Server Core Basis Administrationsaufgaben
Mit der Einführung von Server Core ab Windows Server 2008 R2 hat auch Microsoft die Vorteile von schlanken, Konsolen-basierten Server Systemen erkannt. Da bekanntermaßen die Desktop-GUI fehlt, bedarf es Eingriffen über die Konsole, um das System an seine Anforderungen anzupassen. Microsoft liefert zwar das Konfigurationstool scconfig.exe
mit, aber wenn man schon nur eine CLI hat, möchte man ja auch tippen ;-).
Natürlich funktionieren alle folgenden Konfigurationen auch auf Windows Server mit Desktop GUI, wenn man ein Freund der Konsole ist.
Name/Domäne
Das Umbennen des Hosts (Workgroup/Domain-joined) und der Domain-Join erfolgt mit dem Tool netdom.exe
.
netdom renamecomputer %ComputerName% /NewName: <Hostname(NEU)> netdom renamecomputer %ComputerName% /NewName: <Hostname(NEU)> /userd:<Domain>\<Admin-Account> /passwordd:<Passwort> netdom join <Hostname> /domain:<Domain-Name> /userd:<Domain>\<Admin-Account> /passwordd:<Passwort>
Netzwerk/Firewall
Normalerweise erhalten Server Systeme feste IP Adressen. Da nach der Installation die IP Konfiguration per DHCP erfolgt, muss eine IP Konfiguration mit netsh.exe
erst noch vorgenommen werden.
netsh interface ipv4 set address name ="Ethernet" source=static <IP-Adresse> <Subnetz> <Gateway> netsh interface ipv4 add dnsserver name="Ethernet" address=<1.DNS-Server-IP> index=1 netsh interface ipv4 add dnsserver name="Ethernet" address=<2.DNS-Server-IP> index=2
Möchte man doch wieder auf DHCP umstellen, funktioniert dies wie folgt:
netsh interface ipv4 set address name ="Ethernet" source=dhcp
Das Ergebniss kann man sich dann wie folgt ausgeben lassen:
netsh interface ipv4 show config
Firewall Regeln lassen sich auf Core Systemen nur über den Server Manager über einen Remote Admin Client konfigurieren. Allerdings lässt sich über die Konsole z.B. die Konfiguration der Regeln anzeigen (im Beispiel alle eingehenden Verbindungsregeln in allen Profilen):
netsh advfirewall firewall show rule name=all dir=in
Über folgenden Befehl lässt sich die Firewall deaktivieren.
netsh advfirewall set allprofiles state off
Rollen/Features installieren
Zum Nachinstallieren von Rollen & Features kann man bei Server Core auf DISM zurückgreifen.
dism /online /enable-feature /feature-name:<Feature-1>,<Feature-2>,<Feature-n>
Energieverwaltung
Unter Server Core steht das Dienstprogramm powercfg.exe
mit einer Vielzahl an Optionen zur Verfügung.
Um z.B. zwischen den Standard-Energieschemata zu wechseln, lässt man sich zu erst deren GUID anzeigen und nutzt diese dann, um das Energieschema zu aktivieren.
powercfg -l powercfg -setactive <GUID aus powercfg -l>
Für die Änderung einzelner Einstellungen in einem Energieschema verwendet man den Parameter -x, z.B. versetzt folgender Befehl den Monitor nach 10 Minuten Inaktivität in Standby:
powercfg -x -monitor-timeout-ac 10
Weitere Parameter sind z.B. -disk-timeout-ac
für die Festplatten und -hibernate-timeout-ac
für den Hibernate-Modus.
Dienste
Für die Steuerung von Diensten stehen zwei Tools zur Verfügung, net.exe
und sc.exe
, wobei sc.exe
deutlich mehr Optionen bietet, weil es speziell für die Administration von Diensten ist, während mit net.exe
weitere Betriebssystemoptionen gesteuert werden können.
Dienste stoppen/starten mit net.exe
:
net stop <Service> net start <Service>
Dienste stoppen/starten mit sc.exe
:
sc stop <Service> sc start <Service>
Dienste konfigurieren mit sc.exe
(z.B. Startup Type anpassen und den User-Kontext ändern):
sc config <Service> start=auto sc config <Service> obj=<Domain>\<Service-Account-Name> sc config <Service> password=<Passwort>
Hardware/Treiber
Treiber für Gerätehardware werden über das Tool pnputil.exe
installiert.
pnputil -i -a <Treiber-Pfad>\<Treiber>.inf
Für das Entfernen von Treibern ist das Tool sc.exe
zuständig.
sc query type=driver sc delete <Service-Name>
Remoteverwaltung/-Administration
Voraussetzungen
Um Remoteverwaltung per MMC zu verwenden (Domain-joined und Workgroup) bedarf es einer entsprechenden Freischaltung der Windows Firewall, falls diese nicht komplett deaktiviert wird.
Freischaltung aller Remoteverwaltung MMC Firewall Regelgruppen:
netsh advfirewall firewall set rule group="Remote Administration" new enable=yes
Freischaltung spezifischer Remoteverwaltung MMC Firewall Regelgruppen:
netsh advfirewall firewall set rule group="Remote Event Log Management" new enable=yes netsh advfirewall firewall set rule group="Remote Services Management" new enable=yes netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=yes netsh advfirewall firewall set rule group="Remote Scheduled Task Management" new enable=yes netsh advfirewall firewall set rule group="Performance Logs and Alerts" new enable=yes netsh advfirewall firewall set rule group="Remote Volume Management" new enable=yes netsh advfirewall firewall set rule group="Windows Firewall Remote Management" new enable=yes
Darüber hinaus gibt es für einzelne Admin-Tasks noch weitere Voraussetzungen, damit sie einwandtfrei funktionieren.
Device Manager
Um auf den Device Manager remote zugreifen zu können muss zuerst die Allow remote access to the PnP interface Policy aktiviert werden. Da dazu bereits eine generell funktionierende Remoteverwaltung erforderlich ist, lässt sich dieser Task erst nach der Einrichtung der Remoteverwaltung mit MMC Snap-in (siehe unten) umsetzen. Man startet auf seinem Admin-Client das Snap-in für die Lokale Gruppenrichtlinienverwaltung (gpedit.msc
), verbindet sich mit Connect to another computer auf die Server Core Installation und navigiert in den Policies zu Computer Configuration\Administrative Templates\Device Installation. Die dortige Policy Allow remote access to the PnP interface wird aktiviert und die Server Core Installation neu gestartet.
Disk Management
Für die Remote Verwaltung des Festplattenmanagements ist es notwendig, auf der Server Core Installation zuerst den Virtual Disk Service (VDS) zu starten.
IP Security Monitor
Vor der Nutzung des IP Security Monitors muss dessen Snap-in Remote Management explizit wie folgt aktiviert werden:
cscript \windows\system32\scregedit.wsf /im 1
Remoteverwaltung mit der Windows Remote Shell
Um Verbindungen auf einen Server per Remote Shell zu erlauben, muss WinRM konfiguriert und aktiviert werden.
WinRM quickconfig
Auf einem entsprechenden Admin-Client kann im Anschluss mit dem Tool WinRS.exe
auf den Remote Server zugegriffen werden. Im folgenden Beispiel möchte ich den Verzeichnisinhalt von Laufwerk C:\ auflisten:
winrs -r:<Remote-Hostname> dir c:\
Remoteverwaltung mit MMC Snap-in (Domain-joined Server Core Installation)
Um Domain-joined Server Core Installationen von einem Admin-Client aus per MMC zu administrieren, ist keine besondere Konfiguration erforderlich. Im entsprechenden Snapin verbindet man sich einfach per Connect to another computer auf die Server Core Installation und kann die Administration durchführen, wie bei einer Installation mit Desktop GUI.
Remoteverwaltung mit MMC Snap-in (Workgroup Server Core Installation)
Wenn die Server Core Installation nicht Mitglied einer Domäne ist, müssen für die Remote Verbindung die alternativen Credentials der Server Core Installation auf dem Admin-Client definiert und hinterlegt werden:
cmdkey /add:<ServerCoreHostname> /user:<ServerCoreLocalAdmin> /pass:<ServerCoreLocalAdmin-Passwort>
Im Anschluss können die MMC Snap-ins analog zur Remoteverwaltung von Domain-joined Server Core Installationen verwendet werden.
—