Hallo Ihr Lieben,
heute ist mir mal wieder in einer Kundenumgebung aufgefallen, wie toll die BPA’s von Microsoft wirklich sind, und was so mancher falsch machen kann:
Best Practices Analyzer:
Auch wenn Du nicht viel mit AD und Gruppenrichtlinien am Hut hast, solltest Du doch mindestens einmal den Blick in den BPA vom AD werfen. Z.B. solltest Du hier Augenmerk auf die richtige Konfiguration der Uhrzeit Deiner Domäne werfen, das wird gerne vergessen. Schlecht ist es, wenn Du die Uhrzeit z.B. durch VMware Integrations auf dem DC setzt. Halte Dich lieber an die Anleitung von Microsoft. Du bekommst zu jedem Problem eine Anleitung, wie Du das Problem beheben kannst, das funktioniert in fast jeder Rolle ab 2008R2.
Den Best Practices Analyzer findest Du im Servermanager von 2008R2/2012 unter der jeweiligen Rolle:
Virenschutz auf DC’s:
Yusuf hat in seinem schönen Blog eine tolle Liste von KB-Artikeln insbesondere zum Thema Domänencontrollern und Virenschutz geschrieben. Das gilt auch für DHCP, SQL, Exchange usw. Diesen Blogeintrag solltest Du Dir mal zu herzen nehmen, Du findest ihn hier: Link . Das platte Ausrollen eines Virenscanners auf allen Servern geht meist in die Hose, und Du merkst erst ein paar Wochen später die braunen Streifen, z.B. wenn Deine ntds.dit im Eimer ist.
Domaincontroller
Domaincontroller sollten nach Möglichkeit nur DC sein, mindestens in Gruppen zu zweit auftreten ;-) und nicht noch irgendwelchen anderen Blödsinn machen, z.B. FileServer spielen oder noch schlimmer SQL oder sogar Exchange ausführen. WES/SBS haben hierzu speziell abgestimmte Registries und Gruppenrichtlinien und sind auch nicht für größere Umgebungen geeignet, wenn Du hierzu einen Vergleich anstellen möchtest. Damit Du weniger Streß hast, z.B. die Abholung von Richtlinien, das Namensauflösen, das Gequatsche untereinander (Replikation) und das Anmelden der Nutzer und Computer immer problemlos klappt, solltest Du wenigstens Deine DC’s Ihre Arbeit in Ruhe machen lassen.
Symantec Backup Exec und Windows „Logon As Batch Right“ für BESA
Viele Systemer nehmen eine ziemlich gefährliche Gruppenrichtlinie in der Default Domain Policy vor, welche so nicht gesetzt werden sollte: Logon As Batch für das BES Konto. Diese Einstellung sollte so zumindest nicht in der DDP gesetzt werden, weil Ihr damit anderen Dienstkonten z.B. für die Verwendung eines IIS-Anwendungspools die Berechtigung dafür wegnehmt. GGf. könnt Ihr das BES-Konto selbst mit anderen/höheren Berechtigungen ausführen, oder selektiv einzelne Richtlinien für eine solche Einstellung am zu sichernden Server verwenden. Inzwischen ist die ursprüngliche , verkehrte Anweisung bei Symantec verschwunden und deutlich vorsichtiger ausgedrückt, hier nachzulesen: Link.
