Ein paar Notizen zu Windows Server 2016

Nachfolgend ein paar Notizen und Links zum Windows Server 2016 (mit Desktop):

Windows Defender deaktivieren oder entfernen

Ab Windows Server 2016 liefert Microsoft den eigenen Virenschutz Defender auch für den Server mit. Dieser ist sozusagen ab Werk installiert und aktiv. Wer diesen nicht benötigt, kann ihn entweder über die GUI oder PowerShell deaktivieren oder über letztgenanntes ganz deinstallieren:

Windows Pro – Defender in Windows Server 2016 installieren und konfigurieren

Thomas Maurer – How to disable and configure Windows Defender on Windows Server 2016 using PowerShell

Nach der Deinstallation ist ein Neustart notwendig. In den Einstellungen bleibt der „Windows Defender“-Eintrag erhalten, ist allerdings ausgegraut und verweist auf die Verwaltung durch die Organisation (gemeint ist wohl der bzw. die Admin(s)).

Update 05.10.2018: Das Deaktivieren über die GUI hilft nur, wenn überhaupt, zum Teil. Es bleibt als weitere Möglichkeit den Defender über die Registry zu deaktivieren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001

Eine korrespondierende GPO habe ich leider im Standard-Lieferumfang von Windows Server 2016 nicht finden können, für Windows 10 gibt es eine entsprechende Richtlinieneinstellung.

Quelle: WindowsPro – Windows Defender in Windows 10 und Server 2016 deaktivieren

Xbox-Dienste und Aufgaben deaktivieren

Warum auch immer haben zwei Xbox-Dienste und Aufgabe Einzug in den Windows Server gehalten. Diese kann und sollte man deaktivieren:

msitproblog – Disabling Xbox Services & Tasks in Server 2016 during OSD with ConfigMgr

Microsoft TechNet – Microsoft Security Guidance blog – Guidance on Disabling System Services on Windows Server 2016 with Desktop Experience

Windows Updates besser steuern

Statt über die GUI kann man über die Eingabeaufforderung mit dem Befehl „sconfig“ das Verhalten der Windows Updates besser kontrollieren und statt alle Updates nur bestimmte zur Installation auswählen.

Aber Achtung: Der Text „Nur Downloads“ ist nicht ganz zutreffend. Dieser Modus ist voreingestellt und läd nicht nur die Updates herunter, sondern installiert diese auch und führt den automatischen Neustart außerhalb der Nutzungszeit durch. Von daher ist die Einstellung „Manuell“ je nach Anspruch vielleicht die bessere Wahl.

Quelle: Tim Anderson’s ITWriting Disabling automatic update restarts in Windows Server 2016

Ein Nachteil wenn man via „sconfig“ die Updates herunterläd und installiert ist der fehlende Status. So lässt sich schlecht beobachten oder abschätzen, wie lange es noch dauert (oder überhaupt etwas gemacht wird). Einzig wenn die Installation abgeschlossen und ggf. ein Neustart notwendig ist, bekommt man dieses angezeigt:

Im Updateverlauf in den Einstellungen sieht man dies auch.

Als Abkürzung zum Suchen und Installieren der Windows Updates kann folgendes Skript verwendet werden:

@echo off

title Windows Update
cd "%windir%\System32\de-DE"
cscript WUA_SearchDownloadInstall.vbs

So spart man sich den Aufruf von „sconfig“ und das Drücken von „6) Updates herunterladen u. installieren“.

Automatischen Neustart außerhalb der Nutzungszeit verhindern

Es ist zwar nett gemeint, das man ein Zeitfenster, in der der Server verwendet wird angeben kann und außerhalb dieser Zeit Dieser automatisch nach der Installation von Updates neu gestartet wird. Je nach Umgebung oder Umstand kann dies allerdings unpassend sein. Um diesen Neustart zu verhindern, muss man die entsprechende Aufgabe ändern und den Befehl durch irgendwas anderes ersetzten. <- Leider funktioniert ein Ändern oder anderer Befehl nicht, da dies überschrieben wird, folglich bleibt nur der Weg einen „Reboot“-Ordner (s.u.) zu erstellen. Ein Löschen oder Deaktivieren der Aufgabe nützt nichts, da diese dann wieder neu angelegt wird.

Aufgabenplanung - Microsoft - Windows - UpdateOrchastrator - Reboot

Quelle: MS TechNet Blog – Microsoft Update Product Team Blog – How to change Windows Update settings using SCONFIG. (Kommentar von Buckethead
April 5, 2017 at 12:46 am)

Alternativ die genannte Aufgabe (sofern vorhanden) löschen und einen leeren Ordner unter

C:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator

anlegen. Dies soll verhindern, das eine neue Aufgabe mit dem Namen „Reboot“ erstellt wird, in Folge wird kein automatischer Neustart durchgeführt.

Quelle: Microsoft Partner Network – How to really manage Windows Update & reboot (Server 2016) for production environment?

Startmenü

Wem das neue Startmenü nicht zusagt, der kann wie zuvor bei Windows 8.x, Server 2012 w/o R2 und Windows 10 z.B. auf die Classic Shell zurückgreifen.

Stand-alone Terminalserver (aka Remote Desktop Session Host)

Der schnellste und einfachste Weg aus einem Windows Server 2016 einen stand-alone Terminalserver (ohne Domäne und Schnickschnack) zu machen besteht (imho) darin, den RDP Wrapper zu verwenden. Alternativ kann man es auch anderst zurechtbasteln:

DigitalBamboo’s Blog – Deploy Remote Desktop Services in a Workgroup or Domain Easily!

Mit Bordmitteln und komplett grafisch habe ich die Einrichtung hier beschrieben:

Stand-Alone Terminalserver mit Windows Server 2016

4 Kommentare

  • *hust* rdwrapper ist nicht gerade „legal“ da du damit die Lizenzierung für RDS umgehst

  • Nö, MS Geschäftskundenbetreuung sagt: Die verwendete Terminalserver-Lösung ist egal, solange man die nötigen Lizenzen im Schrank liegen hat.
    Das habe ich schriftlich!

  • yay also 5min arbeit erspart? Anstatt eben RDS zu installieren (das sind cirka 2 ps Befehle) lieber eine thirdparty Anwendung verwenden? Großartig!

  • Man muss es ja so nicht machen. Gibt ja mehrere Lösungswege. Wenn man nur Desktops braucht, ohne RDS-Gateway und weiteres oder eben nur stand-alone, weil keine DOmain, geht’s halt mit „nicht-bordmitteln“ schlecht weg schneller und einfacher.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.