Windows Server Core 2008 R2 remote verwalten

Die mit Windows Server 2008 eingeführte Installationsoption "Core" ist eine schlanke Variante des Betriebssystems, das besonders für die Ausführung der Hyper-V-Rolle gedacht ist. Die Interaktion mit dem System beschränkt sich auf die Eingabeaufforderung, der gewohnte Desktop inklusive der grafischen Verwaltungs-Tools fehlt mithin. Wer den Server also nicht nur mit Kommandozeilenbefehlen verwalten möchte, kann auf die Fernwartung mit GUI-Programmen ausweichen. Dafür sind einige Vorbereitungen zu treffen sowie Einschränkungen zu beachten.

Während sich Server Core in seiner ersten Ausführung noch auf die spartanische Verwaltung via Kommandozeile beschränkte, enthält Server Core 2008 R2 mit sconfig.cmd nun ein textbasiertes Management-Werkzeug. Dieses ist jedoch weit davon entfernt, die wesentlichen Admin-Aufgaben zu erledigen. Vielmehr eignet es sich nur für die grundlegende Konfiguration des Systems.

sconfig: Admin-Tool im Text-Modus

Es handelt sich dabei um ein vbs-Script für den Scripting-Host, das im Hintergrund diverse Dienstprogramme aufruft. Es kann unter anderem den Computernamen ändern, den Server einer Domäne anschließen oder die Einstellungen für den Update-Service verwalten. Das in vielen Online-Anleitungen dokumentierte Vorgehen, das für diese Aufgaben zahlreiche Tools aus dem Microsoft-Sammelsurium benutzt, ist damit unter Server Core 2008 R2 obsolet.

Neben den beschriebenen Befehlen übernimmt sconfig.cmd auch die Basiskonfiguration für die Remote-Verwaltung. Dazu zählen das Zulassen der Remoteverwaltung durch MMC und Server-Manager, die Aktivierung von PowerShell und die Anzeige der Firewall-Einstellungen. Letztere produziert allerdings mehr Darstellungsfehler von Sonderzeichen als brauchbare Informationen.

Remotedesktop als Ergänzung zu Server-Manager

Getrennt davon erlaubt ein weiterer Menüpunkt die Aktivierung und Deaktivierung des Remotedesktop. Wenn man sich auf die Kommandozeile beschränkt, bestünde sein einziger Nutzen bei Server Core darin, dass man zu seiner Verwaltung nicht zur Konsole schreiten muss. Da sich aber einige Dinge mit sconfig.cmd erledigen lassen, die remote nicht möglich sind, ergänzt der Zugriff per Remotedesktop die Admin-Tools auf dem Client.

Ein weiterer angenehmer Nebeneffekt des Fernzugriffs auf die Kommandozeile besteht darin, dass man Befehle aus der Online-Hilfe oder aus dem Web per Copy & Paste in die Eingabeaufforderung einfügen kann. Trotz Remote-Management und sconfig.cmd ist nämlich der Einsatz von Kommandozeilen-Tools unumgänglich. Angesichts eines Rattenschwanzes von Argumenten, den Dienstprogramme wie netsh.exe oft erfordern, ist das eine spürbare Arbeitserleichterung.

Server Core mittels Server-Manager verwalten

Das zentrale Tool für die Fernwartung von Server Core ist der Server Manager, der mit Windows Server 2008 eingeführt wurde. Für die Remote-Administration eines Core-Servers muss er auf einem Client installiert werden. Dies geschieht über die Remote Server Administration Tools (RSAT), zu deren Lieferumfang er gehört (Download für Windows 7).

Im Vergleich zur Version, die mit der Vollversion von Windows Server 2008 R2 eingerichtet wird, fehlen der Client-Variante einige Funktionen. Folgendes geht nicht:

• Hinzufügen und Entfernen von Rollen und Features
• Einstellungen für Remotedesktop ändern
• Netzwerk und Update-Service konfigurieren
• Name des Computers ändern oder einer Domäne beitreten

Diese Aufgaben lassen sich indes mit sconfig.cmd erledigen, insofern sind die beiden Tools komplementär. Der Remote-Zugriff auf den Geräte-Manager ist nur lesend möglich, wobei hier sconfig.cmd keine ergänzende Rolle spielt. An der Server-Konsole stehen dafür somit nur Kommandozeilen-Tools zur Verfügung.

Zu den wichtigsten Fähigkeiten des Server-Managers für die Remote-Administration zählen:

• Installierte Rollen verwalten
• Zugriff auf die Ereignisanzeige
• Monitoring mit der Leistungsüberwachung und Systemressourcen-Manager
• Konfiguration von Aufgaben und Diensten
• Datenträgerverwaltung
• Verwaltung der Windows-Firewall

Besonders der letzte Punkt ist im Zusammenhang mit der Fernwartung von besonderem Interesse, weil die Firewall dabei immer wieder hinderlich sein kann. Das Hantieren mit netsh advfirewall firewall auf der Kommandozeile von Server Core zur Diagnose und Behebung von Verbindungsproblemen ist dagegen relativ beschwerlich.

Einstellungen für Datenträgerverwaltung, Gerätemanager

Für die Datenträgerverwaltung und den Gerätemanager bedarf es neben der Firewall-Konfiguration weiterer Maßnahmen. Ersterer verlangt, dass auf dem Core-Server der Virtual Disk Service (VDS) läuft. Er kann entweder remote über den Server-Manager oder mit

net start vds

an der Server-Konsole gestartet werden.

Der Gerätemanager verlangt, dass die Gruppenrichtlinie "Remote-Zugriff auf Plug and Play-Schnittstelle zulassen" aktiviert wird. Dies kann ebenfalls per Fernzugriff erledigt werden, indem man auf dem Client mmc.exe startet und über Datei => Snap-in hinzufügen den "Gruppenrichtlinienobjekt-Editor" lädt. Die erwähnte Richtlinie findet sich unter Computerkonfigurartion => Administrative Vorlagen => System => Geräteinstallation.

Hürden für Workgroup-Server

Ein Windows-Server erhält nach dem Beitritt zu einer Domäne das Firewall-Profil der Domäne, das die Fernwartung zulässt. Auf Workgroup-Servern hingegen müssen die Einstellungen der Firewall dafür explizit angepasst werden, entweder über sconfig.cmd oder den Aufruf

Netsh advfirewall firewall set rule group="Remoteverwaltung" new enable=yes

Ein weiteres Hindernis für die Remote-Verwaltung von Workgroup-Servern ist normalerweise die Benutzerkontensteuerung, die über das Netzwerk nicht die Berechtigungen automatisch anheben kann. Im Fall von Server Core muss man nicht den UAC-Filter abschalten, weil die Magervariante von Windows Server die UAC nicht unterstützt.