Project Honolulu and Exchange servers

Recently Microsoft announced a new web-based server management console, it’s called Project Honolulu. Looking at the documentation and screenshots this is going to be a huge step forward from the native sever management consoles that we have seen from Server 2008-2016.

A technical preview of Project Honolulu is already available for download: https://aka.ms/HonoluluDownload Project Honolulu can be used to manage servers with Windows Server 2012, 2012 R2 and Server 2016. However, there is a requirement to install PowerShell v5 on those older servers. From the documentation:

Honolulu requires PowerShell features that are not included in Windows Server 2012 and 2012 R2. If you will manage Windows Server 2012 or 2012 R2 with Honolulu, you will need to install Windows Management Framework (WMF) version 5.0 or higher on those servers.

Unfortunately Microsoft does not support installing newer versions of WMF on servers that have Exchange installed. The Exchange Supportability Matrix says the following about the supported versions of WMF on servers running Exchange:

Version of Windows Management Framework built into the release of Windows Server you're installing Exchange on.

This means that installing PowerShell 5 on Server 2012 or Server 2012 R2 is not supported for servers running Exchange, effectively making it impossible to use Project Honolulu to manage Exchange servers. The only exception is Exchange 2016 running on Server 2016 because this OS was released with PowerShell v5 natively and meets the Project Honolulu requirements.

Error 0xE0000100 when installing Server 2016 in a virtual machine

Today I ran into an issue while creating a new VM on a Windows Server 2016 Hyper-V host. The VM will run Server 2016 as well but throws an error message when Windows Setup loads:

Windows installation encountered an unexpected error. Verify that the installation sources are accessible, and restart the installation.
Error code: 0xE0000100"

I downloaded a fresh copy of the ISO, deleted and recreated the VM, rebooted but was not able to get rid of this error message. While researching I stumbled on this article: Windows Server 2012 R2 setup may fail on a virtual machine that is configured to use the minimum required memory

This article explains that this error message indicates insufficient memory. Although I assigned 1024 MB and not 512 MB I decided to add some more memory to the VM configuration.

To no avail, the same error occurred when I retried. Knowing now that this error indicates a low memory condition I decided to set the amount of RAM back to 1024 and disabled Dynamic Memory.  Started the VM and to my surprise, Windows Setup started and allowed me to install Windows Server 2016 on this VM.

At this moment I’m not sure why this happened. The Hyper-V documentation for Server 2012 R2 states that in this situation, a cold boot without an OS installed, the VM should have the Startup RAM amount available. This was initially 1024 and later 1500 MB, more than the 512 MB that Windows Setup requires.

When installing or upgrading the operating system of a virtual machine, the amount of memory that is available to the virtual machine during the installation and upgrade process is the value specified as Startup RAM. Even if Dynamic Memory has been configured for the virtual machine, the virtual machine only uses the amount of memory as configured in the Startup RAM setting. Ensure the Startup-RAM value meets the minimum memory requirements of the operating system during the install or upgrade procedure.

However, in my Dynamic Memory enabled VM I had little bit less than 512 MB available.

Hint: Pressing shift-F10 during Windows Setup opens a command prompt, allowing you access to tools such as diskpart, chkdsk and copy. Or in this case, allowed me to query WMI.

Now in this specific situation all memory of the VM host was assigned to running VMs. Because a restarting VM requires more than the minimum configured amount of memory during boot the Hyper-V hosts uses a disk-based paging feature called Smart Paging. However, Smart Paging does not work in a cold boot situation where the VM was powered off before booting the VM.

So when these requirements are met:

• VM with Dynamic Memory enabled
• All host memory assigned to running VMs
• Cold VM boot to install an operating system

The Hyper-V host is not able to make the Startup RAM amount of memory available and the VM sees the Minimum RAM amount. In this case this was 512 MB which triggered the low memory condition described in the KB article I mentioned earlier.

After freeing up some resources from this host the VM was booted again, now it showed the expected 1024 MB of memory available.

Server 2012 R2 or 2016?

Note that the KB article applies to Server 2012 R2 and I used the Server 2012 R2 Hyper-V documentation to learn more about memory management. From my reading there is no difference in behavior between Server 2012 R2 and Server 2016.

For reference, read:

• Windows Server 2012 R2 setup may fail on a virtual machine that is configured to use the minimum required memory
• Hyper-V documentation for Server 2012 R2

Hyper-V home lab? Deduplication is awesome!

Data deduplication is a Windows feature since Server 2012. Deduplication identifies identical chunks of data, stores a single copy and replaces the remaining copies with a pointer to this copy. Just as with compression, the maximum deduplication rate depends on your data. If every single file is 100% unique and shares no duplicates with other files, then there's not much to deduplicate. However, what if your files are VHDX files and every file contains the same Windows operating system files?

In Server 2012 R2 the Data Deduplication features were improved and deduplication of virtual machine files is now supported. Several limitations apply, for instance this is only supported with VDI workload and the server you enable deduplication on cannot be the Hyper-V server itself. The reason for that is that the actual process of deduplication, which runs as a scheduled task, requires quite a bit of resources and we don't want the performance of the VM's running on the server to be effected.

Microsoft claims that storage savings up to 95% can be achieved.

That's very interesting for business purposes but for my home lab too. My two Hyper-V servers have limited storage capacity and I have to remove unused files now and then to free up disk space. The workload is not VDI and the storage is on the local server so my configuration is not supported. Which is a risk I'm willing to take for my home lab.

A couple of days ago I enabled deduplication on the local data volume of the servers and used the Hyper-V usagetype to enable low-level optimizations for the deduplication of running Hyper-V images. First I had to install the Windows feature:

Add-WindowsFeature FS-Data-Deduplication
Enable-DedupVolume D: -UsageType HyperV

Enabling deduplication added three scheduled tasks under \Microsoft\Windows\Deduplication:

The tasks call ddcpicli.exe with various parameters, the Optimization task runs once a day. Ddcpicli.exe is not meant for manual usage, for that we have Get-DedupJob, Start-DedupJob and Stop-DedupJob.

I was patient and checked the result after some days with Get-DedupStatus:

After reviewing the full output I noticed that deduplication achieved a whopping 49% savings rate, even 52% on my second server!

So bear in mind, unless you're deduplicating VDI VM files on a remote Server 2012 R2 fileserver you're unsupported. If that's not a problem for your lab, try it for yourself. Before you do, make sure you've read the following articles:

What's New in Data Deduplication in Windows Server

Deploying Data Deduplication for VDI storage in Windows Server 2012 R2

Geen updates kunnen selecteren in Server 2012 R2

Op een aantal Server 2012 R2 servers valt mij het volgende issue op. In het Windows Update scherm klik op je op het aantal important of optional updates, normaal gesproken verschijnt nu de lijst met updtaes die je kunt selecteren, de-selecteren, verbergen of links voor meer informatie aanklikken. In dit geval gebeurt er niets.

Een work-around is om in het linker deel op Change settings te klikken en vervolgens op Cancel. Dan eindig je uiteindelijk hier, het scherm waarin we updates kunnen selecteren:

Een irritant probleempje met gelukkig een eenvoudige work-around.

Setup can't continue with the upgrade because the mscorsvw has open files

Bij de upgrade naar Exchange 2013 SP1 kun je tijdens de Readyness Checks tegen de volgende foutmelding aanlopen:

Setup can't continue with the upgrade because the mscorsvw (4112) has open files.

 

Het getal tussen de haakjes, hier 4112, is iedere keer anders. Sterker nog, wanneer je op de retry-knop drukt dan kan dezelfde melding verschijnen maar nu met een ander proces-ID.

De oorzaak hiervan is de .Net Runtime Optimization Service, zo is ook te zien in de Task Manager:

Voor een uitgebreide uitleg verwijs ik je naar dit artikel: Wondering why mscorsvw.exe has high CPU usage? You can speed it up. In het kort komt het er op neer dat deze service belangrijk werk doet om je server sneller te laten werken. Dat neemt niet weg dat hij ons op dit moment in de weg zit omdat we de setup van Exchange niet kunnen vervolgenm. We kunnen rustig afwachten of het proces dwingen om snel af te ronden, dat laatste kunnen we oplossen met het volgende commando:

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.exe executeQueuedItems

Nu kunnen we de Readiness Checks opnieuw laten uitvoeren en zal deze foutmelding niet meer optreden.

Exchange en ondersteuning van Server 2012 R2

Het afgelopen jaar heb ik veel verbaasde mensen getroffen die ontdekten dat ze Exchange nog niet konden installeren op Windows Server 2012 R2. Dat je zelfs je domain controllers nog niet naar R2 mag upgraden als je Exchange in je omgeving hebt.

Vandaag is daar verandering in gekomen en wordt Windows Server 2012 R2 ondersteund als OS om Exchange op te installeren en nu ook als het OS waar je domain controllers op draaien. Let op: dit betreft alleen Exchange 2013 SP1 en hoger.

Zie voor meer informatie de bijgewerkte Exchange Server Supportability Matrix.

ADFS op een domain controller, goed idee?

Met de opkomst van Office 365 rollen steeds meer organisaties Microsoft Active Directory Federation Services (ADFS) uit in hun omgeving. Voor de meeste mensen gaat het hier om nieuwe techniek die meestal ook nog eens gelijk komt met directory synchronisatie en nog maar de start is van een ingewikkeld migratietraject. Er leven dan ook nogal wat vragen rondom ADFS en één daarvan is of het een goed idee is om ADFS op een domain controller te installeren. In dit artikel wil ik hier uitleg over geven.

Waarom wel?

Het combineren van lichte rollen werd lang als best practice beschouwd, op deze manier werd zo efficiënt mogelijk gebruik gemaakt van de dure hardware en Windows Server licentie. Het installeren van ADFS op een domain controller vermindert dus het aantal servers.

Omdat Microsoft het adviseert voor organisaties met minder dan 1000 gebruikers: “For the federation servers, use two existing Active Directory domain controllers (DCs) and configure them both for the federation server role.” Waarom die grens van 1000 gebruikers, wat gebeurt er als je 1200 gebruikers hebt? Dit getal moet niet gezien worden als een harde norm maar je kunt wel uit het artikel afleiden dat Microsoft deze opstelling adviseert wanneer het moeilijk is om de inzet van dedicated servers te rechtvaardigen.

Domain controllers staan altijd aan en iedere beheerder weet dat deze server belangrijk is voor de werking van de Active Directory omgeving en vrijwel alle services in het netwerk. Als je ADFS ook op deze server zet dan wordt die waarschijnlijk met dezelfde zorg behandeld.

En waarom dan niet?

Tegenwoordig zijn de kosten per Windows server sterk gedaald, door virtualisatie draaien er meerdere servers op een fysieke host en de licentie is al gekoppeld aan de fysieke server. Hoe meer virtuele Windows Servers, hoe lager de kosten per server.

ADFS servers worden dubbel uitgevoerd, net als domain controllers, maar hebben wel load balancing nodig. Wanneer je kiest voor WNLB dan is het doorgaans nodig om een extra netwerkadapter toe te voegen. Dat is iets wat je op een domain controller zeker niet wilt doen.

Of omdat Microsoft het afraadt voor gebruik in productie: “Because ADFS requires the installation of Internet Information Services (IIS), we strongly recommend that you not install any ADFS components on a domain controller in a production environment.” Dit geldt weliswaar voor Server 2003 maar is ook van toepassing op ADFS in Server 2008, 2008 R2 en Server 2012.

Bij gecombineerde rollen gaat het niet alleen om ADFS. In de praktijk zien we op de domain controller nog tal van andere taken, zoals Certificate Authority, (Terminal Server) KMS/Licensing server, Citrix licensing of zelfs Exchange. Bij onderhoud, troubleshooting of in geval van disaster recovery werkt het een stuk makkelijker als een server slechts een taak heeft. Zo kan het wel eens wenselijk zijn om een problematische domain controller geforceerd uit AD te halen en daarna de metadata op te schonen. Probeer dat maar eens als er nog allerlei andere taken op de server draaien.

In de aanbevolen configuratie wordt met ADFS ook de Windows Internal Database geïnstalleerd. Hiermee neemt het aantal te installeren updates toe en dus de algemene beheerlast. Niet alleen de security footprint neemt hiermee toe, maar je vergroot ook het attack surface. Iets wat je zeker niet welkt met de server waarop de complete security databases van je domain is ondergebracht.

Dus?

Mijn advies is om ADFS op minimaal twee dedicated servers te installeren. Minimaal één server dus en extra server voor redundancy, daarboven heb je een ADFS server nodig per 15.000 gebruikers. Gebruik dan naar wens WNLB om de servers te load balancen of beter, gebruikt een echte load balancer die ook het gezond functioneren van de servers in het oog houdt.

En als het echt op een domain controller moet dan heeft ADFS 3.0 uit Windows Server 2012 R2 de voorkeur omdat deze niet meer afhankelijk is van IIS.

Windows 8.1 Enterprise op TechNet/MSDN, nog niet op de Volume Licensing site

Als eerste het echte nieuws: Naast Windows 8.1 Pro is nu ook Windows 8.1 Enterprise beschikbaar voor mensen met een TechNet of MSDN Subscription.

Dat nieuws was te lezen in een wat verwarrende blogpost van Windows for your Business met de titel Windows 8.1 Enterprise RTM Now Available To Volume License Customers. Ik zeg verwarrend omdat de titel de indruk wekt dat Windows 8.1 Enterprise nu beschikbaar zou zijn op de Volume Licensing portal, wat dus niet het geval is. De auteur bedoelde dat 8.1 Enterprise op TechNet en MSDN te downloaden is en aangezien Volume Licensing klanten met SA ook een TechNet subscription hebben dus ook voor hen…

Maar Technet en MSDN software is bedoeld voor testen, evaluatie en development en niet voor gebruik ‘in productie’. Dus voor organisaties die Windows 8.1 en Server 2012 R2 daadwerkelijk in productie willen nemen is het nog even wachten tot het moment van General Availability: 18 oktober.

Windows 8.1 en Server 2012 R2 te downloaden op MSDN en TechNet

Microsoft heeft de RTM-versie van Windows 8.1 en Server 2012 R2 klaargezet op MSDN en TechNet. Abonnees kunnen deze vanaf nu downloaden!

Dat is best verassend want eerder kondigde Microsoft nog aan dat deze voor alle groepen gebruikers pas op 18 oktober beschikbaar zou komen. Microsoft luistert dus nog wel naar de IT Pro's.

Windows Server 2012 R2: de reïncarnatie van Forefront TMG?

Forefront TMG: RIP

Toen Microsoft aankondigde de stekker uit Forefront TMG te trekken riep dit vooral vragen op. Met name in de wereld van Exchange en Lync waar TMG de de facto standaard was geworden om in te zetten als reverse proxy. Of Exchange en Lync nu veilig genoeg zijn of niet, veel organisaties hebben het beleid dat verkeer van het internet niet rechtsreeks tot het interne netwerk toegelaten wordt.

Er viel dus een groot gat waar leveranciers als KEMP slim gebruik van maakten door reverse proxy functionaliteit aan hun producten toe te voegen. Maar load balancers staan doorgaan in het interne netwerk, een reverse proxy in de DMZ.

En dan maar geen reverse proxy dan? Of de duurdere Forefront UAG inzetten? Aan de kant van Microsoft blijft het angstvallig stil, in een enkele forumpost wijst men er op dat je eigenlijk ook best zonder reverse proxy kan. Ondanks dat de documentatie nog volop adviseert om een reverse proxy in te zetten…

Reverse proxy in Server 2012 R2

Maar dan is het juni 2013 en kondigt Microsoft op TechEd een reeks van nieuwe versies van producten aan, waaronder Windows Server 2012 R2. Dit is de serverversie van wat nu nog bekend is als Windows 8.1. Reviewers leggen vooral de nadruk op virtualisatie en integratie met clouddiensten. Misschien terecht, want er is veel interessant nieuws te melden op dat vlak. Maar ander interessant nieuws is verstopt in dit artikel: What's New in Windows 8.1

Web Application Proxy

The Web Application Proxy is a new role service in the Windows Server Remote Access role. It provides the ability to publish access to corporate resources, and enforce multi-factor authentication as well as apply conditional access policies to verify both the user’s identity and the device they are using resources, and enforce multi-factor authentication as well as verify the device being used before access is granted.

Hier zien we de reverse proxy functionaliteit van ISA en TMG weer terugkomen. Een paar zaken die opvallen:

• Interne resources publiceren
• Multi-factor authentication
• Toegang bepalen afhankelijk van de gebruiker en van het device waar hij op werkt
• Inspectie van het device, voordat deze toegang krijgt

Deze functionaliteit uit zowel TMG als UAG komt dus beschikbaar als een role service in Windows Server 2012 R2. Dat beantwoordt een heleboel vragen over het terugtrekken van TMG, al vind ik de timing daarvan wel heel ongelukkig gekozen. TMG was te koop tot 1 december 2012 en men verwacht dat Windows Server 2012 R2 pas aan het eind van 2013 beschikbaar komt. Waarom gedurende een jaar geen reverse proxy bieden en nog belangrijker, de klanten in onzekerheid te laten.

En UAG dan?

Ook roept dit vragen op over de positie van Forefront UAG. ‘Killer app’ DirectAccess was al eerder als verbeterde versie geïntroduceerd in Server 2012 dus de vraag reist wat de meerwaarde van UAG dan nog is. Deze ondersteunt op dit moment geen Lync mobility scenario’s, er is geen versie voor Server 2012 of hoger en onder de motorkap wordt nota bene nog Forefront TMG gebruikt die al niet meer te koop is. Toch schrijft Microsoft in september 2012 nog:

It is important to note that there are no significant changes to the Forefront Identity Manager or Forefront Unified Access Gateway roadmaps.  These solutions continue to be actively developed.  Forefront UAG 2010 SP2 was released in August 2012 and Forefront Identity Manager 2010 R2 was release in June 2012.

Maar na UAG 2010 SP3 in februari 2013 is het angstvallig stil. Geen aankondiging voor een UAG 2012 of 2013 versie en ook geen rebranding naar System Center, wat ik persoonlijk verwacht had. Betekent dit dat UAG als los product ook op gaat houden en terugkomt in losse features in Windows Server 2012 R2? Een aantal vragen zijn vandaag beantwoord, andere vragen blijven voorlopig onbeantwoord.