none
[VM] Windows Server 2012 als Core-Variante oder mit GUI installieren? RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    heute, eventuell zum Leidwesen mancher, nur kurz und knapp.

    Ich sitze hier grade vor einem funkelnagelneuen und noch glänzenden ESXi-Host, der mir vom Dienstleister erst mal so überlassen worden ist.

    Der DL meinte, es wäre von MS empfohlen sämtliche Server nur als Core-Variante zu installieren und die Verwaltung von anderer Stelle aus zu machen?

    Ist das tatsächlich gängige Praxis oder eher Geschmackssache?

    Grüße

    willy

    Montag, 8. August 2016 19:15

Alle Antworten

  • Moin Willy,

    vom Sicherheitsaspekt ist es so das Core schon nicht schlecht ist aber die Frage ist ... kannst du gut PowerShell oder nicht?

    Beim Core ist es so, ja man kann ihn remote ganz gut verwalten aber es gibt stellen da must du an den server selbst ran. Das ist beim Core dann "bescheiden".

    Bei Server 2012 und 2012 R2 kannst du erstmal mit GUI installieren und dann später die GUI via PowerShell entfernen und wenn du brauchst wieder hinzu fügen.

    Bei 2008/R2 und 2016 würde ich mit GUI installieren. Macht es dir wesentlich einfacher.

    Die meisten meiner Kunden installieren mit GUI


    Kind regards, Flo

    Montag, 8. August 2016 19:31
  • Hi,

    einer der Vorteile ohne GUI ist eben, dass du viel weniger Updates und dadurch Downtimes hast.

    Die GUI und deren Komponenten werden eben oft durch die Updates aktualisiert.

    Dadurch hängt es sicher auch von der Verwendung ab.Der Servermanger ist aber zur Remoteverwaltung auch nicht schlecht.

    Damit installierst du die GUI

    Import-Module ServerManager
    
    Install-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell -Restart

    Damit deinstallierst du sie wieder

    Uninstall-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell -Restart

    Beachte aber,dass beide Befehle einen Reboot benötigen 

    Interessant ist vielleicht auch die minimale Benutzeroberfläche

    Link


    Gruß Toni! Wenn Dir meine Antwort hilft, markiere sie bitte als Antwort! Vielen Dank!


    • Bearbeitet tonibert Montag, 8. August 2016 19:56
    Montag, 8. August 2016 19:51
  • Moin zusammen,

    es ist schon spät und eigentlich ist Security nicht mein Kerngebiet, aber bei der "und wenn du die GUI brauchst, dann kannst du die kurz installieren und dann wieder entfernen"-Nummer kriege ich jedesmal ein Horn.

    Wir patchen doch die Maschinen extra, um Sicherheitslücken zu schließen. Nun wird so ein Server in der Regel, wenn er einfach nur leise vor sich hin servert, relativ wenig Angriffsfläche bieten. Richtig gefährlich wird es dann, wenn ein Admin sich anmeldet - und just in diesem Moment wollen wir mit der GUI den ganzen ungepatchten Dreck da rauf schaufeln! Nee. Dann schon lieber die GUI rauf und mit patchen - und TROTZDEM möglichst nicht interaktiv anmelden.

    Mit Core habe ich ein paar Erfahrungen gemacht, die mich inzwischen dazu verleiten, für den generellen Gebrauch davon abzuraten - es sei denn, man hat die Möglichkeit (=Zeit + Budget + präzises Anforderungsprofil) den gesamten Lebenszyklus in Core zu validieren, inklusive der Exit-Strategie.


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 8. August 2016 20:26
  • Moin Willy,

    vom Sicherheitsaspekt ist es so das Core schon nicht schlecht ist aber die Frage ist ... kannst du gut PowerShell oder nicht?

    Beim Core ist es so, ja man kann ihn remote ganz gut verwalten aber es gibt stellen da must du an den server selbst ran. Das ist beim Core dann "bescheiden".

    Bei Server 2012 und 2012 R2 kannst du erstmal mit GUI installieren und dann später die GUI via PowerShell entfernen und wenn du brauchst wieder hinzu fügen.

    Bei 2008/R2 und 2016 würde ich mit GUI installieren. Macht es dir wesentlich einfacher.

    Die meisten meiner Kunden installieren mit GUI


    Kind regards, Flo

    Meine Kenntnisse mit der PS sind momentan (noch) eher begrenzt. Die Frage ob GUI oder nicht habe ich mir ehrlich gesagt bis heute bei Windows auch noch nicht so wirklich gestellt gehabt. 

    Es werden durchgängig 2012 R2 VMs werden. Dass die meisten Kunden mit GUI installieren würden sagte der DL auch. Etwas anderes habe ich bisher auch noch nicht gesehen, wenn ich die Umgebungen anderswo so gesehen habe.

    Ich glaube allerdings, dass manche Dienstleister ohne GUI so ihre Probleme hätten und damit gar nicht zurecht kommen würden. Aufgrund dessen und der Tatsache, dass meine Kenntnisse dahingehend momentan eher schwach sind, würde ich sämtliche Windows VMs mit einer GUI aufsetzen.

    Irgendwo kam nur dann in mir die Frage auf, ob ich damit nicht etwas grundlegend falsch mache. (eben wenn man schon mal so ein neues System vor sich hat...)

    @tonibert:
    Danke tonibert! :)

    Das muss ich mir mal ansehen. 



    Montag, 8. August 2016 20:29
  • Moin zusammen,

    es ist schon spät und eigentlich ist Security nicht mein Kerngebiet, aber bei der "und wenn du die GUI brauchst, dann kannst du die kurz installieren und dann wieder entfernen"-Nummer kriege ich jedesmal ein Horn....


    Hallo Evgenij,

    die Hörner müssen bei dir ja langsam an allen möglichen und unmöglichen Stellen herauswachsen. :)
    Aber ist heute wirklich schon sehr spät...

    Danke dir und auch allen anderen für die Antworten (die evtl. noch kommen).

    Grüße

    willy

    Montag, 8. August 2016 20:49
  • Hallo Evgenij,

    die Hörner müssen bei dir ja langsam an allen möglichen und unmöglichen Stellen herauswachsen. :)
    Aber ist heute wirklich schon sehr spät...

    Danke dir und auch allen anderen für die Antworten (die evtl. noch kommen).

    Grüße

    willy

    Ich glaube die Horner bekomme ich am Donnerstag auf dem Weg zur Windows Server User Group Leipzig zu spüren ;) Hab da glaube ich eines seiner "Hassthemen" angesprochen. :D

    Kind regards, Flo

    Montag, 8. August 2016 21:06
  • Ach nö, mir isses egal, was ihr mit euren Servern macht. Und auf der A9 hat man für Hörner keine Zeit.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 8. August 2016 21:12
  • Ach nö, mir isses egal, was ihr mit euren Servern macht. Und auf der A9 hat man für Hörner keine Zeit.

    Ich schieb das mal auf die späte Stunde heute...

    willy

    Montag, 8. August 2016 21:31
  • Guten Morgen die Herren,

    @Evgenij

    Ich wollte deinen Kamm nicht zum schwellen bringen.Außerdem gebe ich dir Recht!

    Ich bin ebenfalls kein Verfechter der GUI drauf - Gui weg Methode!Im Gegenteil!

    Daher waren meine Worte, dass es vom Verwendungszeck abhängt :)

    Der Vollständigkeit halber habe ich daher auch die Befehle gepostet.Ich persönlich habe keinen 2012-Core im Einsatz aus deinen besagten Gründen...Schöne Woche noch noch und gute Fahrt auf der A9 :)


    Gruß Toni! Wenn Dir meine Antwort hilft, markiere sie bitte als Antwort! Vielen Dank!

    Dienstag, 9. August 2016 06:10
  • Moin,

    alles gut :-) Ich fühlte mich nicht von jemandem persönlich gereizt, sondern von der Diskussion als solcher, die ja auch außerhalb dieses hohen Forums regelmäßig geführt wird.


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 9. August 2016 06:15
  • Hallo,

    ich habe gemerkt, dass sich gerade bei virtuellen Maschinen der Einsatz von Core-Installation lohnt. In meiner Umgebung reichen mir bei einem Core-System für das Betriebssystem 15 GiB-VHDX aus, bei einer vollständigen Installation sind es 25 GiB VHDX. Das macht schon etwas aus.

    Allerdings breche ich mir dabei auch keinen ab. Hier ein paar Beispiele

    • ein Domäne-Controller ist perfekt als Server-Core; installieren und vergessen, den Rest kann man remote machen (Server-Manager)
    • beim MSSQL soll das wohl auch gehen (sehe auch kein Problem dabei [Remote-Verwaltungstools])
    • ein File-Server nur dann, wenn man keine Indizierung braucht
    • ein RRAS ist meiner Meinung nach ganz gut auf dem Server-Core aufgehoben - auch wenn der RADIUS wo anders hin müsste, falls benötigt
    • Hyper-V selbst als Server-Core ist auch zu empfehlen - muss man aber abwiegen, da man oft lokal gerne Eingriffsmöglichkeiten für den Notfall hätte; gerade auch wegen der Hardwareverwaltung

    Wenn man sich erstmal mit der Firewall-Verwaltung auseinander gesetzt hat, geht es eigentlich. Das meiste sind einmalige Arbeiten. Im nachhinein hat man eher weniger zu tun damit. Ist also halb so wild. Das wichtigste Tool hierbei ist sconfig und die PowerShell zum Konfigurieren der Firewall. Dabei muss man die Abart beachten, dass Firewall-Gruppen auch der Übersetzung zum Opfer gefallen sind.

    https://techcorner.max-it.de/wiki/Konfiguration_der_Windows_Firewall_per_Kommandozeile

    Dienstag, 9. August 2016 07:27
  • Ist das tatsächlich gängige Praxis oder eher Geschmackssache?

    Lies Dir einfach den Technet dazu durch und entscheide selbst. Ein Minimal-Server-Interface wäre dann evtl. ein Kompromiss zwischen "mehr Sicherheit" und "nicht so häufiger Administration jedoch schnellem zurechtfinden im Ernstfall".

    https://technet.microsoft.com/en-us/library/hh831786(v=ws.11).aspx

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.

    Dienstag, 9. August 2016 08:03
  • Meiner Meinung macht der Core Server dort Sinn wo ich viele hundert oder noch mehr Server habe welche relativ gleich sind und auch viele Admins wo es Admins/Gruppen für bestimmt Aufgabengebiete gibt. Dort kann ich über die Remoteverwaltung mit Powershell sehr viel Zeit sparen. Habe aber nur 2 Admins und 20 Server wo jeder anders aussieht, dann bringt einem die Remoteverwaltung keine Vorteile und kann im Störungsfall sogar nachteilig sein.

    Gruß Benjamin


    Benjamin Hoch
    MCSE: Data Platform
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog

    Dienstag, 9. August 2016 08:10
  • Meiner Meinung macht der Core Server dort Sinn wo ich viele hundert oder noch mehr Server habe welche relativ gleich sind und auch viele Admins wo es Admins/Gruppen für bestimmt Aufgabengebiete gibt. Dort kann ich über die Remoteverwaltung mit Powershell sehr viel Zeit sparen. Habe aber nur 2 Admins und 20 Server wo jeder anders aussieht, dann bringt einem die Remoteverwaltung keine Vorteile und kann im Störungsfall sogar nachteilig sein.

    Gruß Benjamin


    Benjamin Hoch
    MCSE: Data Platform
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog

    An vorderster Stelle steht die Sicherheit aufgrund einer reduzierten Angriffsfläche durch Reduktion der Services & Roles, da ist die Quantität unerheblich.

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.

    Dienstag, 9. August 2016 08:53
  • Das Thema Sicherheit ist natürlich wichtig für die Auswahl der Core/GUI Variante aber man kann sie nicht alleine für sich betrachten. Man muss sie immer im Zusammenhang mi anderen Faktoren sehen. Wir haben bei uns etliche Anwendungen laufen welche einfach nicht auf einem Core Server installierbar sind. Sicherheit hin oder her, wenn die Anwendung laufen muss dann geht nur die GUI.

    So eine Entscheidung muss immer als Risikoabwägung erfolgen. Bringt mir die Core Version so viel mehr Sicherheit dass es die entstehenden Nachteile aufwiegt. Welche Nachteile dies sind muss dann aber im Einzelfall auch genau geprüft werden. Ich bin da so eingestellt dass es denn einem goldenen Weg der immer richtig ist nicht gibt. 

    Gruß Benjamin


    Benjamin Hoch
    MCSE: Data Platform
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog

    Dienstag, 9. August 2016 09:07
  • > Core-System für das Betriebssystem 15 GiB-VHDX aus, bei einer
    > vollständigen Installation sind es 25 GiB VHDX. Das macht schon etwas aus.
     
    Dann freu Dich schon mal auf Nano - 500 MB :-))
     
     
    Dienstag, 9. August 2016 09:25
  • Das Thema Sicherheit ist natürlich wichtig für die Auswahl der Core/GUI Variante aber man kann sie nicht alleine für sich betrachten.

    Genau, darum auch die Einleitung "An vorderster Stelle" ;)

    Ein DC braucht in meinen Augen keinen IE, welcher ständigen Security patches unterliegt.

    Gott sei Dank ist mittlerweile für Jeden was dabei bis hin zum neuen Nano :)

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.



    Dienstag, 9. August 2016 09:37
  • ...

    Ich bin da so eingestellt dass es denn einem goldenen Weg der immer richtig ist nicht gibt. 

    ...

    Hallo zusammen,

    vielen Dank euch allen für die vielen Antworten! Ich freue mich immer über so viel gutes Feedback. Mir war jetzt eigentlich auch nicht bewusst, dass ich damit ein "Reizthema" anspreche.

    Entgegen meinem Zitat denke ich schon, dass es wenn dann auf Kompromiss hinausläuft, den man finden muss.

    Nachdem das alles bei mir relativ klein ist und ich auch nicht der Einzige bin, der ggf. an so einer VM arbeiten muss (speziell im Fehlerfall), werde ich sämtliche VMs mit GUI aufsetzen.

    Wenn ich weiter denke und die Antworten gewisser (nicht ungeschätzter) Kollegen hier im Netz mit einbeziehe, und die eine 2012er VM eben mal pauschal mit 100GB ansetzen würden, glaube ich auch nicht, dass dort in der Regel mit einer Core-Variante gearbeitet wird. 

    Soweit nur meine Überlegungen.

    Grüße

    willy




    Dienstag, 9. August 2016 20:55
  • > Core-System für das Betriebssystem 15 GiB-VHDX aus, bei einer
    > vollständigen Installation sind es 25 GiB VHDX. Das macht schon etwas aus.
     
    Dann freu Dich schon mal auf Nano - 500 MB :-))
     
     
    ...oder Du kaufst Dir für den Preis der dafür notwendigen Software Assurance ein bißchen Platte ;-)

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 9. August 2016 21:21
  • Um kurz die Geschichte mit nano und SA aufzulösen. Es sieht aktuell mit W2k16 so als würde man für die Lizensierung von Nano Servern eine Windows Lizenz mit Software Assurance benötigen. Mehr dazu können Geni und ich offiziell am Freitag auch gern mitteilen. Ich möchte mich da nochmal Rückversichern ob das final ist.

    Kind regards, Flo

    Mittwoch, 10. August 2016 03:26