IP-Konfiguration auslesen und bearbeiten
Zugriff vom Netzwerk aus auf einen Server ist sicherlich vorteilhaft – selten nur installieren wir abgeschottete Server. Das Zuweisen einer richtigen, eindeutigen IP-Adresse gehört deshalb zum Standardrepertoire der Serverkonfiguration, soll keine beliebige von DHCP zugewiesene Adresse genutzt werden.

Die aktuelle Konfiguration der vorhandenen Interfaces erhalten Sie mit "GetNetIPInterface". Windows legt selbst bei nur einem physischen Netzwerkadapter mehrere virtuelle Adapter an, die zu unterschiedlichen Zwecken durch das Betriebssystem genutzt werden. Der richtige physische Adapter ist über seinen Verbindungsstatus und den Namen "Ethernet" zu identifizieren. Im nachfolgenden Beispiel wird das IPv4-Interface konfiguriert:

$nic = Get-NetIPInterface | ?{$_.InterfaceAlias -eq "Ethernet" 
 -and $_.AddressFamily -eq "IPv4" -and $_.ConnectionState -eq "Connected"}

Treffender kann auch die Suche nach dem DHCP-Interface sein, falls bisher eine IP-Adresse von DHCP zugewiesen wurde:

$nic = Get-NetIPInterface | ?{$_.AddressFamily -eq "IPv4" -and $_.DHCP 
 -eq "Enabled"}

Das Zuweisen einer neuen IP-Adresse geschieht ganz einfach mit dem Cmdlet "New-NetIPAddress":

New-NetIPAddress -InterfaceIndex $nic.ifIndex -IPAddress -192.168.2.119 
 -PrefixLength 24 -DefaultGateway 192.168.2.1

Das "PrefixLength" bestimmt die Länge der Subnetzmaske. Für eine Maske von 255.255.255.0 ist 24 der richtige Wert, da 24 der 32 Bits für die Maske gesetzt sind. Für eine korrekte Konfiguration fehlt nun noch die Einstellung für DNS-Server. Diese setzen Sie mit "Set-DNSClientServerAddress". Mehrere DNS-Server geben Sie durch Komma getrennt an:

Set-DNSClientServerAddress -InterfaceIndex $nic.ifIndex 
 -ServerAddresses 192.168.2.2,192.168.2.3

Für Hochverfügbarkeit und Ausfallsicherheit auf Ebene der Netzwerkkarten verfügen heute nahezu alle Server über mehrere Netzwerkkarten. Mehrere physische Netzwerkkarten können ab Windows Server 2012 zu einem logischen Netzwerkkarten-Team zusammengefasst werden. Dazu ist keine Herstellersoftware mehr notwendig – das Betriebssystem kann das, auch durch Konfiguration mit der PowerShell, von Haus aus. Die dafür bereitgestellten Cmdlets haben alle einen besonderen Präfix: NetLBFO. "LBFO" steht dabei für "Load Balancing, Fail Over", also die beiden Modi, in denen das Teaming eingerichtet werden kann. Hierzu verschaffen Sie sich einen Überblick über die physischen Netzwerkadapter mit

Get-NetAdapter -Physical

Ein neues Teaming richten Sie mit dem Cmdlet "New-NetLbfoTeam" ein. Beide Adapter können Sie direkt zum Team hinzufügen. Führen Sie das Skript lokal aus, spricht nichts dagegen. Wird das Skript oder PowerShell-Kommando jedoch von einem entfernten Host ausgeführt oder sind Sie per Remote Desktop mit dem Server verbunden, wird beim Eintritt in das Teaming die Verbindung getrennt. Außerdem braucht das Team noch eine neue IP-Adresse, um Verbindung mit dem Netzwerk aufzunehmen.

In diesem Beispiel erstellen wir das Teaming in mehreren Schritten. Der Aufbau des Teams kann auch mit nur einem Adapter beginnen und später durch weitere Adapter ergänzt werden; in diesem Fall mit "Ethernet 2", über den wir gerade nicht per Remote Desktop verbunden sind:

New-NetLbfoTeam -Name NICTeam-1 -TeamMembers "Ethernet 2" 
 -Confirm:$false

Name: NICTeam-1
Member: Ethernet 2
TeamNics: NICTeam-1
TeamingMode: SwitchIndependent
LoadBalancingAlgorithm: TransportPorts
Status: Up

Das Team wurde nun erstellt und die Netzwerkkarte "Ethernet 2" zugewiesen. Um mehrere Adapter dem Team beizusteuern, geben Sie im Parameter alle Interfacealiase in kommaseparierter Form an. Parallel weisen Sie dem Team eine IP-Adresse und die Definition der DNS-Server zu – das geschieht mit den beiden bereits bekannten Cmdlets:

New-NetIPAddress -InterfaceAlias "NICTeam-1" -IPAddress 192.168.2.119
 -PrefixLength 24 -DefaultGateway 192.168.2.1

Set-DNSClientServerAddress -InterfaceAlias "NICTeam-1" 
 -ServerAddresses 192.168.2.2,192.168.2.3

Damit haben Sie das Teaming nun grundlegend konfiguriert. Wie bereits angedeutet, kennt das Windows-Teaming zwei Betriebsarten: "Load Balancing" und "Failover", die Sie ebenfalls konfigurieren können. Für diese Betriebsarten ist mindestens eine zweite Netzwerkkarte erforderlich, um die Sie das Team gegebenenfalls nachträglich mit dem Cmdlet "Add-NetLbfoTeamMember" erweitern:

Add-NetLbfoTeamMember -Name "Ethernet" -Team "NICTeam-1"

Nach dem erfolgreichen Hinzufügen der zweiten Karte nutzt Windows Server die beiden Karten für das Teilen des Netzwerkverkehrs. Um ein Failover zu konfigurieren, lässt sich einer der Adapter in den "Standby"-Modus schalten. Dann ist jeweils nur einer der beiden Adapter aktiv.

Set-NetLbfoTeamMember -Name "Ethernet 2" -AdministrativeMode Standby

Windows Firewall in der PowerShell konfigurieren
Die Windows Firewall ist ein integraler Bestandteil von Windows. Die Verwaltung und die Integration der Firewall in verschiedene Betriebssystemfunktionen hat Microsoft auch in Windows Server 2012 noch einmal verbessert. Jegliche Änderungen an Rollen und Features, die Einfluss auf die Firewall haben, werden vom Server Manager und der PowerShell automatisiert durchgeführt – das bedeutet weniger Administrationsaufwand.

Die Firewall wird noch bei der Installation vom Windows-Installationsmedium eingeschaltet. Unternehmen haben sich in der Vergangenheit dazu entschieden, die Firewall bewusst auszuschalten. Doch da wir neben der Firewall zwischen Netzwerkzonen weitere Host-Sicherheit wollen, schalten wir die Firewall via PowerShell ein:

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True

Set-NetFirewallProfile -DefaultInboundAction Block -DefaultOutboundAction Allow Die Übersicht über die Firewall-Konfiguration zeigt:

Get-NetFirewallProfile

Im späteren Verlauf des Lebens unseres Servers kommen mit größter Wahrscheinlichkeit Serverrollen oder Features hinzu. Hierfür konfigurieren Sie über die PowerShell oder den Servermanager Ausnahmen im Firewall-Regelsatz. Anwendungen, die nicht mit dem Servermanager installiert werden und damit nicht von der automatischen Erstellung für eingehende Verbindungen profitieren können, erlauben Sie wie folgt:

New-NetFirewallRule -DisplayName "PingServer – Zugriff erlauben" 
 -Direction Inbound -ProgramocalSubnet -Action Allow

Das Kommando gibt eine bestimmte Anwendung frei, in diesem Fall den "PingServer" . Die Anwendung lauscht auf einem Netzwerk-Port auf Anfragen aus dem Netzwerk und die Firewall soll diese Anfragen zulassen. Das Cmdlet erstellt eine neue Regel samt Regelnamen sowie Angabe der Verbindungsrichtung. "Inbound" lässt dank der Aktion "Allow" einkommende Verbindungen zu, wenn sie an die server.exe von Ping-Server gerichtet sind. Die Firewall erkennt das, indem sie überprüft, an welchem Port die Anwendung lauscht und erlaubt deshalb Anfragen.

Die Firewall lässt sich auch Anwendungsunabhängig konfigurieren, sodass ein Port für einkommende Verbindungen geöffnet wird. Ein Beispiel für den Microsoft SQL Server, der am Port 1433 lauscht:

New-NetFirewallRule -DisplayName "Microsoft SQL Server" 
 -Direction Inbound -Protocol TCP -LocalPort 1433 -Action allow

Dieses Kommando öffnet den TCP-Port 1433, egal welche Applikation letztendlich auf diesem Port zuhört.

Seite 1: IP-Konfiguration bearbeiten und Firewall konfigurieren
Seite 2: Domänenbeitritt und Installation von Rollen und Features

Seite 1 von 2

Nächste Seite >>

dr/ln/Florian Frommherz