Re: 2 Fragen vor der Neuinstallation vom SBS 2003!

From: Tobias Redelberger (T.Redelberger_at_starnet-services.net)
Date: 01/31/05 

Date: Mon, 31 Jan 2005 13:40:27 +0100

Hi,

> Frage, ob ich mir einen eigenen MX-Eintrag für den Exchange am SBS2003
> anlegen soll, oder ob das nichts bringt?

ein MX-Eintrag macht insoweit dann Sinn, wenn:

+ E-Mails via SMTP empfangen werden sollen
+ Die IP-Adresse NICHT in einer Black-List auftaucht
+ Zusätzlich zum MX-Eintrag auch ein PTR (diesbzgl. IP-Provider fragen) auf
den Host des MX-Eintrages zeigt
+ Du alle Vorzüge von Exchange nutzen möchtest (Stichwort: IMF)
+ Du sämtliche (Sicherheits-)Vorkehrungen triffst, um reibungslosen
SMTP-Verkehr zu garantieren

> > + Für einen (zukuenftigen) SBS 2003 (Premium mit ISA-Server) ist eine 2.
> > Netzwerk-Karte, auch nach anderweitigen Aussagen, vorzuziehen
>
> Warum? Bei mir kommt Internet -> Firewall -> Switch -> (Server1, Server2,
> Clients...).

Da bei einer Fehlkonfiguration bzw. Sicherheitslücke der einen Firewall
gleich "Polen offen steht".

Zusätzlich gilt: Bei dem Einsatz von einem Application-Layer-Firewall wie
den ISA-Server hast du weit aus mehr Möglichkeiten dein Netz von Aussen UND
Innen zu schützen als lediglich mit einem Port-Filter (s.a.
http://www.computerbetrug.de/firewall/firewall.php).

> > + Waehrend der Installation ist eine USV am Server zu entfernen
>
> Steht im Buch auch. Warum eigentlich?

Steht in den Release-Notes:

[..]
Unplug UPS devices
Setup causes some uninterruptable power supply (UPS) devices to switch
to battery mode during hardware detection. If a UPS device switches to
battery mode during hardware detection, Setup may fail.
[..]

Source:
http://www.microsoft.com/windowsserver2003/sbs/docs/SBSRelNotes_STD.htm

> > + Das Netzwerkkabel der internen Netzwerkschnittstelle sollte an einem
> > angeschalteten Switch angeschlossen sein
> > + Das Netzwerkkabel der externen Netzwerkschnittstelle darf NICHT direkt
> > am Internet angeschlossen sein während der Installation
>
> Steht im Buch auch so. Ich habe mir gedacht, ich ziehe alle
Netzwerkstecker
> raus, damit auch nichts schiefgehen kann, und der Server auch keinen Müll
> vom zweiten Server, oder der Firwall bekommt.

Das Netzwerkkabel der Netzwerkkarte für das INTERNE LAN MUSS in einem
aktiven Switch/Hub eingesteckt sein, damit eine aktive Verbindung vorhanden
ist, sonst kommt es zu Problemen während der Installation.

> > + Die interne Domaene sollte nie eine global-gueltige Internet-Domaene
> > sein
>
> Lt. Buch müsste ich die "software-agentur.local" verwenden

Ich bevorzuge die "root"-Domäne ".intern", da ".local" zu unterwünschten
Schwierigkeiten mit MAC-Rechner kommen kann*.

* Do not use the .local domain name during Setup if you have client
computers running Macintosh OS 10.2
The Macintosh OS 10.2 operating system uses the .local extension for its
Rendezvous service. As a result, client computers running OS 10.2 will be
unable to discover other computers that are members of a Windows Small
Business Server network that uses the .local extension.

If your Windows Small Business Server network contains client computers
running Macintosh OS 10.2 or later, change the default domain name during
Setup to use a domain extension other than .local. For example, you could
use a .lan or .office extension.

For more information, visit the Apple Web site (http://www.apple.com) and
search the Knowledge Base for the article "Mac OS X 10.2: About Your
Computer's Rendezvous Name."

> > + Die Wizards von SBS2003 sollten jeglichen manuellen Aenderungen
> > vorgezogen werden
>
> Oha, ganz was Neues. Normalerweise raten die Profis eher davon ab. Ab das
> mache ich gerne, denn das hat mir sehr fein ausgeschaut, und hat auch beim
> ersten mal gut gklappt. War sicher mein Fehler, dass das Ding nicht
richtig
> rennt.

Tja, bei SBS ist es immer ein wenig anders ;)

Liese hierzu auch: "US versus THEM" http://www.sbslinks.com/Us_v_them.htm

Nebenbei, selbst PROs wird es nicht einfach fallen komplexe Konfigurationen
fehlerfrei zwischen mehreren Diensten in kürzester Zeit ohne Hilfsmittel
(z.B. BATCH-File Wizards) zu reproduzieren. Was denkst Du was die Wizards im
SBS2003 machen? ;)

Schau Dir hierzu doch einmal folgende Datei(en) an (z.B. unter
"C:\Programme\Microsoft Windows Small Business Server\Networking\ICW\"):

"Icwdetails.htm" bzw. "Icwdetails*.htm"

"config.vbs" bzw. "config*.vbs"

Wer kennt das Produkt wohl am besten? ;)

> > + SQL + ISA-Server muessen nach Vorgabe auf CD5
"PREMIUMINSTALLSTEPS.HTM"
> > installiert werden
>
> Puh, muss ich mir anschauen. Beim ersten mal hat er das alles automatisch
> von alleine gemacht.

Automatisch ... von alleine? .. Hast Du schon den SBS2006? ;)

Aber alles halb so wild. Einfach Schritt für Schritt
"PREMIUMINSTALLSTEPS.HTM" lesen und sich daran halten was dort steht, dann
brauchst Du WÄHREND der Installation kaum mehr Zeit, als wenn es
"automatisch" ablaufen würde und DANACH Dir keine Sorgen mehr machen, wo
evtl. Fehler liegen könnten, denn es läuft einfach ;)

> > + Alle Updates bzgl. Windows + SBS2003-Komponenten sind, nach
> > gewissenhafter Ueberpruefung, zu installieren
>
> Hmmm, ich spiele normalerweise immer alle Windows Updates automatisch ein.
> Bei den anderen Komponenten ist MS meiner Meinung nach mit den Updates
echt
> schwach. Da gibts keine sauber Suche, das ist jedesmal eine Katastrophe.
> Gibt es dazu einen Trick, oder hast Du diesbezüglich einen guten Rat für
> mich.

Einfacher Tip: Nach der Installation einfach folgende Seite komplett Schritt
für Schritt (hatten wir das nicht heute schon einmal .. ;) ...) abarbeiten
(ggf. Reihenfolge verändern je nach Installationsfolge):

http://www.microsoft.com/windowsserver2003/sbs/downloads/default.mspx

Evtl. bringt die nächste Version von SUS (WUS -
http://www.microsoft.com/wus) schon in dieser Hinsicht Abhilfe.

Zu Frage1.)

Als erstes würde ich Dir raten für einen SBS2003, der NICHT als reines
Testsystem betrieben wird, min. ein RAID1-Koniguration (Spiegelung)
einzurichten. Dort min. eine Partitionierenung in C: (Systemdaten) und D:
(Daten), wobei auf Laufwerk D: alle Benutzerdaten wie:

+ Profiles**
+ User Shared Data**
+ Exchange Datenbanken
+ SQL-Datenbanken
+ Fax-Folder
+ ClientApps
+ ...

** (Profiledaten und "Eigene Daten/Desktop/Anwendungsdaten" durch
Ordnerumleitung evtl. trennen!)

Alles wichtige rund um die "Data Folders" findest Du hier:

Moving Data Folders for Windows Small Business Server 2003
http://download.microsoft.com/download/1/1/6/11671e4d-fb21-489c-870f-db36fd21a7d2/SBS_MoveDataFolders.DOC

Optimal (High-End, nach meiner Einschätzung) wäre z.B. folgende
Konfiguration:

System-/Boot-Partition
  RAID1 auf 2 verschiedenen Controller
Temp. Systemdaten (z.B. Pagefile, Cache usw.)
  RAID0 (max. Performance bei 0 Redundanz)
Systemdienste-Daten-Partition
  hochperformantes RAID10 über 2 verschiedenen Controller
Benutzer-Daten
  hochperformantes RAID10 über 2 verschiedenen Controller

Zwischen der minimalsten und der besten (evtl. auch SAN) solltest Du Dir
eine angepasste Lösung aussuchen.

Zu Frage 2.)

Beispiel an Hand von "Intel® 865 and 875 chipset-based platforms" mit
WindowsXP:

Intel® Application Accelerator RAID Edition User's Manual
(ftp://download.intel.com/support/chipsets/iaa_raid/MANUAL2_OEM.PDF)

Section 10:
  Configuring BIOS for Intel RAID for Serial ATA on Intel Motherboards

How do I install Windows* XP onto a RAID 0 array (F6 install method)?
http://support.intel.com/support/chipsets/iaa_raid/sb/CS-009325.htm

Source: http://www.intel.com/support/chipsets/iaa_raid/

Zu Frage 3.)

Wir verwenden z.B. immer (wenn möglich) folgende Domäne für externe Anfragen
an SBS2003:

  rww.<domain.de>

RWW für Remote WebWorkingplace

Zugriff für Webanfragen via SSL-Zertifikat (geht mit selbstausgestellten
Zertifikat gut, max. Sicherheit durch "kommerzieles" Zertifikat)

VPN-Zugriffe (wenn umbedingt notwendig - Sicherheitsrisiko, Stichwort:
Viren/Würmer) evtl. durch PPTP (Out-of-the-Box, nicht 100% sicher) oder
L2TP/IPsec + Zertifikat (max. Sicherheit evtl. durch Hardware-VPN-Gateway
mit hochsicheren Schlüsseln + RADIUS)

P.S.:

> > + .. <evtl. zu ergaenzen, ist schon spaet>
> Was meinst Du?

Schau einmal auf die Uhrzeit des letzten Postings ... ;) 

-- 
Tobias Redelberger
StarNET Services (HomeOffice)
Schoenbornstr. 57
D-97440 Werneck
    Tel:   +49-(0)9722-4835
Mobil:   +49-(0)179-25 98 341
 Email:   T.Redelberger@starnet-services.net

Relevant Pages

  • RE: VPN Configuration error
    ... Remote Access wizard to configure VPN. ... How to move the client programs folder to another location in Windows Small ... or if the SBS SP1 did not finish the installation. ... On the SBS server, click Start, click Run, type "regedit" (without the ...
    (microsoft.public.windows.server.sbs)
  • RE: HDD failure! Mirror boots ok except WSUS - Re-installation is
    ... In the Add or Remove Programs list, the "Windows Small Business Server ... Microsoft CSS Online Newsgroup Support ...
    (microsoft.public.windows.server.sbs)
  • RE: Updating SBS 2003 with WS 2003 SP1 dies in cleanup phase.
    ... please download the component of SBS 2003 sp1 again from the ... Windows Server 2003 Service Pack 1 ... Windows SharePoint Services 2.0 Service Pack 1 ... Installation Instructions for Service Pack 1 for Windows Small Business ...
    (microsoft.public.windows.server.sbs)
  • RE: HDD failure! Mirror boots ok except WSUS - Re-installation is
    ... Terence in the Add/Remove Programms list I see the "Windows Small Business ... Server 2003", but it isn't "R2" as you wrote. ... | I tried to uninstall WSUS 2 and re-install it, but the installation is ... Unspecified error) ...
    (microsoft.public.windows.server.sbs)
  • SecurityFocus Microsoft Newsletter #154
    ... MICROSOFT VULNERABILITY SUMMARY ... ISS RealSecure Server Sensor SSL Denial Of Service Vulnerabi... ... Roger Wilco Remote Server Side Buffer Overrun Vulnerability ... available for Microsoft Windows operating systems. ...
    (Focus-Microsoft)