Meistens ist es das nicht – oder um es deutlicher zu sagen: Im Regelfall sollte man in produktiven Umgebungen die Systemzeit virtueller Maschinen nicht mit dem Host synchronisieren, sondern mit externen Zeitquellen – in Windows-Netzwerken also tunlichst mit den Zeitdiensten des Active Directory.

Warum dies?

Die grundsätzliche technische Problematik der Zeitsynchronisation virtueller Maschinen erläutert VMware sehr gut in einem eigenen Whitepaper (die Hintergründe gelten durchaus unabhängig von der eingesetzten Virtualisierungstechnik):

[Timekeeping in VMware Virtual Machines]
http://www.vmware.com/vmtn/resources/238
(direkter Download hier)

Da die Systemzeit in vielen Systemen ein wichtiger oder sogar kritischer Faktor ist, sollte man diesbezüglich keine unnötigen Risiken eingehen. Besonders in Active-Directory-Domänen etwa darf die Zeit aller beteiligten Systeme (also aller Server und Clients, die der Domäne angehören) nicht mehr als fünf Minuten auseinanderlaufen, denn sonst sind die Anmeldedaten nicht mehr gültig (genauer: das Kerberos-Ticket). Typisches Symptom in einem solchen Fall: Plötzlich funktioniert für einzelne Anwender der Zugriff auf bestimmte Daten oder Dienste nicht mehr.

Wie stellt man es aber richtig an?

Eine sinnvolle Empfehlung lautet, alle Rechner im Netzwerk mit einer zentralen, einheitlichen Zeitquelle zu synchronisieren. Dafür eignet sich das NTP-Protokoll, das genau für solche Zwecke entworfen wurde. Windows enthält NTP-Clients und NTP-Serverfunktionen, dasselbe gilt für alle anderen wichtigen Betriebssysteme.

Im Fall von Active Directory lautet die Best-Practice-Empfehlung, dass der Domänencontroller mit der Rolle “PDC-Emulator” (auch “PDCe” genannt) als zentraler Zeitserver dienen sollte. Er gibt seine Zeit an die anderen Domänencontroller weiter, die ihrerseits die Clients mit der Zeit versorgen. Um hier Probleme zu vermeiden, sollte der DC mit der PDCe-Rolle nicht virtualisiert sein, sondern auf Hardware laufen (alle anderen DCs können prinzipiell auch virtualisiert sein). Nur dieser Server sollte seine Zeit von einer externen Quelle holen, also einem NTP-Server im Internet oder einer lokalen Uhr.

Folgender Artikel beschreibt eine gute und flexible Technik, die AD-Zeitsynchronisation den Empfehlungen gemäß für alle Windows-Rechner sicherzustellen:

[Zeitserver - w32time - ueber Gruppenrichtlinien konfigurieren]
http://www.gruppenrichtlinien.de/HowTo/Zeitserver_per_GPO.htm

Damit nun der NTP-Client in einer VM ordnungsgemäß funktioniert, sollte es keine Konflikte mit anderen Zeitabgleichs-Methoden geben. Insbesondere bedeutet das: Die Zeitsynchronisation mit dem Host sollte man abschalten und nur mit der Zeitsynchronisation des Betriebssystems arbeiten (also NTP oder AD-Abgleich).

VMware beispielsweise äußert sich in dem genannten Whitepaper recht eindeutig dazu (Seite 20):

Generally, it is best to use only one clock synchronization service at a time in a given virtual machine to ensure that multiple services do not attempt to make conflicting changes to the clock. So if you are using native synchronization software, we suggest turning VMware Tools periodic clock synchronization off.

Stolperfallen und Tipps

Natürlich gibt es da einige Dinge zu berücksichtigen. Eine unvollständige Auswahl:

• Wer Hyper-V einsetzt und seine Umgebung mit dem Virtual Machine Manager 2008 R2 verwaltet, darf die Zeitsynchronisation der Integrationsdienste nicht über den VMM abschalten. Es gibt einen bekannten Bug im VMM 2008 R2, der diese Einstellung nicht an die VM weiterreicht. Man entfernt also das Häkchen, und beim nächsten Nachsehen ist es wieder da. Erst VMM 2012 handhabt das korrekt.
  Abhilfe: Diese Einstellung (Abschalten der Zeitsynchronisation über die Integrationsdienste) muss über den Hyper-V-Manager erfolgen (also das bordeigene Verwaltungstool).
• Die VMware-Tools erlauben zwar das Abschalten der Zeitsynchronisation, allerdings bezieht sich das nur auf den periodischen Abgleich. In bestimmten Situationen setzen die VMware Tools die Zeit einer VM trotzdem auf die des Hosts (z.B. beim Neustart der Tools). Das kann zu unerwünschten Situationen führen, daher sollte man darauf achten, dass auch die ESX(i)-Hosts per NTP ihre Zeit von den Domänencontrollern beziehen.
  Dies trifft auf alle Versionen der VMware-Tools zu, siehe auch das obige Whitepaper auf Seite 19 unten:
  

  Note that all versions of VMware Tools make one-shot corrections of the virtual machine clock in certain cases […], independently of whether the periodic synchronization feature is on or off.

• Um ESX(i)-Server auf ausfallsichere Weise per NTP mit der Zeit der AD-Domäne zu versorgen, gibt es einen Trick: Als NTP-Server für den Host trägt man nicht den Namen oder die IP-Adresse eines bestimmten Servers ein, sondern den DNS-Namen der Domäne. Dieser Name wird nämlich auf alle DCs aufgelöst, sodass in jedem Fall ein NTP-Server erreicht wird, auch wenn ein bestimmter DC mal nicht antwortet.

Keine verwandten Beiträge.

Das erste ist ein Batch-Skript, das aus der Registry das Datum des letzten erfolgreichen Windows-Updates ausliest. Das bedeutet nicht, dass an diesem Datum alle verfügbaren Updates installiert wurden. Nach diesem Datum hat Windows Update aber keine Aktualisierungen mehr ausgeführt.

FOR /F "usebackq tokens=3,4" %%i IN (`REG QUERY "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install" /v LastSuccessTime`) DO (ECHO %%i %%j)

Das zweite Skript nutzt das Windows-Update-Objektmodell, um die Zahl der ausstehenden Updates herauszufinden. Auch dieser Wert ist nicht zu 100 Prozent verlässlich, denn wenn beispielsweise Windows Update deaktiviert ist oder nicht ordentlich läuft oder wenn auf einem lokalen WSUS-Server nötige Updates nicht freigegeben sind, gibt die Zahl nicht die Wahrheit wieder. Als Orientierung ist die Ausgabe aber durchaus nützlich.

Set updateSession = CreateObject("Microsoft.Update.Session")
Set updateSearcher = updateSession.CreateupdateSearcher()        
Set searchResult = updateSearcher.Search("IsInstalled=0 and Type='Software'")
WScript.Echo searchResult.Updates.Count & " Windows Updates are pending."

Hier der Download der Skripte:

Verwandte Beiträge:

1. Heute: Das erste Update für Windows Phone 7 – nur nicht “das” Update …
   Laut dem Windows-Phone-Blog kommt heute das erste Update für Windows...
2. Windows Phone: “Mango”-Update beschleunigen
   Endlich hat Microsoft das große Update “Mango” für Windows Phone...
3. AD-Informationen schnell auslesen
   Neben eineAm klassischen ADSI-Skript gibt es eine relativ einfache Möglichkeit,...

Get-ExchangeServer -Identity $env:COMPUTERNAME | ft name,AdminDisplayVersion -HideTableHeaders -AutoSize

Verwandte Beiträge:

1. Exchange 2010: Letztes Backup-Datum auslesen
   Der Zeitpunkt der letzten Datensicherung ist bei Exchange schon immer...
2. Exchange 2010: Volltextfilter für PDF-Dateien installieren
   In den Installationsvoraussetzungen für Exchange Server 2010 [http://technet.microsoft.com/de-de/library/bb691354(EXCHG.140).aspx] befindet sich...
3. Exchange 2010: Fehlende Systemmailboxen für Approval-Workflows
   Heute wollte ich einen Approval-Workflow erstellen und wurde von der...

Problematisch ist dabei manchmal, dass manche Systeme bekanntermaßen zu bestimmten Zeiten gar nicht antworten. Beliebte Falle sind da etwa Netzwerkdrucker, die abends in einen Energiesparmodus wechseln und dann nicht auf Echo-Anforderungen reagieren. Mit Hilfe von etwas Batch-Magie kann man die Fehlalarme in solchen Situationen deutlich reduzieren. Die gezeigte Technik kann man natürlich auch für andere Zwecke nutzen als nur Ping-Checks.

Wie die meisten Monitoring-Skripte geben auch diese den Errorcode 0 zurück, wenn alles okay ist (also wenn die Rechner auf Ping antworten) und den Wert 1 bei einem Fehler (Ausbleiben der Antwort). Ganz unten gibt es die Skripte zum Download.

Skript 1: Zeitabhängig pingen

Die erste Variante des Skripts erlaubt die Definition von Uhrzeiten, in denen der Check ausgeführt wird. Vorsicht dabei, da ich mich hier rein auf Batch-Mittel beschränke, ist der Code sprachabhängig. Man sollte also immer erst lokal auf dem System testen, von dem der Ping später ausgehen soll, und ggf. die regionalen Ausgaben anpassen.

Dieses Skript kann die wichtigen Parameter auch über die Kommandozeile entgegennehmen. Übergibt man dort nichts, verwendet es die Vorgaben aus dem Code. Beispiel:

• Ping-InTimeRange 10 18 10.10.10.101
  Pingt zwischen 10:00 Uhr und 18:59 Uhr den Rechner mit der IP-Adresse 10.10.10.101 an

@echo off
rem Ping-InTimeRange.bat
rem Script to ping an address only in a specified time range
rem By Nils Kaczenski, faq-o-matic.net
rem Version 1.0, 2012-02-29

rem Specify default values (may be altered by command line)
rem Begin is the first hour of the range (included)
rem End is the last hour of the range (included)
rem PingAddress may be an IP address or a host name (if name resolution works)
rem Example: 10 to 14 means begin at 10:00:00 and end at 14:59:59
rem *** Modify here if needed ***
SET Begin=10
SET End=18
SET PingAddress=127.0.0.1
rem *** End modify

rem Use command line values if provided
IF NOT "%1"=="" SET Begin=%1
IF NOT "%2"=="" SET End=%2
IF NOT "%3"=="" SET PingAddress=%3

rem Uncomment this to display the settings
rem ECHO Ping %PingAddress% between %Begin% and %End%

rem Split time into tokens
for /f "tokens=1-4 delims=.:, " %%i in ("%time%") do (
 set hour=%%i
 set minute=%%j
 set second=%%k
 set hundredth=%%l
)

rem Initialize check variable
rem Check=1 means time is out of range, 0 means within range
SET Check=1

rem Check current time against Begin and End
IF %hour% GEQ %Begin% (
	IF %hour% LEQ %End% SET Check=0
	)

IF %Check%==1 (
	ECHO Current time %time% is out of range %Begin% to %End%. Will not ping.
	EXIT /B 0
	) ELSE (
	ping -n 1 %PingAddress%>nul
	)

Skript 2: Tages- und zeitabhängig pingen

Das zweite Skript geht noch einen Schritt weiter. Es führt die Prüfung nur zu den angegebenen Zeiten aus und erlaubt zusätzlich die Angabe von Wochentagen, an denen es nicht prüfen soll. Das ist z.B. nützlich, wenn die Zielsysteme am Wochenende abgeschaltet sind.

Auch hier sind ggf. Anpassungen wegen der Sprachversion des prüfenden Rechners nötig. Anders als das erste Skript nimmt diese Fassung keine Angaben über die Kommandozeile entgegen. Dafür kann man gleich mehrere Prüfungen hineinpacken, indem man gegen Ende des Codes die angegebenen Zeilen kopiert und anpasst. Jede Prüfung besteht hier aus zwei Zeilen (“ping” und Auswertung der Antwort mit “if errorlevel 1”).

@echo off
rem Ping-InTimeAndDateRange.bat
rem Pings a number of IP addresses only at specified times
rem Version 1.1 EN, 2012-03-07

rem Specify default values (may be altered by command line)
rem Begin is the first hour of the range (included)
rem End is the last hour of the range (included)
rem Example: 10 to 14 means begin at 10:00:00 and end at 14:59:59
rem *** Modify here if needed ***
SET Begin=7
SET End=18
rem *** End modify

rem Split time into tokens
for /f "tokens=1-4 delims=.:, " %%i in ("%time%") do (
 set hour=%%i
 set minute=%%j
 set second=%%k
 set hundredth=%%l
)

rem Get day of week
rem see http://www.administrator.de/index.php?content=80546
rem *** Modify here if needed ***
rem *** English version - for German systems use "delims=." and "mm=%%b" and "dd=%%a"FOR /F "tokens=1,2,3 delims=-" %%a in ('echo %date%') do set yy=%%c & set mm=%%a & set dd=%%b rem *** End modify
set /a "TwoDigitYearMax=2038%%1000"
if 1%yy% LSS 200 if 1%yy% LSS 1%TwoDigitYearMax% (set yy=20%yy%) else (set yy=19%yy%) set /a dd=100%dd%%%100,mm=100%mm%%%100
set /a z=14-mm,z/=12,y=yy+4800-z,m=mm+12*z-3,dow=153*m+2
set /a dow=dow/5+dd+y*365+y/4-y/100+y/400-2472630,dow%%=7,dow+=1
rem *** Modify here if needed ***
rem *** set day names according to the system language
If %dow% equ 1 set "WoTa=Montag"
If %dow% equ 2 set "WoTa=Dienstag"
If %dow% equ 3 set "WoTa=Mittwoch"
If %dow% equ 4 set "WoTa=Donnerstag"
If %dow% equ 5 set "WoTa=Freitag"
If %dow% equ 6 set "WoTa=Samstag"
If %dow% equ 7 set "WoTa=Sonntag"
rem *** End modify

rem Initialize check variable
rem Check=1 means time is out of range, 0 means within range
SET Check=1

rem Check current time against Begin and End
IF %hour% GEQ %Begin% (
	IF %hour% LEQ %End% SET Check=0
	)

rem Check day of week
rem *** Modify here if needed ***
rem *** set day names according to the system language
rem *** set Check=1 to NOT perform the tests on given days
IF %WoTa%==Samstag SET Check=1
IF %WoTa%==Sonntag SET Check=1
rem *** End modify

rem Initialize error variable
SET PingError=0

rem Do the actual ping checks
IF %Check%==1 (
	ECHO Time %time% on %WoTa% is not between %Begin% and %End%. No tests to do.
	EXIT /B 0
	) ELSE (
rem *** Modify here if needed ***
rem *** copy and modify the lines as needed
	ping -n 1 10.10.10.101>nul
	IF ERRORLEVEL 1 (SET PingError=1 & ECHO No reply from SYSTEM NAME!)

	ping -n 10.10.10.102>nul
	IF ERRORLEVEL 1 (SET PingError=1 & ECHO No reply from SYSTEM NAME!)
rem *** End modify
	)

IF %PingError%==1 (
	ECHO No reply from at least one system.
	EXIT /B 1
	) ELSE (
	ECHO All systems replied correctly.
	EXIT /B 0
	)

Und hier der Download:

Verwandte Beiträge:

1. Mini-Pingtest für einen Netzwerkbereich
   Schnell & schmutzig: Um für einen kleinen (!) internen Netzwerkbereich...
2. Monitoring: Sind die SQL-Datenbanken aktuell gesichert?
   Zu den wichtigsten Aufgaben des Monitoring gehört die Prüfung, ob...
3. Wie führe ich eine Aktion nur aus, wenn der Ziel-Host erreichbar ist?
   Oft soll eine bestimmte Aktion nur ausgeführt werden, wenn der...

Auf der folgenden Seite gibt es den Download, aufgeschlüsselt nach Betriebssystem-Familien. Die jeweiligen Excel-Dokumente beschränken sich auf die “Administrativen Vorlagen” und einige systemnahe Einstellungen, berücksichtigen also leider nicht alle GPO-Bereiche.

[Download: Group Policy Settings Reference for Windows and Windows Server - Microsoft Download Center - Download Details]
http://www.microsoft.com/download/en/details.aspx?id=25250

Verwandte Beiträge:

1. Gruppenrichtlinien für Office 2010
   Bereits seit zwei Wochen sind die ADM- und ADMX-Dateien verfügbar,...
2. Windows 8: Die Beta ist da
   Ohne weitere Umstände: [Windows 8 Consumer Preview ISO formats] http://windows.microsoft.com/en-US/windows-8/iso...
3. BGInfo per Gruppenrichtlinien ausrollen
   BGInfo ist ein sehr nützliches kleines Werkzeug von Sysinternals, das...

Wie die meisten Monitoring-Skripte gibt auch dieses den Exitcode 0 zurück, wenn die Prüfung bestanden ist, und den Wert 1 bei einem Fehler.

Das Skript bedient sich des Terminalserver-Befehls “query”, um die aktiven Sessions abzufragen. Das Kommando steht in allen aktuellen Windows-Versionen zur Verfügung (auch auf Clients). Die Prüfung schaut nach, ob in der Sitzung namens “console” der User “administrator” angemeldet ist.

@echo off
rem Das Skript fragt die Session-Liste ab, ob "administrator" an "console" verbunden ist
query session | find /I "console" | find /I "administrator"

Hier der Download:

Verwandte Beiträge:

1. Monitoring: Ist SQL Server online?
   Für das Monitoring habe ich zwei kleine Skripte geschrieben, die...
2. Monitoring: Tägliche Prüfung von Exchange 2010
   Exchange Server 2010 bringt einen großen Satz an diagnostischen Funktionen...
3. Monitoring: Laufende Prüfung von Exchange 2010
   Auf Basis des Monitoring-Tutorials von MSExchange.org habe ich zwei PowerShell-Skripte...

Das folgende Skript verbindet sich mit dem lokalen SQL Server und fragt die Sicherungsstatus aller Datenbanken ab. Liegt die Sicherung weniger als 24 Stunden zurück, so gilt die Prüfung als bestanden. Wie die meisten Monitoring-Skripte gibt auch dieses den Exitcode 0 zurück, wenn alles in Ordnung ist. Der Code 1 weist auf einen Fehler hin.

Das Skript nutzt die SQL-Syntax des SQL Server, um die Abfrage auszuführen. Folgender SQL-Code ist dazu einsetzbar:

-- Define desired backup interval in hours

DECLARE @BackupInterval int

SET @BackupInterval = 24

SET NOCOUNT ON

SELECT database_name AS 'Database'

, type AS BackupType

, MAX(backup_start_date) AS Start

, MAX(backup_finish_date) AS Finish

, (DATEDIFF(s,  MAX(backup_start_date), MAX(backup_finish_date))) AS DurationSec

, (DATEDIFF(hh, MAX(backup_finish_date), GETDATE())) AS HoursAgo

, CASE WHEN (DATEDIFF(hh, MAX(backup_finish_date), GETDATE())) > @BackupInterval THEN 'Critical' ELSE 'OK' END AS BackupStatus

FROM msdb..backupset

GROUP BY database_name, type

ORDER BY database_name

Um diesen mehrzeiligen Code innerhalb einer einzigen Batchdatei an das SQL-Server-Werkzeug sqlcmd.exe verfüttern zu können, bedient sich die Batchdatei eines Tricks: Sie erzeugt eine temporäre SQL-Eingabedatei mit dem Code, ruft sqlcmd.exe mit dieser Datei auf und prüft das Ergebnis. Dadurch muss nicht mehr als eine einzelne Batchdatei an das Monitoring-Tool übergeben werden.

@echo off
rem Sind alle Datenbanken auf SQL Server aktuell gesichert?
rem Nils Kaczenski, WITstor GmbH, 20.2.2012
rem Das Skript verbindet sich mit dem lokalen SQL Server und fragt den Backup-Status aller Datenbanken ab
rem SQL-Eingabedatei entfernen, falls vorhanden
SET SQL=%TEMP%\CheckSQL.sql
IF EXIST %SQL% DEL %SQL%

rem SQL-Eingabedatei erzeugen
echo -- Define desired backup interval in hours>>%SQL%
echo DECLARE @BackupInterval int>>%SQL%
echo SET @BackupInterval = 24>>%SQL%

echo SET NOCOUNT ON>>%SQL%
echo SELECT database_name AS 'Database'>>%SQL%
echo , type AS BackupType>>%SQL%
echo , MAX(backup_start_date) AS Start>>%SQL%
echo , MAX(backup_finish_date) AS Finish >>%SQL%
echo , (DATEDIFF(s,  MAX(backup_start_date), MAX(backup_finish_date))) AS DurationSec >>%SQL%echo , (DATEDIFF(hh, MAX(backup_finish_date), GETDATE())) AS HoursAgo>>%SQL%
echo , CASE WHEN (DATEDIFF(hh, MAX(backup_finish_date), GETDATE())) ^> @BackupInterval THEN 'Critical' ELSE 'OK' END AS BackupStatus>>%SQL%echo FROM msdb..backupset>>%SQL%
echo GROUP BY database_name, type>>%SQL%
echo ORDER BY database_name>>%SQL%

rem SQL-Check ausfuehren
sqlcmd -E -W -h-1 -i %SQL% | find /I "ok" >nul

Und hier ist der Download dieses Skripts:

Verwandte Beiträge:

1. Monitoring: Ist SQL Server online?
   Für das Monitoring habe ich zwei kleine Skripte geschrieben, die...
2. Monitoring: Laufende Prüfung von Exchange 2010
   Auf Basis des Monitoring-Tutorials von MSExchange.org habe ich zwei PowerShell-Skripte...
3. Monitoring: Tägliche Prüfung von Exchange 2010
   Exchange Server 2010 bringt einen großen Satz an diagnostischen Funktionen...

Jedenfalls hat Microsoft sich diesmal eine Entwicklerkonferenz in Japan ausgesucht, um die letzte Vorabversion von Windows 8 anzukündigen. Demnach kommt diese in der ersten Juni-Woche.

[Twitter / @BuildWindows8: Announce...Windows 8 Relea ...]
http://twitter.com/#!/BuildWindows8/status/194627936115101696/photo/1

Verwandte Beiträge:

1. Windows 7: Der RC kommt! Nee – doch?!
   Kurz vor dem Release eines neuen Kernprodukts wird es ja...
2. ice:2010: Anmeldung ab 1. Juni
   Die wohl schönste Community-Konferenz ice:2010 in Lingen findet dieses Jahr...
3. \\ice:2011: Anmeldung ab 1. Juni
   Wie jedes Jahr öffnet Nicki Wruck am 1. Juni die...

Und trotzdem gibt es bei Admins erhebliche Unsicherheiten und immer wieder ärgerliche Fehlkonfigurationen mit den rudimentären Hyper-V-Netzwerken. Wie kommt das?

Ein Großteil der Unklarheit liegt an der ungünstigen Darstellung, die Microsoft für die Netzwerkverbindungen gewählt hat. Es gibt nämlich nicht mehr als das bekannte Verbindungs-Applet der Systemsteuerung, das alle Netzwerktypen, die der Virtualisierungshost sieht, unterschiedslos mit demselben Icon anzeigt. Ein noch relativ einfaches Beispiel zeigt die nächste Abbildung. Preisfrage: Wieviele physische Netzwerkkarten hat dieser Server?

Abb. 1: Ansicht der Netzwerkverbindungen in der “Parent Partiton”

Auflösung: Der hier betrachtete Server hat drei physische Netzwerkadapter. Die anderen beiden Einträge zeigen virtuelle Karten, die durch Hyper-V ins Spiel kamen. Doch auch die drei “physischen” Verbindungen gehören zwei unterschiedlichen Typen an: Zwei davon sind nämlich virtuelle Switches, die dritte ist eine “normale” Netzwerkkarte. Wie man leicht sieht, haben alle dasselbe Icon. Alles klar?

Die Logik der Hyper-V-Netzwerke

Um hier Licht ins Dunkel zu bringen, ist etwas Hintergrund erforderlich. Trotz der geringen Gestaltungsmöglichkeiten für virtuelle Netzwerke ist die unterliegende Technik durch das Hypervisor-Prinzip nämlich sehr komplex: Zu unterscheiden sind je nach Betrachtungsweise mindestens drei Ebenen, die wir im Folgenden zugrunde legen. Dabei handelt es sich um

• die Host-Ebene mit den physischen Netzwerkadaptern, die tatsächlich die elektrische Verbindung zum Netzwerk herstellen. Zusätzlich ordnet unsere Betrachtung auch das Adapter-Teaming dieser Ebene zu, dazu gleich mehr
• die Hypervisor-Ebene mit den virtuellen Switches, über die die virtuellen Maschinen ihre Verbindung ins Netzwerk herstellen
• die VM-Ebene, in der die virtuellen Maschinen (einschließlich der Parent-Partition – auch dazu gleich mehr) und ihre jeweiligen Betriebssysteme ihre Netzwerkkarten “sehen” und konfigurieren

Abb. 2: Logik der Netzwerkverbindungen in Hyper-V

Die Host-Ebene

In unserem Beispiel hat der betrachtete Host-Server sechs Netzwerkkarten, die unten auf der Host-Ebene dargestellt sind (violetter Bereich). Fünf dieser Netzwerkkarten (hier: NIC1 bis NIC5) sind dazu gedacht, den virtuellen Maschinen Verbindungen in das externe Netzwerk zu bieten (wobei es sich hier um bis zu drei getrennte Netzwerke handeln kann, es können aber auch weniger sein). Die sechste Karte (NIC6) dient dazu, einen separaten Netzwerkzugang für die “Parent Partition” zu definieren, über den keine der VMs eine Verbindung erhalten kann. Microsoft empfiehlt ein solches separates Management-Netzwerk, um die administrativen Aufgaben, die den Hyper-V-Host betreffen, vom normalen Netzwerkverkehr zu trennen. Zwingend notwendig ist ein solches eigenes Management-Netz nicht, und viele Kunden verzichten darauf.

Jeweils zwei Netzwerkkarten (NIC1/NIC2 sowie NIC3/NIC4) sind als Teams definiert, damit die zugehörigen Netzwerkverbindungen eine gewisse Ausfallsicherheit und in günstigen Fällen auch eine Lastverteilung haben. Das Teaming muss in Windows Server 2008 R2 mit separater Software geschehen, die normalerweise vom Hersteller der Netzwerkkarten stammt (z.B. Broadcom BACP oder Intel ProSet). Dieses Teaming findet logisch betrachtet auf der Ebene des Hosts statt, weil Hyper-V nichts davon weiß. Das bedeutet auch, dass man bei der Einrichtung des Teaming eine bestimmte Installationsreihenfolge einhalten muss, weil es sonst zu gravierenden Zugriffsproblemen im Netzwerk kommen kann.

Die Hypervisor-Ebene

Der Hypervisor (orangefarbener Bereich) definiert virtuelle Switches (in Windows Server 2008 R2 als “virtuelle Netzwerke” bezeichnet, erst Windows Server “8” spricht von virtuellen Switches) und bietet damit die Möglichkeit, mehrere virtuelle Maschinen an die physischen Netzwerkadapter des Hostservers zu binden. Diese virtuellen Switches lassen eine unbegrenzte “Überbuchung” der physischen Verbindungen zu: Ob nur eine virtuelle Netzwerkkarte an eine physische gebunden ist, drei oder zwanzig, ist dem Hypervisor zunächst egal.

Die virtuellen Switches definiert man zum ersten Mal bei der Ersteinrichtung von Hyper-V. Auf einem Host mit drei Netzwerkkarten sieht das z.B. so aus (hierbei wird ebenfalls eine Karte für das Management-Netz reserviert):

Abb.3: Definition virtueller Switches bei der Erstkonfiguration von Hyper-V in Windows Server 2008 R2

Nachträglich lassen sich virtuelle Switches im Hyper-V-Manager erzeugen und konfigurieren, in Windows Server 2008 R2 über den Punkt “Manager für virtuelle Netzwerke” bzw. in Windows Server “8” über “Manager für virtuelle Switches”.

Wie oben bereits angemerkt, sind die Konfigurationsmöglichkeiten für die virtuellen Switches sehr eingeschränkt. Man kann dort nur den Netzwerktyp sowie eine VLAN-ID für die Parent Partition zuweisen:

• “Extern”: Dieser Switch stellt eine uneingeschränkte Verbindung in das dahinterliegende Netzwerk her. Über welche Netzwerkkarte der Verkehr läuft, wählt man im Auswahlfeld darunter aus – Vorsicht, hier steht der Gerätename und nicht der evtl. manuell gewählte “freundliche” Name.
  Ist das darunter stehende Häkchen gesetzt, können VMs nicht nur andere Rechner im betreffenden LAN, sondern auch den “Host” selbst (genauer: die Parent Partition) erreichen. Obwohl das Häkchen standardmäßig aktiviert ist, ist diese Einstellung meistens nicht notwendig, weil VMs normalerweise den Host gar nicht über das Netz ansprechen müssen.
• “Nur intern”: Ein solcher Switch stellt in Wirklichkeit gar keine Verbindung ins physische LAN her, sondern erlaubt nur den Verkehr innerhalb des virtuellen Netzwerks. Die daran angebundenen VMs erreichen also keine Rechner im LAN, sondern nur solche auf demselben Host sowie den “Host” selbst. Aus diesem Grund kann man dort auch keine Netzwerkkarte auswählen.
  In der Produktion ist ein solches Netzwerk meist nicht nützlich, es ist eher interessant für Testaufbauten oder zur Vorkonfiguration von VMs, die zunächst nicht ans LAN sollen.
• “Privates Netzwerk für virtuelle Computer”: Dieser Switch hat auch keine Verbindung zur Außenwelt, daher gibt es auch hier keine Netzwerkkarte zur Auswahl. Dieses Netzwerk entspricht weitgehend dem “internen” mit dem Unterschied, dass der “Host” darüber nicht erreichbar ist.
• Die VLAN-ID, die man an dieser Stelle auswählen kann, betrifft nur den Datenverkehr der Parent Partition, hier auch als “Verwaltungsbetriebssystem” bezeichnet. Sie betrifft keine anderen VMs, die man an solch einen Switch anbindet! Wirksam wird sie daher nur, wenn man das Häkchen “Gemeinsames Verwenden dieses Netzwerkadapters für das Verwaltungsbetriebssystem zulassen” aktiviert – anderenfalls hat die Parent Partition ja gar keine Verbindung zu diesem Switch.

Erst in Windows Server “8” kann man virtuelle Switches funktional erweitern. Das ist allerdings ein völlig separates Thema, das wir an dieser Stelle nicht weiter behandeln.

Die VM-Ebene

Auf der VM-Ebene (türkiser Bereich) weist man den virtuellen Maschinen ihre Netzwerkkarten zu, verbindet sie mit virtuellen Switches und konfiguriert sie innerhalb des Betriebssystems der jeweiligen VM. Unter Windows Server 2008 R2 kann eine VM bis zu acht virtuelle Netzwerkkarten erhalten, von denen jede an maximal einen virtuellen Switch verbunden werden kann (also keine oder eine Verbindung, aber nicht mehr als eine – ein physischer Netzwerkport kann ja auch keine oder eine Kabelverbindung haben, aber nicht mehrere). Dabei kann man auch mehrere virtuelle Karten mit demselben virtuellen Switch verbinden, aber das ist nur in Ausnahmefällen sinnvoll.

Abb. 4: Netzwerkverbindungen für eine VM, hier mit aktivierter VLAN-ID für einen der Ports

Auf der Ebene der einzelnen Netzwerkports einer VM kann man optional eine VLAN-ID zuweisen. Dabei muss man natürlich dafür sorgen, dass dieses VLAN außerhalb der Hostumgebung (also auf den dahinterliegenden physischen Switches) korrekt umgesetzt wird.

In unserer Beispielgrafik oben haben wir exemplarisch zwei virtuelle Maschinen und die Parent Partition dargestellt:

• Die VM-A verfügt über eine einzige virtuelle Netzwerkkarte (vNIC-A). Diese ist an den virtuellen Switch “vSwitch1” gebunden (welcher seinerseits auf Team1 konnektiert, also über NIC1 und NIC2 ins physische Netzwerk zeigt).
• Die VM-B hat zwei virtuelle Netzwerkkarten: vNIC-B1 konnektiert auf den vSwitch3 und läuft so auf der physischen NIC5 ins LAN. vNIC-B2 ist mit vSwitch2 verbunden, läuft also über Team2 auf den Karten NIC3 und NIC4 ins physische Netz.
• Die Parent Partition hat in unserem Beispiel ebenfalls zwei Netzwerkkarten. Die virtuelle Karte vNIC-Par ist beim Einrichten des virtuellen Switches vSwitch3 über das Häkchen “Gemeinsame Verbindung … zulassen” definiert worden. Sie stellt also eine Verbindung zu vSwitch3 her, auf den auch VM-B konnektiert ist.
  Die physische Verbindung pNIC-Par ist nichts anderes als die physische Karte NIC6, die wir in unserem Beispiel für das Management-Netzwerk reserviert haben.

Ein wichtiger Hinweis: Diese Konfiguration ist nur eine Illustration der Prinzipien. Sie stellt keine Empfehlung für echte Konfigurationen dar (wenn sie auch technisch möglich wäre und nicht unsinnig ist).

In der Grafik ist auch zu sehen, an welchen Stellen die Netzwerkverbindungen mit IP-Adressen versehen sind (dunkler “IP”-Kreis). Diese Konfigurationen finden ausschließlich innerhalb der jeweiligen VM-Betriebssysteme bzw. in der Parent Partition (dort für deren eigene Netzwerkverbindungen) statt. Virtuelle Switches haben in Hyper-V keine eigenen IP-Adressen, und auch den physischen Karten ist keine IP-Konfiguration zugewiesen!

Die Ansicht in der Parent Partition

Spannend ist nun die Frage, wie die Verbindungen in unserem Beispiel in der Parent Partition angezeigt würden. Zur Erinnerung: Der Host hat sechs Netzwerkkarten. Wie viele Verbindungs-Icons sieht man nun also in unserem Beispiel, wenn man im “Host” die Netzwerksteuerung öffnet? Und Zusatzfrage: Wie viele IP-Adressen sind im Host zu konfigurieren?

Abb. 5: Die Ansicht der Verbindungs-Icons in der Systemsteuerung der Parent Partition (schematisch)

Antwort: Man sieht in unserem Beispiel neun Verbindungssymbole!

• Fünf Icons stellen die physischen Karten dar, die direkt oder über ein Team als virtuelle Switches konfiguriert sind. Öffnet man die Eigenschaften dieser Symbole, so sieht man dort keine IP-Konfiguration und keine “normalen” Protokollbindungen, sondern nur das virtuelle Switch-Protokoll bzw. den Protokolleintrag der Teaming-Software.
• Ein Icon (pNIC-Par) stellt die sechste physische Karte dar. Da diese nicht in Hyper-V mit einem vSwitch verbunden ist, zeigt sie die normalen Protokollbindungen und hat auch eine IP-Konfiguration.
• Zwei Icons stammen von der Teaming-Software. Hierbei handelt es sich um die virtuellen Adapter, die die Netzwerk-Teams repräsentieren. Da wir im Beispiel an jedes Team einen vSwitch gebunden haben, haben auch diese Symbole keine IP-Konfiguration, sondern sind nur an das virtuelle Switch-Protokoll gebunden.
• Schließlich gibt es eine virtuelle Netzwerkkarte innerhalb der Parent Partition (vNIC-Par). Sie ist, wie oben schon gesagt, über das Häkchen “Gemeinsame Verbindung … zulassen” eingerichtet worden. Da es sich für die Parent Partition um eine “normale” Netzwerkkarte handelt, gibt es hier die normalen Protokollbindungen und damit auch eine IP-Konfiguration.

Wenn man nun den “Host” konfiguriert, sollte man die Finger von der Protokollkonfiguration aller virtuellen Switches lassen, ebenso sollte man die Teams in Ruhe lassen. Zu konfigurieren sind hier je nach Bedarf nur zwei der Verbindungen: pNIC-Par und vNIC-Par, denn nur diese beiden stellen tatsächlich “klassische” Netzwerkverbindungen für das Host-Betriebssystem (also die Parent Partition) dar.

Best Practice

Auch die Darstellungen in diesem Artikel werden nicht jede Frage beantworten und stellen noch keine ausreichende Grundlage für Planung und Konfiguration dar. Daher im Folgenden noch einige ergänzende Hinweise.

• Wie man sieht, sind Planung und Aufbau virtueller Netzwerke in Hyper-V durchaus komplex. Es empfiehlt sich also, hierfür ausreichend Zeit schon in der Design-Phase vorzusehen.
• Ein produktiver Hyper-V-Hostserver sollte ausreichend Netzwerkports vorsehen, um hinterher die konkreten Anforderungen zu erfüllen. Das kann durchaus bedeuten, dass manche Hardware nicht in Frage kommt, wenn sie nicht genügend Ports bietet (z.B. einfachere Blade-Systeme). Berücksichtigen sollte man je nach Situation:
  • Wie viele getrennte physische Netzwerkverbindungen benötigen die VMs, die auf dem System laufen sollen?
    Dabei ist zu berücksichtigen, dass man zwar durchaus fünf, zehn oder auch zwanzig VMs über nur eine physische Netzwerkkarte anbinden kann. Für viele Zwecke ist das auch ohne Probleme machbar. Aber: Obwohl hier ein virtueller Switch im Spiel ist, der den Verkehr steuert, handelt es sich dann eben nur um eine einzige Karte, also ggf. nur einmal 1 Gbit ins Netzwerk. Hier ist zu prüfen, ob es für die VMs wirklich ausreicht, sich 1 Gbit Gesamtbandbreite zu teilen. Ist das zu wenig, sollte man mehrere physische Karten (und mehrere vSwitches) vorsehen.
  • Ist der Zugriff auf getrennte LAN-Segmente durch die VMs auf einem Host erforderlich?
    Pro physisches LAN benötigt man eine physische Netzwerkkarte und einen zugeordneten vSwitch. Sollen einige VMs also in ein Segment 172.16.x.y gelangen, andere in ein physisch getrenntes Segment 192.168.x.y, so sind zwei NICs einzuplanen.
  • Soll es ein separates Management-LAN geben?
  • Ist ein Speichernetz angebunden?
    Ein Speichernetz sollte man in der Produktion unbedingt über ein separates LAN führen, also auf keinen Fall über dieselben Netzwerkkarten ansprechen, die auch den produktiven LAN-Verkehr bedienen. Besonders im Fall von iSCSI ist dies relevant.
  • Gibt es ein Cluster-Netzwerk?
    Ein Hyper-V-Cluster sollte auf jeden Fall (mindestens) ein eigenes physisches Netzwerksegment für den clusterinternen Datenverkehr (Heartbeat, Live Migration, CSV) haben. In größeren Umgebungen wird man hier sogar mehrere getrennte Netzwerke definieren.
• Die Parent Partition sollte auf eine Netzwerkverbindung zugreifen können, über die sie sich mit Updates versorgen kann (vorzugsweise per WSUS). Hierbei kann es sich um das Management-LAN handeln, was aber evtl. zusätzliche Konfiguration erfordert.
• Benötigt die VM-Umgebung auf Netzwerkebene erweiterte Funktionen (z.B. Netzwerk-Management, Bandbreitensteuerung, Filterung/Firewalls, Intrusion Detection usw.), so stehen in Windows Server 2008 R2 dafür keine Bordmittel und nur sehr wenige Drittanbieter-Produkte zur Verfügung. Erst mit Windows Server “8” und seinen “Extensible vSwitches” gibt es hier eine definierte Schnittstelle für ergänzende Plug-ins.
• Das Teaming ist unbedingt nach den Vorgaben des jeweiligen Herstellers einzurichten. Hinweise dazu gibt z.B. dieser Artikel:
  [How-To: Netzwerkkarten Teaming mit Hyper-V | Server Talk]
  http://www.server-talk.eu/2009/12/02/how-to-netzwerkkarten-teaming-mit-hyper-v/
• Es empfiehlt sich, die Netzwerkverbindungen in der Parent Partition mehrfach manuell umzubenennen. Windows selbst vergibt sonst nur Standardbezeichnungen à la “LAN-Verbindung 7”, was schnell sehr unübersichtlich wird.
  • Die erste Umbenennung erfolgt direkt nach der Installation des Host-Betriebssystems und noch vor der Aktivierung der Hyper-V-Rolle.
    Bewährt hat sich eine Namenskonvention, die die Karten als physisch kennzeichnet und gleichzeitig über das Netzwerk Auskunft gibt, das über das angeschlossene Netzwerkkabel erreichbar ist. Zudem ist es meist sinnvoll, den Port eindeutig zu kennzeichnen. Beispiele:
    • phy-LAN-Port1, phy-LAN-Port2
    • phy-DMZ-Port-links, phy-Mgmt-Port-rechts
  • Die zweite Umbenennung erfolgt ggf. wenn Teams eingerichtet sind. Auch hier sollten die Namen prägnant und sprechend sein. Beispiele:
    • phy-Team-LAN-Port1-2
    • phy-Team-LAN-VLAN2
  • Die dritte Umbenennung erfolgt, wenn Hyper-V fertig installiert und die virtuellen Karten der Parent Partition erzeugt sind. Diese sollten auch aussagekräftige Namen haben. Beispiele:
    • vir-Parent-LAN
    • vir-Parent-WSUSNetz
• Und schließlich ist es dringend zu empfehlen, die Design-Entscheidungen und die reale Implementierung der Netzwerke gut zu dokumentieren, weil man sonst schnell wieder den Überblick verliert.

Abb. 6: Beispiele für sprechend benannte Netzwerkverbindungen in der Parent Partition

Verwandte Beiträge:

1. Hyper-V Dynamic Memory: Reservierung für den Parent
   Toni Pohl vom österreichischen TechNet-Team weist auf einen Umstand hin,...
2. Warum der Hyper-V-Host keine (!) weiteren Dienste ausführen sollte
   Beinahe täglich beantworte ich die Frage erstaunter Anwender, warum auf...
3. Unsere Adventstipps 2011 zu Hyper-V
   In diesem Jahr haben wir zum zweiten Mal einen IT-Adventskalender...

16 Jahre nachdem servergespeicherte Profile in Windows NT 4.0 debütierten, versucht Microsoft auf eine ganz andere Art, Benutzereinstellungen zwischen verschiedenen Geräten zu synchronisieren. Wie wir sehen werden, unterscheidet sich UE-V grundsätzlich von servergespeicherten Profilen, ähnelt anderen Produkten zur Profilverwaltung dagegen so sehr, dass man praktisch von einer Best-Practices-Implementierung sprechen kann.

Überblick

User Experience Virtualization (UE-V) wird ein Teil von MDOP werden. Es verwaltet ausschließlich Benutzer-Einstellungen, keine Daten. Für letztere sieht Microsoft Ordnerumleitung und Offlinedateien vor.

Vorlagen

Im Gegensatz zu servergespeicherten Profilen, wo das gesamte Profil mit dem Benutzer wandert (mit Ausnahme von AppData\Local), speichert UE-V nichts im Netzwerk, das nicht explizit in einer Vorlage (Template) aufgeführt ist.

Eine Vorlage ist eine XML-Datei, die beschreibt, wo Einstellungen in der Registrierung oder im Dateisystem gespeichert sind. Typischerweise wird pro Anwendung oder Windows-Komponente jeweils eine eigene Vorlage verwendet. Folgende Vorlagen werden mitgeliefert:

Anwendungseinstellungen:

• Office 2010 (Word, Excel, Outlook, Access, Project, PowerPoint, Visio, SharePoint Workspace, InfoPath)
• Internet Explorer 9 und 10 (Favoriten, Startseite, Tabs und Toolbars)
• Windows-Anwendungen (Taschenrechner, Notepad, Wordpad)

Windows-Einstellungen:

• Themes (Desktop Theme mit Hintergrundbild, Farben, Sounds und Bildschirmschoner)
• Einstellungen zu erleichterter Bedienung und Eingabe

Erstellung von Vorlagen

Bei einem auf Einschlusslisten basierenden Produkt besteht die Schwierigkeit darin, dass eben diese Einschlusslisten vorhanden sein müssen. Anders gesagt, für jede Anwendung muss eine Vorlage erstellt werden. Microsoft weiß natürlich ganz genau, dass das einen großen Aufwand darstellt. Um diesen in Grenzen zu halten, wird eine Anwendung mit dem programmatischen Namen Generator mitgeliefert.

Wenn für eine Anwendung eine Vorlage benötigt wird, startet man sie mittels Generator. Dieser protokolliert, auf welche Pfade die Anwendung zugreift (Dateisystem und Registrierung) und erstellt eine maßgeschneiderte XML-Datei, die genau diese Pfade enthält. Man sollte sich jedoch im Klaren darüber sein, dass eine manuelle Nachbearbeitung in vielen Fällen nötig sein wird.

Generator kann unabhängig vom Client installiert werden. Wem bei der Ausführung Fehler gemeldet werden: benötigt wird die Visual C++ 2010 Runtime.

Vorlagenspeicher

Selbsterstellte Vorlagen müssen allen Computern zur Verfügung gestellt werden, auf denen UE-V verwendet wird. Dies geschieht am einfachsten durch Angabe eines Vorlagenkatalogpfads (template catalog path) in Form einer Dateifreigabe. Alternativ können PowerShell und WMI zur Registrierung neuer Vorlagen direkt auf dem jeweiligen Computer verwendet werden.

Client und Infrastruktur

UE-V benötigt praktisch keine Infrastruktur. Der zugehörige Client muss auf allen Computern installiert werden, wo Benutzer sich anmelden, deren Einstellungen von UE-V verwaltet werden sollen. Abgesehen davon wird nur ein File Server zur Speicherung der Einstellungen benötigt. Wenn kein Pfad zu den Benutzereinstellungen konfiguriert ist, wird das jeweilige Heimatverzeichnis verwendet. Dies entspricht dem Verhalten von Citrix Profile Management. Eine solche Architektur hat den Vorteil, dass das Produkt nur minimalen Konfigurationsaufwand erfordert.

Offline-Verwendung

Da UE-V zur Speicherung der Einstellungen eine normale Dateifreigabe verwendet, kann durch Nutzung der Windows-Offlinedateien auch UE-V sehr leicht mobil verfügbar gemacht werden. In Situationen ohne oder mit nur langsamer Verbindung zum File Server werden Änderungen im Offlinedateicache gespeichert, der wiederum mit dem File Server synchronisiert wird.

Die Nutzung der Offlinedatei-Technologie für UE-V ist pfiffig, jedoch wird sich zeigen, wie mit Synchronisierungskonflikten umgegangen wird, die zwangsläufig entstehen, wenn Einstellungen beispielsweise des Internet Explorer gleichzeitig auf einem Laptop und einem Terminalserver geändert werden.

Mein Artikel Windows 7 Offline Files Survival Guide beschäftigt sich mit Offlinedateien im Detail.

Trigger

Im Gegensatz zu servergespeicherten Profilen, wo das gesamte Profil während der Anmeldung geladen wird, lädt UE-V Einstellungen erst dann, wenn sie benötigt werden. Windows-Einstellungen werden bei der Anmeldung, beim Entsperren und beim Verbinden mit einer entfernten Sitzung geladen, Anwendungseinstellungen jedoch erst dann, wenn das zugehörige Programm gestartet wird. Die Speicherung von Einstellungen läuft genau umgekehrt: bei Anwendungen, wenn sie geschlossen werden, bei Windows-Einstellungen wenn der Benutzer sich abmeldet, den Bildschirm sperrt oder die Sitzung trennt. Diese Ereignisse, die UE-V veranlassen, Daten zu speichern, werden Trigger genannt.

Anwendungs-Trigger, ausgelöst beim Starten und Stoppen von Programmen, ermöglichen eine sehr coole Demo: starten Sie zwei Sitzungen parallel auf unterschiedlichen Computern. Zeigen Sie, dass Word in beiden Sitzungen gleich konfiguriert ist. Starten Sie Word in Sitzung 1, ändern Sie einige Einstellungen und schließen Sie die Anwendung. Starten Sie dann Word in Sitzung 2 und demonstrieren Sie dem erstaunten Publikum, wie die geänderten Einstellungen aus Sitzung 1 auf magisch anmutende Art und Weise übernommen wurden.

Unterstützte Betriebssysteme und Anwendungsbereitstellungsmethoden

UE-V läuft unter Windows 7, Windows Server 2008 R2 und Windows 8 (Client und Server, aber mit einiger Sicherheit nicht unter Windows on ARM, WOA). UE-V kann sicherlich in fast allen Anwendungsbereichen servergespeicherte Profile ersetzen. UE-V funktioniert problemlos auch mit Remote Desktop Services und, dies ist bemerkenswert, auch mit App-V. Es kann also beispielsweise Einstellungen zwischen einem virtualisierten und einem nativ installierten Outlook synchronisieren.

Rollback

Einstellungssätze können in den Ursprungszustand zurückversetzt werden, und das pro Anwendung. Wenn also ein Problem mit Word besteht, wird dessen Einstellungsdatei gelöscht, während alle anderen Benutzereinstellungen erhalten blieben. Dies ist eine sehr mächtige Funktion, die dazu beitragen könnte, Profillöschungen zu vermeiden – das Löschen von Profilen ist eine leider viel zu beliebte Methode, mit "unerklärlichen" Anwendungsfehlern umzugehen, wenn die Zeit oder das Know-how für eine echte Analyse fehlt.

Virtualisierung?

Obwohl UE-V das "V" im Namen trägt, hat es wenig mit Virtualisierung zu tun. Es synchronisiert Dateien und Registrierungsschlüssel zwischen unterschiedlichen Computern. Es kann somit die vorhandenen Benutzerprofile nicht ersetzen, jedoch als Ersatz für servergespeicherte Profile verwendet werden, sofern eine ausreichende Anzahl an Vorlagen bereitsteht.

Genauso wenig migriert UE-V Einstellungen zwischen unterschiedlichen Versionen einer Anwendung, die ihre Einstellungen auf verschiedene Arten speichern, beispielsweise Office 2007 und 2010. UE-V repliziert Daten, es interpretiert sie nicht.

UE-V unterstützt nur Einstellungen, die im Benutzerprofil gespeichert werden. Außerhalb von C:\Users\Username gespeicherte Daten können nicht mit UE-V verwaltet werden.

Bewertung

UE-V kommt spät, sehr spät. In der Terminalserverwelt, wo Profilprobleme durch die Zustandslosigkeit der Server und die oft gleichzeitige Verwendung mehrerer Sitzungen pro Benutzer an der Tagesordnung sind, entstand in den letzten 10 Jahren ein richtiggehendes Ökosystem, in dem sich die unterschiedlichsten Hersteller mit ihren jeweiligen Lösungen zur Synchronisation von Einstellungen tummeln. Dies wird bald vorbei sein.

Die Konsolidierung im Benutzerprofil-Markt wurde eingeleitet durch Citrix mit der Übernahme von sepagoPROFILE (dessen Architekt ich war) im Jahr 2008. Zwei Jahre später zog VMware nach und übernahm die relevanten Teile von RTO Software. Weitere zwei Jahre später stellt Microsoft UE-V vor.

Jetzt, wo Produkte zum Profilmanagement sowohl vom Betriebssystemhersteller mitgeliefert werden, als auch von Citrix und VMware für ihre jeweiligen Plattformen kostenlos bereitgestellt werden, wird das Überleben für weitere Hersteller schwer. Wie immer in solchen Fällen ist dies für die meisten Kunden vorteilhaft, da sie ein Produkt kostenlos erhalten, das für ihr Anwendungsszenario ausreichend ist. Die unabhängigen Softwarehersteller haben derweil das Nachsehen.

Was in UE-V am meisten fehlt, sind Vorlagen für Anwendungen. Diese können jedoch durch Microsofts überaus große Community leicht bereitgestellt werden. Dazu ist nur eine gut gemachte Webseite nötig, auf der Vorlagen veröffentlicht und mit Bewertungen und Kommentaren versehen werden können. Ein Anfang ist bereits gemacht: Microsoft hat in der TechNet Gallery Platz für UE-V geschaffen und einen Wettbewerb zur Erzeugung von Vorlagen ins Leben gerufen.

Verwandte Beiträge:

1. Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat?
   Es gibt für diesen Zweck im AD ein Attribut namens...
2. Microsoft Office 2010 Standard auf Remotedesktopserver Windows 2008 R2 aktivieren
   Dieser Beitrag erschien zuerst auf Bents Blog. Für einen Kunden...
3. Microsoft-Updates ohne WSUS verteilen – Teil 1
   Achtung! Zu der hier vorgestellten Software gibt es eine völlig...