Windows Nano Server remote verwalten

    Nano Server in der CloudNano Server 2016 ver­zichtet auf eine lokale Manage­ment-Kon­sole und setzt ganz auf Remote-Ver­waltung. Aller­dings fehlen dafür einige Tools, auf die Admini­stratoren bis dato ver­trauen. Eine zen­trale Rol­le spielt Power­Shell, wenn auch in einer eben­falls abge­speckten Version.

    Microsoft positioniert Nano Server als Cloud-OS, das nur ein Minimum an Ressourcen verbraucht und möglichst wenig Angriffsflächen bietet. Seine wichtigsten Aufgaben sind jene als Host für virtuelle Maschinen und Container, die Bereitstellung von Shared Storage als Scale-out File-Server und als Web-Server - alle davon auch in hochverfügbaren Konfigurationen.

    Packages schon bei Installation integrieren

    Nano Server beschreitet schon bei der Installation einen Sonderweg. Das gewohnte Setup steht dafür nicht zur Verfügung, stattdessen erfolgt sie über PowerShell. Seit einiger Zeit existiert zudem für das zuständige Cmdlet New-NanoServerImage eine GUI in Form des Nano Image Builder.

    Das Basis-Image enthält keine Binaries für Rollen und Features, sie müssen extra hinzugefügt werden.

    Bei dieser Gelegenheit sollte man gleich die Packages für die vorgesehenen Rollen hinzufügen, weil es aufwändiger ist, das nachträglich auf einem Live-System zu tun. Ein Remote-Aktivieren von Rollen und Features über den Server Manager von einer Workstation aus gelingt ebenfalls nur, wenn die dafür erforderlichen Packages bereits aufgespielt wurden.

    Kein Cmdlet für Domain Join

    Ähnliches gilt für den Beitritt zur Domäne. Die gewohnten GUI-Mittel in der Systemsteuerung oder in der App Einstellungen stehen dafür erwartungs­gemäß nicht zur Verfügung, aber auch das Cmdlet Add-Computer oder das Dienstprogramm netdom fehlen auf dem Nano Server.

    Deswegen ist es auch hier sinnvoll, den Domain Join schon bei der Installation zu vollziehen, weil er mit einem Live-System aufwändiger ist (siehe dazu: Mit Nano Server einer Domäne beitreten).

    Die Firewall-Regeln kann man auf der Konsole der Nano Servers bearbeiten.

    Nach dem Start des Nano Server zeigt er einen dürren Anmeldebildschirm, und nach dem Logon erscheint die so genannte Wieder­herstellungs­konsole. Sie erlaubt die Basiskonfiguration des Netzwerks und das Aktivieren bzw. Deaktivieren von Firewall-Regeln (Letzteres geht auch remote über PowerShell). Schließlich kann man hier noch die WinRM-Konfiguration so ändern, dass Verbindungen aus allen Subnets möglich sind.

    Kein RDP-Zugriff auf die Konsole

    Dieses textbasierte Interface erhält man entweder direkt an der Server-Konsole oder wenn Nano Server in einer VM läuft und man sich über VMConnect verbindet. Ein Remote-Zugriff auf die Recovery Console einer Bare-Metal-Installation ist nicht möglich, da Nano Server keine RDP-Verbindungen unterstützt.

    Das zentrale Management-Tool für Nano Server ist PowerShell. Während man auf einer frisch installierten Workstation die strenge Excecution Policy für PowerShell erst lockern muss, um Scripts ausführen zu können, ist sie auf Nano Server bereits auf RemoteSigned gestellt.

    Core Edition von PowerShell

    Der schlanke Server verfügt nur über die Core Edition von PowerShell, der eine Reihe von Cmdlets fehlt. Dazu gehören, wie erwähnt, unter anderem jene für den Beitritt und das Verlassen einer AD-Domäne, Enable-PSRemoting und Disable-PSRemoting (Remoting ist per Vorgabe aktiviert), jene für den Zugriff auf die Eventlogs oder die erste Generation der RPC-basierten WMI-Cmdlets wie Get-WMIObject.

    Der Nano Server enthält die Core Edition von PowerShell

    Um eine Session auf einem entfernten Nano Server aufzubauen, stehen die gewohnten Mechanismen zur Verfügung. Für den Start einer interaktiven Sitzung eignet sich Enter-PSSession, dem Ausführen eines Scripts oder eines einzelnen Befehls auf dem entfernten Rechner dient Invoke-Command. Darüber hinaus funktionieren auch die Cmdlets zum Anlegen, Unterbrechen oder Beenden von persistenten Sessions.

    Ist ein Nano Server nicht Mitglied einer AD-Domäne, dann muss man ihn am lokalen Rechner erst in die Liste vertrauens­würdigen Hosts aufnehmen. Über PowerShell lässt sich dies folgender­maßen bewerk­stelligen:

    Set-Item WSMan:\localhost\Client\TrustedHosts -Value "nano-servername"

    Support für PowerShell Direct und WinRS

    Für das Troubleshooting von Netzwerk­problemen lässt sich auch PowerShell Direct einsetzen, wenn Nano Server in einer VM läuft. In diesem Fall erfolgt die Verbindung direkt über den Host, was allerdings voraussetzt, dass man die Session von diesem aus startet.

    Wer noch der alten Shell nachhängt, kann über winrs cmd.exe remote starten, auch wenn ihr Nutzen sich in Grenzen hält. Ein erster Anlauf scheitert aber mit der Fehlermeldung

    Der WinRM-Client kann die Anforderung nicht verarbeiten. Der Server konnte die Codepage nicht einstellen. Sie können den CHCP-Befehl verwenden, um die Client-Codepage in 437 zu ändern und die Ergebnisse in Englisch zu empfangen.

    Über WinRS lässt sich auch noch der alte Kommandointerpreter auf dem Nano-Server starten.

    Tatsächlich muss man die Codepage mit

    chcp 65001

    auf UTF-8 ändern, danach sollte die Verbindung klappen.

    Keine Unterstützung für Gruppenrichtlinien

    GPOs sind ein gängiges und von Microsoft empfohlenes Mittel, um auch Server zentral zu verwalten. Damit lassen sich etwa Mitglied­schaften in lokalen Gruppen steuern, Remotedesktop oder WinRM konfigurieren und viele sicherheits­relevante Einstellungen setzen.

    Nano Server verzichtet aber auch auf die Unterstützung für Gruppen­richtlinien, so dass Admins hier ebenfalls umdenken müssen. Als Alter­native sieht Microsoft Desired State Configuration vor, um Einstellungen auf viele Server zu übertragen.

    GUI-Optionen aus der Cloud

    Systemverwalter müssen beim Nano-Management nicht gänzlich auf grafische Werkzeuge verzichten. Die vom superschlanken Server unterstützten Rollen lassen sich etwa über den Server Manager konfigurieren, nachdem die jeweiligen Packages bei der Installation oder nachträglich über das Paket-Management hinzugefügt wurden. Der in den Server Manager integrierte Best Practices Analyzer wird jedoch nicht unterstützt.

    Darüber hinaus dient der Server Manager als Verwaltungs­zentrale, von der aus sich andere (MMC-basierte) grafische Tools für einen Remote-Server starten lassen. Allerdings wird man schnell feststellen, dass die im Kontextmenü eines Nano Servers angebotenen Einträge zu einem Gutteil nicht funktionieren.

    Der Server Manager zeigt auch Features, die der Nano Server nicht unterstützt.

    Ein Beispiel ist das NIC-Teaming, das der Nano Server nicht unterstützt. Stattdessen muss man hier das Switch-embedded Teaming nutzen, wenn auf dem Nano Server die Hyper-V-Rolle ausgeführt wird. Auch der Link zum Aufbau einer Remote­desktop­verbindung führt erwartungs­gemäß nicht zum Ziel.

    Es ist aber nicht davon auszugehen, dass Microsoft den Server Manager oder andere RSAT künftig auf den Nano Server anpassen wird. Vielmehr ist der Hersteller auch hier ganz auf Cloud-Kurs und positioniert die Azure-basierten Server Management Tools als die bevorzugten grafischen Werkzeuge für die Verwaltung des superschlanken Servers.

    Keine Kommentare