Alle Beiträge von Thomas Joos

Die Zertifizierungsstellentypen und -Aufgaben verstehen

Bei der Installation der Active Directory-Zertifikatdienste wählen Sie aus, ob der Typ Unternehmen oder Eigenständig installiert werden soll. Wählen Sie Unternehmen aus, integriert Windows die Zertifikatdienste in Active Directory. Außerdem verteilt eine Zertifizierungsstelle (Certificate Authority, CA) das Zertifikat für die vertrauenswürdigen Stammzertifizierungsstellen auf den Computern automatisch über eine Gruppenrichtlinie. 

Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser Zertifizierungsstelle wird dazu auf den Clientcomputern und Mitgliedsservern in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen integriert.

Damit der Server fehlerfrei Zertifikate ausstellen kann, muss er Mitglied der Gruppe Zertifikateherausgeber sein. Diese Gruppe befindet sich in der OU Users.

Innerhalb einer Unternehmenszertifizierungsstelle werden die Zertifikate auf Basis von Zertifikatvorlagen ausgestellt. Sie können in der Verwaltungskonsole certsrv.msc und certtmpl.msc jederzeit weitere Vorlagen erstellen.

Die Zertifikatvorlagen verwalten Sie aber hauptsächlich mit dem Snap-In Zertifikatvorlagen. Dieses startet, wenn im Kontextmenü Zertifikatvorlagen in der Verwaltungskonsole Zertifizierungsstelle auf den Menüpunkt Verwalten klicken. Direkt starten Sie die Verwaltung durch die Eingabe von certtmpl.msc im Startmenü. Neben den Standardvorlagen, gibt es noch zahlreiche weitere, die über die Verwaltungskonsole konfiguriert und aktiviert werden können.

Jede Zertifikatvorlage verfügt über eine eigene Sicherheitsverwaltung, die Sie über das Kontextmenü in den Eigenschaften auf der Registerkarte Sicherheit aufrufen. Erstellen Sie Zertifikate auf Basis der Zertifikatvorlagen, können die Zertifikatdienste die Daten und den Namen des Antragstellers automatisch aus Active Directory auslesen.

Zertifikate im IIS-Manager abrufen

Sie können neben der Zertifikateverwaltung auch den IIS-Manager auf einem Server nutzen:

  1. Öffnen Sie den IIS-Manager über das Menü Tools im Server-Manager.
  2. Klicken Sie auf den Servernamen.
  3. Doppelklicken Sie auf das Feature Serverzertifikate im mittleren Bereich der Konsole. Hier sehen Sie alle Serverzertifikate, die Sie verwenden können, damit sich Anwender per SSL verbinden können.
  4. Klicken Sie im Bereich Aktionen auf Zertifikatanforderung erstellen. Alternativ können Sie auch Domänenzertifikat erstellen auswählen, wenn Sie mit den Active Directory-Zertifikatdiensten arbeiten. Die folgenden Fenster sind dabei identisch. 

Geben Sie im neuen Fenster den Namen des Zertifikats ein. Achten Sie darauf, dass der Name, den Sie im Feld Gemeinsamer Name eingeben, dem Servernamen entspricht, mit dem Anwender auf den Server zugreifen. Verwenden Anwender für den Zugriff einen anderen Namen als den gemeinsamen Namen des Zertifikats, erhalten die Anwender eine Zertifikatewarnung, die besagt, dass das Zertifikat für eine andere Seite ausgestellt ist.

Windows Server Virtual Machine Licensing

Die Lizenzierung in Windows Server 2019 erfolgt nicht auf Basis der CPUs, wie in Vorgängerversionen bis Windows Server 2012 R2, sondern auf Basis der CPU-Kerne. Das wurde bereits mit Windows Server 2016 geändert. In Hyper-V werden wiederum bei virtuellen Servern die logischen Prozessoren lizenziert, da diese das Pendant zu den physischen Prozessorkernen darstellen. 

Setzen Unternehmen also Server mit mehreren Prozessoren ein, ist pro Kern-Paar jeder CPU eine Lizenz notwendig, egal welche Edition im Einsatz ist.

Lizenzen von Windows Server 2016/2019 sind direkt auf die physische Hardware gebunden. Jede Lizenz deckt zwei physische Prozessorkerne ab. Sie dürfen mit der Standard Edition außerdem bis zu zwei virtuelle Server oder Hyper-V-Container auf dem lizenzierten Host betreiben. Beim Einsatz der Datacenter Edition dürfen Sie so viele virtuelle Server und Hyper-V-Container auf dem Host betreiben, wie die Hardware hergibt.  Welche Edition Sie einsetzen, müssen Sie also ausrechnen.

Hier spielen natürlich auch Faktoren wie Storage Spaces Direct und Storage Replica eine Rolle, genauso wie Shielded-VMs und Funktionen für hyperkonvergente Netzwerke. Alle Unterscheide der Editionen sind auf der Seite https://blogs.technet.microsoft.com/ausoemteam/2018/10/13/windows-server-2019-editions-comparison/ zu finden.

Voraussetzungen für die Verwendung des Offline-Domänenbeitritts

Nur Benutzer, die über die Rechte verfügen Computer einer Domäne hinzuzufügen, können Djoin für den Offline-Beitritt nutzen. Dazu müssen Sie entweder über Domänenadminrechte verfügen, oder ein Administrator muss die entsprechenden Rechte delegieren.

Die Rechte, um Computer in eine Domäne aufzunehmen, können Sie über Gruppenrichtlinien setzen. Bearbeiten Sie dazu unter „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten“ den Wert „Hinzufügen von Arbeitsstationen zur Domäne“. Nehmen Sie hier die Benutzerkonten auf, die über die entsprechenden Rechte verfügen sollen.

Der Offline-Domänenbeitritt erfolgt über das Tool Djoin in der Eingabeaufforderung auf einem Computer unter Windows 7/8/8.1, Windows 10 oder Windows Server 2008 R2/2012/2012 R2 oder Windows Server 2016/2019, der bereits Mitglied der Domäne ist.

Sichern von Active Directory-Zertifikatdiensten

Wählen Sie im Kontextmenü der Zertifizierungsstelle in der Verwaltungskonsole die Option Alle Aufgaben/Zertifizierungsstelle sichern. Anschließend startet der Assistent, über den die Zertifizierungsstelle und deren Daten gesichert werden können.

Auf der nächsten Seite des Assistenten wählen Sie aus, welche Dateien gesichert werden sollen und in welcher Datei die Sicherung abgelegt wird. Anschließend vergeben Sie ein Kennwort für die Sicherung, damit niemand Zugriff auf die Daten erhält. Im Anschluss wird die Zertifizierungsstelle gesichert. Auf dem gleichen Weg lassen sich auch Daten wiederherstellen.

Zertifizierungsstellenverwaltung delegieren

Verwaltungsrollen können an verschiedene Personen in einer Organisation verteilt werden. Die rollenbasierte Verwaltung wird von Unternehmenszertifizierungsstellen und eigenständigen Zertifizierungsstellen unterstützt.

Klicken Sie auf der Registerkarte Zertifikatverwaltungen auf Zertifikatverwaltungen einschränken, und überprüfen Sie, ob der Name der Gruppe oder des Benutzers angezeigt wird. Klicken Sie unter Zertifikatvorlagen auf Hinzufügen und wählen Sie die Vorlage für die Zertifikate aus, die von diesem Benutzer oder dieser Gruppe verwaltet werden sollen. Über Berechtigungen konfigurieren Sie die Rechte auf die einzelnen Gruppen. In Windows Server 2019 sind Zertifikatvorlagen enthalten, die unterschiedliche Registrierungs-Agenttypen aktivieren.

Die Einstellungen für diese Agents werden auf der Registerkarte Registrierungs-Agents durchgeführt. Klicken Sie im Bereich Registrierungs-Agents auf Hinzufügen und geben Sie die Namen des Benutzers oder der Gruppen ein.

Auf der Registerkarte Überwachung werden die zu überwachenden Ereignisse ausgewählt. Die generellen Optionen der Überwachungsrichtlinie können in Gruppenrichtlinie unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien eingestellt werden. Die Ereignisse werden im Überwachungsprotokoll der Ereignisanzeige festgehalten.

 

Alluxio – Open Source Memory Speed Virtual Distributed Storage

Das System wird unter der Apache 2.0-Lizenz bereitgestellt. Es gibt daher eine kostenlose Community Edition. Im Fokus des Systems steht die Anbindung von Big-Data-Lösungen, wie zum Beispiel Hadoop oder anderen Systemen, die große Datenmengen verarbeiten müssen. Dazu verbindet sich die Lösung, mit der Daten verarbeitet werden, mit Alluxio. An Alluxio sind wiederum die verschiedenen Datenquellen angebunden. Alluxio kann diese Daten aus verschiedenen Quellen anschließend für die jeweilige Anwendung bereitstellen.

Alluxio unterstützt zahlreiche Storage-Systeme. Diese müssen nicht unbedingt mit HDFS betrieben werden. Auch Amazon S3 oder Swift werden uneingeschränkt unterstützt. Neben der Anbindung von lokalen Dateisystemen, die Daten für Alluxio zur Verfügung stellen, können parallel auch Clouddienste angebunden werden.

Alluxio hilft dabei Probleme bei der Extraktion von Daten zu lösen. Dazu stellt das Tool eine Brücke zwischen Anwendungen und Speichersystemen bereit, auf denen Daten gespeichert sind. Alluxio vereinfacht die Vorgehensweise für den Datenzugriff und unterstützt Anwendungen dabei unabhängig von Format und Standort auf Daten zuzugreifen.

In vielen Unternehmen wird die Objektspeicherung als wichige Datenquelle für Datenanalyseanwendungen wie Spark, Presto, Hadoop oder Machine Learning/AI-Workloads wie Tensorflow genutzt. Bei der Objektspeicherung kann es sich um Clouddienste wie AWS S3, Azure Blob Storage, Google Cloud Storage, Aliyun OSS, Tencent COS oder um lokale Objektspeicher wie Ceph oder Swift handeln.

Offlinedefragmentation der Active Directory-Datenbank

Bevor Sie eine Offlinedefragmentation durchführen, sollten Sie eine Sicherung des Systemstatus Ihres Active Directory durchführen. Wie bei der Offlinedefragmentation von Exchange wird zunächst die Datenbank kopiert, dann offline defragmentiert und anschließend zurückkopiert. Stellen Sie daher sicher, dass sich auf dem Datenträger, auf dem Sie die Offlinedefragmentation durchführen, genügend Speicherplatz frei ist. Um eine Offlinedefragmentation durchzuführen, gehen Sie folgendermaßen vor:

  1. Starten Sie den Server im Verzeichnisdienst-Wiederherstellungsmodus
  2. Öffnen Sie eine Eingabeaufforderung und starten Sie Ntdsutil.
  3. Geben Sie anschließend den Befehl activate instance ntds
  4. Geben Sie den Befehl files ein, um zur file maintenance zu gelangen.
  5. Geben Sie den Befehl compact to <Laufwerk:\Ordner> Wählen Sie als Verzeichnis einen beliebigen Ordner auf der Festplatte aus. Ntdsutil kopiert die Datenbankdatei in diesen Ordner und defragmentiert sie.
  6. Wenn keine Fehlermeldungen während der Offlinedefragmentation auftreten, können Sie die Datei dit aus dem Ordner, in welchen sie defragmentiert wurde, zurück in den Datenbankpfad der produktiven Datenbank kopieren. Diesen Vorgang führt Ntdsutil nicht automatisch aus, Sie müssen die Datei manuell kopieren. Sichern Sie die alte Version der ntds.dit aus dem produktiven Datenbankordner. Verschieben Sie die defragmentierte Datei in den produktiven Ordner der Datenbank und überschreiben Sie die alte Version.
  7. Geben Sie in der file maintenance von Ntdsutil den Befehl integrity ein, um die Integrität der Datenbank festzustellen.
  8. Wenn die Integrität der neuen Datenbank sichergestellt ist, können Sie den Domänencontroller ganz normal neu starten. Sollten Fehler auftreten, kopieren Sie die zuvor gesicherte Originalversion zurück und führen Sie einen erneuten Integritätstest durch. Ist der Test diesmal erfolgreich abgeschlossen, versuchen Sie erneut eine Offlinedefragmentation und starten Sie den Test erneut. Sie sollten den Domänencontroller erst in den normalen Modus starten, wenn sichergestellt ist, dass die Datenbank auch konsistent ist.

Vorbereitungen für ein Linux-RAID

Linux unterstützt mehr Software-RAIDs als Windows und macOS. Welches RAID-System Sie nutzen können, hängt meistens von der Anzahl an Festplatten ab, die auf dem System zur Verfügung stehen. Folgende RAID-Systeme stehen zur Verfügung:

RAID 0 – Auch in Linux gibt es die Möglichkeit Software-RAIDs auf Basis der Zusammenfassung von mindestens zwei Datenträger zu einem gemeinsamen Datenträger zu erstellen.

RAID 1 – Festplattenspiegelung mit mindestens zwei Datenträger.

RAID 4 – Funktioniert ähnlich zu RAID 5. Allerdings werden die Paritätsdaten auf einer eigenen Festplatte gespeichert. Daher sind hier mindestens 4 Datenträger notwendig. Der Verlust eines Datenträgers kann kompensiert werden.

RAID 5 – Hier werden drei Festplatten benötigt. Im Gegensatz zu RAID 4 werden die Paritätsdaten auf den drei Festplatten verteilt. Der Verlust von einem Datenträger kann kompensiert werden.

RAID 6 – Mindestens 6 Festplatten sind notwendig. Der Verlust von zwei Festplatten kann kompensiert werden.

RAID 10 – Hier werden die Geschwindigkeitsvorteilte von RAID 0 mit der Datenspiegelung von RAID 1 kombiniert. Es sind mindestens 4 Festplatten notwendig.

IIS 2019 überwachen und Protokolldateien konfigurieren

Doppelklicken Sie im Internetinformationsdienste-Manager auf das Feature Ablaufverfolgungsregeln für Anforderungsfehler, können Sie Regeln erstellen, mit denen Sie die fehlerhaften Zugriffe auf den Server überwachen.

Neue Regeln lassen sich über das Kontextmenü oder den Aktionen-Bereich erstellen. Das Feature ist aber erst verfügbar, wenn Sie die Rollendienste Ablaufverfolgung und Anforderungsüberwachung bei Systemzustand und Diagnose installieren.

Neben der Ablaufverfolgung für fehlerhafte Anforderungen, können Sie auch den normalen Betrieb von IIS protokollieren. Dazu steht der Punkt Protokollierung auf der Startseite des Internetinformationsdienste-Managers zur Verfügung.

Über das Feature Arbeitsprozesse auf der Startseite des Internetinformationsdienste-Managers werden die laufenden Prozesse sowie deren Ressourcenverbrauch angezeigt. Anwendungspools können dabei auch mehrere Arbeitsprozesse, oft auch als Worker Processes bezeichnet, starten. Die eigentlichen Websites, sei es in Form von simplen statischen Websites oder als komplexe webbasierende Anwendungen, werden über diese Worker Processes abgewickelt, die eine Art von Mini-Webservern sind.

Diese Arbeitsprozesse nutzen die Dienste der zentralen Komponenten, agieren also aus Sicht der Anwendungen als Webserver. Die Verwaltungskomponente überwacht den Status der Arbeitsprozesse, löscht sie, wenn sie nicht mehr erforderlich sind und kann sie neu starten, wenn Fehler in diesen Prozessen auftreten.

Freigegebene Konfiguration in IIS

Die Konfiguration dieser Funktion erfolgt im Internetinformationsdienste-Manager im Abschnitt Verwaltung über das Feature Freigegebene Konfiguration (Shared Configuration)

Im angegebenen Ordner müssen sich alle Konfigurationsdateien von IIS befinden. Erst dann lässt sich die Konfiguration durchführen. Aus diesem Grund bietet es sich vor der Konfiguration der freigegebenen Konfiguration an, zunächst Einstellungen auf einem Webserver vorzunehmen und dann über den Link Konfiguration exportieren in den Einstellungen für die freigegebene Konfiguration die notwendigen Installationsdateien in eine Netzwerkfreigabe zu exportieren.

Beim Exportieren werden folgende Daten berücksichtigt:

  • config– Diese Datei enthält die Servereinstellungen für den Internetinformationsdienste-Manager.
  • config– Diese Datei enthält die Einstellungen auf Serverebene.
  • key– Diese Datei enthält den Verschlüsselungsschlüssel für den Zugriff auf die freigegebene Konfiguration. Alle Computer, welche die gemeinsame Konfiguration nutzen, importieren diesen Schlüssel und speichern ihn lokal.

Wird die freigegebene Konfiguration auf einem Server aktiviert, muss das Kennwort angegeben werden, dass beim Exportieren konfiguriert wurde. Erst dann wird diese Konfiguration übernommen. Nachdem die gemeinsame Konfiguration aktiviert wurde, sollten Sie den Internetinformationsdienste-Manager schließen und den Dienst IIS-Verwaltungsdienst neu starten