Rollen in Windows Server 2012 mit Best Practices Analyzer überprüfen

In Windows Server 2012 werden die Best Practices Analyzer deutlich aufgewertet. Sie sind nun auf 14 Tools angewachsen und sind im Dashboard des neuen Server Manager in jeder Kachel präsent, durch die jede Rolle dargestellt wird. Zum einen gibt es dort den Eintrag BPA-Ergebnisse, der auf entdeckte Konfigurationsmängel hinweist.

Zum anderen machen sich die Best Practices Analyzer unter dem Punkt Verwaltbarkeit bemerkbar, wenn sie noch nicht ausgeführt wurden. Daher zeigt das Dashboard bei einem frisch installierten Windows Server 2012 für die meisten hinzugefügten Rollen rot markierte Warnungen. Um diesen Zustand zu ändern, müssen die betreffenden BPA erstmalig ausgeführt werden.

Start der Analyzer über den Server Manager

Im Gegensatz zu Windows Server 2008 R2 lässt sich dieser Vorgang im Server Manager nun auf mehrere Server gleichzeitig anwenden. Diese Möglichkeit zur Remote-Analyse erlaubt es, BPA auch von einem Windows-8-Client mit installierten RSAT zu starten. Es gilt dabei allerdings die Einschränkung, dass bei Zielrechnern mit älteren Versionen des Betriebssystems die Kommunikation nicht mit dem BPA jeder Rolle funktioniert. So konnte ich die DNS-Konfiguration untersuchen, jene von Hyper-V aber nicht.

BPA über PowerShell steuern

Unter Windows Server 2008 R2 gibt es ebenfalls die Möglichkeit, die verfügbaren BPA mittels PowerShell zu erfragen, sie zu auszuführen und anschließend die Ergebnisse abzurufen. Dafür zuständig sind die Cmdlets Get-BPAModel, Invoke-BPAModel, Get-BPAResult und Set-BPAResult. Letzteres dient dazu, bestimmte Ergebnisse ein- oder auszuschließen.

Daran hat sich auch in Server 2012 nichts geändert, der wesentliche Fortschritt gegenüber dem Vorgänger besteht auch hier darin, dass sich Best Practices Analyzer wie im Server Manager auf mehreren Maschinen gleichzeitig ausführen lassen. Anschließend kann man die Ergebnisse ebenfalls remote einlesen. Die Namen der Rechner gibt man über den Parameter -ComputerName an.

BPA für alle installierten Rollen ausführen

Um auf einem frisch eingerichteten Server 2012 die Warnungen aus dem Dashboard zu entfernen, sollte man für die Konfiguration für alle installierten Rollen mittels BPA überprüfen. Das geht über die PowerShell schneller als über die GUI, allerdings erzeugen einfache Aufrufe, wie in diesem TechNet-Blog zu zahlreichen Fehlermeldungen. Der Grund besteht darin, dass ein simples

Get-BPAModel |Invoke-BpaModel

alle vorhandenen BPA ermittelt und sie starten möchte - auch dann, wenn die betreffenden Rollen gar nicht installiert sind. Günstiger ist es, die tatsächlich aktivierten Rollen zu erfragen sowie herauszufinden, ob es dafür einen BPA gibt - und ihn nur in diesem Fall zu starten:

Get-WindowsFeature | Where {$_.BestPracticesModelId -ne "" -and $_.Installed} | Invoke-BpaModel

BestPracticesModelId ist eine Eigenschaft von Feature-Objekten, die aus seiner leeren Zeichenkette besteht, wenn dafür kein BPA existiert.