Posted by O.Sommer
Die Frage kann man sehr einfach auf der folgenden Website beantworten:
http://support.microsoft.com/lifecycle/
Dort stellt man z.B. fest, dass Windows Server 2008 und damit auch SBS 2008 noch bis Juli 2013, also nur noch knapp ein Jahr lang, von Microsoft unterstützt werden wird und ab dann sogenannte Calls (Supportanfragen an MS) nur noch für Kunden mit Extended Supportvertrag (hat das irgendein SBS Kunde jemals gehabt??) angenommen werden.
Oder anderes gesagt Kunden ohne extended Supportvertrag (also vermutlich alle!) können ab Juli 2013 im Problemfalle keine Anfragen mehr an Microsoft stellen.
Was das ganz genau heißt kann man ebenfalls auf der obigen Website nachlesen.
Posted by o.sommer
Unser Kollege Oliver Basarke von der HanseVision hat vor einiger Zeit einen ca. 10 Minütigen Webcast zum o.g. Thema bei und für Microsoft aufgenommen.
Unter anderem erklärt er dort auch wie eine Internetanbindung für SBS aussehen sollte. Sehr gelungen sind die Erläuterungen bzgl. DNS, MX und Co., sowie seine Erläuterungen zu POP vs. SMTP:
Oliver erwähnt z.B. im Webcast was wir MVPs auch immer wieder empfehlen:
Die Ablösung von POP Mailabholung durch direkte SMTP Zustellung und er erklärt gut wie dieses Auf der Infrastruktur-, auch Netzwerkseite genannt, umgesetzt werden sollte, sowie explizit für alle Zweifler noch einmal, dass der im SBS integrierte POP Connector wegen der prinzipiellen Probleme, die eine POP Abholung für einen Serverbetrieb mit sich bringen, nur für eine möglichst kurze Übergangszeit (Anm. von mir: “von wenigen Tagen, wenn überhaupt”) genutzt werden sollte.
Eingebettetes Video:
Kritik habe ich aber auch: 
Leider empfiehlt er entgegen meiner Empfehlung den Port 80 (http) nicht auf den SBS weiterzuleiten, auch wenn die Einblendung den Port mit aufführt.
Ich bin der Meinung, dass auch Port 80 (http) an den SBS weitergeleitet werden sollte, da man damit den Benutzern das zwanghafte Eintippen von “HTTPS://” ersparen, also deren Produktivität erhöhen und Rückfragen bei der IT vermeiden kann, ohne dabei zusätzliche Sicherheitslücken aufzumachen, da der Webserver ja bereits unter HTTPS erreichbar ist.
Einem potenziellen Angreifer ist es jedenfalls egal ob er eine Sicherheitslücke auf dem Server verschlüsselt über Port 443 oder unverschlüsselt über Port 80 angreift, das Schließen von Port 80 hilft imo also nicht sich vor Angriffen zu schützen.
Posted by t.brinkmann
Folgender Post soll eine Möglichkeit zeigen um einen kompletten Hyper-V Host auf Wechselmedien zu sichern – verschlüsselt.
Die hier gezeigte Lösung passt nicht auf jede virtualisierte Umgebung und soll lediglich zeigen wie ein tägliches Vollbackup einer Hyper-V VM auf einem verschlüsselten transportablen Medium aussehen kann. So entsteht auch bei Verlust des Sicherungsmedium keine Sicherheitslücke – schließlich enthält die USB-HDD die komplette Serverinfrastruktur!
Gesichert wird in diesem Beispiel ein Windows 2008R2 Hyper-V Host auf dem 4 virtuelle Maschinen (SBS2011, Terminalserver, SQL-Server, IM-Server) laufen. Gesichert wird Montags bis Freitags auf externe 2TB USB-HDD. Die Festplatten sind per Bitlocker verschlüsselt, gesichert wird mit der aktuellen Beta2 Version 3.0.44 der Software Altaro Hyper-V Backup V3. Die Beta2 bietet erstmals “Drive Swap functionality” – sprich das Sichern auf wechselnden Laufwerken.
Zum Ablauf: Der Server hat das Feature “Bitlocker” aktiviert:
Jede der 5 USB-HDD wurde mit einem starken Kennwort per “Bitlocker-To-Go” verschlüsselt. Dazu wird jede HDD nacheinander an den Host gesteckt und per “Bitlocker aktivieren” verschlüsselt. Das dauert ca. einen Tag pro HDD.
Der Wiederherstellungsschlüssel ist sehr wichtig! Nur mit ihm kann die USB-HDD bei Verlust des Kennworts entsperrt werden. Das heisst auch: Wer den Wiederherstellungsschlüssel hat kann auf die HDD zugreifen.
Wenn das USB-Laufwerk an den Host angesteckt wird sollte die Option “Laufwerk an diesem Computer automatisch entsperren” aktiviert werden – Nur so kann Altaro später auf das Laufwerk sichern. Dies kann auch per Systemsteuerung eingestellt werden:
Nun wird Altaro Hyper-V Backup gestartet. Unter “Select Backup Drive” wird das “Multiple Backup Drive Swapping” aktiviert, und danach per “Add Backup Drive” jedes angesteckte USB-Laufwerk als Backup Drive ausgewählt. Von nun an versucht Altaro Hyper-V Backup auf das erste verfügbare Laufwerk der Liste zu sichern, angefangen mit der kleinsten Zahl (=höchste Prio).
Eins sehr interessantes Feature von Altaro Hyper-V Backup ist die “Reverse Delta Technologie”. Bei jeder Sicherung wird nur das Delta des vorherigen Backup gesichert – Allerdings erstellt Hyper-V Backup dabei eine komplette Sicherung aus den vorherigen Backups, so das bei einer Rücksicherung direkt auf ein komplettes Vollbackup zurückgegriffen werden kann.
Altaro sichert per Windows VSS Provider– Es findet also KEINE Imagesicherung statt, die VMs wissen wenn sie gesichert werden. Dies lässt sich z.Bsp. an den Exchange Datenbanken des virtuellen SBS2011 erkennen.
Weiterhin bietet Altaro mit “FireDrill” eine Option mit der sich automatisiert VMs wiederherstellen lassen. So kann automatisch die Funktion des Backup getestet werden. Ebenso lassen sich einzelne Ordner/Dateien aus der Sicherung wiederherstellen. Dazu wird jedoch das Backup auf einem temporär anzugebenen Speicher gemountet. Altaro bietet derzeit NICHT die Möglichkeit einzelne Anwendungen (wie z.Bsp Exchange) zu sichern oder wiederherzustellen. Ebenso ist das Wiederherstellen einzelner Ordner und Dateien nicht unbedingt schnell und nicht unbedingt komfortabel. Auch kann es gewünscht sein auf größeren Medien für längere Zeit zu sichern – hier kann evtl. mit der Windows-Sicherung innerhalb der VMs auf iSCSI Targets kombiniert werden. Bei Altaro gilt: Sichern = Komplette VM, Wiederherstellen = Komplette VM oder einzelne Ordner / Dateien
Dank der Reverse Delta Technologie ist es mit Altaro Hyper-V Backup möglich mehrere Versionsstände von Hyper-V VMs auf externen HDD zu sichern. Diese HDD lassen sich außer Haus transportieren und sind dank Bitlocker-To-Go Verschlüsselung vor Verlust oder Diebstahl gesichert.
Jede Backupstrategie muss auf das jeweilige Umfeld angepasst werden. Dieses Szenario arbeitet mit Beta Software welche Fehler enthalten kann und evtl. nicht wie geplant funktioniert. Es kann keine Garantie oder Gewähr auf das Funktionieren der hier gezeigten Lösung übernommen werden. Diese Lösung bedingt physikalischen Zugang zum Hyper-V Host durch die mit dem Backup beauftragen Person – dies kann ein Sicherheitsrisiko darstellen. Siehe auch hier.
Posted by o.sommer
Wie macht man aus einem Windows Server Standard Edition eine Enterprise oder Datacenter Edition ohne das Installations DVD-Medium zu verwenden?
Ganz einfach:
http://blogs.technet.com/b/core/archive/2010/05/07/upgrade-einer-windows-r2-version-ohne-installationsmedium.aspx
Hier mal der Ablauf in der CMD.exe am konkreten Beispiel:
C:\Users\xgxtmol>dism /online /get-targeteditions
Tool zur Abbildverwaltung für die Bereitstellung
Version: 6.1.7600.16385
Abbildversion: 6.1.7600.16385
Editionen, auf die aktualisiert werden kann:
Zieledition : ServerDataCenter
Zieledition : ServerEnterprise
Der Vorgang wurde erfolgreich beendet.
C:\Users\xgxtmol>dism /online /set-edition:ServerEnterprise /productKey:489J6-VHDMP-X63PK-3K798-CPX3Y
(Anmerkung: Dies ist der KMS Key und daher eh öffentlich verfügbar! Abschreiben lohnt also nicht) 
Tool zur Abbildverwaltung für die Bereitstellung
Version: 6.1.7600.16385
Abbildversion: 6.1.7600.16385
Komponentenaktualisierung wird gestartet...
Product Key-Installation wird gestartet...
Product Key-Installation ist abgeschlossen.
Paket "Microsoft-Windows-ServerStandardEdition~31bf3856ad364e35~amd64~~6.1.7601.17514" wird entfernt
[==========================100.0%==========================]
Komponentenaktualisierung ist abgeschlossen.
Editionsspezifische Einstellungen werden angewendet...
Das Anwenden der editionsspezifische Einstellungen ist abgeschlossen.
Der Vorgang wurde erfolgreich beendet.
Zum Abschließen dieses Vorgangs muss Windows neu gestartet werden.
Möchten Sie den Computer jetzt neu starten (J/N)? j
Computer wird neu gestartet...
Posted by o.sommer
Bei Exchange 2007 und Exchange 2010 Servern und damit auch bei SBS 2008 und SB 2011 Standard kann es zu der Fehlermeldung “Schließen Sie alle Eigenschaftsseiten, bevor Sie Exchange-Verwaltungskonsole schließen.” kommen.
Die Ursache liegt in einem auf dem Server ebenfalls installiertem Internet Explorer 9 (IE9), der anschließend den Webzugriff beschränkt und das Beenden der Exchange Konsole verhindert:
Ein Workaround zu dem Problem ist die Adresse https://localhost in die vertrauenswürdigen Seiten im IE hinzuzufügen:
Interessanter Weise scheint das Problem erst aufzutreten, wenn die Exchange Konsole eine Weile lang geöffnet bleibt und einige Eigenschaftsfenster geöffnet waren. Ein Öffnen und sofortiges Schließen der Konsole funktionierte meist auch ohne den Workaround.
Ergänzung: Thomas hat heute morgen dazu bereits ein Posting zu einem Hotfix geschrieben, das hier zu finden ist: 2010 “Schließen Sie alle Eigenschaftenseiten, bevor Sie Exchange Verwaltungskonsole schließen”
Posted by o.sommer
Der SBS hat zwar seit der Version 2008 keinen integrierten ISA Server mehr, weil eine solche Konfiguration (SBS = DC mit mehreren Netzwerkkarten) von Microsoft schlicht nicht mehr unterstützt wird, aber:
der SBS 2008 und alle SBS 2011 haben trotzdem standardmäßig die Windows Server Firewall aktiviert und konfiguriert
-
die ist zwar relativ einfach gestrickt, aber der Erfolg gibt ihr Recht, denn die Windows Firewall hatte, meines Wissens nach, noch nie eine Sicherheitslücke
es ist vorgesehen einen SBS hinter einer Firewall bzw. mindestens einem NAT Router zu betreiben, wobei
-
der NAT Router aus Angreifer-Sicht schon einmal sehr viele potenzielle Angriffs-Szenarien unmöglich macht, da der Angreifer kaum eine Chance hat über das NAT (Network Address Translation) direkt an den SBS ranzukommen, außer an den Schnittstellen die dafür vorgesehen und speziell abgesichert sind
-
Diese durch den NAT Router zugänglichen Schnittstellen wären z.B. der Webserver der die Remote Web App Site betreibt, die aus diesem Grund nur Zugriffe erlaubt die sich authentifiziert haben, dasselbe gilt für die Websites die für Outlook Web App und Outlook Anywhere und Co. auf dem SBS betrieben werden, alle erfordern die Eingabe von Benutzernamen und Passwort, bevor man an irgendwelche potenziell verwertbaren Informationen herankommt
Hinzu kommt die securitytechnisch hervorragende Historie der Anwendungen auf dem SBS. AD DS, Exchange und Sharepoint haben wenig bis keine wirklich effektiv ausnutzbaren Sicherheitslücken.
In SBS Umgebungen werden alleine durch die obigen Maßnahmen schon die Sicherheitsfeatures erfüllt, wie Sie auch in vielen Konzern Infrastrukturen als völlig ausreichend bewertet werden.
Nur halt schon out-of-the-box und standardmäßig durch die Assistenten „sicher“ konfiguriert.
Posted by t.brinkmann
Bei jeder Anmeldung eines Admins an einen SBS2008 oder SBS2011 öffnet sich automatisch die SBS-Console. Der Autostart der Console ist jedoch nicht im Startmenü oder in der Registry festgelegt, sondern in der Aufgabenplanung. Um zu verhindern, dass die SBS-Console bei jeder Anmeldung geöffnet wird, muss der Eintrag in der Aufgabenbibliothek bearbeitet oder entfernt werden:
