Tipps und Tricks für Windows Server 2015

Server direkt mit dem Internet verbinden oder nicht zertifizierte Software installieren – wir zeigen Ihnen zehn Punkte, die Sie keinesfalls auf einem Windows Server tun sollten. [...]

Betreiben Sie im Netzwerk Server mit Windows Server 2012 R2 für verschiedene Dienste, wie Active Directory-Domänencontroller oder andere Funktionen, müssen einige Punkte beachtet werden. Im Folgenden listen wir einige Punkte auf, die Sie keinesfalls auf Servern machen sollten – auch nicht auf Vorgängerversionen des Windows Server 2012 R2.

SERVERDIENSTE AUF DOMÄNENCONTROLLERN INSTALLIEREN

Domänencontroller sollten nur diesen Dienst bereitstellen. Vermeiden Sie die Installation weiterer Dienste, vor allem wenn es um Sicherheitsdienste, wie Active-Directory-Zertifikatdienste geht. Auch zusätzliche Serveranwendungen wie Exchange Server 2013 sollten Sie nicht auf Domänencontrollern installieren. Auch wenn viele Administratoren davon ausgehen, dass ein Domänencontroller außer der morgendlichen Anmeldung der Benutzer nicht viel zu tun hat, kann sich die Leistung in der Domäne deutlich reduzieren, wenn der Server belastet wird.

Müssen Sie den Server neu installieren, fallen auch die anderen Serverdienste aus, und müssen ebenfalls neu installiert werden. Bei den Active-Directory-Zertifikatdiensten ist das besonders ärgerlich, weil dann auch alle Zertifikate ihre Gültigkeit verlieren. Außerdem sind auf den Domänencontrollern auch die Benutzer der Domäne gespeichert, da sich hier die AD-Datenbank befindet. Auf solchen Servern gibt es keine lokalen Administratoren. Alle Administratoren dieser Server sind gleichzeitig auch Administratoren der Domäne und aller anderen Server.

FREEWARE-TOOLS FÜR ARBEITSSTATIONEN INSTALLIEREN

Vor allem in kleinen Unternehmen werden auch auf Servern Tools und Sicherheitsanwendungen für Arbeitsstationen installiert. Zwar laufen die meisten Anwendungen für Windows 8/8.1 auch auf Servern mit Windows Server 2012 R2, allerdings kann es bei der Installation auf dem Serverbetriebssystem zu unvorhersehbaren Problemen kommen. Vor allem Tools zum Scannen nach Viren oder Systemoptimierungs-Tools sollten keinesfalls auch auf Servern installiert werden. Tools für ältere Serverversionen müssen außerdem nicht unbedingt auch auf Servern mit Windows Server 2012 R2 laufen.

Das gilt auch für Windows-Server-2012-R2-Tools auf Servern mit Windows Server 2016. Hier besteht Absturzgefahr oder sogar Datenverlust. Verwenden Sie nur Tools, die vom Entwickler auch für Windows Server 2012 R2 freigegeben wurden und keinesfalls Tools, die für Arbeitsstationen entwickelt wurden. Das gilt in erster Linie für Virenscanner – hier müssen Sie in jedem Fall auf Versionen für Windows Server 2012 R2 setzen.

SNAPSHOTS ERSTELLEN

Virtualisieren Sie Domänencontroller, Exchange, SharePoint oder SQL und andere Serverdienste mit Datenbanken, sollten Sie beim Erstellen von Snapshots sehr vorsichtig vorgehen. Bei der Erstellung eines Snapshots wird auch ein Snapshot der Datenbank erstellt. Setzen Sie den Snapshot zurück, kann es zu Inkonsistenzen von Datenbanken kommen. Hier sollten Sie vorher überprüfen, ob die Anwendung die Erstellung von Snapshots unterstützt.

Ab Windows Server 2016 wird das Problem entschärft, da hier bei der Erstellung von Snapshots auch das Gastbetriebssystem informiert und verwendet wird. Das ist bis Windows Server 2012 R2 allerdings nicht der Fall.

DIREKTE INTERNETVERBINDUNG HERSTELLEN

Sie sollten einen Server keinesfalls direkt mit dem Internet verbinden. Vor allem wenn es um die Veröffentlichung von Serverdiensten wie Exchange, SharePoint, IIS, Remotedesktop-Dienste oder andere Funktionen geht, sollten Sie auf zusätzliche Sicherheitsinfrastruktur setzen. Natürlich können Sie auf einem Server direkt das Standard-Gateway pflegen, damit er ohne Umweg Daten und Patches aus dem Internet herunterladen kann. Besser ist für interne Server aber das Verwenden von Windows Server Update Services (WSUS). Dieser Serverdienst sollte seine Updates wiederum am besten über einen Proxy-Server bei Microsoft herunterladen. Serverdienste sollten Sie nur über einen Reverse-Proxy oder eine dafür optimierte Firewall im Internet bereitstellen. Ansonsten besteht die Gefahr, dass der Server angegriffen wird und Daten verloren gehen. Das Internet ist eine der schlimmsten Gefahren für interne Server.

NICHT ZERTIFIZIERTE TREIBER UND SOFTWARE INSTALLIEREN

Installieren Sie auf einem Server keinesfalls nicht zertifizierte Treiber und Druckersoftware. Handelt es sich um einen Druckserver, kommen Sie zwar kaum um die Installation von Druckertreiber herum, diese sollten aber so eingeschränkt wie möglich installiert werden. Außerdem sollten Sie vor der Installation neuer Druckertreiber eine vollständige Sicherung des Servers durchführen, da die Installation von Druckertreiber auch noch moderne Server wie den Windows Server 2012 R2 zum Absturz bringen können.

Natürlich sollten Sie auch keine Treiber für Windows 8 oder 8.1 auf Servern mit Windows Server 2012 R2 installieren, falls Sie keinen Treiber finden können. Setzen Sie in diesem Fall besser auf ein anderes Gerät. Bei nicht zertifizierten Treiber kann der Server nicht nur bei der Installation abstürzen, sondern generell instabil laufen.

MIT DESKTOP-BETRIEBSSYSTEMEN VIRTUALISIEREN

In kleinen Unternehmen werden manche Server, wie zusätzliche Domänencontroller, mangels Hardware oft auf Arbeitsstationen mit kostenloser Virtualisierungssoftware bereitgestellt. Das funktioniert zwar grundsätzlich, allerdings sind Arbeitsstationen nicht vor Ausfall geschützt und auch nicht für den Dauerbetrieb geeignet. Viren und andere Angreifer auf Arbeitsstationen können auch Server kompromittieren. Virtualisierungsanwendungen für Arbeitsstationen sind außerdem nicht für Serverdienste ausgelegt. Setzen Sie in diesem Fall besser auf einen günstigen Server mit passender Hardware.

Benötigen Sie mehrere Server, haben aber nur einen physischen Server, sollten Sie die Virtualisierung der Serverdienste prüfen. Hier gibt es auch professionelle, aber kostenlose Lösungen wir Microsoft Hyper-V Server 2012 R2, VMware ESXi oder Citrix XenServer 6.5.

SERVER OHNE VIRENSCHUTZ BETREIBEN

Auch wenn auf einem Server keine Daten von Anwendern gespeichert werden, sollten Sie auf allen Servern im Netzwerk einen Virenschutz installieren. Ungeschützte Server können von Viren befallen werden und das Netzwerk kompromittieren.

Auch auf Domänencontrollern sollten Sie Virenscanner installieren, da bei Ausfall ansonsten die Gefahr besteht, dass das komplette Netzwerk nicht mehr zur Verfügung steht. Es gibt keinerlei Gründe, auch unwichtige Server ohne Virenschutz zu betreiben.

DYNAMISCHEN ARBEITSSPEICHER UND ZEITSYNCHRONISIERUNG BEI VIRTUELLEN SERVERN NUTZEN

Die Verwendung des dynamischen Arbeitsspeichers wird nicht von allen Serverdiensten unterstützt, die auch die Virtualisierung unterstützen. Microsoft rät zum Beispiel bei der Virtualisierung von Exchange Server 2013 eindeutig von der Verwendung des dynamischen Arbeitsspeichers ab. Verwenden Sie diese Technologie nur für Serverdienste, welche diese Funktion auch unterstützen. In den Integrationsdiensten der verschiedenen Virtualisierungslösungen, wird die Uhrzeit mit dem Virtualisierungshosts synchronisiert.
 
Das ist in Active-Directory-Umgebungen nicht empfohlen. Hier synchronisieren die Mitgliedsserver ihre Zeit mit den Domänencontrollern und die Domänencontroller Ihre Zeit jeweils mit dem übergeordneten Domänencontroller mit der PDC-Master-Rolle. Verwenden Sie zusätzlich noch die Synchronisierung mit den Integrationsdiensten kann es zu Inkonsistenzen kommen. (idg)


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*