Für unseren neuen Fileserver habe ich DFS (Distributed File Services) verwendet. Dies verlangte aber noch ein paar Anpassungen. Wie man verhindert, dass dann bereits gespeicherte Officedokumente in der geschützten Ansicht geöffnet werden, habe ich hier beschrieben.

Nun wurde mir gemeldet, dass beim Kopieren von einer Datei innerhalb einer Freigabe auf dem Fileserver eine Sicherheitswarnung angezeigt wird.

Durch diese Dateien entstehen möglicherweise Risiken für den Computer.

Am Besten fügt man die Adresse des DFS Shares (domäne.tld) mit einer Gruppenrichtlinie zur Intranetzone hinzu. Unter Computerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten –> Internet Explorer –> Internetsystemsteuerung –> Sicherheitsseite muss man “Liste der Site zu Zonenzuweisungen” aktivieren. Durch einen Klick auf “Anzeigen…” kann man die gewünschten Adressen eingeben zusammen mit einer Zahl, wobei die 1 für Intranet steht.

Hier habe ich domäne.tld und \\domäne.tld eingetragen.

Wenn man an der gleichen Stelle noch den Unterordner Intranetzone öffnet, kann man gerade auch noch “Programme und unsichere Dateien starten”  aktivieren.

Nun können Dateien wieder ohne Sicherheitshinweis auf den Freigaben kopiert werden.

Beim Umstieg auf die neuen Server wurden auch neue Server fürs Active Directory installiert. Nun ist es Zeit geworden, die alten Server fürs Active Directory herunterzustufen, damit nur noch die neuen zuständig sind und die alten bald ganz heruntergefahren werden können.

Wenn man den Servermanager zum Entfernen der Active Directory Domänendienste verwenden möchte, bringt er eine Meldung, dass man dafür dcpromo verwenden soll.

Es erscheint ein Hinweis, dass es noch mindestens einen weiteren globalen Katalogserver in der Domäne geben muss, damit sich Benutzer weiterhin anmelden können.

Hier sollte man das Häklein nicht ankreuzen, da die Domäne ja weiterhin bestehen soll.

Die DNS-Delegierungen können gelöscht werden.

Nun muss man sich noch authentifizieren und erhält noch eine Übersicht, was gemacht wird.

Leider kommt nun folgende Fehlermeldung. Wenn ich die Fehlermeldung richtig deute, ist das kein Problem. Es gibt bei uns keine übergeordnete Zone. Wichtig ist nur, dass die pointers auf diesen DNS Server entfernt werden. Eine Überprüfung im DNS hat dann auch ergeben, dass der herabgestufte Server nicht mehr unter “domaindnszones” aufgeführt ist, scheint also alles seine Richtigkeit zu haben.

Dcpromo wird trotz dieser Fehlermeldung fertiggestellt. 

Wie im Bild oben empfohlen, kann man nun noch im Servermanager die entsprechende Rolle entfernen.

Dasselbe kann man auch noch für den DNS-Server durchführen.

Bei uns müssen die Benutzer den Drucker manuell verbinden. Es gibt zu viele Möglichkeiten, als das sich das sinnvoll über Gruppenrichtlinien lösen lassen würde.

Nun wollte ich überprüfen, ob schon einige Lehrkräfte auf den neuen Server umgestellt haben, fand aber in der Ereignisanzeige keine Meldungen zum Drucken. Auf dem alten Server hatte ich das mal manuell eingestellt, weil der Wunsch war, dass nachverfolgt werden kann, wenn z.b. Schüler/-innen auf einem entfernten Drucker unsinnige Dokumente ausdrucken. Dies ist aber in den letzten Jahren nie vorgekommen. Trotzdem habe ich es nun auf dem neuen Server wieder eingerichtet.

Weiterlesen →

Bei der Migration unseres Fileservers bin ich durch einen Tipp gerade auch auf DFS umgestiegen. Dadurch ist (unter anderem) die Freigabe durch einen serverunabhängigen Pfad erreichbar. Bei einer späteren Migration kann ein Replikat auf dem neuen Server angelegt und der alte Server danach entfernt werden, was einiges vereinfachen sollte.

Wenn man nun aber auf dem neuen Userhome eine Officedatei öffnet, kommt ein Hinweis, dass die Datei von einem Internetspeicherort stamme. Man kann sie zwar durch einen Klick auf “Bearbeitung aktivieren” trotzdem bearbeiten. Beim nächsten Öffnen kommt auch der Hinweis nicht mehr. Aber trotzdem ist es sehr umständlich für die Benutzer, dieses Vorgehen für jede bereits gespeicherte Datei durchzuführen.

Man kann dieses Verhalten aber über eine Gruppenrichtlinie steuern. Dazu muss man eine Benutzerrichtlinie erstellen und unter Benutzerkonfiguration –> Richtlinien –> Administrative Vorlagen –> Microsoft Office 2010 –> Sicherheitseinstellungen –> Sicherheitscenter –> Vertrauenswürdiger Speicherort Nr. 1 den DFS Share eintragen:

Ausserdem muss man noch in den gewünschten Officeanwendungen zulassen, dass in der entsprechenden Anwendung Vertrauenswürdige Speicherorte im Netzwerk zugelassen werden. Also z.B. für Word 2010 unter Benutzerkonfiguration –> Richtlinien –> Administrative Vorlagen –> Microsoft Word 2010 –> Word-Optionen –> Sicherheit –> Sicherheitscenter –> Vertrauenswürdige Speicherorte –> Vertrauenswürdige Speicherorte im Netzwerk zulassen.

Hier noch die Übersicht der Gruppenrichtlinie.

Im Moment migriere ich ja laufend alle unseren alten Server auf unseren neuen Failovercluster. Auch der Fileserver wurde neu in einer virtuellen Maschine installiert. Danach muss man noch die neuen Freigaben anlegen und die Dateien kopieren.

Für Freigaben auf einem Fileserver muss man sowohl die Berechtigungen der Freigabe als auch die Berechtigungen auf Dateiebene (NTFS) setzen.

Share permissions and NTFS permissions are independent in the sense that neither changes the other. The final access permissions on a shared folder are determined by taking into consideration both the share permission and the NTFS permission entries. The more restrictive permissions are then applied. (Quelle Technet)

Aus diesem Grund sieht man oft, dass bei der Freigabe “Jeder” Vollzugriff hat und die Berechtigungen nur über NTFS gesetzt werden. Dies ist absolut ein gangbarer Weg. Ich habe mich trotzdem entschieden, auch die Freigabe zu beschränken. Falls also irgendwann ein Fehler bei der NTFS Berechtigung gesetzt werden (und die menschlichen Fehler sind ja die häufigsten Fehler in der IT) sollte, kommen wegen den Freigabeberechtigungen trotzdem keine Schüler/-innen auf die Userhomes der Lehrpersonen.

Nun muss man noch die NTFS Berechtigungen anpassen. Den Benutzern “System” und “Domänen-Admins” sollte man wegen Dingen wie Backup etc. die Berechtigung aber nicht entziehen.

Der entsprechenden Lehrergruppe muss man Leseberechtigung erteilen. Wichtig ist, “Nur diesen Ordner” auszuwählen, damit die Berechtigung nicht auf die Unterordner übertragen wird. Dort soll ja nur jede Lehrperson auf ihr eigenes Userhome Zugriff haben.

Nun kann man die Dateien vom alten Server auf den neuen kopieren:

robocopy <Source> <Destination> [<File>[ …]] [<Options>]

Am besten macht man das ausgehend vom alten Server. <Destination> kann auch ein UNC Pfad sein. Die passenden Parameter findet man im Technet.

In unserem Fall war das dann vom lokalen d: auf die DFS Netzwerkfreigabe:
robocopy d:\lehrerhomes\ \\domänenname\dfs\lehrerhomes\ /e /zb /copyall /r:3 /w:5

Man kann den Robocopy Befehl auch mehrere Male hintereinander durchführen, um zu testen. Vor dem letzten Durchgang entfernt man am Besten zu einem Zeitpunkt wenn niemand am Arbeiten ist die Freigabe auf dem alten Server. Nicht dass sich doch jemand verbindet und noch eine Änderung erstellt, die nicht auf den neuen übernommen wird.

Dies muss man mit allen Freigaben machen, wir haben noch weitere Freigaben wie “Lehreraustausch” zum Austausch zwischen den Lehrpersonen, “Transfer” zum Austausch zwischen Schüler/-innen und Lehrpersonen und “Schülerhomes” auf die die Lehrpersonen auch Zugriff haben.

Nach dem erfolgreichen Kopieren, muss man noch die Pfade anpassen.

Auf den neuen Servern des Failoverclusters bekam ich folgende Fehlermeldung.

Ereignis 10016, DistributedCOM
Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
und der APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.

Wenn man in der Registry nach der CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} sucht, findet sich ein Eintrag RuntimeBroker mit der passsenden AppID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}.

Gemäss dieser Seite verwaltet RuntimeBroker.exe die Berechtigungen von Windows 8 Apps.

Wenn man dem Hinweis in der Fehlermeldung folgt, muss man also das Verwaltungstool für Komponentendienste starten und dort die Berechtigungen anpassen.

Diese Einstellungen sind aber ausgegraut, man kann also nichts ändern.

Nun muss man in die Registry (regedit.exe) und auf dem Eintrag HKEY_CLASSES_ROOT\AppID\{9CA88EE3-ACB7-47c8-AFC4-AB702511C276} einen Rechtsklick machen und “Berechtigungen” auswählen. Hier klickt man nun auf “Erweitert”.

Im nächsten Fenster ändert man den Besitzer auf Administratoren:

Nun gewährt man den Administratoren Vollzugriff.

Jetzt kann man zurück zu den Komponentendiensten (siehe oben) und kann die Berechtigung für RuntimeBroker anpassen.

Gemäss der Fehlermeldung fehlt dem Systemaccount die Berechtigung zur lokalen Aktivierung. Diese kann man nun hinzufügen.

Die Fehlermeldung ist seit dieser Anpassung nicht mehr aufgetreten.

Den neuen Fileserver habe ich auch als virtuelle Maschine auf unserem Failover-Cluster aufgesetzt.

Danach habe ich ihm noch eine neues D: Laufwerk zugeordnet, diesmal mit 2 TB Platz, was etwa dem dreifachen des bisherigen Speicherplatzes entspricht.

Nach einer Internetrecherche habe ich mich für einen Dynamisch erweiterbaren Datenträgertyp entschieden. Hier könnte man sich wohl geradesogut auch anders entscheiden.

Nach dem Starten der Maschine ist der Datenträger offline.

Am besten hätte man hier den Laufwerksbuchstaben für das DVD Laufwerk angepasst. Ich habe das vergessen und erst am Schluss die Buchstaben geändert. Wobei es ja auch nicht zwingend ist, dass die zweite Festplatte den Buchstaben D: erhält.

Nun kann man weitere Rollen und Features hinzufügen.

Hier habe ich “Dateiserver”, “DFS-Namespaces” und “Ressourcen-Manager für Dateiserver” ausgewählt. Über die Datendeduplizierung habe ich mich informiert, diese habe ich aber im Moment noch weggelassen. Allenfalls werde ich das zu einem späteren Zeitpunkt noch genauer ansehen. Mit nur einem Fileserver kann man sich auch über DFS-Namespaces streiten, aber ich habe mich überzeugen lassen, dass es bei einem allfälligen späteren Wechsel des Fileservers viel einfacher ist. Vielen Dank für diesen Hinweis an dieser Stelle.

In der DFS-Verwaltung kann man nun einen neuen Namespace einrichten, beispielsweise mit dem Namen dfs.