blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

Server Core Basis Administrationsaufgaben

von · Veröffentlicht · Aktualisiert

Mit der Einführung von Server Core ab Windows Server 2008 R2 hat auch Microsoft die Vorteile von schlanken, Konsolen-basierten Server Systemen erkannt. Da bekanntermaßen die Desktop-GUI fehlt, bedarf es Eingriffen über die Konsole, um das System an seine Anforderungen anzupassen. Microsoft liefert zwar das Konfigurationstool scconfig.exe mit, aber wenn man schon nur eine CLI hat, möchte man ja auch tippen ;-).

Natürlich funktionieren alle folgenden Konfigurationen auch auf Windows Server mit Desktop GUI, wenn man ein Freund der Konsole ist.

Name/Domäne

Das Umbennen des Hosts (Workgroup/Domain-joined) und der Domain-Join erfolgt mit dem Tool netdom.exe.

netdom renamecomputer %ComputerName% /NewName: <Hostname(NEU)>
netdom renamecomputer %ComputerName% /NewName: <Hostname(NEU)> /userd:<Domain>\<Admin-Account> /passwordd:<Passwort>
netdom join <Hostname> /domain:<Domain-Name> /userd:<Domain>\<Admin-Account> /passwordd:<Passwort>
Netzwerk/Firewall

Normalerweise erhalten Server Systeme feste IP Adressen. Da nach der Installation die IP Konfiguration per DHCP erfolgt, muss eine IP Konfiguration mit netsh.exe erst noch vorgenommen werden.

netsh interface ipv4 set address name ="Ethernet" source=static <IP-Adresse> <Subnetz> <Gateway>
netsh interface ipv4 add dnsserver name="Ethernet" address=<1.DNS-Server-IP> index=1
netsh interface ipv4 add dnsserver name="Ethernet" address=<2.DNS-Server-IP> index=2

Möchte man doch wieder auf DHCP umstellen, funktioniert dies wie folgt:

netsh interface ipv4 set address name ="Ethernet" source=dhcp

Das Ergebniss kann man sich dann wie folgt ausgeben lassen:

netsh interface ipv4 show config

Firewall Regeln lassen sich auf Core Systemen nur über den Server Manager über einen Remote Admin Client konfigurieren. Allerdings lässt sich über die Konsole z.B. die Konfiguration der Regeln anzeigen (im Beispiel alle eingehenden Verbindungsregeln in allen Profilen):

netsh advfirewall firewall show rule name=all dir=in

Über folgenden Befehl lässt sich die Firewall deaktivieren.

netsh advfirewall set allprofiles state off
Rollen/Features installieren

Zum Nachinstallieren von Rollen & Features kann man bei Server Core auf DISM zurückgreifen.

dism /online /enable-feature /feature-name:<Feature-1>,<Feature-2>,<Feature-n>
Energieverwaltung

Unter Server Core steht das Dienstprogramm powercfg.exe mit einer Vielzahl an Optionen zur Verfügung.

Um z.B. zwischen den Standard-Energieschemata zu wechseln, lässt man sich zu erst deren GUID anzeigen und nutzt diese dann, um das Energieschema zu aktivieren.

powercfg -l
powercfg -setactive <GUID aus powercfg -l>

Für die Änderung einzelner Einstellungen in einem Energieschema verwendet man den Parameter -x, z.B. versetzt folgender Befehl den Monitor nach 10 Minuten Inaktivität in Standby:

powercfg -x -monitor-timeout-ac 10

Weitere Parameter sind z.B. -disk-timeout-ac für die Festplatten und -hibernate-timeout-ac für den Hibernate-Modus.

Dienste

Für die Steuerung von Diensten stehen zwei Tools zur Verfügung, net.exe und sc.exe, wobei sc.exe deutlich mehr Optionen bietet, weil es speziell für die Administration von Diensten ist, während mit net.exe weitere Betriebssystemoptionen gesteuert werden können.

Dienste stoppen/starten mit net.exe:

net stop <Service>
net start <Service>

Dienste stoppen/starten mit sc.exe:

sc stop <Service>
sc start <Service>

Dienste konfigurieren mit sc.exe(z.B. Startup Type anpassen und den User-Kontext ändern):

sc config <Service> start=auto
sc config <Service> obj=<Domain>\<Service-Account-Name>
sc config <Service> password=<Passwort>
Hardware/Treiber

Treiber für Gerätehardware werden über das Tool pnputil.exe installiert.

pnputil -i -a <Treiber-Pfad>\<Treiber>.inf

Für das Entfernen von Treibern ist das Tool sc.exe zuständig.

sc query type=driver
sc delete <Service-Name>
Remoteverwaltung/-Administration

Voraussetzungen

Um Remoteverwaltung per MMC zu verwenden (Domain-joined und Workgroup) bedarf es einer entsprechenden Freischaltung der Windows Firewall, falls diese nicht komplett deaktiviert wird.

Freischaltung aller Remoteverwaltung  MMC Firewall Regelgruppen:

netsh advfirewall firewall set rule group="Remote Administration" new enable=yes

Freischaltung spezifischer Remoteverwaltung MMC Firewall Regelgruppen:

netsh advfirewall firewall set rule group="Remote Event Log Management" new enable=yes
netsh advfirewall firewall set rule group="Remote Services Management" new enable=yes
netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=yes
netsh advfirewall firewall set rule group="Remote Scheduled Task Management" new enable=yes
netsh advfirewall firewall set rule group="Performance Logs and Alerts" new enable=yes
netsh advfirewall firewall set rule group="Remote Volume Management" new enable=yes
netsh advfirewall firewall set rule group="Windows Firewall Remote Management" new enable=yes

Darüber hinaus gibt es für einzelne Admin-Tasks noch weitere Voraussetzungen, damit sie einwandtfrei funktionieren.

Device Manager

Um auf den Device Manager remote zugreifen zu können muss zuerst die Allow remote access to the PnP interface Policy aktiviert werden. Da dazu bereits eine generell funktionierende Remoteverwaltung erforderlich ist, lässt sich dieser Task erst nach der Einrichtung der Remoteverwaltung mit MMC Snap-in (siehe unten) umsetzen. Man startet auf seinem Admin-Client das Snap-in für die Lokale Gruppenrichtlinienverwaltung (gpedit.msc), verbindet sich mit Connect to another computer auf die Server Core Installation und navigiert in den Policies zu Computer Configuration\Administrative Templates\Device Installation. Die dortige Policy Allow remote access to the PnP interface wird aktiviert und die Server Core Installation neu gestartet.

Disk Management

Für die Remote Verwaltung des Festplattenmanagements ist es notwendig, auf der Server Core Installation zuerst den Virtual Disk Service (VDS) zu starten.

IP Security Monitor

Vor der Nutzung des IP Security Monitors muss dessen Snap-in Remote Management explizit wie folgt aktiviert werden:

cscript \windows\system32\scregedit.wsf /im 1

Remoteverwaltung mit der Windows Remote Shell

Um Verbindungen auf einen Server per  Remote Shell zu erlauben, muss WinRM konfiguriert und aktiviert werden.

WinRM quickconfig

Auf einem entsprechenden Admin-Client kann im Anschluss mit dem Tool WinRS.exe auf den Remote Server zugegriffen werden. Im folgenden Beispiel möchte ich den Verzeichnisinhalt von Laufwerk C:\ auflisten:

winrs -r:<Remote-Hostname> dir c:\

Remoteverwaltung mit MMC Snap-in (Domain-joined Server Core Installation)

Um Domain-joined Server Core Installationen von einem Admin-Client aus per MMC zu administrieren, ist keine besondere Konfiguration erforderlich. Im entsprechenden Snapin verbindet man sich einfach per Connect to another computer auf die Server Core Installation und kann die Administration durchführen, wie bei einer Installation mit Desktop GUI.

Remoteverwaltung mit MMC Snap-in (Workgroup Server Core Installation)

Wenn die Server Core Installation nicht Mitglied einer Domäne ist, müssen für die Remote Verbindung die alternativen Credentials der Server Core Installation auf dem Admin-Client definiert und hinterlegt werden:

cmdkey /add:<ServerCoreHostname> /user:<ServerCoreLocalAdmin> /pass:<ServerCoreLocalAdmin-Passwort>

Im Anschluss können die MMC Snap-ins analog zur Remoteverwaltung von Domain-joined Server Core Installationen verwendet werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.