Problem:

Die Konsole des SBS 2011 zeigt u.U. weiterhin einen Fehler an, obwohl dieser behoben wurde.

Im konkreten Fall war es ein Sicherungsjob der fehl schlug, da der Server just im Moment der Sicherung neu gestartet wurde. Die Konsole meldete nach dem Neustart natürlich einen Fehler. Obwohl alle Probleme behoben und das Backup danach manuell gestartet wurde, meldete die Konsole unter "Sonstige Warnungen" weiterhin einen Fehler.

Lösung:

Lösen Sie zuerst evtl. bestehende Probleme, die Sie den Protokollen entnehmen können. Sollte die Meldung danach weiterhin bestehen, versuchen Sie folgende Möglichkeiten:

Lassen Sie manuell einen zusammengefassten und detaillierten Netzwerkbericht erstellen. Aktualisieren Sie danach die Ansicht der Konsole. Evtl. ist der Fehler schon verschwunden. Falls nicht, schauen Sie in der Fehlermeldung, von welchem Protokoll der Fehler geliefert wird. Gehen Sie danach in die Ereignisanzeige und sichern Sie zunächst das Protokoll, das den Fehler liefert (z.B. BackUp), falls Sie dieses noch mal benötigen. Löschen Sie danach das Protokoll. U.U. ist es auch nötig, dies ebenfalls mit dem System- und Anwendungsprotokoll zu wiederholen. Lassen Sie danach die Netzwerkberichte neu erstellen und aktualisieren Sie die Anzeige.

Wenn alles geklappt hat, sollte die SBS Konsole danach keine Fehler mehr anzeigen, die nicht mehr existent sind.

Diese Vorgehensweise muss nicht immer helfen, führte aber im obigen Fall zum Erfolg.

Unter Umständen kann es vorkommen, dass es bis zu 24h dauert, bis wieder korrekte Meldungen angezeigt werden.

Situation:

SBS 2011 mit Sharepoint 2010. Nach Update auf SP1 für Sharepoint 2010 treten im Protokoll die folgenden Fehler auf:

SharePoint Foundation (ID: 5586)

Unbekannte SQL-Ausnahme ''2812''.
Weitere Fehlerinformationen aus SQL Server finden Sie unten.
Die gespeicherte Prozedur ''proc_UpdateStatisticsNVP'' wurde nicht gefunden.
: Starting
: Dropping automatically created stats on user tables
: Updating statistics on user indices
[...]

Problemlösung:

Wie drückt es Microsoft so schön aus:

This is a known issue that will be fixed in a future release of the product. The error does not affect the functionality of the product in any way and can be safely ignored.

Der Fehler tritt auf, da versucht wird eine Prozedur aufzurufen, die in der Konfigurationsdatenbank nicht existiert. Den kompletten Artikel kann man bei Microsoft nachlesen.

Im Netz gibt es auch Anleitungen, wie man den Fehler mittels Eingriffe in die SQL Datenbank beseitigen kann. In diesem Fall ist aber Ruhe bestimmt die bessere Option. Gerade bei einem SBS 2011 ist man es ja gewohnt, diverse Fehler zu ignorieren. Das härtet ab

Situation:

SBS 2011 Netzwerk. Ein veralteter Client-PC mit Windows XP sollte gegen einen modernen mit Windows 7 ausgetauscht werden.

Das System wurde installiert, alle Daten eingetragen (IP wurde beibehalten) und in die Domain aufgenommen. Der alte Client wurde vorerst nicht aus der Domain entfernt, falls auf diesen noch mal zurückgegriffen werden müsste. Dies sollte erst dann geschehen, wenn der neue Client zu 100% lief und alle nötigen Programme installiert sind, also mit ein paar Tagen verzug. Der neue Client weist bis dato keine Probleme auf.

Auf dem SBS 2011 traten nun folgende Meldungen auf:

DistributedCOM - ID: 10009

DCOM konnte mit dem Computer "" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

sowie

Security-Kerberos 4
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "" empfangen. Der verwendete Zielname war RPCSS/. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne () von der Clientdomäne () unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
 

Der DCOM Fehler trat dabei geballt ca. alle 30 Minuten auf, der Kerberos nur alle paar Stunden.

Problemlösung:

Die Problemlösung war in diesem Fall recht einfach: Auf dem DNS-Server des SBS 2011 waren noch die Einträge/Verweise auf den alten Client aktiv. Dieser hatte zuvor ja die gleiche IP und war auch noch in der Domain vorhanden. Löschen/Neuanlegen bzw. Aktualisieren der DNS Einträge löste das Problem umgehend.

Nachtrag:

Wie oben bereits erwähnt, tritt DCOM ID 10009 oftmals in Verbindung mit DNS Problemen auf. Prüfen Sie also grundsätzlich zuerst, ob Sie falsche/veraltete DNS Einträge auf Ihrem DNS Server haben!

Ausgehend von diesem Artikel (weitere Beschreibung hier bei uns), ist diese Meldung eher als Hinweis, statt als Warnung/Fehler zu sehen. Der "Technische Support" von Microsoft setzt die Meldung (mittels des dort vorgestellten Scripts) standardmässig auf die Liste der zu "ignorierenden Fehler".

Weitere Ansätze von Usern, besonders in anderen Umgebungen, finden Sie u.a. bei EventID.

Folgende Situation:

Auf einem SBS 2011 wurden plötzlich keine Clients mehr in der Netzwerkumgebung angezeigt. Auch der Server selbst wurde nicht mehr gelistet. Es waren nur noch Netzwerkdrucker zu sehen. Auch die Clients selbst sahen im Netzwerk keine Rechner mehr.

Auf die entsprechenden Systeme konnte aber weiterhin durch direkte Eingabe des UNC Pfads zugegriffen werden. Auch liessen sich Netzlaufwerke problemlos verbinden und darüber Daten transferieren.

Die Einstellungen in der Firewall waren alle korrekt und bis zum Auftreten des Ereignisses, waren auch alle Rechner in der Netzwerkumgebung immer zu sehen.

Die Lösung des Problems:

Warum auch immer war in den Diensten der Computerbrowser Dienst (Masterbrowser) deaktiviert. Nach Reaktivierung (Startart automatisch!) dauerte es nur wenige Sekunden und im Netzwerk wurden wieder alle Clients angezeigt.

Kleine Ursache, grosse Wirkung, schnelle Lösung.

Situation:

Exchange 2010 unter einem SBS 2011. Nach Einspielen eines SP oder RU kann es u.U. vorkommen, dass OWA nicht mehr korrekt funktioniert. So wird z.B. die OWA Maske nicht mehr korrekte oder nur teilweise angezeigt. OWA ist dadurch nicht mehr zu benutzen.

In der Adressleiste des Browsers ist folgendes oder ähnliches zu lesen:

https://server/owa/auth/logon.aspx?url=https://server/OWA/&reason=0 (ggf. auch reason=2)

Problemlösung:

Das Problem lässt sich u.U. wie folgt lösen:

Führen Sie in einer Exchange Powershell folgenden Befehl aus:

C:\Program Files\Microsoft\Exchange Server\V14\Bin\UpdateCas.ps1

Danach sollte OWA wieder funktionieren.

Update:

Zur korrekten Ausführung gehen Sie wie folgt vor:

Öffnen Sie die Exchange Management Shell (im Startmenü unter Microsoft Exchange Server 2010) Navigieren Sie nun zunächst in das oben angegeben Verzeichnis: cd "C:\Program Files\Microsoft\Exchange Server\V14\Bin\" Führen Sie nun den folgenden Befehl aus: UpdateCas.ps1 Die Konsole sollte Ihnen nun verschiedene Rückmeldungen ausgeben und den Befehl ausführen

Sollte OWA danach immer noch nicht (korrekt) funktionieren, versuchen Sie das entsprechende RollUp erneut zu installieren, bzw. Deinstallieren Sie es zuvor und installieren es dann erneut.

Unter Umständen kann es passieren, dass Sie beim Öffnen der Exchange 2010 Konsole (bzw. bei der Verbindung zur Datenbank) folgende Fehlermeldung angezeigt bekommen:

Deutsch:

Beim Verbinden mit dem Remoteserver ist folgender Fehler aufgetreten: Die Anforderung kann vom WS-Verwaltungsdienst nicht verarbeitet werden. Das Systemlastenkontingent von 1000 Anforderungen pro 2 Sekunden wurde überschritten. Senden Sie künftige Anforderungen mit einer geringeren Übertragungsrate, oder erhöhen Sie das Systemkontingent. Die nächste Anforderung dieses Benutzers wird mindestens 1883027358 Millisekunden nicht genehmigt. Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".

Englisch:

Connecting to remote server failed with the following error message: The WS-Management service cannot process the request. The user load quota of 3000 requests per 2 seconds has been exceeded. Send future requests at a slower rate or raise the quota for this user. The next request from this user will not be approved for at least 1883027358 milliseconds. For more information, see the about_Remote_Troubleshooting Help topic.

Hinweis: Die Zahlen können bei Ihrer Meldung abweichend sein.

Gehen Sie in diesem Fall wie folgt vor:

Starten Sie den Internetinformationsdienste (IIS)-Manager und wechsel Sie zu den Anwendungspools. Dort Starten Sie MSExchangePowerShellAppPool neu (Wiederverwenden/Starten).

Alternativ können Sie auch den IIS mittel iisreset /NOFORCE neu starten.

Danach sollten Sie sich mittels Verwaltungskonsole wieder zur Datenbank verbinden können.

Beim SBS 2011 werden Rechner, die in die Domain aufgenommen werden, auch automatisch vom WSUS versorgt. Hat man nun aber noch Rechner in einer Arbeitsgruppe, die man ebenfalls vom WSUS automatisch mit Updates versorgt haben möchte, muss man ein wenig Hand anlegen.

Vorteil: Zentrales MS Patchmanagement.

Nachteil: Die von Hand eingebundenen (Arbeitsgruppen) Rechner tauchen nicht in der SBS Konsole auf, sondern sind nur im WSUS selbst zu sehen.

Das Vorgehen ist dabei ganz einfach!

Erstellen Sie eine Textdatei und kopieren Sie in diese folgenden Inhalt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://:8530"
"WUStatusServer"="http://:8530"
"ElevateNonAdmins"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAUShutdownOption"=dword:00000001
"NoAUAsDefaultShutdownOption"=dword:00000001
"AUPowerManagement"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"UseWUServer"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"IncludeRecommendedUpdates"=dword:00000000
"AutoInstallMinorUpdates"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:000005a0
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:0000001e
 

Anstelle von "" tragen Sie bitte den Namen Ihres Servers ein und falls Sie die Ports geändert haben, müssen Sie diese auch noch anpassen. Was die einzelnen Registry-Werte bedeuten und wie Sie diese ggf. für Ihre Umgebung noch anpassen können, können Sie hier nachlesen. Die obigen Werte sollten in aller Regel aber ok sein!

Speichern Sie danach die Textdatei und bennen Sie diese in z.B. "wsus.reg" um!

Nun müssen Sie nur noch auf jedem Client die Datei in die Registry importieren (Doppelklick) und fertig.

Prüfen Sie nach dem Importieren, ob alles geklappt hat:

Starten Sie zunächst den Dienst Windows Update neu Führen Sie danach Windows Update aus

Sollten Probleme auftreten, können Sie einfach den Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate löschen und danach den Dienst Windows Update neu starten und alles ist wieder wie vorher.

Mit Windows 7 Clients klappt dieses Vorgehen wunderbar! Mit anderen Windows Versionen haben wir es bisher noch nicht überprüft.

Nach der Installation einen SBS 2011 (Out-of-the-Box) sind im Systemprotokoll grundsätzlich einige Fehler vorhanden. Viele davon sind by-Design, oder dienen nur als Warnung, oder können einfach ignoriert werden (Zitat: "The error is benign and may be safely ignored."). Andere wiederrum kann man durch Nacharbeiten eliminieren.

Als Faustregel kann man sich merken: Solange die Übersicht der Konsole keine Fehler meldet, läuft das System in der Regel rund. Die gemeldeten Ereignisse haben dann oftmals keinen Einfluss auf den laufenden Betrieb. Dennoch sollten gemeldete Fehler/Probleme grundsätzlich im Auge behalten werden!

Des Weiteren ermöglicht der SBS über Monitoring, sich Berichte erstellen zu lassen. Diese kann man sich per E-Mail zuschicken lassen, sodass man schnell und einfach einen Überblick über den Zustand seines SBS 2011 hat.

Leider bietet das Monitoring ab Werk aber keine Filtermöglichkeit, sodass hier prinzipiell immer alle Fehlermeldungen des Systemprotokolls aufgeführt werden. Gerade bei wiederkehrenden Fehlern, die entweder als Warnung zu verstehen, oder nicht weiter wichtig sind, kann man so recht schnell den Überblick verlieren.

Um Ordnung in die Berichte zu bekommen, stellt das Microsoft SBS Team ein Script (Artikel bei Technet) bereit, mit dem man die Einträge in den Monitoring Berichten filtern kann.

In der Standardeinstellung werden alle Meldungen ausgeschlossen, die Microsoft in seinem Artikel "Windows SBS 2011 Standard Known Post Installation Event Log Errors and Warnings - KB2483007" (Link weiter oben) nennt. Davon abweichend können Sie natürlich auch Ereignisse in die Berichterstattung wieder mit aufnehmen, oder weitere ausschliessen. So kann es z.B. hilfreich sein, weitere WinRM, Powershell oder Schannel Ereignisse (für letzteres gibt es alternativ auch einen Registryhack) aus dem Report zu verbannen. Versichern Sie sich aber vorher, dass diese Ereignisse wirklich keine weiteren Auswirkungen auf Ihr System haben!

Im Systemprotokoll bleiben die "Fehler" weiterhin erhalten, sie werden lediglich nicht mehr in die Berichterstellung mit aufgenommen.

Um die Berichterstellung des Monitorings anzupassen, gehen Sie wie folgt vor:

Laden Sie zunächst das SBSAlertCleanup Paket des SBS Support Teams Entpacken Sie das Archiv und legen Sie den Ordner z.B. unter C:\ ab Öffnen Sie eine Powershell, navigieren Sie in der Verzeichnis und führen Sie folgenden Befehl aus:

.\SBSAlertsCleanup.ps1 –Action install [enter]

Sie sollten nun eine Meldung erhalten, dass der Datenbankinhalt des SBSMonitoring geändert worden ist.

Auflistung der Ausschlüsse

Um sich eine Liste der Ereignis-IDs anzeigen zu lassen, die vom Berichtsreport ausgeschlossen sind, geben Sie folgenden Befehl in der Powershell ein:

.\SBSAlertsCleanup.ps1 –Action ListExclusions

Ausschlüsse aufheben

Sie können natürlich auch Ausschlüsse wieder aufheben, damit diese im Berichtsreport wieder auftauchen. Hierzu bedarf es zwei Schritte, die Sie in der Powershell ausführen müssen:

Lassen Sie sich zunächst die Ausschlüsse und Ihre IDs anzeigen:

.\SBSAlertsCleanup.ps1 –Action ListExclusions

Im nächsten Schritt aktivieren Sie das Ergebnis, das Sie wieder sehen wollen, über die entsprechende ID

.\SBSAlertsCleanup.ps1 –Action RemoveExclusion –ID x

Ausschlüsse hinzufügen

Sie können natürlich auch weitere Ereignisse in die Liste der Ausschlüsse mit aufnehmen. Auch dies muss in zwei Schritten in der Powershell geschehen:

Lassen Sie sich als erstes die Liste der Ereignisse und deren IDs anzeigen, die im Systemprotokoll protokolliert wurden:

.\SBSAlertsCleanup.ps1 –Action ListEvents

Fügen Sie danach weitere Ausnahmen in Ihre Ausschlussliste ein:

.\SBSAlertsCleanup.ps1 –Action AddExclusion –ID xxxxx

Überprüfen Sie die Aufnahme in die Liste mit folgendem Befehl:

.\SBSAlertsCleanup.ps1 –Action ListExclusions

Entfernen des SBSAlertCleanup Script

Wenn Sie Möglichkeit der Filterung nicht mehr nutzen wollen, können Sie das Script auch wieder entfernen. Geben Sie dazu in der Powershell den folgenden Befehl ein:

.\SBSAlertsCleanup.ps1 –Action Uninstall

Noch ein abschliessender Hinweis:

Nach der Installation des Scripts ändert sich der Absender der Reporte! Diese kommen danach nicht mehr von SBSMonAcct, sondern werden von der E-Mail Adresse des Administrators versandt! Sollten Sie also ggf. einen Filter für die Reporte in Ihrem Mailprogramm erstellt haben, müssen Sie diesen entsprechend anpassen.

Der SBS 2011 ist zweifellos ein super Paket, das viele nützliche Produkte zu einem klasse Preis vereint. Für viele Anwender ist die Sharepoint 2010 Integration allerdings sicherlich nicht nötig, oder entwickelt sich gar zum ungeliebten Kind.

Das fängt schon damit an, dass bei der Installation die Passwörter für spfarm, spwebapp und spsearch automatisch generiert werden und man nicht weiss, wie diese heissen. Hier kann man sich allerdings noch behelfen, indem man neue Passwörter für die Sharepointkonten setzt und sich diese notiert. Bei dieser Gelegenheit sollte man auch gleich noch den Hinweis bezüglich des Transaktionsprotokolls befolgen, um nicht evtl. in ein weiteres Problem zu rennen.

Der SBS2011 wird aber numal als Komplettprodukt geliefert und da alle Komponenten eng miteinander verzahnt sind, gibt es auch keine Möglichkeit, Sharepoint zu deinstallieren. Jegliche Versuche in dieser Richtung enden in einem nicht mehr korrekt funktionierendem System.

Von daher sollte man Sharepoint, zumindest nach Updates (Patchday) ein paar Minuten Aufmerksamkeit schenken.

So war nach dem Update von Sharepoint 2010 SP1 ein zwingender, manueller Eingriff nötig, da das BackUp auf dem SBS2011 sonst streikte.

So musste entweder in der Kommandozeile:

PSConfig.exe -cmd upgrade -inplace b2b -force -cmd applicationcontent -install -cmd installfeatures

aufgerufen werden, oder man startet den Konfigurationswizard und lässt diesen durchlaufen. Dies ist auch dann nötig, auch wenn man Sharepoint sonst nicht nutzt!

Gleiches gilt für Sharepoint Sicherheitsupdates nach einem Patchday. In alle Regel befinden sich die Datenbanken danach im Kompatibilitätsmodus. Sharepoint läuft zwar weiterhin, legt über die Adminoberfläche ein Update der Datenbanken aber nah. Diesem Wunsch sollten Sie auch nachkommen!

Starten Sie dazu einfach den Sharepoint Wizard und lassen diesen durchlaufen. Nach der Erfolgmeldung melden Sie sich in er Administation an (mit Admin User und Passwort) und prüfen am besten nach, ob nun auch wirklich alles ok ist.

Unser Tipp: Spielen Sie Sharepoint Updates am besten nacheinander auf und updaten Sie nach jedem Update die Datenbank. Somit können Sie viele Probleme vermeiden.

Und denken Sie nicht weiter darüber nach, wie Sie Sharepoint loswerden können: Sie haben sich für den SBS entschieden und müssen mit diesem Umstand leben.

Von der an und wann auftretenden Divenhaftigkeit des SBS 2011 abgesehen, handelt es sich bei um ein sehr solides Produkt, dessen Vetrieb von Microsoft zum 31.12.2013 leider eingestellt wird. Wir hoffen, Microsoft überdenkt diese Entscheidung noch einmal und wird in der Zukunft doch wieder einen SBS produzieren - dann aber hoffentlich auch in einer Version ohne Sharepoint.

Die Ausgangsbasis ist ein SBS 2011 System, das seit etlichen Monaten perfekt läuft. In den Gruppenrichtlinien, sowie in den Kontoeinstellungen aller Systemkonto ist das Ablaufen von Kennwörtern für Konten deaktiviert.

Nach einigen Monaten trat das Problem auf, dass das Systemprotokoll meldete, dass der Sharepoint Timer Dienst nicht mehr laufen würde. Dieser nutzt das Systemkonto "spfarm". Die anderen Dienste, die ebenfalls dieses Konto nutzen, liefen erstaunlicherweise aber noch. Eine kurze Analyse ergab, dass die Kontendaten nicht mehr stimmten (falsches Passwort). Dies war insofern erstaunlich, da, wie oben erwähnt, der Ablauf von Kennwörtern unterbunden wurde.

Sharepoint wird auf dem genannten System zwar nicht aktiv genutzt, dennoch ist es natürlich unschön, wenn nun alle 30 Minuten eine Fehlermeldung im Protokoll auftaucht. In aller Regel haben solche Vorkommnisse auch noch Folgeerscheinungen, weshalb man sich besser darum kümmern sollte.

Bei Sharepoint reicht es nicht, das Kennwort des Kontos im AD zurückzusetzen. Dies muss auch mit Sharepoint synchronisiert werden. Eine Übersicht und Anleitung gibt dazu der folgende Artikel:

HTTP Error 503 Accessing Company Web on SBS 2011 Standard - The Official SBS Blog.

Dieser ist insofern meist zutreffend, da in aller Regel, wenn etwas mit den Sharepoint Diensten nicht stimmt (z.B. abgelaufene Kennwörter), auch die Sharepoint Seite nicht mehr erreichbar ist.

Wir öffnen also die Sharepoint Powershell und geben folgenden Befehl ein:

Set-SPManagedAccount -UseExistingPassword -Identity $env:\spfarm

Das führte allerdings in unserem Fall nicht zum gewünschten Ergebnis, sondern zu der folgenden Fehlermeldung:

Set-SPManagedAccount : Mindestens ein Fehler beim Bereitstellen von Anmeldeinformationen für den Administrationsanwendungspool. Überprüfen Sie das Anwendungsereignisprotokoll, und beheben Sie den Fehler manuell. Dateiname: \\?\C:\Windows\system32\inetsrv\config\applicationHost.config
Fehler: Die Konfigurationsdatei kann nicht geschrieben werden.
Bei Zeile:1 Zeichen:21
+ Set-SPManagedAccount <<<< -UseExistingPassword -Identity $env:\spfarm
+ CategoryInfo : InvalidData: (Microsoft.Share...tManagedAccount:
SPCmdletSetManagedAccount) [Set-SPManagedAccount], InvalidOperationException
+ FullyQualifiedErrorId : Microsoft.SharePoint.PowerShell.SPCmdletSetManagedAccount

Was es damit auf sich hat, wird auch leider im obigen Artikel nicht abgedeckt.

Auch mehrmaliges Ausführen brachte keine Besserung. Daher wurde folgendes ausgeführt, um es evtl. danach noch mal zu versuchen:

IISReset /noforce

Das hatte allerdings zur Folge, dass im Systemprotokoll nun etliche Fehler auftauchten und eine ganze Hand voll Dienste nicht mehr liefen:

1)
Der Dienst "WWW-Publishingdienst" auf "Lokaler Computer" konnte nicht gestartet werden.
Fehler 1068: Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.
2)
Der Dienst "Windows-Prozessaktivierungsdienst" auf "Lokaler Computer" konnte nicht gestartet werden.
Fehler 6801: Die Transaktionsunterstützung im angegebenen Ressourcen-Manager wurde nicht gestartet oder aufgrund eines Fehlers heruntergefahren.
3)
Der Dienst "Remotedesktopgateway" auf "Lokaler Computer" konnte nicht gestartet werden.
Fehler 1068: Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Ergebnis: IIS rennt nicht mehr und damit eingeschlossen OWA, WSUS, ActiveSync, Sharepoint.....

Bei der Suche nach einer Lösung wurden wir leider nicht wirklich fündig. Wir suchten Richtung Sharepoint, da dies ja offensichtlich Auslöser des Problems war und alles andere nur Folgeerscheinungen. Falsch gedacht.

Ein Supportcall bei Microsoft führte schlussendlich zum Erfolg! Die Wurzel allen übels war nicht Sharepoint, sondern liegt im "Windows-Prozessaktivierungsdienst". Da dieser Dienst nicht mehr lief, war alles andere auch zum Scheitern verurteilt.

Hilfreich in diesem Zusammenhang ist der folgende Artikel:

IIS services fail to start: "Windows could not start the Windows Process Activation Service - Error 6801: Transaction support within the specified resource manager is not started or was shut down due to an error" when WAS service is started

Die Ausführung des Befehls:

fsutil resource setautoreset true :\

mit einem anschliessenden Neustart löste sofort alle Probleme! Die Dienste fuhren wieder hoch und der Server war wieder voll funktional! Das Problem war also ein korruptes Transaktionsprotokoll.

Danach liess sich auch mit dem oben aufgeführten Befehl das Kennwort in Sharepoint ändern, ohne dass es noch einmal zu einer Fehlermeldung kam.

Warum das Kennwort allerdings ablief, konnte auch Microsoft (trotz Überprüfung) auf die Schnelle nicht klären und tippte auf eine Komplikation mit einem Update in Bezug auf Sharepoint.

Des Weiteren wurde empfohlen, den fsutil Befehl grundsätzlich auf Servern zu verwenden, um Probleme mit dem Transaktionsprotokoll zu umgehen.

Problem gelöst!

Sie möchten, dass die SBS 2011 Konsole nicht in der standard Ansicht, sondern im erweiterten Modus angezeigt wird.

Lösung:

Um die Konsole des SBS 2011 im erweiterten Modus anzuzeigen, gehen Sie wie folgt vor:

Verknüpfung zur SBS Konsole:

Öffnen Sie die Eigenschaften der Verküpfung der SBS Konsole Ändern Sie die Zeile "Ziel" wie folgt: "C:\Program Files\Windows Small Business Server\Bin\console.exe" /a Ändern Sie, falls nicht schon gesetzt, die Zeile "Ausführen In" wie folgt: "C:\Program Files\Windows Small Business Server\Bin\"

Somit startet die Konsole über die Verknüpfung schon mal im erweiterten Modus.

Damit Sie Konsole beim Starten automatisch im erweiterten Modus geöffnet wird, gehen Sie bitte wie folgt vor:

Autostart:

Öffnen Sie die Aufgabenplanung und navigieren Sie in der Bibliothek zu Microsoft/Windows/Windows Small Business Server 2011 Standard

Öffnen Sie die Eigenschaften des Eintrags Console Navigieren Sie in den Karteireiter Aktionen und wählen Sie Bearbeiten Setzen Sie den ausführenden Befehl "C:\Program Files\Windows Small Business Server\Bin\console.exe" in "" (wie hier zu sehen) Fügen Sie danach bei den Argumenten ein /a hinzu Bestätigen Sie alle Fenster mit ok und schliessen Sie die Aufgabenplanung

Beim nächsten Neustart sollte die Konsole sich dann automatisch im erweiterten Modus öffnen.

In diesem Modus stehen Ihnen in der Konsole ein paar mehr Möglichkeiten zur Verfügung, die Ihnen die Verwaltung an zentraler Stelle vereinfachen.

Sie wollen die Datenträgerbereinigung unter SBS 2011 nutzen, können diese aber nicht finden.

Lösung:

Das Feature "Datenträgerbereinigung" müssen Sie unter SBS 2011 erst separat installieren.

Gehen Sie dazu in den "Server-Manager" und klicken Sie auf "Features hinzufügen". Wählen Sie danach den Punkt "Desktopdarstellung" aus und installieren Sie diesen. Nach einem Neustart des Servers steht Ihnen dann die Datenträgerbereinigung zu Verfügung!

Achtung:

Sei sollten das Hinzufügen von Features keinesfalls mit anderen Aufgaben (z.B. Neustart nach Updates) kombinieren! Sollte Ihr System einen Neustart benötigen, oder Sie planen eine andere Aktion, die einen Neustart erfordert, so führen Sie die Schritter jeweils nacheinander und nach einem Neustart aus!

Die Ausgangsbasis ist ein SBS 2011 System, das seit etlichen Monaten perfekt läuft. In den Gruppenrichtlinien, sowie in den Kontoeinstellungen aller Systemkonto ist das Ablaufen von Kennwörtern für Konten deaktiviert.

Nach einigen Monaten trat das Problem auf, dass das Systemprotokoll meldete, dass der Sharepoint Timer Dienst nicht mehr laufen würde. Dieser nutzt das Systemkonto "spfarm". Die anderen Dienste, die ebenfalls dieses Konto nutzen, liefen erstaunlicherweise aber noch. Eine kurze Analyse ergab, dass die Kontendaten nicht mehr stimmten (falsches Passwort). Dies war insofern erstaunlich, da, wie oben erwähnt, der Ablauf von Kennwörtern unterbunden wurde.

Sharepoint wird auf dem genannten System zwar nicht aktiv genutzt, dennoch ist es natürlich unschön, wenn nun alle 30 Minuten eine Fehlermeldung im Protokoll auftaucht. In aller Regel haben solche Vorkommnisse auch noch Folgeerscheinungen, weshalb man sich besser darum kümmern sollte.

Bei Sharepoint reicht es nicht, das Kennwort des Kontos im AD zurückzusetzen. Dies muss auch mit Sharepoint synchronisiert werden. Eine Übersicht und Anleitung gibt dazu der folgende Artikel:

HTTP Error 503 Accessing Company Web on SBS 2011 Standard - The Official SBS Blog.

Dieser ist insofern meist zutreffend, da in aller Regel, wenn etwas mit den Sharepoint Diensten nicht stimmt (z.B. abgelaufene Kennwörter), auch die Sharepoint Seite nicht mehr erreichbar ist.

Wir öffnen also die Sharepoint Powershell und geben folgenden Befehl ein:

Set-SPManagedAccount -UseExistingPassword -Identity $env:\spfarm

Das führte allerdings in unserem Fall nicht zum gewünschten Ergebnis, sondern zu der folgenden Fehlermeldung:

Set-SPManagedAccount : Mindestens ein Fehler beim Bereitstellen von Anmeldeinformationen für den Administrationsanwendungspool. Überprüfen Sie das Anwendungsereignisprotokoll, und beheben Sie den Fehler manuell. Dateiname: \\?\C:\Windows\system32\inetsrv\config\applicationHost.config
Fehler: Die Konfigurationsdatei kann nicht geschrieben werden.
Bei Zeile:1 Zeichen:21
+ Set-SPManagedAccount <<<< -UseExistingPassword -Identity $env:\spfarm
+ CategoryInfo : InvalidData: (Microsoft.Share...tManagedAccount:
SPCmdletSetManagedAccount) [Set-SPManagedAccount], InvalidOperationException
+ FullyQualifiedErrorId : Microsoft.SharePoint.PowerShell.SPCmdletSetManagedAccount

Was es damit auf sich hat, wird auch leider im obigen Artikel nicht abgedeckt.

Auch mehrmaliges Ausführen brachte keine Besserung. Daher wurde folgendes ausgeführt, um es evtl. danach noch mal zu versuchen:

IISReset /noforce

Das hatte allerdings zur Folge, dass im Systemprotokoll nun etliche Fehler auftauchten und eine ganze Hand voll Dienste nicht mehr liefen:

1)
Der Dienst "WWW-Publishingdienst" auf "Lokaler Computer" konnte nicht gestartet werden.
Fehler 1068: Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.
2)
Der Dienst "Windows-Prozessaktivierungsdienst" auf "Lokaler Computer" konnte nicht gestartet werden.
Fehler 6801: Die Transaktionsunterstützung im angegebenen Ressourcen-Manager wurde nicht gestartet oder aufgrund eines Fehlers heruntergefahren.
3)
Der Dienst "Remotedesktopgateway" auf "Lokaler Computer" konnte nicht gestartet werden.
Fehler 1068: Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Ergebnis: IIS rennt nicht mehr und damit eingeschlossen OWA, WSUS, ActiveSync, Sharepoint.....

Bei der Suche nach einer Lösung wurden wir leider nicht wirklich fündig. Wir suchten Richtung Sharepoint, da dies ja offensichtlich Auslöser des Problems war und alles andere nur Folgeerscheinungen. Falsch gedacht.

Ein Supportcall bei Microsoft führte schlussendlich zum Erfolg! Die Wurzel allen übels war nicht Sharepoint, sondern liegt im "Windows-Prozessaktivierungsdienst". Da dieser Dienst nicht mehr lief, war alles andere auch zum Scheitern verurteilt.

Hilfreich in diesem Zusammenhang ist der folgende Artikel:

IIS services fail to start: "Windows could not start the Windows Process Activation Service - Error 6801: Transaction support within the specified resource manager is not started or was shut down due to an error" when WAS service is started

Die Ausführung des Befehls:

fsutil resource setautoreset true :\

mit einem anschließenden Neustart löste sofort alle Probleme! Die Dienste fuhren wieder hoch und der Server war wieder voll funktional! Das Problem war also ein korruptes Transaktionsprotokoll.

Danach ließ sich auch mit dem oben aufgeführten Befehl das Kennwort in Sharepoint ändern, ohne dass es noch einmal zu einer Fehlermeldung kam.

Warum das Kennwort allerdings ablief, konnte auch Microsoft (trotz Überprüfung) auf die Schnelle nicht klären und tippte auf eine Komplikation mit einem Update in Bezug auf Sharepoint.

Des Weiteren wurde empfohlen, den fsutil Befehl grundsätzlich auf Servern zu verwenden, um Probleme mit dem Transaktionsprotokoll zu umgehen.

Problem gelöst!

Bei der Einrichtung des SBS 2011, werden Sie während des Setups nach IP für Server und Router gefragt. Diese legen Sie dann normalerweise fest. Eine Abfrage des Subnetz erfolgt nicht. In nahezu jedem Setup dürfte die Standardvorgabe von 255.255.255.0 auch passend sein. Allerdings kann es auch einmal vorkommen, dass Sie ggf. eine andere Subnetzmaske benötigen, egal ob aus historischen oder technischen Gründen.

Als Tipp im Vorfeld: Sollten Sie eine abweichende Subnetzmaske benötigen, sollten Sie die nachfolgenden Schritte direkt nach dem Einrichten den Netzwerks vornehmen, bevor Reservierungen im DHCP Server vorgenommen haben! Sollten Sie im Nachhinein gezwungen sein, Änderungen an der Subnetzmaske vorzunehmen, gehen Ihnen alle Einstellungen und Reservierungen Ihres DHCP Server verloren und müssen neu eingetragen werden.

Natürlich ist dieser Tipp nur gültig, wenn der SBS 2011 auch als DHCP Server fungiert! Sollten Sie einen anderen DHCP Server in Ihrem Netzwerk betreiben, sind die Schritte nicht nötig und Sie können den DHCP Server des SBS 2011 inaktiv lassen.

Führen Sie bei Ihrem SBS 2011 zunächst das Setup durch. Wenn Sie auf dem Desktop angelangt sind, richten Sie mittels der Konsole zunächst die Internetverbindung ein. Achten Sie darauf, der Wizard weist Sie auch darauf hin, dass (vorerst) kein weiterer DHCP Server in Ihrem Netzwerk zur Verfügung steht. Schließen Sie den Vorgang der Einrichtung der Verbindung ab.

Passen Sie nun zunächst die Subnetz Daten auf Ihrer Netzwerkkarte an. Hier sollte als Standard. 255.255.255.0 eingetragen sein. Sollten Sie hier schon einmal Änderungen vorgenommen haben, bevor Sie die Einrichtung der Internetverbindung gestartet haben, müssen Sie diese Änderungen erneut vornehmen, da sie vom Einrichtungsassistent rückgängig gemacht wurden.

Hinweis: Änderungen an den Einstellungen der Netzwerkkarte wirken sich nicht auf den DHCP Server aus!

Um den DHCP Server nun anzupassen, gehen Sie wie folgt vor:

Öffnen Sie den DHCP Server, Notieren Sie sich zur Sicherheit jetzt zunächst die Bereichsdaten, die unter IP4 abgelegt sind, Löschen Sie jetzt den Bereich unter IP4 (der Bereich muss zwingend gelöscht werden! Alle Einstellungen, die ggf. gemacht wurden, gehen somit verloren) Legen Sie mit dem Bereichserstellens-Assistent einen neuen IP4 Bereich an, Definieren Sie ggf. einen Namen (z.B. Domain.local) Geben Sie ggf. eine Beschreibung ein Legen Sie nun den IP Start- und Endbereich festlegen Sie Ihre gewünschte Subnetzmaske fest (ggf. auch Länge setzen) Definieren Sie die ausgeschlossenen Bereiche (Router & Server IPs sollten auf jeden Fall von der Verteilung ausgeschlossen sein! Ggf. weitere Bereiche, die Sie anderweitig belegt haben) Tragen Sie die Leasedauer der Adresse ein (z.B. 7 Tage) Konfigurieren Sie die DHCP Optionen (falls gewünscht)

IP-Adresse des Routers (Standardgateway) interner Domainname und IP-Adresse des DNS-Servers (z.B. Server IP) festlegen ggf. WINS Server-Server definieren (bei SBS 2011 nicht Std.!)

Schalten Sie den Bereich nun aktiv, starten Sie den DHCP-Server Dienst danach neu (oder rebooten Sie den Server)

Der DHCP-Server des SBS 2011 sollte inzwischen die von Ihnen definierten IP-Adressen mit der korrekten Subnetzmaske verteilen.

Da die SHA-1 Codesignierung als nicht mehr sicher gilt, stellt Microsoft 2019 schrittweise auf SHA-2 um. Dies betrifft die folgenden Systeme:

Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 (und somit auch SBS 2011) Windows Server 2008 Service Pack 2

Es wird somit zwingend ein Update auf Clientseite benötigt, damit diese dann auch zukünftig in der Lage sind, die Codesignaturen zu prüfen und somit die Updates zu installieren.

Hinweis: Das Supportende der jeweiligen Betriebssystem sollte man dabei nicht aus den Augen verlieren!

Folgende Daten sollten Sie Admins und IT-Betreuer merken:

Ab 02/2019 wird die SHA-2-Unterstützung für Stand Alone- und Preview of Monthly Rollup-Updates für die genannten Windows-Versionen eingeführt. (Hier wird es dann auch ein Update für WSUS 3.0 SP2, das diesen für SHA-2-Signaturen ertüchtigt)

Ab 03/2019 enthalten das Monthly Rollup und das Security-only Update eine Unterstützung für die SHA-2-Code-Signierung.

Ab 04/2019 ist die Installation der SHA-2-Code-Signierungsunterstützung für die genannten Windows-Versionen in den Update-Clients verpflichtend.

Ab 07/2019 muss WSUS 3.0 SP2 eine SHA-2-Unterstützung installiert haben. Ab diesem Zeitpunkt werden alle Windows-Service-Updates nur noch SHA-2-signiert sein.

Quelle: https://www.heise.de/newsticker/meldung/Fuer-Admins-Microsoft-stellt-Windows-7-Updates-auf-SHA-2-Signierung-um-4259524.html

Um es vorab einmal ganz klar zu sagen: Arbeitsspeicher ist dazu da, dass er genutzt werden soll! Wenn ein SBS 2011 16, 24 oder gar 32GB Arbeitsspeicher besitzt, so sollte er diesen auch voll ausnutzen können!

Gerade Exchange (store.exe) und SQL sind dafür bekannt, dass Sie sich über kurz oder lang auch alles an Arbeitsspeicher krallen, was da ist. Das dient der Performance und reduziert Zugriffe auf die Festplatten.

Sollte der Speicher anderweitig gebraucht und angefordert werden, so geben sowohl Exchange, als auch der SQL Server den in Beschlag genommen Speicher wieder frei! Sollte dies nicht geschehen, so ist ggf. die anfordernde Applikation fehlerhaft programmiert.

Dennoch gibt es u.U. Szenarien, wo man manuell den Speicherhunger von SQL und Exchange begrenzen, bzw. auf einen festen Wert festlegen möchte.

Die folgenden Angaben beziehen sich auf den SBS 2011 mit Exchange 2010 und SQL 2008R2. Nachfolgende Versionen sind hiervon ggf. abweichend und die Aussagen können somit nicht unbedingt übertragen werden!

Microsoft Exchange 2010 (store.exe - Informationsspeicher-Dienst):

Exchange 2010 arbeitet mit 32kb Speicherblöcken. Bei der Berechnung der maximal festzulegenden Größe muss diese daher unbedingt durch 32 geteilt werden.

Nehmen wir an, wir wollen Exchange maximal 16GB RAM zuteilen, so, wäre der in die Konfiguration einzutragende Wert 524288 (16*1024*1024/32=524288).

Nun öffnen wir den ADSI-Editor und wählen mit der rechten Maustate "Verbindung herstellen..." aus. Die Vorgaben sollten soweit ok sein. Unter "Verbindungspunkt" wird bei "Bekannten Namenskontext auswählen" noch "Konfiguration" ausgewählt und mit OK bestätigt.

Nun den folgenden Eintrag auswählen:

CN=Configuration, DC=Domain,DC=local

CN=Services

CN=Microsoft Exchange

CN="domain.local"

CN=Administrative Groups

CN="Exchange Administrative Group"

CN=Servers

CN="Servername"

CN=InformationStore

Hier mit der rechten Maustaste "Eigenschaften" auswählen und folgenden Punkt suchen:

msExchESEParamCacheSizeMax

Hier nun den oben ermittelten Wert eintragen (in unserem Fall 524288).

ACHTUNG: unter msExchESEParamCacheSizeMin muss ebenfalls ein Wert gesetzt werden, da die Eingabe bei CacheSizeMax sonst ignoriert wird!

Hier kann man nun z.B. den gleichen, oder einen kleineren, durch 32 teilbaren Wert hinterlegen.

Starten Sie danach den InformationStore (MicrosoftExchange-Informationsspeicher) neu, damit die Werte übernommen werden. Exchange sollte sich fortan an diese Grenzwerte halten.

SQL Server 2008R2 (sqlsrvr.exe):

Unter SBS 2011 gibt es standardmässig die folgenden drei SQL Datenbanken, die man ggf. im Verbrauch etwas zügeln möchte:

Windows Internal Database (MICROSOFT##SSEE) SHAREPOINT SBSMONITORING

Dazu starten wir zunächst das SQL Server Management Studio als Administrator.

Wählen Sie als nächstes die Instanz "SBSMONITORING" aus und klicken Sie auf Verbinden. Klicken Sie danach auf der linken Seite die Datenbank mit der rechten Maustaste an und wählen Sie den Punkt Eigenschaften. Unter Arbeitsspeicher können Sie beim Punkt "Maximaler Serverarbeitsspeicher" eine Größe hinterlegen (z.B. 512MB).

Mittels Datei / Trennen lösen Sie wieder die Verbindung zur Datenbank. Über Datei / Verbinden wiederholen Sie nun den Vorgang für die SHAREPOINT Datenbank.

Um die Windows Internal Database (MICROSOFT##SSEE) Datenbank zu öffnen, müssen Sie leicht anders vorgehen:

Wählen Sie Verbinden und geben folgendes als Servername ein: \\.\pipe\mssql$microsoft##ssee\sql\query

Danach können Sie die Datenbank öffnen.

Achten Sie darauf, dass Sie hier als Wert mind. 1024MB hinterlegen!

Nach diesen Modifikationen haben Sie die RAM-Bremse bei Ihrem SBS 2011 gezogen.

Sie betreiben einen SBS 2011 mit einem selbstsigniertem Zertifikat (z.B. weil der Server nur intern betrieben wird). Das erstellte (Webserver) Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und steht vor dem Ablauf.

Im Systemprotokoll erhalten Sie u.a. folgende Meldungen:

MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: , Fingerabdruck: , verbleibende Stunden: xxx. Führen Sie das Cmdlet ''New-ExchangeCertificate'' aus, um ein neues Zertifikat zu erstellen. MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: , verbleibende Stunden: xxx

Das Zertifikat stammt vom Webserver (IIS) und ist u.a. für OWA zuständig.

Lösung:

Um das Zertifikat für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

Öffnen Sie die SBS 2011 Konsole Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität Führen Sie unter Tasks den Punkt Internetadresse einrichten aus Lassen Sie den Wizard durchlaufen und tragen Sie die gleichen Daten wie zuvor ein Warten Sie, bis der Wizard fertig ist (kann einige Zeit dauern) Wenn der Wizard fertig ist und Sie nun das Zertifikat doppelt klicken, sollte dort der neue Gültigkeitszeitraum zu sehen sein (ab heute / bis in zwei Jahren)

Danach können Sie Ihren SBS 2011 wie gewohnt weiter verwenden.

Nachtrag:

Sollte Sie danach im Protokoll weiterhin Meldungen haben, dass das Zertifikat abgelaufen, oder nicht mehr gültig ist, machen Sie am besten folgendes:

Löschen Sie zunächst in der Exchange Management Konsole das abgelaufene Zertifikat Öffnen Sie danach die zentrale Zertifikatverwaltung und sperren Sie das abgelaufene Zertifikat.

Durch die Sperrung haben Sie zusätzlich alles besser im Überblick.

Variante 2:

Wenn Sie den Einrichtungswizard nicht nutzen wollen, oder falls es dort zu einem Problem kam, können Sie versuchen die Zertifikate auch direkt über den IIS zu erneuern. Hierfür gehen Sie wie folgt vor:

Im Menü Verwaltung öffnen Sie dem Internetinformationsdienste (IIS)-Manager Wählen Sie links Ihren Server aus (Domainserver) Rechts daneben (im Fenster mittig) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus. Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat gewählt haben. Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum und dem neuen Hashwert sehen. Prüfen Sie dies aber bitte zusätzlich durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmen, müssen Sie ggf. im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

Hinweis:

Sollte sich das Zertifikat nicht verlängern lassen (Anforderung abgelehnt o.ä.), bzw. nach der Verlängerung/Erneuerung der Zeitraum ungewöhnlich kurz sein, so müssen Sie ggf. zunächst das Zertifizierungsstellenzertifikat erneuern:

Im Menü Verwaltung öffnen Sie die Zertifizierungsstelle Wählen Sie Ihre Zertifizierungsstelle Klicken Sie sie mit der rechten Maustaste an und wählen Sie Alle Aufgaben > Zertifizierungsstellenzertifikat erneuern Sollte nicht ein zwingender Grund vorliegen, können Sie den alten Signaturschlüssel behalten (nein anwählen) Zertifikat erneuern lassen

Danach können Sie mit den obigen Schritten fortfahren.

Die sind schon in die Jahre gekommen, aber immer noch zu finden.

SSL Zertifikat einbinden am Beispiel eines WHS 2011, worum es geht:

Der WHS 2011 ermöglicht, eine Remote Website im Internet verfügbar zu machen. 

Darüber kannst du von außerhalb auf freigegebene Inhalte, wie Musik, Videos, Bilder und Dateien zugreifen. 

Beim WHS 2011 ist eine kostenlose Subdomain *.homeserver.com enthalten. Diese lässt sich einfach über das Dashboard und dem Remote Website-Wizard konfigurieren.

Mithilfe eines Shared-Hoster und der Möglichkeit bei diesem eine DynDNS Weiterleitung für eine Domain oder Subdomain einzurichten ist es auch möglich auf die mitgelieferte *.homeserver.com Adresse zu verzichten. 

Das Ganze hat nur einen Haken: Der Webbrowser spuckt bei der erstmaligen Verbindung eine Fehlermeldung aus. Diese Fehlermeldung wird verhindert durch kostenpflichtige Zertifikate von diversen Anbietern oder mit den kostenlosen Zertifikaten von Start, SSL oder CA-Cert. 

Router oder Firewall einrichten

Was ich nicht zeigen werde, ist, wie der Router richtig konfiguriert werden muss, damit die Webseite vom Internet aus erreichbar ist. Dies funktioniert manuell über das Konfigurationsmenü des Routers oder automatisch bei angeschaltetem UPnP mit dem Einrichtungs-Wizard des Homeserver 2011. Dabei sollte die Domain Einrichtung abgeschaltet oder erst gar nicht konfiguriert werden.

Wichtig ist weiterhin: Die Ports 80 und 443 sollten auf die Netzwerk interne IP-Adresse des WHS2011 weitergeleitet werden. Per UPnP wird dies automatisch gemacht. Alle anderen Ports sollten aus Sicherheitsgründen mit der Router-Firewall deaktiviert/blockiert werden.

Mit einer Fritz!Box muss UPnP eingeschaltet sein.

Bei der Firewall müssen die Regel manuell eingerichtet werden.

Servereinstellungen

Mit dem Dashboard kann unter Servereinstellung/Remote Webzugriff → Aktivieren, die Website aktiviert und eingerichtet werden.
Remote Webzugriff konfigurieren, Dashboard öffnen und Remote Webzugriffe aktivieren. Nachdem ihr alles ausgefüllt habt, geht es zum Server Manager, um das Zertifikat installieren zu können, navigiert zu Server-Manager/Rollen/Webserver (IIS) → Homeserver → Serverzertifikate Server Manager, um das Zertifikat installieren zu können, navigiert zu Server-Manager/Rollen/Webserver (IIS) → Homeserver → Serverzertifikate Import dort klickt auf Importieren, wodurch sich ein neues Fenster öffnet in welchem ihr den Speicherort und das Passwort des Zertifikats. Speicherort, wodurch sich ein neues Fenster öffnet, in welchem ihr den Speicherort und das Passwort des Zertifikats. Dateiformat der WHS 2011 verlang dabei ein Zertifikat mit der Endung .pfx. Bei mir hat es mit der Datei, welche ich von Start SSL durch Konvertierung mit dem PFX-Tool erhalten habe, auch funktioniert, obwohl dieses Zertifikat die Endung.p12 hat. Das Zertifikat sollte exportierbar sein, damit es als Website-Zertifikat benutzt werden kann. Bindung nun geht es weiter zu Server-Manager/Rollen/Webserver (IIS) → Homeserver/Sites/Default Web Site → Bindung Port womit sich wieder ein neues Fenster öffnet. Dort wählt ihr dann den Port 443 aus und klickt auf bearbeiten. Zertifikatsauswahl, es öffnet sich ein weiteres Fenster, bei dem man das Zertifikat aus einer Dropdown Liste auswählen kann. Voreingestellt sollte das lokale Homeserver Zertifikat sein. Webseite überprüfen nun ist der Homeserver mit dem neuen und richtigen Zertifikat eingerichtet und die Remote Website kann ganz normal, jedoch ohne Fehlermeldungen abgerufen werden. 

Software muss nicht immer teuer sein, aber gut 😉Alt und nicht mehr zu gebrauchen?

Windows Home Server 2011 oder ein SBS 2011 und auch Windows 2008r2 und das ein oder andere Windows 7 habe ich bei mir noch im Einsatz.

Alles eine Frage der Sicherheit? Mehr wohl der Antivirensoftware und der Firewall.

Viele sprechen davon, dass Windows 10 sicher ist, aber gibt es denn nicht doch das ein oder andere Hintertürchen bei Microsoft?

Wird nicht öffentlich darüber gesprochen, aber einige Vorfälle von Wirtschaftsspionage sind schon ans Tageslicht gebracht worden und selbst eine Kanzlerin wird ja abgehorcht 😂

Amerika First!

Die alten Systeme waren aufgrund ihrer Möglichkeiten gar nicht so durchsetzt vom großen Lauschangriff, für die neue Systeme heutzutage, mit immer weiter verknüpften Cloud Diensten ... hat Microsoft direkte Kontrolle. Auch ein Grund, warum ich gerne noch ältere Komponenten der Software einsetzen, oder Linux, lokale Systeme, wenn ihr die Cloud so toll findet, habt ihr die Kontrolle über das System längst abgegeben, es sei denn du nutzt deine eigene Cloud und du selbst bestimmst, wer was macht und darf.

Windows Home Server 2011

Auch im März 2021 lässt sich der WHS 2011 installieren und alle Windows Updates von Microsoft beziehen. Bis zu 10 Personen, auch gerne in KMU’s eingesetzt.

Windows Small Business Server 2011

Lässt sich auch in diesem Jahr noch komplett konfigurieren, allerdings gab es ja im Februar den großen Exchange-Bug, wo mehrere 10000 Exchange Server, die mit dem Internet direkt verbunden waren, gehackt worden sind, obwohl Microsoft die Problematik schon im November bekannt war, habe die Microsoft Spezialisten nichts unternommen, ein Schelm, wer da Böses denkt und seine Kunden so dann ans O365 zu binden ... komisch, dass keine Sammelklage eingereicht worden ist?

Der SBS 2011 beinhaltet Exchange 2010 und SQL 2008R2

Windows 2008r2 - 2019 physikalischer Server

Der Server basiert auf einem HP DL 160 mit 4 x LFF (Bezeichnung für 3,5“ Laufwerke), die Laufwerke wiederum sind an einen onBoard Raidcontroller angebunden, auch dieser hat einen Cache von 1 GB. In dem System sind 2 SSD Festplatten mit 1 TB Samsung Red über einen 2,5“ Adapter in dem Caddy eingebaut, diese Festplatten sind gespiegelt als RAID 1, die anderen beiden Einschübe sind mit WD Gold Festplatten bestückt im 3,5“ Format und als Datensicherung im System konfiguriert. 

Es werden 2 Festplatten zur Datensicherung genutzt, zum einen, wenn eine Festplatte ausfallen sollte und zum anderen damit über mehrer Wochen rückwirkend Daten wiederhergestellt werden können, den meisten Usern fällt später ein, dass sie mal, was aus Versehen gelöscht haben, diesen Wert habe ich aus der beruflichen Praxis 😄 es ist hilfreich Daten von den letzten 30 Tage zur Hand zu haben.

Eine weitere Datensicherung sollten immer verschlüsselt abgelegt werden auf einem externen Storage, gerade wegen des Verschlüsselungstrojaner empfiehlt es sich die Daten getrennt vom Server zu sichern, diese liegt dann in einem eigenen VLAN.

In der Praxis ist dieser Server selber nur über den physikalischen Zugang Tastatur Bildschirm zugänglich, der Backup Server greift auch nur auf das vCenter zu und sichert die VM‘s. Der Sicherungsbericht erfolgt per E-Mail.

vServer 2008r2 - 2019

Der technische Grundaufbau ist wie im zuvor beschriebenen Artikel identisch, bei der Installation des vServer je nachdem wofür du dich entschieden hast, werden nun im vCenter Server HyperV / Proxmox / Esxi

die vServer als Gastsysteme auf den SSD installiert und konfiguriert und die Sicherung Erfolg dann als komplette Virtuale Maschine auf den beiden HDD Laufwerken.

Die von den vServer aus betrachteten Systeme sehen die Datensicherung nicht. Sollte der VServer mal einem Troinaner oder anderen Vorfällen wegen ausfallen, können wir den vServer in kurzer Zeit wieder zum Einsatz bringen, mit einem geringen Datenverlust, der zu verkraften, ist als einen Totalausfall.

Der richtige Server

So finden KMU den richtigen Server.

Was kleine und mittelständische Unternehmen bei Aufbau oder Erweiterung ihrer IT-Intrastruktur beachten sollten.

Für kleine und mittelständische Unternehmen (KMU) ist die Digitalisierung Segen und Herausforderung zugleich. Einerseits stehen ihnen heute Applikationen und Services mit einem Funktionsumfang und einer Leistungsfähigkeit zur Verfügung, wie sie in der „alten“ IT-Welt nur Großunternehmen realisieren konnten. Allerdings erhöht die Digitalisierung aber auch den Wettbewerbsdruck enorm. War früher die Konkurrenz lokal und überschaubar, so müssen sich heute auch kleine und mittelständische Unternehmen mit internationalen Plattformen und Marktplätzen wie Amazon, Airbnb oder Uber messen. 

Kein Wunder also, dass für zwei Drittel der deutschen Mittelständler digitale Technologien eine wesentliche Rolle für das Erreichen ihrer Geschäftsziele spielen. Das ergab die Studie „Digitalisierung im deutschen Mittelstand“ der Prüfungs- und Beratungsgesellschaft EY (Ernst & Young), für die 1.500 mittelständische Unternehmen in Deutschland befragt wurden. Demnach ist die Digitalisierung vor allem in den Branchen Elektrotechnik, Banken, Dienstleistungen und Maschinenbau von großer bis sehr großer Bedeutung. Schlüsselkriterien für die Serverwahl um ihre Digitalisierung vorantreiben zu können, benötigen KMU eine leistungsfähige IT-Infrastruktur, die eine solide Basis für eine agile Weiterentwicklung ihrer Geschäftsmodelle bildet. 

Server sind dabei der integrale Bestandteil jeder IT-Strategie. Bei deren Auswahl sollten kleine und mittelständische Unternehmen vor allem auf folgende Kriterien achten: schlanke Verwaltung.

Nicht jeder hat einen Administrator im Haus sitzen und nicht jedes Systemhaus hat sofort Zeit, wenn Kunde anruft.

Vor allem in den ostdeutschen Bundesländern fehlt es an Fachkräften, aber selbst bei den Spitzenreitern Hamburg, Baden-Württemberg und Hessen bezeichnen nur knapp über die Hälfte der Befragten die Lage als „positiv“ oder „sehr positiv“. Für KMU ist es deshalb besonders wichtig, auf ein schlankes Management ihrer IT-Infrastruktur zu achten, um das ohnehin knappe IT-Personal nicht unnötig mit Routineaufgaben zu belasten. 

Systemhäuser mit durchdachten Konzepten und Automatisierungen, zentralisierte Serveradministration. Selbst über mobile Endgeräte können Administratoren auf Server zugreifen, gerade in Homeoffice- oder Remote-Work-Situationen ein nicht zu unterschätzender Vorteil.

Einfache Skalierbarkeit. 

Kleine und mittelständische Unternehmen wollen und müssen schnell und agil auf Marktveränderungen reagieren, neue Produkte an den Markt bringen oder innovative Geschäftsmodelle testen. 

Neue Server sollten deshalb einfach in die bestehende Infrastruktur zu integrieren sein. 

Mit den WDM Services bietet Microsoft die dafür notwendige Unterstützung. Mit ihrer Hilfe lassen sich Clients und Server um bis zu 65 Prozent schneller aufsetzen. Terminal Server sind heute nicht mehr zeitgemäß, es ist auf eine flexible Umgebung zu achten. Programme und Abhängigkeiten von Software-Firmen vermeiden, bleibt flexibel, setzt auf freie Systeme und schaut euch die Software Bude genau an, oft erlebt, dass der Preis in keinem Verhältnis zu den versprochenen Leistungen steht.

Integrierte Sicherheit. 

IT-Security wird in vielen KMU nicht ausreichend Beachtung geschenkt. Der Studie „Aktuelle Lage der IT-Sicherheit in KMU“ des Wissenschaftlichen Instituts für Infrastruktur und Kommunikationsdienste (WIK) zufolge gibt es nur in 26 Prozent der kleinen und mittelständischen Unternehmen einen IT-Sicherheitsbeauftragten. 71 Prozent der kleinen und 26 Prozent der größeren KMU haben keinen Notfallplan für IT-Ausfälle und Sicherheitsprobleme. 

Es ist deshalb ausgesprochen wichtig, dass die eingesetzte Hard- und Software bereits einen Basisschutz mitbringt. 

Sollte es doch zu einem erfolgreichen Angriff kommen, lässt sich das Gerät mit den gespeicherten Konfigurationsdaten starten und so in einen sicheren Zustand zurückversetzen. 

Thin Client mit 1,5GHz, 4 Kernen, 8 GB RAM und einer SSD reichen für die täglichen Office-Anwendungen, gerade im Hinblick mit Office365 brauchen die Anwendungen noch nicht mal mehr lokal installiert zu werden, jeglicher Zugriff erfolgt komplett online und im Browser. Die gleichen Hardwarekomponenten reichen auch für ein Notebook aus.

Werden zusätzliche Anwendungen benötigt, bleibt ein Praxistest die einzig sinnvolle Erfahrung, um das passende Gerät zu finden.

Die Ausstattung an Arbeitsspeicher sollte nicht kleiner als 8 GB RAM sein, besser sogar sind 16 GB RAM.

SSD Festplatten ermöglichen ein zügiges Arbeiten.

Die Daten liegen gesichert auf dem Server oder online bei Microsoft, ein Backup ist das Minimum, auch bei online Diensten empfehle ich auch diese Daten zu sichern.

Das wohl beliebteste Windows aller Zeiten, danach wurde es eigentlich verschlimmbessert, es war übersichtlich, einfache Handhabung, schnell und stabil.

Ehrlich gesagt ich hab immer noch 2 am laufen 😮‍💨

Kleiner work around

Windows 7 Eingabeaufforderung

cmd öffnen

net user "Benutzername" *

dann Passwort eingeben Enter

noch einmal das Passwort bestätigen, fertig, neu booten.

Wer kennt es nicht: Man möchte per Laptop oder über den Arbeitscomputer auf einen anderen Computer zugreifen, ohne sich bemühen zu müssen. Warum zwischen zwei Computer hin- und herlaufen, wenn man ihn von einem Computer anderen steuern kann? Doch was tun, wenn man kein Passwort gesetzt hat?

Unter Windows ist die Freigabe des Desktops mit der sogenannten Remotedesktopverbindung (RDP) möglich. Alle Angaben beziehen sich auf Windows 7 (bei Windows 8, Windows 8.1 und Windows 10 sollte es das gleiche sein).

Achtung

Bitte beachte, dass diese Änderungen eine Sicherheitslücke verursachen. Grundsätzlich kann nun natürlich jeder im Netzwerk auf den PC ohne Passwort zugreifen.

Wir starten „Remotedesktopverbindung“ oder rechts klicken den Zielcomputer im „Netzwerk“ und wählen „Verbindung mit Remotedesktopverbindung herstellen“. Als „Computer“ geben wir den Benutzernamen des Zielcomputers ein.

Remotedesktopverbindung Fehler: Der Benutzername bzw. das Passwort ist falsch.

Und soeben muss man feststellen, wenn man für den Zielcomputer kein Passwort festgelegt hat, funktioniert diese tolle Funktion gar nicht. Nach langem Suchen fand ich dann den Eintrag, dem dies zu verdanken ist. Man sucht bei Start nach „Gruppenrichtlinien“ begibt sich dann in die Ebene „Windows-Einstellungen“, „Sicherheitsrichtlinien“, „Lokale Richtlinien“, „Sicherheitsoptionen“ und findet dort den Eintrag „Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken“ den man auf deaktiviert setzt. (Ist nicht bei jeder Windowsversion erreichbar)

Editor für lokale Gruppenrichtlinien

Ab sofort lässt sich der ungeschützte Computer bequem von jedem Computer im Netzwerk fernsteuern.

Sollte es Probleme geben, muss man überprüfen, ob folgende Einstellungen gesetzt sind:

Remote Einstellungen

„Remotedesktopverbindungen mit diesem Computer zulassen“ und „Verbindungen von Computern zulassen, auf denen eine beliebige Version von Remotedesktop ausgeführt wird“. Zu finden unter: Eigenschaften bei Rechtsklick auf Computer und anschließend in der Sidebar „Remote Einstellungen“.

Oder regedit

Um eine Remotedesktopverbindung ohne Kennwort nutzen zu können, muss auf dem Zielcomputer eine Einstellung geändert werden.

„regedit“ öffnen. Zu „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa“ wechseln. Den Wert von „LimitBlankPasswordUse“ auf „0“ setzen.

Ein Neustart ist der Beobachtung nach nicht notwendig. Keine Kennwörter zu verwenden, ist (natürlich) nicht zu empfehlen. Getestet bzw. notwendig war diese Änderung bislang nur bei einem Kunden-Szenario unter Windows 7 Professional. Alternativ kann man auch folgenden Befehl ausführen:

Reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t REG_DWORD /d 0 /f

Als *.reg-Datei sieht das Ganze dann wie folgt aus:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "LimitBlankPasswordUse"=dword:00000000  

Windows 7 und Windows Server 2008 R2 (und vermutlich auch Windows Vista) bringen einige Dienste mit, welche im Hintergrund die Festplatte für schnelle Zugriffe optimieren. Dazu gehören eine automatische Defragmentierung, wie auch der Prefetch und Superfetch Dienst, welche häufig verwendete Daten für den schnellen Zugriff günstig auf der Festplatte positionieren.

SSD Festplatten haben jedoch keine Schreib/Lese-Köpfe, welche bei einem fragmentierten Dateisystem durch ständige Neupositionierung den Zugriff auf die Daten verlangsamen können oder häufig verwendete Daten möglicherweise weit weg von der Ruhepostion der Schreib-, Lese-Köpfe abgelegt wurden. Deshalb ist eine Optimierung diesbezüglich bei einer SSD Platte nicht notwendig. Es ist nicht nur nicht notwendig, sondern auch noch kontraproduktiv, weil durch das ständige Umlagern von Daten unnötigerweise freie Blöcke auf der SSD beschrieben werden, was allmählich zu einem Abfall der Performance der SSD Festplatte führen kann. Aus diesen Gründen deaktiviert das System diese Mechanismen selbstständig, wenn eine SSD Festplatte erkannt wird1). Nur leider funktioniert das nicht immer zuverlässig, warum Sie diese Dienste auch besser noch einmal überprüfen sollten.

Automatische Defragmentierung

Zum Überprüfen, ob die Hintergrund-Defragmentierung »defragsvc« vom System bereits deaktiviert wurde, starten Sie eine Command-Shell »cmd.exe« im Administratoren-Modus (Rechtsklick auf »cmd.exe → Als Administrator ausführen«) und führen folgendes Kommando aus:

C:\> sc qc defragsvc [SC] QueryServiceConfig ERFOLG

SERVICE_NAME: defragsvc TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\Windows\system32\svchost.exe -k defragsvc LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Defragmentierung DEPENDENCIES : RPCSS SERVICE_START_NAME : localSystem

Sollte der »START_TYPE« nicht »DISABLED« sein, deaktivieren Sie den Dienst mit folgendem Kommando:

C:\> sc config defragsvc start= disabled

Des Weiteren existiert noch ein geplanter Task in der »Aufgabenplanung«, welcher automatisch eine Defragmentierung anstößt, dieser Task sollte ebenfalls deaktiviert worden sein. Überprüfen Sie dies mit folgendem Kommando:

C:\> schtasks /query /tn "\Microsoft\Windows\Defrag\ScheduledDefrag"

Ordner: \Microsoft\Windows\Defrag Aufgabenname Nächste Laufzeit Status ======================================== ====================== =============== ScheduledDefrag Deaktiviert

Sollte die Ausführung dieses Tasks nicht deaktiviert sein, können Sie ihn mit folgendem Kommando deaktivieren:

C:\> schtasks /change /tn "\Microsoft\Windows\Defrag\ScheduledDefrag" /disable

Diese Einstellungen können natürlich auch in der GUI überprüft und ggf geändert werden. Navigieren Sie hierfür in die Dienststeuerung »services.msc« und in die Aufgabenplanung »taskschd.msc« und nehmen Sie dort die entsprechenden Einstellungen vor.

Superfetch deaktivieren

Auch der Dienst »Superfetch« (»SysMain«) sollte deaktiviert sein:

C:\> sc qc SysMain [SC] QueryServiceConfig ERFOLG

SERVICE_NAME: SysMain TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Superfetch DEPENDENCIES : rpcss : fileinfo SERVICE_START_NAME : LocalSystem

Sollte der »START_TYPE« dieses Dienstes nicht auf »DISABLED« stehen, deaktivieren Sie ihn mit folgendem Kommando:

C:\> sc config SysMain start= disabled

Prefetch deaktivieren

Das Feature »Prefetch« überprüft man in der Registry. Starten Sie dazu den Regirtierungseditor »regedit« im Administratormodus und überprüfen folgenden Registrierungsschlüssel:

Key: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

Value: EnablePrefetcher
Data: 0

Mögliche Einstellungen des »EnablePrefetcher« Wertes sind:

0 = Disabled1 = Application launch prefetching enabled2 = Boot prefetching enabled3 = Applaunch and Boot enabled (Default)

oder in TXT eintragen speichern und in bat am ende umbenennen und einmal zusammenführen

----------------------------------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]

"EnableSuperfetch"=dword:00000000
"EnablePrefetcher"=dword:00000000

-----------------------------------------------------------------------------------------

Starten Sie anschließend Ihr System neu, um die Einstellungen zu übernehmen.

TRIM Support bei SSD Festplatten ein-/ausschalten

Um die volle Performance bei SSD Festplatten zu erhalten, sollte das Betriebssystem beim Löschen einer Datei das TRIM-Kommando an den Festplattenkontroller durchreichen. Normalerweise sollte das durch das Betriebssystem auch selbständig erkannt und eingestellt werden, aber vor allem beim Restore einer Recovery CD auf eine SSD Festplatte habe hier schon Ungereimtheiten erkennen können.

Mit »fsutil«1) Kommando können Sie ermitteln ob der TRIM-Support im Betriebssystem aktiviert wurde. Starten Sie hierfür ein Terminal und führen es als Administrator aus:

C:> fsutil behavior query DisableDeleteNotify DisableDeleteNotify = 0

Der Wert »0« entspricht aktiviertem TRIM und der Wert »1« entspricht deaktivierten TRIM-Support.

Die Syntax zum Ändern dieses Wertes entspricht:

C:> fsutil behavior set DisableDeleteNotify {0|1}Ruhezustand deaktivieren

Der Ruhezustand verkürzt die Zeit deutlich, die Windows für den Boot-Vorgang von einer klassischen Festplatte benötigt. SSDs haben im Vergleich zu Festplatten deutlich geringere Zugriffszeiten, wodurch der Startprozess deutlich kürzer dauert. Systeme mit SSDs profitieren daher kaum vom Ruhezustand.

Für den Ruhezustand hinterlegt Windows auf dem Systemlaufwerk eine Datei, die so groß ist wie der physische Arbeitsspeicher (RAM). Vor allem bei kleineren SSDs kann das Deaktivieren des Ruhezustands wertvollen freien Speicherplatz auf der SSD bringen.

Konfigurationsschritte:

Eingabeaufforderung als Administrator ausführen → "powercfg -h off" eintippen

AHCI-Modus im BIOS aktivieren

Beim IDE- und RAID-Modus laufen die Festplattencontroller häufig mit veralteten Treibern. Das hat zur Folge, dass TRIM nicht funktioniert, daher wird hier unbedingt der AHCI-Modus benötigt. Stellt man im BIOS des Mainboards den Festplattencontroller einfach auf SATA AHCI um, bootet das System nicht, bzw. der Boot-Vorgang wird mit einer Fehlermeldung (Bluescreen) quittiert.

Konfigurationsschritte:

StartRegedit als Administrator ausführenEntweder: "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msahci" oder: "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IastorV"rechts Doppelklick auf "DWORD-WERT" mit der Kennzeichnung "Start" klicken und dort "0" eingebenPC/Server neu Starten im BIOS AHCI einstellenReadyboot deaktivieren

Readyboot beschleunigt den Boot-Vorgang von Windows und kommt bei der Verwendung von herkömmlichen HDDs zum Einsatz. Readyboot verwendet externe USB Flash Speicher (USB-Sticks) als Cache für eine langsame interne HDD.

Konfigurationsschritte:

Leistungsüberwachung aufrufen, Ausführen "perfmon.msc"Links "Sammlungssätze" bzw. "Datensammlersätze" aufklappen und Doppelklick auf "Startereignis-Ablaufverfolgungssitzungen"Rechtsklick auf "Ready boot""Eigenschaften" wählen Reiter Ablaufverfolgungssitzungen Häkchen bei "Aktiviert" entfernen  

1TByte-große Festplatten laufen irgendwann voll, und noch viel schneller passiert das bei einer SSD. Windows braucht aber einige freie GByte auf der Systempartition, um korrekt zu funktionieren. Wenige Handgriffe reichen, um wieder Platz auf der Platte zu schaffen und zu erhalten.

Windows braucht freien Platz auf der System-Partition. Ist nicht genug verfügbar, kann das durchaus dramatische Folgen haben, etwa wenn es keine Sicherheitsupdates oder Service Packs mehr einspielen kann, der Virenscanner keinen Platz mehr für neue Signaturen findet oder das Vergrößern der Auslagerungsdatei scheitert. Möglicherweise laufen dann Programme nicht mehr korrekt oder stürzen gar ab, weil sie keinen Platz mehr zum Anlegen temporärer Dateien finden.

Wie viel Platz genau frei sein sollte, hängt vom Einsatzzweck des PCs ab – beim Bearbeiten von Filmen entstehen größere temporäre Dateien als beim Bearbeiten von Bildern. Üblicherweise genügt aber locker eine kleine zweistellige Anzahl an GByte. Ignorieren Sie also die immer wieder gern kolportierte Faustregel „mindestens 25 Prozent“, denn warum sollte auf einer 4-TByte-Platte ein ganzes TByte frei bleiben, wenn ein Windows-PC auch mit einer 128-GByte-SSD problemlos läuft? Aus dem gleichen Grund ist auch die Faustregel „so viel wie möglich“ Unfug: Zwar ist es durchaus sinnvoll, Windows ordentlich Freiraum zu spendieren (mindestens 100 GByte), denn umso später droht Platzmangel. Stets große Reserven freizuhalten widerspräche jedoch der wesentlichen Bestimmung eines Datenträgers – das wäre wie das Kaufen einer weiteren Platte, nur um sie unangeschlossen neben den PC zu legen. Das Umsetzen der nachfolgenden Tipps schafft üblicherweise mehrere GByte freien Platz auf der System-Partition, was Windows wieder ausreichend Luft zum Atmen gibt. Auf die gleiche Weise können Sie natürlich auch die Datenpartitionen aufräumen.

Wenn Windows sich über zu wenig freien Speicherplatz beschwert, ist wirklich Zeit zum Putzen. Sonst drohen Probleme, die durchaus sicherheits-kritisch sein können.

Solange ausreichend Platz vorhanden ist, können Sie sich Löschaktionen sparen, auch wenn sie selbstverständlich nichts schaden. Doch spätestens wenn Sprechblasen „Wenig Speicherplatz“ erscheinen oder sich das Windows-Update beschwert, ist es Zeit, aufzuräumen. Dabei muss man nicht gleich schweres Gerät auffahren. Oft reicht es schon aus, den Papierkorb zu leeren, den Download-Ordner zu entrümpeln sowie einige dicke Brocken zu löschen, etwa mittlerweile überflüssige Filme, ISO-Abbilder, Setup-Programme oder virtuelle Maschinen.

Meist lohnt es sich, in der Systemsteuerung unter „Programme und Funktionen“ nachzusehen, ob nicht einige der (vor-)installierten Programme weg können; konkrete Tipps dazu finden Sie im nachfolgenden Artikel. Wer Spiele auf der Platte hat, sollte auch darauf einen prüfenden Blick werfen, denn die belegen heutzutage gern mal mehrere GByte. Falls Sie damit schon durch sind und Windows immer noch meckert, kommen Sie kaum um eine gründlichere Entrümplung herum.

Selbst ist das Windows

Spätestens nach dem Erscheinen der „Wenig Speicherplatz“-Sprechblase sollten Sie aufräumen, denn sonst versucht sich Windows selbst daran. Am harmlosesten ist dabei, dass es, sofern es eine geeignete zusätzliche Partition findet, beim nächsten Neustart die Auslagerungsdatei Pagefile.sys dorthin verlegt. Wie viel Platz das schafft, hängt vom Arbeitsspeicher ab.

Windows schreckt bei Platzmangel nicht davor zurück, den Ruhezustand zu deaktivieren. Während des Ruhezustands lagert der gesamte Inhalt des Arbeitsspeichers in der Datei C:\Hiberfil.sys, deren Größe ebenfalls von der Größe des Arbeitsspeichers abhängt. Beim Deaktivieren des Ruhezustands wird die Datei gelöscht.

Des Weiteren nimmt sich Windows die Systemwiederherstellung vor: Solange weniger als 500 MByte frei sind, löscht es den jeweils ältesten Systemwiederherstellungspunkt. Schlimmstenfalls gehen so sämtliche Punkte verloren und Sie stehen im Ernstfall ohne diesen Reparaturmechanismus da. Unabhängig davon, ob das Löschen hinreichend Platz geschaffen hat, versucht Windows anschließend einen neuen Punkt zu erstellen – je weniger frei ist, desto wahrscheinlicher scheitert der Versuch. Doch selbst wenn er gelingt: Ziemlich sicher lässt sich der Wiederherstellungspunkt mangels Platz bei Bedarf nicht wiederherstellen.

Bordmittel

Räumen Sie also lieber rechtzeitig eigenhändig auf. Die Datenträgerbereinigung hilft dabei. Tippen Sie entweder „datent“ ins Suchfeld des Startmenüs oder öffnen Sie im Explorer per Rechtsklick auf ein Laufwerk den Eigenschaften-Dialog und klicken auf „Bereinigen“. Die Datenträgerbereinigung startet zunächst eine kurze Prüfung und zeigt das Ergebnis als Liste an. Wenn Sie einen Punkt markieren, erscheint unten eine kurze Erklärung dazu; manchmal lassen sich die zu löschenden Dateien sogar anzeigen. Die Funktion löscht nur Dateien, die in Ordnern Ihres Benutzerkontos liegen und die sie für verzichtbar hält, etwa den Inhalt von Temp-Ordnern oder den Browsercache des Internet Explorer. Nachdem Sie durch Setzen der Häkchen Ihre Wahl getroffen haben, räumt ein Klick auf „OK“ den Speicherplatz frei.

Windows hat ein Bordmittel zum Platzschaffen dabei: Die Datenträgerbereinigung. Schon wenige Mausklicks reichen, um mitunter gar GByte-weise Platz freizugeben.

Gründlicher ist das Putzmittel, wenn Sie unten auf „Systemdateien bereinigen“ klicken, denn dann leert die Funktion nicht nur Ordner, die zu Ihrem Benutzerkonto gehören, sondern auch einige Systemordner. Dabei sollten Sie aber die Beschreibungen beachten, denn hier können Sie auch Häkchen vor Daten setzen, die zum Deinstallieren von Service Packs oder (bei Upgrade-Installationen) der aktuellen Windows-Version erforderlich sind – wenn die weg sind, gibt es keinen Weg mehr zurück.

Wenn Sie die Datenträgerbereinigung gern öfter laufen lassen wollen, können Sie sie automatisieren. Erstellen Sie dazu zuerst einen Regelsatz, was genau gereinigt werden soll, indem Sie ins Suchfeld des Startmenüs den Befehl

Cleanmgr /sageset:1

eingeben. Es startet wieder die Datenträgerbereinigung. Klicken Sie auf „Systemdateien bereinigen“ und setzen vor sämtlichen Punkten ein Häkchen. Dabei bekommen Sie üblicherweise auch zu löschende Dateien vorgeschlagen, die auf Ihrem Rechner gar nicht vorhanden sind – hier wird einfach alles angeboten, was das Programm beherrscht. Nach einem Klick auf „OK“ beendet sich das Programm wieder, ohne dass etwas gelöscht wurde – stattdessen hat es einen Regelsatz für die Reinigung erstellt, in diesem Fall trägt er die Nummer 1, wie oben angegeben. Sie können weitere mit höheren Nummern festlegen (bis 65535).

Zum Starten einer Reinigung mit Regelsatz 1 dient der Befehl

Cleanmgr /sagerun:1

Damit läuft die Datenträgerbereinigung ohne weitere Nachfrage los und reinigt alle Laufwerke. Zum Automatisieren können Sie den Befehl beispielsweise in eine Batch-Datei schreiben und diese im Autostart-Ordner hinterlegen.

Brockenfinder

Wenn die Datenträgerbereinigung nicht genug Platz frei räumt, greift man zum nächsten Bordmittel, dem Explorer. Mit dem können Sie zuerst den Inhalt zweier Temp-Ordner löschen, die die Datenträgerbereinigung nicht leert: C:\Windows\Temp sowie C:\Users\\AppData\Local\Temp. Auf den erstgenannten Ordner haben Sie normalerweise keinen Zugriff, die Benutzerkontensteuerung räumt Ihnen die nötigen Rechte aber direkt nach dem Abnicken der Sind-Sie-sicher-Nachfrage ein.

Der zweite Ordner ist versteckt. Um ihn zu sehen, müssen Sie den Explorer umstellen: Stellen Sie ihn unter Extras/Ordneroptionen/Ansicht so ein, dass er die „Geschützten Systemdateien“ nicht mehr ausblendet. Bei der Gelegenheit weisen Sie ihn auch an, „Erweiterungen bei bekannten Dateitypen“ nicht mehr zu verstecken sowie „Ausgeblendete Dateien“ anzuzeigen, das ist wichtig für den nächsten Schritt.

Wenn man den Explorer anweist, alle Dateien auf Laufwerk C: zu suchen, die größer als 50 MByte sind, zeigt er alle Brocken übersichtlich auf einen Blick.

Klicken Sie nun oben rechts in das kleine Suchfeld des Explorers, dann darunter auf „Größe“ und tippen dann ins Suchfeld hinter „Größe:“, getrennt durch ein Leerzeichen, „>50 m“ ein. Daraufhin sucht er im gerade aktuellen Laufwerk oder Ordner nach allen Dateien, die größer als 50 MByte sind. Das kann etwas dauern. Sie können auch nach anderen Werten suchen, doch kleinere lohnen nicht: Sie bekommen sonst viel zu viele Treffer, von denen der allergrößte Teil die nähere Betrachtung schlicht nicht lohnt (Sie würden sich bloß minimalen Platzgewinn durch maximalen Zeitaufwand erkaufen).

Für eine bessere Übersicht stellen Sie die Ansicht der Suchergebnisse über die Schaltfläche unter dem Suchfeld um auf „Details“. Durch einen Klick auf den Spaltenkopf „Größe“ sortieren Sie die Dateien. Eine Warnung vorab: Bei einigen der ermittelten Dateien werden Sie nicht herausfinden, wofür sie gut sind, also bloß nicht löschen, sonst drohen womöglich Probleme. Das gilt erst recht für alles, was unterhalb von C:\Windows liegt.

Doch keine Bange, bei überraschend vielen Dateien gelingt das Identifizieren leicht. Oft verrät schon ein Blick auf den Namen längst vergessene Überbleibsel aus früheren Tagen – prima, weg damit. Andere Dateien verfügen über sprechende Namen, etwa die gern mal mehrere Hundert MByte große Dropbox.exe.log, bei der es sich eben um die Log-Datei des Cloud-Speicher-Dienstes handelt und die Sie einfach löschen können.

Andere Dateien lassen sich über den Namen in der Spalte „Ordner“ einer Anwendung zuordnen. Wenn beispielsweise eine knapp 60 MByte große Datei namens „Linux.iso“ im Ordner „C:\Program Files (x86)\VMware\VMware Workstation“ liegt, lässt das schon erahnen, dass es sich hier wohl nicht um eine heruntergeladene Distribution handelt, sondern um die zu VMware gehörenden Tools für Linux, also Finger weg davon. Unsicherheiten lassen sich meist schnell beseitigen, wenn man Name und Pfad kurzerhand an die Suchmaschine des Vertrauens verfüttert. Wenn Sie dabei feststellen, dass sie eine Anwendung nicht mehr brauchen, sollten Sie nicht einfach deren Dateien löschen, sondern sie in der Systemsteuerung unter „Programme und Funktionen“ deinstallieren. Handelt es sich hingegen um Überbleibsel längst deinstallierter Programme, können die Dateien einfach weg.

Zwei der größten so ermittelten Dateien finden sich auf ziemlich jedem Windows-PC: die bereits erwähnte Auslagerungsdatei Pagefile.sys sowie die Ruhezustandsdatei Hiberfil.sys. Bei der Pagefile.sys können Sie Größe und Lage beeinflussen. Weisen Sie Windows einfach an, sie auf einer anderen Partition zu erstellen. Auf der Windows-Partition ist sie dann im Prinzip überflüssig, doch sollten Sie sie dort nicht komplett deaktivieren. Belassen Sie eine kleine 200-MByte-Auslagerungsdatei auf der Systempartition, sonst kann Windows bei Bluescreens keine Informationen dazu mehr speichern.

Öffnen Sie mit der Tastenkombination Windows+Pause die Systemsteuerung/System und klicken links auf „Erweiterte Systemeinstellungen“. Über die Schaltfläche „Einstellungen“ unter „Leistung – Visuelle Effekte, …“ gelangen Sie in den nächsten Dialog. Im Reiter „Erweitert“ klicken Sie auf „Ändern“. Entfernen Sie das Häkchen vor „Auslagerungsdateigröße für alle Laufwerke automatisch verwalten“. Das Laufwerk C: ist nun markiert. Wählen Sie unten „Benutzerdefinierte Größe“ und tragen Sie sowohl als Anfangs- als auch als maximale Größe „200“ ein. Klicken Sie anschließend unbedingt auf „Festlegen“, sonst verwirft Windows die Änderungen wieder. Nun noch die neue Heimat für die Auslagerungsdatei markieren, unten auf „Größe wird vom System verwaltet“ und danach auf „Festlegen“ klicken, fertig.

Auf Wunsch können Sie auch hier eine neue Größe festlegen, doch seien Sie dabei nicht allzu forsch. Auf keinen Fall sollten Sie ganz auf eine Auslagerungsdatei verzichten, denn das kann unter Umständen seltsame Phänomene nach sich ziehen. Wie groß die Datei mindestens sein sollte, lässt sich leider nicht einfach beantworten. Microsoft windet sich (im Knowledge-Base-Artikel 2160852, zu finden unter http://support.microsoft.com) selbst um eine klare Aussage herum: Das Anderthalbfache des Arbeitsspeichers sei ein guter Ausgangswert, auf Rechnern mit viel RAM mag deutlich weniger ausreichend sein. Nach unseren Erfahrungen kommen auch Windows-Rechner mit wenig Speicher je nach Verwendungszweck oft mit einer kleineren Auslagerungsdatei aus, mitunter reicht schon ein halbes GByte. Notfalls kann man die Datei beim Auftreten von angeblichen Speicher-Problemen mit wenigen Mausklicks wieder vergrößern.

Die Ruhezustandsdatei Hiberfil.sys lässt sich nach unserem Kenntnisstand nicht verschieben. Sie können Sie komplett entfernen, müssen dann aber auf den Ruhezustand verzichten. Dazu brauchen Sie eine Eingabeaufforderung, die Sie per Rechtsklick „Als Administrator ausführen“. Tippen Sie darin den Befehl

powercfg -h off

ein. Windows deaktiviert daraufhin den Ruhezustand und löscht die Hiberfil.sys. Um den Ruhezustand bei Bedarf wieder einzuschalten, ersetzen Sie bei dem Befehl das off durch ein on.

Abzuraten ist vom Verkleinern der Datei, denn wenn die Ruhezustandsdatei nicht groß genug ist, um den kompletten Inhalt des Arbeitsspeichers aufzunehmen, stürzt Windows ab.

Mehr Brocken

Wahrscheinlich stoßen Sie auf weitere große Dateien, beispielsweise auf eine, deren Name mit einer seltsamen Ziffern- und Buchstabenfolge beginnt und auf „_blobs.bin“ endet. Sie liegt unterhalb des Ordners C:\Windows\winsxs und dient als Cache für verschiedene Operationen des Windows-Updates. Die Größe schwankt zwischen wenigen MByte und vielen GByte, was laut Microsofts Senior Support Escalation Engineer Joseph Conway durchaus normal ist (siehe c’t-Link). Sie können die Datei gefahrlos löschen. Windows baut sie dann wieder neu auf, nur eben kleiner. Das Löschen gelingt allerdings nicht sofort, denn unter Windows 7 fehlen Ihnen selbst dann die nötigen Zugriffsrechte, wenn Ihr Benutzerkonto in der Gruppe der Administratoren steckt. Am einfachsten lösen Sie das Problem wieder in einer Eingabeaufforderung mit Administratorrechten und folgenden Befehlen:

takeown /f c:\windows\winsxs\manifestcache\* icacls c:\windows\winsxs\manifestcache\* ⤦ /grant administratoren:f del c:\windows\winsxs\manifestcache\*

Mit dem ersten Befehl übernehmen Sie den Besitz über die Datei, mit dem zweiten gewähren Sie sich Vollzugriff und mit dem dritten löschen Sie die Datei.

Lauter Zwischenspeicher

In vielen Fällen stoßen Sie auf weitere Brocken mit nichtssagenden Namen wie 1c072399.msp, 4f88e.msi oder 465334.msp, die im Ordner C:\Windows\Installer liegen. Dabei handelt es sich ebenfalls um einen Cache, und zwar, wie der Name schon andeutet, um den des „Windows Installer“. Er füllt ihn bei der Installation von Programmen und beim Einspielen von Updates mit Kopien der Setup-Pakete. Die Kopien erlauben es, künftige Updates klein zu halten, denn so braucht der Installer nur jene Teile herunterzuladen, die sich geändert haben. Daher sollten Sie den Inhalt des Ordners nicht einfach löschen, er wird noch gebraucht.

Windows fragt allerdings üblicherweise nach, wenn in diesem Cache etwas fehlt. Daher können Sie, nachdem Sie sicher gestellt haben, dass momentan keine Updates einzuspielen sind, die Dateien auf ein anderes Laufwerk verschieben. Auf das verweisen Sie später bei eventuellen Nachfragen. Wirklich empfehlenswert ist das aber nicht, allein schon, weil man ja erfahrungsgemäß dazu neigt, im entscheidenden Moment der Nachfrage die Verschiebeaktion längst vergessen zu haben und sich dann über die Meldung wundert. Wenn überhaupt, sollten Sie also nur große Brocken auslagern, die laut den Details nicht zu Windows selbst gehören, etwa die Installationspakete von Office-Suiten oder ähnlichem.

Eine weitere große Datei, die auf vielen Windows-7-Rechnern herumlungert, heißt netfx_core.mzz und liegt in C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache (oder statt in Framework in Framework64). Die Datei wird für künftige Updates des .NET-Frameworks benötigt, bitte keinesfalls löschen.

Noch ein Klotz: In der CurrentDatabase_372.wmdb speichert der Windows Media Player seine Medienbibliothek. Wer darauf verzichten kann, löscht sie einfach, der Media Player legt dann eine neue, kleinere an. Unter Umständen müssen Sie vor dem Löschen jedoch vorübergehend einen Dienst deaktivieren: Tippen Sie „Dienste“ ins Suchfeld des Startmenüs und bestätigen Sie mit Enter. Die sich öffnende Liste enthält relativ weit unten den „Windows Media Player-Netzwerkfreigabedienst“. Beenden Sie ihn via Kontextmenü, löschen Sie die Datei und starten Sie den Dienst wieder.

Die Fernseh-Einstellungen des Media Center finden Sie unter C:\ProgramData\Microsoft\eHome, die Datei heißt mcepg2-0.db. Weil hierin auch die Daten des Programmführers gespeichert werden, neigt auch sie zum Wachsen. Um sie zu löschen, darf das Media Center nicht laufen, eventuell müssen Sie auch zeitweise den Windows Media Center-Empfängerdienst sowie den Windows Media Center-Planerdienst beenden. Anschließend müssen allerdings die Sender neu eingestellt werden.

Kleinvieh-Sammlungen

Der Explorer stöbert zwar große Dateien auf, aber keine Ordner, die vor lauter kleinen Dateien überquellen. Dabei hilft Freeware wie „WinDirStat portable“, zum Beispiel erhältlich im Software-Verzeichnis auf heise online unter Download (siehe c’t-Link). Die angebotene Datei mit der Endung .paf.exe sieht zwar aus wie ein waschechtes Setup-Programm, doch letztlich handelt es sich bloß um ein selbstentpackendes Archiv. Der vorgeschlagene Pfad lässt sich auf Festplatten nicht einfach übernehmen, wählen Sie einen beliebigen neuen aus.

Die Freeware WinDirStat zeigt die größten Brocken auf der Platte sowohl in einer Baumansicht als auch als Grafik.

Das Programm untersucht wahlweise ein oder alle Laufwerke. Das Ergebnis präsentiert es in zwei Formen: Oben als Baumansicht, sortiert nach den Ordnern mit dem höchsten Füllstand und unten als Grafik, bei der Dateien als umso größere Klötze dargestellt werden, je mehr Platz sie belegen. Im Prinzip gilt hier wieder das Gleiche wie für die im Explorer gefundenen Dateien: Was im Windows-Ordner liegt, sollte tabu sein, sofern Sie nicht genau wissen, worum es sich dabei handelt. Beim Rest müssen Sie selbst entscheiden, notfalls wieder mit Unterstützung einer Webrecherche.

Ominöser Ordner

WinDirStat entlarvt üblicherweise den Ordner C:\Windows\winsxs als den mit weitem Abstand größten. Widerstehen Sie bitte dem „Kenn ich nicht, brauch ich nicht, weg damit“-Drang, denn erstens ist der Ordner außerordentlich wichtig und zweitens sieht das mit der Größe weit schlimmer aus, als es in Wirklichkeit ist.

Im Ordner winsxs stecken sämtliche Dateien, die Windows benötigt. Sollten welche per Update, Hotfix oder Service Pack auf einen neuen Stand gebracht worden sein, blieben hier auch die alten Versionen erhalten – deswegen wächst der Ordner im Laufe der Zeit. Aufbewahrt werden sie vor allem für künftige Aktualisierungen, doch so manche Anwendung und auch Windows selbst braucht einiges davon im laufenden Betrieb. Den Ordner zu löschen hat daher drastische Folgen: Windows erleidet einen Totalschaden. Auf einem Testrechner reichte es beim ersten Neustart nur noch für einen Bluescreen, beim zweiten schaffte Windows nicht mal mehr das, sondern fror direkt nach dem Start komplett ein.

Installieren Sie Windows Embedded Standard 7 Tools Erzeugen Sie eine Hardware-Konfigurationsdatei mithilfe von TAP.exe. TAP.exe befindet sich standardmäßig im Verzeichnis:
C:\Programme\Windows Embedded Standard 7\Tools\Image Configuration Editor\

Öffnen Sie den Windows Embedded Standard 7 Image Configuration Editor: Start → Alle Programme → Windows Embedded Standard 7 → Image Configuration Editor. Im Image Configuration Editor rechts-klicken Sie auf den Hintergrund der Distribution Share Spalte und wählen Sie Select Distribution Share.

In der Dialogbox navigieren Sie zu C:\Programme\Windows Embedded Standard 7\DS und klicken Sie auf öffnen. Die einzelnen Module sind nun in der Spalte Distribution Share hierarchisch gelistet zu sehen.

Im Menü File klicken Sie New Answer File, um die XML-Konfigurationsdatei zu erzeugen. Im Menü File → Import klicken Sie Import PMQ und wählen Sie die device.pmq Datei, die durch TAP.exe erzeugt wurde. Die Datei befindet sich in Standardeinstellungen in C:\Benutzer\Benutzername\AppData\Local\VirtualStore\Program Files\Windows Embedded Standard 7\Tools\Image Configuration Editor

Achtung: Der Ordner AppData ist versteckt, stellen Sie sicher, dass Sie versteckte Ordner angezeigt bekommen.

Durch Hinzufügen der devices.pmq Datei werden dem Image die notwendigen Treiber zugefügt. Erzeugen Sie ein Image. In der Spalte Distribution Share klicken Sie Packages und dann Feature Pack und fügen Sie alle unten stehenden Pakete dem Answer File hinzu. Um Pakete zum Answer File hinzuzufügen rechts-klicken Sie das Paket und wählen Sie Add to Answer File.

Sie können beliebig viele Pakete hinzufügen, dadurch wird das Image aber größer. Die folgenden Pakete müssen hinzugefügt werden:

.NET Framework → .Net Framework 2.0 Application Support → COM OLE Application Support → COM+ Application Support → Win32 Application Runtimes and LibrariesBoot Environment → Windows Boot Environment Management → System Management → Windows Management Instrumentation (WMI)Management → Windows Update → Windows Update Standalone Installer Management → Windows Application Compatibility Networking → Base →Internet Authentication Service Networking → Base → Networking Base Networking → BITS Networking → Remote Access Service (RAS)Networking → Small Networking Services Networking → Windows Firewall Remote Connection → Remote Desktop ConnectionSystem Services → Windows Installer User Interface → Windows Shell- >System Control PanelUser Interface → Windows Shell → Windows Explorer Shell User Interface → Command Prompt Shell with Custom Shell Support (Achtung: Wählen Sie entweder diese Option oder die Windows Explorer Shell Option)

Wenn Sie alle Pakete hinzugefügt haben, wählen Sie im Menüpunkt Validate den Unterpunkt Validate Only, um die Abhängigkeiten der gewählten Pakete zu prüfen.
Um die nötigen Pakete sofort hinzuzufügen, können Sie stattdessen auch Add Required Packages im Menü Validate auswählen. Diese Option löst die Abhängigkeiten selbständig auf.
Sollten im Fenster Messages noch Fehlermeldungen auftreten, wählen Sie die einzelnen Fehler durch Doppelklick aus und lösen Sie im Fenster, das sich öffnet, die Probleme durch Auswählen der nötigen Pakete und anschließender Bestätigung mit OK.

Wiederholen Sie diese Prozedur, bis keine Fehlermeldungen mehr zu sehen sind. Falls Sie noch optionale Pakete hinzufügen wollen, fügen Sie auch diese hinzu, ansonsten können diese ignoriert werden.

Im Menü File klicken Sie Save, um den Answer File zu speichern. Im Menü Tools klicken Sie Create Media und dann Create IBW Image from Answer File, um ein Medium mit Betriebssystem-Image zu erstellen. In der Create IBW Disk Dialogbox wählen Sie aus, wo Sie das Medium erstellen möchten und bestätigen Sie mit OK.

Windows Embedded Standard 7 Image installieren

Erstellen Sie ein bootfähiges Medium.
Bespielen Sie das bootfähige Medium mit dem erzeugten Image.
Achtung: Stellen Sie sicher, dass Ihr Gerät von dem gewählten Medium bootet.
Folgen Sie den weiteren Anweisungen am Bildschirm.

Beim Erstellen eines Images für Windows Embedded Standard 7 werden weitreichende Entscheidungen getroffen, deren Konsequenzen erst später zutage treten – zum Beispiel, wenn ein Update gemacht werden soll. Die folgenden Tipps aus der Praxis sollen helfen, unangenehme Überraschungen zu vermeiden.

Bevor man mit der Installation der WinES-7-Tools beginnt, sollte man sich über folgende Fragen Gedanken machen:

1. Was für ein BOOT-Medium kann eingesetzt werden?  (Bild 1)
Eine Festplatte wird immer dort verwendet, wo das Embedded-System an einem festen und ruhigen Platz eingesetzt wird. Befindet sich das System hingegen in einem Spielautomaten oder einer Werkzeugmaschine, muss eine Flash-Disk oder eine Solid-State-Disk (SSD) verwendet werden.  Eine Flash-Disk ist preiswert aber auch sehr langsam, eignet sich jedoch gut für ein Überwachungsgerät. Eine SSD ist kostspielig, aber auch viel schneller als eine Festplatte oder eine Flash-Disk. Wie im Bild 2 zu sehen ist, befindet sich das WinES-7-Betriebssystem auf einer schreibgeschützten und günstigen Flash-Disk und die permanent benötigten oder produzierten Daten liegen auf einer schnellen SSD. Eine typische Anwendung wäre, dass ein SQL-Server auf der Flash-Disk installiert wurde und die SQL-Daten liegen auf der SSD Disk.

©Bild 1: Partitionen eines Systems mit Windows Embedded Standard 7

2. Wird für das Embedded System eine Systempartition benötigt?
Bei der Installation von WinES 7 auf dem Embedded-System hat man die Möglichkeit auszuwählen, ob man eine Systempartition benötigt oder nicht. Werden das zu entwickelnde Gerät einige oder alle Sicherheits-Funktionen von Windows Embedded 7 verwendet, dann wird die Systempartition benötigt. Zu diesen Eigenschaften gehören der AppLocker und der BitLocker.  Der AppLocker bietet einen einfachen und flexiblen Mechanismus, mit dem Administratoren genau angeben können, was in der Desktopumgebung ausgeführt werden darf. Die BitLocker-Laufwerkverschlüsselung (kurz BitLocker) verhindert, dass ein ungebetener Gast ein anderes Betriebssystem starten oder Hackersoftware ausführen kann, um den Datei- und Computerschutz von Windows 7 zu umgehen.

3. Welche Update-Mechanismen sollen zur Verfügung gestellt werden?
Bild 1 gezeigt eine WinES-7-Lösung, an der laufend Treiber oder Anwendungen installiert/deinstalliert werden können. Auch lassen sich die von Microsoft zur Verfügung gestellten Updates in der Systemsteuerung konfigurieren. Aber für ein Embedded-System sollte man die benötigten Updates gezielt vornehmen und überwachen, immer nach dem Motto »never change a running system«.

4. Wie kann man ein komplettes Image von WinES 7 (Bild 1) updaten?
Es gibt mehrere Möglichkeiten, ein WinES-7-Image auf einem Embedded-System zu erneuern (updaten). Hier seien zwei Möglichkeiten dargestellt: Die erste Möglichkeit wäre, dass man ein Embedded-System mit WinPE 3.0 (Windows Preinstallation Environment) bootet, um ein komplettes Image über das Netzwerk oder von einem Flash-Speicher aus installiert. WinPE befindet sich auf der 32-/64-bit-Runtime-DVD des Tool-Kits von WinES 7. Es ist ein minimales Windows-7-Betriebssystem, das einige Netzwerk-Funktionen mitbringt. Sollte WinPE die aktuelle Netzwerkkarte nicht unterstützen, so kann man sich eine eigene WinPE-Version generieren, in der die benötigte Netzwerkkarte enthalten ist.
Unter WinPE kann man mit dem Befehl „net use“ ein Netz-Laufwerk anlegen. Auf diesem Laufwerk befindet sich das neue WinES-7-Image.
Hier ein Update-Bespiel:

net use * \\172.16.0.174\Image /USER:Fima\user_rudi user_password
Image ist ein Shared-Verzeichnis auf dem Entwicklungs-PC mit der IP-Adresse \\172.16.0.174.
Mit net use wird ein Laufwerk »Z:« auf dem Entwickungs-PC, mit der Domäne »Firma«, dem User und Password angelegt.\TOOLS\Imagex /apply Z:Master.wim 1 E:  /verify
Mit dem Programm »ImageX« wird vom Netzwerk-Laufwerk Z: das Image »Master.wim« kopiert. Dazu verwendet man die Option »/apply«.net use /delete z:
Mit der Option »/delete« wird das Netz-Laufwerk wieder freigegeben.

Aber wie könnte man ein Image-Update an einem Gerät vornehmen, an dem es weder eine Maus, eine Tastatur noch einen Bildschirm gibt, ein sogenanntes »Headless-Device«? Dazu könnte man gemäß Bild 2 auf der SSD eine 2. Partition einrichten, auf der man ein zweites WinES-7-Betriebssystem installiert. Mit dieser Dual-Boot Variante könnte man das zweite WinES 7 booten, um dann das Image der ersten Partition zu erneuern. Der Zugriff auf das Embedded-Gerät kann nun mit der Remote-Desktop-Funktion erfolgen und mithilfe von BCDEdit kann die gewünschte Boot-Reihenfolge geändert werden. Durch einen Neustart wird dann die eingestellte Partition gebootet. Anschließend kann auch bei dieser Update-Variante ein Image erneuert werden (Update-Beispiel).  Auf dem System befinden sich zwar zwei WinES-7-Versionen, für das man aber nur eine Lizenz benötigt, da zu jedem Zeitpunkt nur eine Version aktiv ist.

5. Werden die Datei-Schreibfilter für das WinES-7-Betriebssystem benötigt?
In Bild 2 wird ein Beispiel gezeigt, in dem eine Flash Disk mit den FBWF (File Based Write Filter) geschützt wird. Aber was bedeutet FBWF?
Ein File Based Write Filter ist ein Treiber von Microsoft für WinES 7, der alle Schreibvorgänge auf der Festplatte oder Flash-Disk abfängt und in einem anderen festgelegten Teil des Arbeitsspeichers puffert. Nach einem Neustart des Systems gehen diese gepufferten Informationen verloren. Möchte man hingegen die gepufferten Daten übernehmen, so kann man sie mit dem Befehl (fbwfmgr/enable) in den geschützten Bereich aufnehmen.

Wie wird ein neues WinES7 Image erstellt?

Wie in Bild 2 zu erkennen ist, gibt es mehrere Möglichkeiten, um ein Image auf der Target-Hardware zu installieren.

©Bild 2: Installation des Betriebssystems auf der Ziel-Hardware.

1. Mit den 32-/64-bit-Runtime-DVDs, die im Toolkit enthalten sind, kann ein Image direkt auf die Target-Hardware installiert werden. Durch das Booten der DVD wird WinPE 3.0 geladen und der IBW (Image Based Wizard) gestartet. Anschließend wird man menügesteuert durch den Installationsprozess geführt, um die gewünschten Module zu installieren. Das schnellste Ergebnis erzielt man bei der Installation, wenn man sich für eine vorgefertigte Konfiguration entscheidet: z.B. das Design-Template »Thin Client« auswählt. Die Installation wird mit der Frage abgeschlossen: Auf welcher Partition soll das Image erstellt werden? Man bezeichnet diese Vorgehensweise als Prototyp-Image-Erstellung, bei der man zwar die benötigten Module auswählen kann, aber keine Einstellungen am Image vorgenommen werden können. Bei dieser Installation wird ein DVD-Laufwerk benötigt.

Viel flexibler ist man bei der Verwendung eines 4-Gbyte-USB-Sticks. Dieser Stick enthält alles, was auch auf der Runtime-DVD enthalten ist und zusätzliche Tools, die man für administrative Aufgaben benötigt. Ein bootfähigen USB-Stick erstellt man mit dem Programm »Diskpart«. Das ist hier beschrieben. Unter dem ICE (Image Configuration Editor)-Menü TOOLS → Create Media → Create IBW Image with full Distribution Share … werden quasi alle Programme der Runtime-DVD auf den USB-Stick kopiert.Weitere Programme wie TAP.exe oder ImageX können dort abgespeichert werden.©Entwicklungs-PC mit Windows 7.

Bei der Imageerstellung über einen USB-Stick kann nun die komplette Imagekonfiguration über eine Beschreibungsdatei (TargetHW.xml) installiert werden. Diese Datei (Bild 3) wurde mit dem ICE zusammengestellt. Dazu wählt man im IBW das Menü »Deploy an Answer file or WIM« die Datei TargetHW.xml aus. Man kann alle Installationsfragen, die bei der DVD-Installation auftraten, im ICE beantworten.

Installation des ICE-Toolkits auf den Entwicklung-PC

Durch Ausführung des ICE-Setup-Programms (DVD 1) wird das komplette Toolkit auf dem Entwicklung-PC installiert. Der Distribution Share (DS) enthält den kompletten, modulbasierten Baukasten von Windows 7 Ultimate mit allen Treibern und Feature Packs. Eine neue Konfiguration wird in der Ergebnisdatei TargetHW.xml abgelegt. Mit diesem Tool lassen sich Kundenwünsche wie User Name, Password, Auto Logon, Browser, Customer-Shell usw. einstellen.

Die wichtigsten Leistungsmerkmale von Windows Embedded Standard 7

Windows Embedded Standard 7 enthält einen benutzerfreundlichen Image Build Wizard (IBW) und weitere Embedded Tools, die eine schnellere Entwicklung von Images und Prototypen ermöglichen, die Entwicklern Neuerungen für neue Hardwarekonfigurationen erlauben.Windows Embedded Standard 7 enthält mehr als 150 Pakete mit intuitiven Funktionen sowie 500 Treibsätzen und bietet damit alles, was Entwickler zur Entwicklung von Embedded-Geräten benötigen.Eine einfache Integration durch IPv6-Unterstützung, einschließlich eines neuen TCP/IP-Stacks und eine erweiterte Sicherheit mit einem Netzzugangsschutz (NAP, Network Access Protection) für eine leichte Integration in das Unternehmensnetzwerk.Der Internet Explorer 8 und Windows Media Player 12 übertragen die Web-Funktionen und multimedialen Erlebnisse vom Desktop auf die Embedded-Geräte.Die Unterstützung von 64-Bit-Hardware und High-End-Grafiken in Kombination mit Multi-Touch-Fingerbewegungen und kontextsensitiven Anwendungen ermöglichen Entwicklern die Gestaltung animierter Benutzeroberflächen.Die zuverlässige Vernetzung, die dezentralen Verwaltungsfunktionen und die Interoperabilität von Windows Embedded Standard 7 erleichtern den nahtlosen Anschluss an andere Geräte, Server und Dienste. Leistungsstarke neue Features wie das Remote Desktop Protokoll 7.0 und Direct Access heben die Konnektivität von Embedded-Geräten auf eine ganz neue Stufe.