# Windows Server ICT: Das System für Workloads vorbereiten
TL;DR / Management Summary Die Initial Configuration Tasks (ICT) sind die ersten Schritte nach dem OS-Deployment. Wir transformieren eine Standard-Installation in einen spezialisierten Server. Fokus liegt auf der Deaktivierung ungenutzter Dienste (Security), der Optimierung des I/O-Stacks für virtuelle Umgebungen (Proxmox) und der Einstellung korrekter Zeit- und Sprachparameter. Ein Senior Admin nutzt dafür das Tool
sconfig(für Core) oder eigene PowerShell-Härtungs-Skripte.
# 1. Einführung & Tools
Vom ‘Kaufzustand’ zum ‘Produktionszustand’.
Windows Server startet mit vielen Default-Werten, die für maximale Kompatibilität, aber nicht für maximale Performance gedacht sind.
# Werkzeuge für die Erstkonfiguration
- SConfig: Das textbasierte Menü (Standard in Server Core).
- PowerShell: Für die automatisierte Konfiguration (idempotent).
- Server Manager: Die grafische Übersicht (ICT-Wizard).
# 2. Die ICT-Checkliste (Schritt-für-Schritt)
Die Basis-Konfiguration.
# 1. Computername & Domain
Standardnamen wie WIN-A1B2C3 sind im Enterprise verboten.
- Schema:
[Ort]-[Rolle]-[Nummer], z.B.FRA-DC-01.
# 2. Netzwerkkonfiguration
- IPv6: Deaktivieren Sie IPv6 nur, wenn Ihre Applikation es explizit nicht unterstützt. In modernen AD-Umgebungen ist IPv6 Pflicht.
- DNS: Immer mindestens zwei interne DCs als DNS-Server angeben.
# 3. Remote Management & Desktop
- WinRM: Aktivieren für Windows Admin Center (Artikel 483).
- RDP: Aktivieren mit NLA (Artikel 457).
# 3. Deep Dive: Performance-Optimierung
Den Server ‘entfesseln’.
# Power Plan auf ‘Höchstleistung’
Standardmäßig steht Windows Server auf “Ausbalanciert”. Das führt zu Latenzen beim CPU-Taktwechsel.
powercfg /setactive 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c# Visual Effects (Desktop Experience)
Wenn Sie die GUI nutzen, schalten Sie alle Animationen ab, um RDP-Bandbreite zu sparen.
sysdm.cpl-> Erweitert -> Leistung -> “Für optimale Leistung anpassen”.
# Zeit-Synchronisation (NTP)
In einer Domäne ist Zeit alles. Ein DC mit falscher Zeit blockiert alle Kerberos-Logins.
w32tm /config /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org" /syncfromflags:manual /reliable:YES /update# 4. Day-2 Operations: Unnötiges entfernen
Minimalismus als Sicherheitsmerkmal.
# ‘Bloatware’ auf dem Server?
Ja, auch Windows Server installiert Features, die oft nicht gebraucht werden.
- Windows Defender: Behalten, außer Sie haben eine Enterprise EDR-Lösung.
- SMB 1.0: Sofort deinstallieren (WannaCry Schutz).
- Print Services: Nur auf dedizierten Print-Servern aktiv lassen.
# 5. Troubleshooting & “War Stories”
Wenn die Erstkonfiguration scheitert.
# Top 3 Fehlerbilder
-
Symptom:
sconfigzeigt “Fehler beim Abrufen der Einstellungen”.- Ursache: WMI-Repository ist korrupt.
- Lösung:
winmgmt /resetrepository.
-
Symptom: Server lässt sich nicht pingen (obwohl IP stimmt).
- Ursache: Die Windows Firewall blockiert ICMP im Profil “Öffentlich” (Default nach Installation).
- Lösung: Profil auf “Privat” oder “Domain” ändern oder ICMP-Regel explizit erlauben.
-
Symptom: Maus-Cursor ruckelt in der Proxmox NoVNC Konsole.
- Lösung: Installieren Sie die VirtIO Guest Agent Tools und stellen Sie das Display-Device in Proxmox auf
VirtIO-GPU.
- Lösung: Installieren Sie die VirtIO Guest Agent Tools und stellen Sie das Display-Device in Proxmox auf
# “War Story”: Der “US-Zahlen” Fluch
Ein SQL-Server wurde in Deutschland installiert, aber die Regionaleinstellungen blieben auf “US-English”.
Das Ergebnis: Die Datenbank interpretierte 1.000,50 als zehntausend-fünfzig, was zu massiven Buchungsfehlern führte.
Lehre: Die ICT umfasst auch die Locales. Nutzen Sie Set-WinSystemLocale und Set-WinHomeLocation in Ihrem Deployment-Skript.
# 6. Monitoring & Reporting
Konfigurations-Audit.
# Der ‘Best Practices Analyzer’ (BPA)
Microsoft bietet für fast jede Rolle einen BPA im Server Manager an.
- Admin-Task: Führen Sie den BPA nach jeder ICT durch. Er meldet vergessene Sicherheits-Settings und Performance-Tipps.
# 7. Fazit & Empfehlung
Die Erstkonfiguration ist das Fundament der Stabilität.
- Empfehlung: Nutzen Sie ein Build-Skript (PowerShell), das Sie nach jeder Installation ausführen. Dies garantiert, dass alle 50 Server identisch gehärtet sind.
- Wahl: Nutzen Sie Server Core für Infrastruktur-Dienste (DNS, DHCP, DC). ICT ist hier via
sconfigin 2 Minuten erledigt.
# Anhang: Die 5 wichtigsten ICT-Befehle
| Aufgabe | Befehl |
|---|---|
| SConfig starten | sconfig |
| IP prüfen | Get-NetIPConfiguration |
| Feature Installation | Install-WindowsFeature <Name> |
| Dienst prüfen | Get-Service |
| Updates suchen | Install-Module PSWindowsUpdate; Get-WindowsUpdate |