IIS-Verwaltungsdienst neu starten

Active Directory in Windows Server 2019

Zur Domänenaufnahme starten Sie am schnellsten „sysdm.cpl“ im Startmenü. Klicken Sie danach auf der Registerkarte Computername auf Ändern. Geben Sie bei Computername den Namen des Computers ein, den er später in der Domäne erhalten soll. Aktivieren Sie dann die Option Domäne bei Mitglied von und tragen Sie den DNS-Namen der Domäne ein, welcher der Client beitreten soll.

Als letztes müssen Sie sich noch an der Domäne authentifizieren. Bei erfolgreicher Eingabe wird der Server in die Domäne aufgenommen. Wie bei den Vorgängerversionen von Windows müssen Sie den Server nach der Domänenaufnahme neu starten.

Haben Sie den Server nach der Domänenaufnahme neu gestartet, melden Sie sich mit einem Benutzernamen an der Domäne an.

Sie können Server auch in der PowerShell benennen, neu starten und in Domänen aufnehmen. Dazu verwenden Sie die Cmdlets

  • Rename-Computer-Name [Computername]
  • Add-Computer-DomainName [Domänenname]
  • Restart-Computer

Domänenaufnahme testen

Auf dem Domänencontroller öffnen Sie in Windows Server 2019 den Server-Manager und dann über das Menü Tools das Snap-In Active Directory-Benutzer und -Computer. Hier sehen Sie in der OU Computers den neuen Server und können dessen Eigenschaften aufrufen. Auf der Registerkarte Betriebssystem sehen Sie den Stand des Betriebssystems.

Um sich mit einem Windows Server 2019-Server an Active Directory anzumelden, klicken Sie auf Anderer Benutzer. Geben Sie bei der ersten Anmeldung den Benutzernamen in der Syntax <NetBIOS-Name der Domäne>\<Benutzernamen> ein, wenn es den gleichen Benutzernamen auch auf dem lokalen Server gibt. Ist der Anmeldename in der Domäne auf dem Server nicht vorhanden, reicht auch die Anmeldung über den Benutzernamen.

Öffnen Sie nach der Anmeldung an der Domäne über das Kontextmenü der Netzwerkeinstellungen und der Auswahl von „Netzwerk- und Interneteinstellungen“ das Netzwerk- und Freigabecenter, sehen Sie ebenfalls den Domänenstatus des Servers. Sie können auch einfach auf das Netzwerksymbol klicken, um den Domänenstatus anzuzeigen. Im Netzwerk- und Freigabecenter sehen Sie ebenfalls die Anbindung an Active Directory.

NIC-Teams auf Core-Server und in der PowerShell erstellen

Auch Core-Server unterstützen NIC-Teams. Hier können Sie die Einrichtung entweder über den Server-Manager von einem anderen Server aus durchführen, oder Sie verwenden die PowerShell.

In der PowerShell können Sie sich mit Get-NetAdapter die einzelnen möglichen Team-Adapter anzeigen lassen, und mit Enable-NetAdapter beziehungsweise Disable-NetAdapter einzelne Adapter aktivieren oder deaktivieren. Alle Cmdlets für die Verwaltung von NIC-Teams lassen Sie sich mit Get-Command -Module NetLbfo anzeigen. Eine Hilfeseite lässt sich zum Beispiel mit Get-Help New-NetLbfoTeam öffnen.

Um ein neues Team zu erstellen, verwenden Sie das Cmdlet New-NetLbfoTeam <Name des Teams> <Kommagetrennte Liste der Netzwerkkarten>. Bei Leerzeichen im Namen setzen Sie den gesamten Namen Anführungszeichen. Den Namen der Adapter erfahren Sie am schnellsten, wenn Sie Get-NetAdapter in der PowerShell eingeben. Haben Sie das Team erstellt, lassen Sie mit Get-NetLbfoTeam die Einstellungen anzeigen, und mit Set-NetLbfoTeam ändern Sie Einstellungen.

Beispiele für das Ändern sind folgende Befehle:

  • Set-NetLbfoTeamTeam1 TeamingMode LACP
  • Set-NetLbfoTeam Team1 TM LACP
  • Set-NetLbfoTeam Team1 LoadBalancingAlgorithm HyperVPorts
  • Set-NetLbfoTeam Team1 LBA HyperVPorts

Teams können Sie auch umbenennen. Dazu verwenden Sie entweder den Server-Manager oder die PowerShell und den Befehl:

Rename-NetLbfoTeam <Alter Name> <Neuer Name

Decathlon erzeugt grünen Strom für Logistikzentrum

Schwetzingen. Seit Juli wird das 40.000 Quadratmeter umfassende Logistikzentrum des Sportartikelherstellers Decathlon in Schwetzingen mit regenerativem Strom vom Dach des Gebäudes betrieben. Hier werden rund 750.000 Kilowattstunden im Jahr produziert. Diese verwendet der Sport-Experte für die schnellstmögliche Bearbeitung der Lieferungen sowie für den Betrieb der angrenzenden Filiale.

„Wir nutzen die selbst erzeugte Energie für unsere teilautomatisierten Hochregallager, für PC-Arbeitsplätze, Beleuchtung und um unsere Elektro-Gabelstapler aufzuladen“, fasst Projektleiter Recep Sari zusammen. Im größten Logistikzentrum von Decathlon in Deutschland arbeiten 750 Mitarbeiter. Diese bedienen die Logistik des gesamten Sortiments, rund 35.000 verschiedene Artikel für fast 100 Sportarten. Beliefert werden von hier aus der Großteil der 52 Filialen in Deutschland sowie einige Filialen in den Niederlanden und der Schweiz. Außerdem erhalten auch alle deutschen Online-Kunden ihre Pakete aus Schwetzingen.

Rund 350.000 Kilowattstunden des erzeugten Stroms verbraucht Decathlon selbst. Die restlichen etwa 400.000 Kilowattstunden werden ins öffentliche Netz eingespeist. Durchschnittlich 11 Cent pro Einheit werden hier für die nächsten 20 Jahre vom Versorger vergütet. „Wirtschaftlich lohnen sich solche Anlagen für den Kunden auf jeden Fall“, konstatiert Björn Lamprecht, der das Projekt mit seinem Team von Goldbeck Solar realisierte. Zwischen sechs und zehn Jahren dauert die Amortisierung, danach erwirtschaftet die Dachanlage nur noch Gewinn. Lamprecht: „Schön ist auch, dass sich Besitzer einer PV-Anlage vom Angebot der Energieversorger unabhängig machen. Ein weiteres Kriterium, warum sich Decathlon und andere für ein Sonnenkraftwerk entscheiden ist die Planbarkeit bei den Stromkosten.“ Rund 40 Solar-Dächer deckt das Solarunternehmen in Deutschland pro Jahr. Der hier erzeugte Strom kostet zwischen vier und acht Cent. Im Gegensatz zu den oftmals 18 Cent, die beim Stromversorger fällig werden. Positiv weil negativ ist auch die CO2-Bilanz: 437 Tonnen Kohlenstoffdioxyd werden im Jahr eingespart.

Nachhaltigkeit ist bei Decathlon Teil der Firmenphilosophie: „Verschiedene Bausteine machen bei uns Verantwortung aus. Der Schutz der Umwelt ist ein Teil davon. Es war nur eine Frage der Zeit, bis wir auch das Thema Solarenergie angehen“, konstatiert Sari. Taten statt Worte ließen die Sport-Experten schon im Jahr 2012 sprechen. Beim Neubau der modernen Logistikhalle wurde eine PV-Anlage bereits in der Planung berücksichtigt. So waren 2018 Statik und Windlasten kein Problem. „Das ist der Idealfall“, freut sich Lamprecht. Bauherren sollten ihre Industrie- und Logistikgebäude möglichst zukunftsfähig und flexibel aufstellen“, rät der Geschäftsführer und Chef von 90 Mitarbeitern.

Windows Defender Application Guard

Windows Defender Application Guard kann einzelne Sitzungen in Microsoft Edge über Hyper-V virtualisieren und dadurch sicherstellen, dass Malware nicht über das Internet auf einen PC übertragen werden kann. Für den Einsatz sind Windows 10 Pro oder Windows 10 Enterprise notwendig, am besten in der Version Windows 10 ab Version 1803. Der Betrieb von WDAG erfolgt nicht in einer VM, und Sie müssen auch nicht Hyper-V konfigurieren. Hyper-V muss zusammen mit WDAG aber installiert sein, damit WDAG genutzt werden kann. Die Konfiguration von WDAG kann über Gruppenrichtlinien erfolgen.

Auf englischen Windows 10-Versionen sind die dazugehörigen Einstellungen über „Computer Configuration\Administrative Templates\Windows Components\Windows Defender Application Guard“ zu finden. Auf deutschen Rechnern befindet sich die entsprechende Einstellung bei „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defender Application Guard“. Bis zum April 2018 Update von Windows 10, also Windows 10 Version 1803 ist der Download von Dateien in einer WDAG-Sitzung von Microsoft Edge nicht möglich. Ab Windows 10 Version 1803 kann über Gruppenrichtlinien gesteuert werden, ob in Application-Guard-Fenstern der Download von Dateien erlaubt sein soll.

Microsoft Edge mit Windows Defender SmartScreen schützen

Zu finden sind die Einstellungsmöglichkeiten über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge“. Für die Steuerung in Active Directory müssen jeweils die aktuellen Gruppenrichtlinienvorlagen installiert werden. Hier lassen sich Cookies verbieten, oder die Skriptausführung in Edge blocken. Außerdem kann hier festgelegt werden, dass keine Erweiterungen installiert werden dürfen. Dazu wird die Richtlinieneinstellung „Erweiterungen zulassen“ deaktiviert. 

Mit Windows Defender SmartScreen kann Windows 10 verschiedene Bereiche des Betriebssystems schützen. Dazu gehören Apps, die Anwender installieren oder aus dem Store herunterladen, aber auch Webseiten und Downloads, die mit Microsoft Edge genutzt werden. Die Einstellungen dazu sind über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender SmartScreen“ zu finden. Hier kann der Schutz von Windows, aber auch von Microsoft Edge gesteuert werden. Zusammen mit Windows Defender System Guard stellt auch diese Defender-Erweiterung eine wichtige Grundlage für den Schutz von Windows 10 mit Bordmitteln darf. Neben diesem Schutz verfügt Microsoft Edge in Windows 10 noch über den Schutz mit Windows Defender Application Guard, den wir nachfolgend besprechen.

Wenn der Use Case in der Palette steckt

Die Logistik wird komplexer: Da ist der private Endverbraucher, der immer genauer wissen will, wo sein T-Shirt herkommt. Da ist der Lagerleiter, der auch in Hochlastzeiten planen und Prozesse verbessern will. Da ist der Compliance-Chef, der alles bis ins Kleinste dokumentiert haben muss. Die Antwort auf diese Herausforderungen? Mobile Lösungen. Mit mobilen Geräten und Software-Lösungen rüsten sich Unternehmen für die Zukunft, denn diese ist digital.

Das weite Feld der mobilen Datenerfassung (MDE) reicht heute vom mobilen Datenendgerät, mit dem der Kommissionierer Artikel abfragt, ins System aufnimmt und Warenbewegungen quittiert, über standortbasierte Routenplanung bis zu Augmented Reality. Wie hoch ein Unternehmen technologisch aufrüsten mag, hängt vom Einzelfall ab. Sicher ist: Unternehmen jeder Größe profitieren unter drei verschiedenen Aspekten.

Effizienz durch stringente digitale Prozesse

Punkt eins ist die erhöhte Effizienz. Dazu ein ganz handfestes Beispiel aus dem Alltag im Lager: Der Mitarbeiter soll einen Kommissionierauftrag durchführen. Die Informationen dazu stammen aus dem SAP-System. Der Kommissionierauftrag wird im Büro ausgedruckt und vom Mitarbeiter abgeholt. Nachdem dieser Vorgang abgeschlossen ist, bringt der Mitarbeiter den Zettel – im Worst Case mit handschriftlich vermerkten Abweichungen – zurück ins Büro. Dort wird der Zettel abgetippt und der Auftrag im System quittiert. Er läuft Wege, die nicht nötig wären. Der Kollege im Büro macht zum Ende der Schicht ab und zu Fehler beim Abtippen der Papieraufträge. Und für das Gesamtsystem am schlimmsten: Die Daten sind erst mit enormer Verzögerung im System vorhanden und damit vorher für Folgeprozesse nicht nutzbar.

Schneller und einfacher geht es, wenn der Kollege im Lager über sein mobiles Gerät direkt alle offenen Kommissioneraufträge (womöglich noch in optimierter Reihenfolge) abrufen und abarbeiten kann. Grundsätzlich können solche Geräte zur mobilen Datenerfassung in der Hand gehalten, am Handgelenk oder auf dem Stapler befestigt werden. Sie ermöglichen nicht nur mehr Tempo, sondern auch mehr Genauigkeit, denn die Bestände müssen nicht mehr zusätzlich abgeglichen werden. Es treten weniger Fehler in der Kommissionierung auf und Folgeprozesse funktionieren reibungsloser.

Kundenzufriedenheit mittels Software und mobilen Endgeräten sicherstellen

Punkt zwei hängt eng mit dem ersten Punkt zusammen und bezieht sich auf die Kundenzufriedenheit. Salopp formuliert: Je schneller die Lieferung und je weniger Fehler, desto glücklicher der Kunde.

Häufige Annahme: „Um die Prozesse im Lager so hinzubekommen wie Amazon oder Zalando muss ich Unsummen investieren.“ Im heutigen Smartphone-Zeitalter stimmt das nicht mehr: Geräte zur mobilen Datenerfassung werden günstiger, Anwendungsentwicklung mit der richtigen Plattform wird plötzlich agil und schnell. So ist es möglich, den gesamten Warenfluss innerhalb eines Unternehmens zu digitalisieren und zu optimieren. Für ein Unternehmen, das sich Kundenorientierung auf die Fahne schreibt, ein absolutes Muss.

Mitarbeiterzufriedenheit stärken durch mobilen und zeitgemäßen Arbeitsplatz

Der dritte Punkt kreist um die Zufriedenheit der Mitarbeiter. Rund drei von vier Mitarbeitern fordern heute einen zeitgemäßen und mobilen Arbeitsplatz. Das belegt eine Studie des Marktforschers Crisp unter mehr als 400 Entscheidern („Digitale Arbeitsplatzgestaltung“, Crisp Research 2018). Die Studie untermauert die These, dass Menschen die Technologie, die sie privat nutzen, auch im Job vorfinden wollen.

Berechtigungs-Probleme für Drucker auf Remotedesktop-Sitzungshosts lösen

In den meisten Fällen liegt ein Berechtigungsproblem mit dem Verzeichnis „C:\Windows\System32\Spool“ vor, wenn das Drucken auf einem Remotedesktop-Sitzungshost nicht funktioniert.

Rufen Sie die Eigenschaften des Verzeichnisses auf, wechseln Sie auf die Registerkarte „Sicherheit“ und klicken Sie auf „Bearbeiten“. Nehmen Sie entweder eine neue Gruppe auf, welche die Benutzerkonten der Remotedesktop-Benutzer enthält oder verwenden Sie die Benutzer-Gruppe der Domäne. Geben Sie der Gruppe das Recht „Ändern“ auf das Verzeichnis. Starten Sie anschließend den Server neu und testen Sie, ob die Drucker der Anwender funktionieren.

Arbeiten Sie nicht mit dem Easy Printer Driver, sondern mit einem speziellen Treiber für Drucker, müssen Sie darauf achten, dass dieser auch auf dem Remotedesktop-Sitzungshost installiert ist und funktioniert.

Drucker, die viele Anwender verwenden, können durchaus auch direkt auf dem Remotedesktop-Sitzungshost installiert werden. In diesem Fall müssen Sie aber auf den korrekten Treiber, die entsprechende Version und die korrekten Einstellungen in den Gruppenrichtlinien achten.

In manchen Umgebungen haben Anwender nicht genügend Rechte um Drucker zu verbinden, oder um Druckaufträge zu starten. Solche Rechte sind dann auch die Ursache, dass die komplette Druckerumleitung nicht funktioniert, unabhängig welche Einstellungen Sie vorgenommen haben.

Wenn Sie den Verdacht haben, solche Probleme in Ihrer Umgebung zu haben, sollten Sie die Ereignisanzeige überprüfen. Sie finden normalerweise „Zugriff verweigert“-Meldungen, wenn dieses Problem vorliegt. Die Anwender selbst sehen diese Meldung nicht, sondern können nur feststellen, dass die Drucker nicht verbunden wurden.

Um das Problem zu lösen, müssen Sie auf dem Server einige Einstellungen vornehmen und Rechte ändern. Öffnen Sie dazu den Windows Explorer und navigieren zu „C:\Windows\System32\Spool\Printers“. Rufen Sie die Eigenschaften des Verzeichnisses auf und wechseln Sie auf die Registerkarte „Sicherheit“. Fügen Sie die Gruppe „Jeder“ hinzu. Testen Sie, ob die Anwender jetzt Dokumente drucken können. Funktioniert die Verbindung nicht, überprüfen Sie die Rechte der Benutzer-Gruppe und passen Sie diese entsprechend an. Testen Sie zunächst ob lesender Zugriff ausreicht und geben Sie danach schreibenden Zugriff auf das Verzeichnis.