Serverinstallaties onderhouden

6.1 Serverinstallaties onderhouden

Welke fouttolerantiemechanismen u ook op uw netwerk gebruikt, servers hebben regelmatig onderhoud nodig om efficiënt te kunnen functioneren. Beheerders moeten updates toepassen op besturingssystemen en toepassingen, antimalwaresoftwareproducten controleren en regelmatig back-ups maken om ervoor te zorgen dat gegevens worden beschermd tegen verlies. Windows Server 2016 bevat functies die deze taken kunnen uitvoeren, zoals beschreven in de volgende secties.

6.1.1 Oplossingen voor Windows Server Update Services (WSUS) implementeren

Windows Server 2016 is uitgerust met een Windows Update-client die automatisch updates van het besturingssysteem downloadt van de webservers van Microsoft en deze installeert. Door een optionele instelling in te schakelen, kunt u Windows Update ook inschakelen om updates voor andere Microsoft-producten te downloaden.

De eenvoudigste software-updatestrategie die u op een netwerk kunt implementeren, is om Windows Update gewoon te laten draaien met de standaardinstellingen. De client downloadt en installeert updates doorgaans ongeveer een keer per maand. In een bedrijfsomgeving kan deze praktijk echter tot enkele problemen leiden, waaronder de volgende:

• Bandbreedtegebruik – Elke computer waarop de Windows Update-client wordt uitgevoerd, downloadt een eigen exemplaar van elke update van de Microsoft-servers op internet. Een groot netwerk kan daarom een enorme hoeveelheid internetbandbreedte verbruiken door honderden kopieën van dezelfde bestanden te downloaden.
• Goedkeuring van updates – De standaardinstellingen van de Windows Update-client bieden gebruikers of beheerders niet de mogelijkheid om de updates te evalueren voordat ze worden geïnstalleerd. U kunt een tijd specificeren gedurende welke het systeem indien nodig opnieuw zal opstarten, maar hiervoor moet iemand elke computer afzonderlijk beheren.
• Naleving – De standaardconfiguratie van Windows Update biedt beheerders geen mogelijkheid om te bevestigen dat de client alle vereiste updates met succes heeft geïnstalleerd, behalve om de updategeschiedenis op elke computer afzonderlijk te bekijken.

Op alle behalve de kleinste netwerken is de Windows Update-client met zijn standaardinstellingen geen betrouwbare update-oplossing. Om deze problemen aan te pakken, kunt u een alternatieve implementatiestrategie voor updates voor uw netwerk ontwerpen met behulp van instellingen voor Groepsbeleid en Windows Server Update Services (WSUS).

6.1.1.1 WSUS-architecturen

Windows Server Update Services (WSUS) is een rol die is opgenomen in Windows Server 2016 en waarmee een lokale server op uw netwerk kan fungeren als back-end voor de Windows Update client, net als de Microsoft Update-servers op internet.

Nadat u een WSUS-server hebt geïnstalleerd, kunt u deze gebruiken om updates te leveren aan alle andere servers en werkstations in uw netwerk. WSUS downloadt alle nieuwe updates van de Microsoft Update-servers op internet en uw andere computers downloaden de updates van de WSUS-server. Op deze manier betaalt u alleen voor de bandbreedte die nodig is om één exemplaar van elke update te downloaden.

Naast het besparen van bandbreedte, stelt WSUS beheerders in staat om de beschikbare updates te screenen, deze te testen in een laboratoriumomgeving en ze goed te keuren voor implementatie bij de clients. Beheerders kunnen daarom de uiteindelijke autoriteit behouden over welke updates worden geïnstalleerd en wanneer de installaties plaatsvinden.

Een enkele WSUS-server kan veel Windows Update-clients ondersteunen, wat betekent dat één server in theorie voldoende is voor alle behalve de grootste netwerken. WSUS ondersteunt echter ook enkele architecturale variaties om plaats te bieden aan topologieën van verschillende groottes, waaronder externe gebruikers en filialen met beperkte communicatiemogelijkheden.

Er zijn vijf basisconfiguraties voor WSUS-architectuur, namelijk:

• Enkele WSUS-server – Een enkele WSUS-server downloadt updates van de Microsoft Update-website en alle andere computers in het netwerk downloaden de updates van die WSUS-server, zoals weergegeven in Afbeelding 6-1. Een enkele WSUS-server kan maar liefst 25.000 clients ondersteunen, dus deze configuratie is geschikt voor de meeste enterprise netwerken.
  

  

• Replica WSUS-servers – Eén centrale WSUS-server downloadt updates van de Microsoft Update-site op internet. Beheerders op die centrale site evalueren en keuren de gedownloade updates goed, en WSUS-servers op externe locaties, downstream-servers genoemd, verkrijgen de goedgekeurde updates van die eerste server, zoals weergegeven in Figuur 6-2. Deze regeling is bedoeld voor netwerken met goed verbonden filialen en stelt klanten in staat toegang te krijgen tot hun updates vanaf een lokale bron, minimaliseert de gebruikte internetbandbreedte en stelt de beheerders van de centrale server in staat de updates voor de hele onderneming te beheren.
  

  

• Autonome WSUS-servers – Net als de replica WSUS-serverarchitectuur, behalve dat de externe WSUS-servers alle beschikbare updates downloaden van de centrale server en dat beheerders op elke site verantwoordelijk zijn voor het evalueren en goedkeuren van updates voor hun eigen gebruikers.
• WSUS-servers met lage bandbreedte – WSUS-servers op externe sites downloaden alleen de lijst met goedgekeurde updates van de centrale WSUS-server, zonder de updates zelf te downloaden. De servers op afstand downloaden vervolgens de goedgekeurde updates van de Microsoft Update-servers op internet, gebruikmakend van hun relatief snelle internetverbinding. Deze regeling maakt externe locaties met een lage bandbreedte of gemeten Wide Area Network (WAN)-verbindingen naar het hoofdkantoor mogelijk om WAN-verkeer te minimaliseren.
• Niet-verbonden WSUS-servers – Beheerders op het hoofdkantoor slaan de updates op een offline medium op, zoals draagbare schijven of dvd-roms, en verzenden ze naar de externe sites, waar andere beheerders ze importeren voor implementatie. Hierdoor kunnen de beheerders van het hoofdkantoor controle uitoefenen over het updateproces zonder gebruik te maken van WAN of internetbandbreedte.300

Wanneer u meerdere WSUS-servers op uw bedrijfsnetwerk gebruikt, maakt u een architectuur door de upstream-server op te geven waarvan elke server de updates moet ophalen. Voor uw centrale WSUS-server is de upstream-server altijd de Microsoft Update-servers op internet. Vervolgens kunt u servers op het tweede niveau configureren om de centrale server als hun upstream-server te gebruiken.

Het is ook mogelijk om een architectuur met drie niveaus te maken door WSUS te configureren om een server op het tweede niveau als zijn upstream-server te gebruiken. Hoewel Microsoft WSUS-architecturen tot vijf niveaus diep heeft getest, raden ze aan niet meer dan drie lagen te gebruiken.

6.1.1.2 WSUS database

WSUS vereist een SQL Server-database om configuratie-instellingen voor de WSUS-server, metagegevens voor elke update en informatie over client/server-interactie op te slaan. WSUS installeert hiervoor standaard de Windows Internal Database-functie op Windows Server 2016, maar u kunt ook Microsoft SQL Server 2008 SP2 of hoger gebruiken in de Enterprise-, Standard- of Express-editie.

Wanneer u de Windows Server Update Services-rol installeert met behulp van de wizard Rollen en onderdelen toevoegen in Serverbeheer, is op de pagina Rolservices selecteren, weergegeven in volgende afbeelding, standaard de WID Connectivity-rolservice geselecteerd. Als u een volledige versie van SQL Server wilt gebruiken, moet u eerst het selectievakje WID-connectiviteit uitschakelen en in plaats daarvan de functieservice SQL Server-connectiviteit selecteren.

Voor een enkele WSUS-serverconfiguratie is er geen prestatievoordeel bij het gebruik van SQL Server ten opzichte van de interne Windows-database. SQL Server omvat databasebeheer tools, die Windows Internal Database niet heeft, maar WSUS is ontworpen om te functioneren zonder directe beheerderstoegang tot de database.

Een volledige versie van SQL Server biedt wel de mogelijkheid om de database op een backend-server te plaatsen, los van WSUS. Hierdoor kunnen beheerders gedeelde databasetoegang verlenen aan een failovercluster van WSUS-servers. Een configuratie met meerdere servers, bestaande uit twee front-end WSUS-servers en een enkele back-end SQL Server-databaseserver, kan mogelijk wel 100.000 clients bedienen.

Om een volledige versie van SQL Server met WSUS te gebruiken, moet u de servers als volgt configureren:

• De computer waarop SQL Server wordt uitgevoerd, mag geen domeincontroller zijn
• De WSUS-server kan niet worden geconfigureerd om Extern bureaublad-services te gebruiken
• De servers waarop WSUS en SQL Server worden uitgevoerd, moeten lid zijn van hetzelfde of een vertrouwd AD DS-domein
• De servers waarop WSUS en SQL Server worden uitgevoerd, moeten zich in dezelfde tijdzone bevinden of zijn gesynchroniseerd om Coordinated Universal Time te gebruiken.
• Elke WSUS-server moet zijn eigen database-instantie hebben. SQL Server kan meerdere instances bieden, waardoor beheerders de server voor andere doeleinden kunnen gebruiken.

6.1.1.3 WSUS opslag

De pagina Selectie van inhoudslocatie, zoals weergegeven in de volgende afbeelding, verschijnt in de wizard Rollen en onderdelen toevoegen. Op deze pagina kunt u aangeven of u gedownloade updates op de lokale NTFS-schijf van de server wilt opslaan. Het selectievakje Updates opslaan in de volgende locatie is standaard ingeschakeld en u kunt het station en de map opgeven waar u wilt dat de server de updatebestanden opslaat.

Als u het selectievakje uitschakelt, downloadt de WSUS-server alleen metagegevens over de beschikbare updates, niet de updates zelf. Hierdoor wordt schijfruimte op de server bespaard en wordt WSUS in wezen geconfigureerd om te functioneren als een coördinatiecentrum voor de updates die beschikbaar zijn op de Microsoft Update-webservers. Beheerders kunnen de updates selecteren die ze willen implementeren, en de Windows Update-clients op het netwerk downloaden de daadwerkelijke updatebestanden van de Microsoft-servers op internet.

6.1.1.4 WSUS implementeren

Om WSUS op Windows Server 2016 te installeren, moet u de rol Windows Server Update Services toevoegen. U kunt dit op de gebruikelijke manier doen in Serverbeheer, met behulp van de wizard Rollen en functies toevoegen. De wizard voegt de extra pagina’s toe waar u de functieservice SQL Server Connectivity kunt selecteren en kunt opgeven waar de gedownloade updates moeten worden opgeslagen. De wizard installeert ook de rol van webserver en biedt u daarvoor een pagina Rolservices selecteren.

WSUS is een lokale versie van een Microsoft Update-server, dus het heeft een webserver nodig waarmee clients verbinding kunnen maken. De wizard installeert standaard de webserverrol met de onderdelen die WSUS nodig heeft, maar op de pagina Rolservices selecteren kunt u alle andere onderdelen selecteren die u mogelijk voor andere doeleinden nodig hebt. Als de webserver-rol (IIS) al op de server is geïnstalleerd, installeert de wizard eventuele aanvullende rolservices die WSUS vereist.

Wanneer de wizard klaar is met het installeren van de rollen, klikt u op de koppeling Taken na installatie starten om het dialoogvenster WSUS-installatie voltooien te openen, waarin u op Uitvoeren klikt om de installatietaken te voltooien.

Het is ook mogelijk om de WSUS-rol vanaf de opdrachtregel te installeren met behulp van de cmdlet Install-WindowsFeature voor PowerShell en het hulpprogramma Wsusutil.exe. De opdracht voor het installeren van de rol met de standaardinstellingen in PowerShell is als volgt:

Install-WindowsFeature -Name updateservices -IncludeManagementtools

U kunt de cmdlet Install-WindowsFeature niet gebruiken om extra parameters voor een rol te configureren, dus na deze opdracht moet u het hulpprogramma Wsusutil.exe uitvoeren om de locatie voor de gedownloade updates op te geven, zoals in het volgende voorbeeld:

wsusutil.exe postinstall content_dir=d:\wsus

Wanneer u de functie UpdateServices installeert met PowerShell, bevat de cmdlet de WID Connectivity-rolservice. Als u een aparte SQL-server wilt gebruiken, voert u de volgende opdracht uit.

Install-WindowsFeature -Name updateservices-services updateservices-db -includemanagementtools

Wanneer u de functie UpdateServices-Services opgeeft, wordt er geen databaseverbinding geïnstalleerd, dus u moet ook de SQL-databasefuncties UpdateServices-Db opnemen.

Om vervolgens de databaseserver en het exemplaar dat WSUS moet gebruiken op te geven, voert u Wsusutil.exe uit, zoals in het volgende voorbeeld

wsusutil.exe postinstall sql_instance_name="db1\sqlinstance1" content_dir=d:\wsus

6.1.1.5 WSUS configureren

Nadat u de rol hebt geïnstalleerd, moet u de Update Services-console starten. De eerste keer dat u dit doet, verschijnt de configuratiewizard voor Windows Server Update Services, waarmee u het proces van het instellen van WSUS kunt voltooien.

Opmerking De wizard opnieuw openen

De configuratiewizard voor Windows Server Update Services wordt alleen uitgevoerd wanneer u de Update Services-console voor het eerst opent. Als u de wizard niet voltooit tijdens zijn eerste verschijning, kunt u deze opnieuw starten vanaf de console, waar deze goed verborgen is onderaan de pagina Opties.

Gebruik de volgende procedure om WSUS te configureren.

1. Klik in Serverbeheer op Extra | Windows Server-updateservices. De configuratiewizard van Windows Server Update Services verschijnt.
2. Selecteer op de pagina Upstream-server kiezen een van de volgende opties:
   • Synchroniseren vanaf Microsoft Update – Configureert de server om alle update-informatie en updates van de Microsoft Update-servers op internet te downloaden. Gebruik deze optie voor WSUS-implementaties met één server of voor de eerste WSUS-server die u boven aan een WSUS-hiërarchie installeert.
   • Synchroniseren vanaf een andere Windows Software Update Services-server – Hiermee configureert u de server om alle update-informatie van een andere WSUS-server op uw netwerk te downloaden. Gebruik deze optie om de lagere niveaus van een WSUS-serverhiërarchie op uw netwerk te maken. Wanneer u deze optie selecteert, zoals weergegeven in Afbeelding 6-5, moet u de naam en het poortnummer voor een upstream WSUS-server op uw netwerk specificeren en specificeren of de verbinding tussen de servers SSL-codering moet gebruiken. Schakel het selectievakje Dit is een replica van de upstream-server in om alleen de updates te downloaden die zijn goedgekeurd op de upstream-server.
     

     

3. Schakel op de pagina Proxyserver opgeven het selectievakje Een proxyserver gebruiken bij synchroniseren in als de server een proxyserver nodig heeft om toegang te krijgen tot internet of de door u opgegeven upstream-server. Geef vervolgens de naam en het poortnummer van de proxyserver op, evenals de referenties die nodig zijn om toegang te krijgen tot de proxyserver, indien nodig.
4. Klik op de pagina Connect to Upstream Server op Start Connecting om toegang te krijgen tot de door u geselecteerde upstream-server en om informatie over de beschikbare updates te downloaden. Dit proces wordt synchronisatie genoemd in WSUS.
5. WSUS downloadt standaard updates in alle beschikbare talen, die veel onnodige bandbreedte en schijfruimte in beslag kunnen nemen. Op de pagina Kies talen, weergegeven in Afbeelding 6-6, kunt u de optie Alleen updates in deze talen downloaden selecteren en specificeren welke talen uw WSUS-clients gebruiken. Hiermee wordt de WSUS-server geconfigureerd om alleen updates in de geselecteerde talen te downloaden.
   

   

6. Op de pagina Producten kiezen, weergegeven in de volgende afbeelding, selecteert u de Microsoft-producten en -versies waarvoor u updates wilt downloaden. Standaard zijn alle Windows-producten en -versies geselecteerd. Als u sommige selecties op uw netwerk niet gebruikt, kunt u hun selectievakjes wissen en meer bandbreedte en schijf besparen ruimte.

7. 

8. Op de pagina Classificaties kiezen, geeft u op welke typen updates de server moet downloaden. Standaard zijn Kritieke, Definitie- en Beveiligingsupdates geselecteerd, evenals Upgrades. U kunt andere classificaties selecteren, maar houd er rekening mee dat sommige van deze classificaties, zoals de Service Packs voor oudere Windows-versies, erg groot kunnen zijn.
9. Op de pagina Synchronisatieschema instellen is Handmatig synchroniseren de standaardoptie, waarvoor u een synchronisatie moet starten om nieuwe updates te downloaden. U kunt ook de optie Automatisch synchroniseren selecteren, zoals weergegeven in de volgende afbeelding, om een geplande starttijd en het aantal keren per dag in te stellen dat synchronisatie moet plaatsvinden.
   

   

10. Schakel op de pagina Voltooid het selectievakje Begin eerste synchronisatie in en klik op Voltooien.

WSUS begint te synchroniseren met zijn upstream-server en informatie te downloaden over de beschikbare updates.

Examentip

Wat is het verschil tussen een update en een upgrade? Semantisch betekent update iets op het huidige niveau brengen, terwijl upgraden betekent iets verbeteren of naar een hoger niveau brengen. In de meeste gevallen zijn deze definities van toepassing op software. Een update lost meestal problemen in de software op of voegt ondersteuning toe voor nieuwe technologie, terwijl een upgrade nieuwe functies of mogelijkheden toevoegt. In termen van versienummers verhogen updates meestal getallen na de komma, zoals in 2.1 en 2.2, terwijl upgrades het getal vóór de komma verhogen, zoals in 2.0 en 3.0. Ooit waren deze definities van toepassing op Microsoft-producten. Met Windows Server 2016 en Windows 10 zijn de termen update en upgrade echter steeds vager geworden. Build-nummerverhogingen hebben versienummers vervangen, en wat updates lijken te zijn, zijn grote upgrades met belangrijke nieuwe functies.

6.1.2 WSUS-groepen configureren

Om controle uit te oefenen over welke Windows Update-clients op het netwerk specifieke updates ontvangen, gebruikt WSUS een systeem van groepen die onafhankelijk zijn van de beveiligingsgroepen in AD DS en de lokale groepen in Windows. Wanneer u updates voor implementatie goedkeurt, selecteert u de groepen die het moeten ontvangen, zoals weergegeven in de volgende afbeelding.

Om WSUS-groepen te maken en te beheren, gebruikt u de Update Services-console, zoals weergegeven in de volgende afbeelding. Er zijn twee standaardgroepen, genaamd Alle computers en Niet-toegewezen computers. Elke Windows Update-clientcomputer die verbinding maakt met de WSUS-server, wordt automatisch toegevoegd aan deze twee groepen.

Als u een nieuwe groep wilt maken, klikt u met de rechtermuisknop op de groep Alle computers en selecteert u in het contextmenu Computergroep toevoegen om het dialoogvenster Computergroep toevoegen te openen, waarin u een naam opgeeft.

Nadat u uw eigen groepen in de console hebt gemaakt, kunt u op twee manieren computers van de groep Niet-toegewezen computers naar de groep van uw keuze verplaatsen:

• Server-Side Targeting – Door handmatig een computer te selecteren in de Update Services-console, kunt u het lidmaatschap wijzigen in een bestaande groep door er met de rechtermuisknop op te klikken en Lidmaatschap wijzigen te selecteren om het dialoogvenster Lidmaatschap computergroep instellen te openen, weergegeven in de volgende afbeelding.
  

  

• Client-Side Targeting – Door de instelling Client-side targeting groepsbeleid inschakelen in te schakelen, zoals weergegeven in de volgende afbeelding, kunt u clients die de instelling ontvangen configureren om zichzelf automatisch toe te voegen aan de groep die u specificeren in de beleidsinstelling.
  

  

6.1.3 Beheer patchbeheer in gemengde omgevingen

Een van de belangrijkste voordelen van WSUS is dat het beheerders de mogelijkheid biedt om updates te evalueren en te testen voordat ze op productienetwerken worden geïmplementeerd.

Het proces van het evalueren en testen van updates is een proces dat door de netwerkbeheerder moet worden ontwikkeld. Microsoft test zijn updates zorgvuldig voordat ze voor het publiek worden vrijgegeven, maar ze kunnen onmogelijk elke combinatie van besturingssystemen, apparaatstuurprogramma’s, applicaties en andere softwarecomponenten die in een gemengde omgeving bestaan, testen. Er kunnen conflicten en incompatibiliteiten optreden, en het is aan de beheerder om beleid te ontwikkelen dat updates voor dit soort problemen screent voordat ze deze implementeren.

Afhankelijk van de aard van de updates en de complexiteit van de werkstationconfiguraties, kan het update-evaluatieproces bestaan uit een of meer van de volgende zaken:

• Een evaluatie van de documentatie bij de update release
• Een wachttijd om te bepalen of andere gebruikers problemen ervaren
• Een pilot-implementatie op een klein deel van het netwerk
• Een intern testregime uitgevoerd op een laboratoriumnetwerk

In een gemengde omgeving met computers met veel versies en edities van Windows, zal het regime voor de evaluatie van nieuwe updates waarschijnlijk variëren. Serverupdates moeten bijvoorbeeld grondiger worden geëvalueerd en getest dan werkstationupdates. Oudere versies van besturingssystemen vereisen doorgaans veel meer updates dan nieuwere, en het kan zijn dat de prioriteiten moeten worden aangepast om ze allemaal te evalueren.

6.1.3.1 Updates goedkeuren

Zodra het evaluatieproces voor een specifieke update is voltooid, kan een beheerder de update goedkeuren voor implementatie met behulp van de Update Services-console op de WSUS-server. Door met de rechtermuisknop op een update te klikken en Goedkeuren te selecteren in het contextmenu, opent u het dialoogvenster Updates goedkeuren, zoals eerder weergegeven, waarin u opgeeft welke groepen u die update wilt ontvangen.

6.1.3.2 WSUS-clients configureren

Voordat de clientcomputers op het netwerk updates van de WSUS-server kunnen downloaden, moet u hun Windows Update-clients configureren. De Windows Update-pagina in de besturingssystemen Windows Server 2016 en Windows 10 biedt geen enkele mogelijkheid om te configureren clients een interne WSUS-server te gebruiken in plaats van de Microsoft Update-servers, en zelfs als dat het geval was, zou individuele clientconfiguratie geen praktische oplossing zijn voor een groot netwerk. In plaats daarvan configureert u de Windows Update-clients op uw netwerk met behulp van Groepsbeleid-instellingen.

Zoals gebruikelijk, in een AD DS-omgeving, is de aanbevolen praktijk voor het implementeren van groepsbeleidsinstellingen om een nieuw groepsbeleidsobject (GPO) te maken, de vereiste Windows Update-instellingen te configureren en het groepsbeleidsobject te koppelen aan een geschikt domein, site of organisatie-eenheid object. Als u meerdere WSUS-servers gebruikt, kunt u de clientbelasting over deze servers verdelen door voor elke server een afzonderlijk groepsbeleidsobject te maken en ze aan verschillende objecten te koppelen.

Opmerking Windows Update en OS-versies

De instellingen voor Groepsbeleid van Windows Update zijn van toepassing op alle Windows-server- en werkstationversies, vanaf Windows 2000. Het is niet nodig om verschillende GPO’s of AD DS-objecten te maken voor verschillende Windows-versies om Windows Update te configureren.

In een groepsbeleidsobject bevinden de Windows Update-instellingen zich in de Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update folder. De belangrijkste instelling voor Groepsbeleid voor de Windows Update-client is Automatische Updates configureren, zoals weergegeven in de onderstaande afbeelding.

Deze instelling, indien ingeschakeld, activeert de client, specificeert de mate van gebruikersinteractiviteit in het updateproces en plant de tijd en dag waarop geautomatiseerde update-installaties moeten plaatsvinden. In een bedrijfsomgeving is het gebruikelijk dat beheerders het updateproces volledig automatiseert , zodat de gebruiker geen keuze heeft of de computer updates moet downloaden en installeren.

Er zijn twee hoofdproblemen die een geautomatiseerd updateproces van dit type kunnen bemoeilijken.

1. De eerste is dat sommige updates bestanden moeten vervangen die in gebruik zijn terwijl het besturingssysteem actief is. De client vereist daarom dat het systeem opnieuw wordt opgestart om deze bestanden te vervangen. Een onvrijwillige herstart kan problemen veroorzaken voor de gebruiker die op het werkstation werkt, dus er zijn instellingen voor Groepsbeleid die het standaardgedrag van de client in dit opzicht kunnen wijzigen.
   • Uitgestelde herstart voor geplande installaties – Indien ingeschakeld, specificeert dit het tijdsinterval (in minuten) dat de client wacht na het voltooien van een update-installatie voordat het systeem opnieuw wordt opgestart. Indien uitgeschakeld of niet geconfigureerd, is het standaardtijdsinterval 15 minuten.
   • Opnieuw vragen om opnieuw opstarten met geplande installaties – Wanneer een gebruiker een door de client gevraagde herstart uitstelt, specificeert deze instelling, indien ingeschakeld, het tijdsinterval (in minuten) voordat de client de gebruiker opnieuw vraagt.
   • Geen automatische herstart met aangemelde gebruikers voor geplande automatische updates-installaties – Indien ingeschakeld, voorkomt dit dat de client de computer automatisch opnieuw opstart wanneer een gebruiker is aangemeld. In plaats daarvan waarschuwt de client de gebruiker om het systeem opnieuw op te starten om de installatie van de update te voltooien.
2. Het tweede probleem is het gedrag van de Windows Update-client wanneer de computer is uitgeschakeld tijdens een geplande update. Het is duidelijk dat wanneer de computer niet actief is, er geen update kan plaatsvinden. De volgende keer dat de computer opstart, zal de client alle geplande taken uitvoeren die het heeft gemist. De volgende instellingen voor Groepsbeleid kunnen echter het gedrag van de client bepalen wanneer dit gebeurt:
   • Energiebeheer van Windows Update inschakelen om het systeem automatisch te activeren om geplande updates te installeren – Indien ingeschakeld, wordt de computer uit de slaapstand gehaald wanneer er updates moeten worden geïnstalleerd. Als de computer op batterijstroom werkt, breekt de client de installatie van de update af en zet de computer na twee minuten terug in de slaapstand.
   • Automatische updates opnieuw plannen – Geplande installaties Indien ingeschakeld, specificeert dit het tijdsinterval (in minuten) dat de client moet wachten na het opstarten van het systeem voordat een gemiste, geplande update-installatie wordt uitgevoerd. Indien niet geconfigureerd, wacht de client een standaard tijdsinterval van 1 minuut voordat een gemiste, geplande installatie wordt gestart. Indien uitgeschakeld, stelt de client de update uit tot de volgende geplande installatie.

De belangrijkste instelling voor WSUS-clients is het Groepsbeleid Specify Intranet Microsoft Update Service Location, zoals weergegeven in de volgende afbeelding.

Typ in de tekstvakken Het Intranet-Updateapparaat Instellen voor het Detecteren van Updates en de Server voor Intranetstatistieken Instellen de URL voor de WSUS-server die u door de clients wilt laten gebruiken.

Dit zal standaard het volgende formaat staan: http://server1:8530

Opmerking WSUS-poortnummer

WSUS gebruikt standaard poortnummer 8530 bij het configureren van IIS om zijn website te hosten. Als u de standaard IIS-configuratie wijzigt, moet u de URL dienovereenkomstig wijzigen.

Deze instelling zorgt ervoor dat de Windows Update-client verbinding maakt met uw WSUS-server voor updates, in plaats van met de Microsoft Update-servers. Als u uw WSUS-server hebt geconfigureerd om updates niet lokaal op te slaan, neemt de client contact op met de WSUS-server om te bepalen welke bestanden hij nodig heeft en downloadt deze bestanden vervolgens van de internetservers.

Daarnaast kunt u de volgende instellingen configureren, die alleen van kracht worden als u de instelling Specify Intranet Microsoft Update Service Location inschakelt:

• Detectiefrequentie automatische updates – Indien ingeschakeld, specificeert dit het interval (in uren) waarmee de client de server controleert op nieuwe updates.
• Ondertekende updates vanaf een van Intranet Microsoft Update Service Locatie toestaan –  Indien ingeschakeld, kunnen clients updates downloaden en installeren die niet door Microsoft zijn ondertekend. Updates moeten echter worden ondertekend met een certificaat dat te vinden is in het Trusted Publishers-archief van de computer. Hierdoor kunnen beheerders hun eigen updates implementeren met behulp van WSUS.

6.1.4 Implementeer een antimalware-oplossing met Windows Defender

Windows Defender is de antimalware-functie die is opgenomen in Windows Server 2016, Running as a service genaamd Windefend, de functie wordt standaard geïnstalleerd en geactiveerd op alle Windows Server 2016-installaties. Defender controleert het systeem continu op spyware, virussen en andere bedreigingen en genereert meldingen en systeemgebeurtenissen wanneer een bedreiging wordt gedetecteerd.

Omdat Defender standaard is geactiveerd, hoeft u niets te doen om het te installeren.

Het is echter mogelijk dat u het wilt deactiveren, bijvoorbeeld wanneer u een antimalwareproduct van derden gaat gebruiken waarmee het niet compatibel is. Om Windows Defender te verwijderen, kunt u de Wizard Rollen en onderdelen verwijderen in Serverbeheer of de Uninstall-WindowsFeature PowerShell-cmdlet gebruiken, zoals in het volgende voorbeeld:

Uninstall-WindowsFeature -Name windowsserverantimalware

6.1.4.1 Defender grafisch configureren

Om Windows Defender te configureren, opent u het venster Instellingen en selecteert u de pagina Windows Defender, zoals weergegeven in de volgende afbeelding.

Op deze pagina kunt u de volgende Defender-eigenschappen configureren:

• Realtime bescherming – Stelt Windows Defender in staat om het systeem continu op malware te scannen. Als u deze optie uitschakelt, zal Windows uiteindelijk proberen deze weer in te schakelen. Als u het uitschakelt om een andere antimalware-oplossing te installeren die niet compatibel is met Windows Defender, genereert het systeem fouten wanneer het niet in staat is om real-time bescherming weer in te schakelen. De beste werkwijze is om Windows Defender volledig te verwijderen als u van plan bent een ander product te gebruiken.
• Cloudgebaseerde bescherming – Stelt Windows Defender in staat informatie over zijn bevindingen naar Microsoft-servers in de cloud te sturen voor onderzoeksdoeleinden.
• Automatische verzending van voorbeelden – Stelt Windows Defender in staat om zonder dat u daarom wordt gevraagd voorbeelden van geïnfecteerde bestanden naar Microsoft-servers in de cloud te sturen. Als u deze optie uitschakelt, vraagt Windows Defender de gebruiker om een melding voordat de voorbeelden worden geüpload.
• Uitsluitingen – Hiermee kunnen gebruikers bestanden, mappen, bestandstypen en processen specificeren die moeten worden uitgesloten van de scans van Windows Defender.
• Verbeterde meldingen – Stelt Windows Defender in staat om meldingen over zijn activiteiten te genereren. Door de functies uit te schakelen, onderdrukt Defender alle behalve kritieke meldingen.

Windows Defender voert regelmatig scans van het systeem uit, maar het is ook mogelijk om handmatige scans uit te voeren en de activiteiten van Defender te onderzoeken. Als u op Open Windows Defender klikt, wordt de grafische interface van Defender gestart, zoals weergegeven in de volgende afbeelding.

In dit venster wordt de status van Defender weergegeven en kunt u het hele of een deel van het systeem scannen. U kunt ook op het tabblad Bijwerken klikken om de status van de virus- en spywaredefinities van Defender te controleren, of op het tabblad Geschiedenis klikken om de resultaten van de scans van Defender te bekijken.

6.1.4.2 Defender configureren met PowerShell

De grafische Windows Defender-interface biedt controle over slechts een paar basisinstellingen. Voor meer gedetailleerde controle bevat Windows Defender een Windows PowerShell-module, ook wel Defender genoemd, die cmdlets bevat waarmee u de activiteiten van Defender gedetailleerder kunt controleren en beheren. De cmdlet Get-MpComputerStatus geeft bijvoorbeeld weer of de functies van Windows Defender zijn ingeschakeld en de datums van de meest recente updates en scans, zoals weergegeven in de volgende afbeelding.

De primaire cmdlet voor het configureren van Windows Defender is Set-MpPreference, dat tientallen parameters ondersteunt die de functies van Defender besturen. Enkele van de parameters die u kunt gebruiken met Set-MpPreference zijn als volgt:

• CheckForSignaturesBeforeRunningScan – Geeft aan of Defender moet controleren op nieuwe definitie-releases voordat een scan wordt gestart.
• DisableArchiveScanning – Geeft aan of Defender de inhoud van archiefbestanden, zoals zips en cabs, moet scannen.
• DisableEmailScanning – Geeft aan of Defender de inhoud van standaard mailboxbestanden moet scannen.
• DisableIOAVProtection – Geeft aan of Defender gedownloade bestanden en bijlagen moet scannen.
• DisableRealtimeMonitoring – Specificeert of Defender realtime bescherming moet gebruiken. Deze parameter komt overeen met de schakelaar Real-time bescherming in het venster Instellingen.
• ExclusionPath – Specificeert een pad dat Defender moet uitsluiten van zijn scans. Er zijn vergelijkbare parameters waarmee u extensies en processen kunt uitsluiten.
• LowThreatDefaultAction Clean | Quarantaine | Remove | Alles | UserDefined | NoAction | Block} – Specificeert welke herstelactie Defender moet nemen wanneer het een dreiging van laag niveau detecteert. Er zijn vergelijkbare parameters voor gemiddeld en hoog niveau gevaren.
• Scanparameters {QuickScan | FullScan} – Specificeert welk type scan Defender moet uitvoeren tijdens de geplande scans.

6.1.4.3 Defender configureren met behulp van groepsbeleid

Windows Defender afzonderlijk configureren op servers, of de configuratie overlaten aan individuele serverbeheerders, is geen praktische oplossing voor een onderneming die beveiliging serieus neemt. Het voorkeursalternatief in dit type omgeving is om Windows Defender-instellingen op netwerkniveau te configureren. U kunt Groepsbeleid gebruiken om Windows Defender-instellingen toe te wijzen aan alle computers in Active Directory Domain Services (AD DS)-domeinen, sites of organisatie-eenheden.

De instellingen van Windows Defender bevinden zich in Groepsbeleidsobjecten in de map Computerconfiguratie/Beleid/Beheersjablonen/Windows-componenten/Windows Defender, zoals weergegeven in in de volgende afbeelding.

Groepsbeleid biedt nog meer gedetailleerde controle over Windows Defender dan Windows PowerShell. Er zijn bijna honderd Defender-beleidsinstellingen in een groepsbeleidsobject, zodat u elk aspect van de prestaties van Defender kunt configureren, evenals de informatie die aan gebruikers wordt gepresenteerd.

6.1.5 Integreer Windows Defender met WSUS en Windows Update

Om de bescherming te behouden die het biedt , moet Windows Defender regelmatig updates hebben voor de definities van spyware en viruskenmerken. Deze handtekeningen vertellen Windows Defender waarnaar moet worden gezocht tijdens de scans.

Windows Server 2016 werkt Windows Defender standaard samen met de updates van het besturingssysteem bij door ze rechtstreeks van internet te downloaden met Windows Update.

Als u echter WSUS gebruikt om updates op uw netwerkcomputer te implementeren, wilt u er misschien voor zorgen dat Windows Defender-definitie-updates automatisch worden goedgekeurd, zodat ze zo snel mogelijk worden ingezet. U kunt dit doen door de volgende taken in de Update Services-console uit te voeren.

1. Start Update Services, vouw het serverpictogram uit en selecteer de pagina Opties.
2. Selecteer Producten en Classificatie.
3. Scroll op het tabblad Producten naar beneden en selecteer het selectievakje Windows Defender, weergegeven in de volgende afbeelding en klik op Toepassen.
   

   

4. Schakel op het tabblad Classificatie het selectievakje Definitie-updates in en klik op OK.
5. Klik op Automatische goedkeuringen.
6. Klik op het tabblad Regels bijwerken op Nieuwe regel.
7. Schakel in het dialoogvenster Regel toevoegen, weergegeven in de volgende afbeelding, in het vak Stap 1 het selectievakje Wanneer een update in een specifieke classificatie zit, in.
   

   

8. Klik in het vak Stap 2 op de koppeling Elke classificatie.
9. Schakel in het dialoogvenster Updateclassificaties kiezen, weergegeven in de volgende afbeelding, alle selectievakjes uit, behalve Definitie-updates, en klik op OK.
   

   

10. Klik in het vak Stap 2 op de koppeling Alle computers.
11. Schakel in het dialoogvenster Computergroepen kiezen alle selectievakjes uit, behalve die van de groepen waarvan u de updates wilt ontvangen, en klik op OK.
12. Typ in het vak Stap 3 een naam voor de regel en klik op OK.
13. Klik op OK om het dialoogvenster Automatische goedkeuringen te sluiten.

6.1.6 Back-up- en herstelbewerkingen uitvoeren met Windows Server Backup

Windows Server 2016 bevat een back-upsoftwareprogramma dat u kunt gebruiken om een back-up van uw volumes te maken naar een interne of externe harde schijf, naar een beschrijfbare dvd-drive of naar een netwerkshare. Windows Server Backup is in de eerste plaats ontworpen om back-ups te maken van volledige servervolumes op een externe harde schijf. Daarom ontbreken veel van de meer geavanceerde functies van back-upsoftware in producten van derden in Windows Server Backup.

Enkele van de belangrijkste factoren die beheerders moeten begrijpen over Windows Serverback-up zijn als volgt:

• Beperkte schijfondersteuning – Windows Server Backup ondersteunt geen tape- of optische stations die niet toegankelijk zijn via het bestandssysteem. Het programma is voornamelijk ontworpen voor gebruik met externe harde schijven, met behulp van een USB- of IEEE 1394-verbinding.
• Beperkte planning – Windows Server Backup kan slechts één taak plannen en is beperkt tot het dagelijks of meerdere keren per dag uitvoeren van de taak. U kunt geen taak plannen voor een toekomstige datum, of een interval van meer dan 24 uur tussen taken opgeven.
• Beperkte taaktypen – Met Windows Server Backup kunt u geen volledige, incrementele en differentiële back-ups per taak uitvoeren. U kunt al uw back-ups configureren als volledig of incrementeel, of u kunt voor elk volledig of incrementeel selecteren doelvolume. Het programma ondersteunt geen differentiële banen.
• Ander back-upformaat – Windows Server Backup schrijft zijn back-upbestanden in VHDX-indeling (Virtual Hard Disk), waardoor ze toegankelijk zijn met Hyper-V of de module Schijfbeheer.

Windows Server Backup is een functie die u moet installeren met behulp van de wizard Rollen en onderdelen toevoegen in Serverbeheer of de cmdlet Install-WindowsFeature in Windows PowerShell. Door de functie toe te voegen, wordt de Windows Server Backup-console geïnstalleerd, zoals weergegeven in de volgende afbeelding.

Naast het installeren van de Windows Server Backup-functie, moet u een back-upapparaat hebben dat toegankelijk is voor het systeem, ofwel een harde schijf of een netwerkshare. Nadat u Windows Server Backup hebt geïnstalleerd, kunt u beginnen met het maken van uw back-uptaken.

6.1.6.1 Een enkele back-uptaak ​​maken

Windows Server Backup kan inividuele, interactieve back-uptaken uitvoeren die onmiddellijk beginnen, of geautomatiseerde taken die u plant om later te beginnen. Individuele back-uptaken bieden meer flexibiliteit dan geplande taken, met als duidelijk nadeel dat iemand

moet er zijn om de taak te creëren en te starten. U kunt een lokale schijf of een netwerkshare gebruiken voor uw back-ups. Als er niet genoeg ruimte is voor de back-uptaak op het geselecteerde doel, zal de taak mislukken.

Gebruik de volgende procedure om een enkele back-uptaak te maken met een lokale schijf als taakbestemming.

1. Open de Windows Server Backup-console en klik in het deelvenster Acties op Eenmalige back-up om de wizard Back-up eenmaal te starten.
2. Laat op de pagina Back-upopties de optie Verschillende opties geselecteerd. Als u al een geplande back-uptaak hebt geconfigureerd op het systeem, kunt u Geplande back-upopties selecteren om onmiddellijk één exemplaar van die taak uit te voeren.
3. Op de pagina Back-upconfiguratie selecteren verschijnt, weergegeven in de volgende afbeelding, selecteert u de optie Aangepast.
   

   

4. Klik op de pagina Items voor back-up selecteren op Items toevoegen.
5. Selecteer in het dialoogvenster Items selecteren, zoals weergegeven in de volgende afbeelding, de systeemelementen waarvan u een back-up wilt maken.
   

   

6. Laat de optie Lokale stations geselecteerd op de pagina Bestemmingstype specificeren, weergegeven in de volgende afbeelding.
   

   

7. Gebruik op de pagina Back-upbestemming selecteren, weergegeven in de volgende afbeelding, de vervolgkeuzelijst Back-upbestemming om het volume te selecteren waar u wilt dat het programma de back-ups opslaat.
   

   

8. Klik op de bevestigingspagina op Back-up om de taak te starten.
9. Op de pagina Back-upvoortgang, weergegeven in de volgende afbeelding, kunt u de taak volgen terwijl deze wordt uitgevoerd.
10. Klik op Sluiten. De back-uptaak gaat door op de achtergrond, zelfs nadat u de wizard en de console hebt gesloten.

Opmerking Bestandstypen uitsluiten

Klik op de knop Geavanceerde instellingen op de pagina Items voor back-up selecteren om uitsluitingen te maken die voorkomen dat tijdens de taak een back-up van bepaalde bestandstypen wordt gemaakt.

6.1.6.2 Een geplande back-up uitvoeren

Windows Server-back-up maakt het mogelijk om een back-uptaak te plannen om elke dag op dezelfde tijd(en) uit te voeren. Wanneer u een geplande back-uptaak maakt, zijn de opties enigszins anders dan een enkele, interactieve baan. Ten eerste kunt u geen optische schijven of netwerkshares als back-upschijven gebruiken; u moet een harde schijf gebruiken die op de computer is aangesloten, intern of extern. Ten tweede kun je niet zomaar een back-up maken naar een bestand dat ergens is opgeslagen op de computer en het met Windows Verkenner beheren, net als elk ander bestand.

Windows Server Backup formatteert de back-upschijf die u selecteert en gebruikt deze uitsluitend voor back-ups.

Gebruik de volgende procedure om een geplande back-uptaak te maken.

1. Open de Windows Server Backup-console en klik in het deelvenster Acties op Back-upschema om de wizard Back-upschema te starten.
2. Op de pagina Back-upconfiguratie selecteren verschijnt, selecteert u de optie Aangepast.
3. Klik op de pagina Items voor back-up selecteren op Items toevoegen.
4. Selecteer in het dialoogvenster Items selecteren de systeemelementen waarvan u een back-up wilt maken.
5. Laat op de pagina Back-uptijd specificeren, weergegeven in de volgende afbeelding, de optie Eenmaal per dag geselecteerd en gebruik de vervolgkeuzelijst Selecteer tijd van de dag om op te geven wanneer de back-up moet plaatsvinden.
   

   

6. Selecteer op de pagina Bestemmingstype opgeven, weergegeven in de volgende afbeelding, de optie Back-up maken op een harde schijf die bestemd is voor back-ups.
   

   

7. Selecteer op de pagina Bestemmingsschijf selecteren de schijf die u voor uw back-ups wilt gebruiken. In het vak Beschikbare schijven worden alleen de externe schijven weergegeven die op de computer zijn aangesloten. Om een interne schijf te gebruiken, moet u op Alle beschikbare schijven weergeven klikken en de schijf(ken) selecteren die u aan de lijst wilt toevoegen in het dialoogvenster Alle beschikbare schijven weergeven.
8. Er verschijnt een Windows Server Backup-berichtvenster waarin u wordt geïnformeerd dat het programma de door u geselecteerde schijf(ken) opnieuw zal formatteren en exclusief aan back-ups zal wijden. Klik op Ja om door te gaan.
9. Klik op de bevestigingspagina op Voltooien. De wizard formatteert de back-upschijf en plant de back-uptaak om te beginnen op het door u opgegeven tijdstip.
10. Klik op Sluiten.

Met Windows Server Backup kunt u slechts één back-uptaak plannen, dus de volgende keer dat u de wizard Back-upschema start, zijn uw enige opties het wijzigen of stoppen van de huidige back-uptaak.

Opmerking Meerdere dagelijkse back-ups uitvoeren

Voor een computer waarop een vluchtige toepassing wordt uitgevoerd, zoals een webserver, wilt u wellicht de optie Meer dan één keer per dag selecteren en meerdere keren selecteren dat de back-up elke dag moet plaatsvinden.

Opmerking Gespiegelde back-ups maken

Als u meerdere schijven selecteert op de pagina Bestemmingsschijf selecteren, maakt Windows Server Back-up identieke kopieën van de back-upbestanden op elke schijf.

6.1.6.3 Incrementele back-ups configureren

Windows Server Backup ondersteunt incrementele taken, maar op een manier die verschilt van sommige andere back-upsoftwareproducten. Wanneer Windows Server Backup de controle over een back-upschijf overneemt, maakt het nieuwe, afzonderlijke bestanden voor de back-uptaak(en) die het elke dag uitvoert. Het systeem bewaart de bestanden voor alle oude taken totdat de schijf is gevuld of 512 taken op de schijf zijn opgeslagen, afhankelijk van wat zich het eerst voordoet. Vervolgens begint het systeem indien nodig de oudste taken te verwijderen.

In tegenstelling tot de meeste back-upsoftwareprogramma’s kunt u met Windows Server Backup geen taaktype opgeven voor elke afzonderlijke taak die u uitvoert. U kunt er niet voor kiezen om bijvoorbeeld op zaterdag een volledige back-up uit te voeren en bijvoorbeeld een incrementele of differentiële back-up op elke werkdag. Daarom zijn traditionele taakplanningsstrategieën en taperotatiemethoden hier niet van toepassing.

Windows Server Backup ondersteunt wel incrementele back-ups, maar alleen als een algemene instelling die van toepassing is op al uw back-uptaken. Wanneer u Prestatie-instellingen configureren selecteert in het actievenster in de Windows Server Backup-console, verschijnt een dialoogvenster Optimaliseer back-upprestaties, zoals weergegeven in de volgende afbeelding.

De optie Normale back-upprestaties, die standaard is, zorgt ervoor dat het programma elk bestand op de geselecteerde volumes naar het back-upmedium kopieert, elke keer dat u een back-up uitvoert. Dit betekent dat het programma alle besturingssysteem- en toepassingsbestanden op de volumes, bestanden die nooit veranderen, keer op keer naar de back-upschijf kopieert, waarbij mogelijk veel ruimte in beslag wordt genomen zonder nuttig doel.

Wanneer u de optie Snellere back-upprestaties selecteert, kopieert het programma alleen de bestanden die zijn gewijzigd sinds de vorige back-up, wat een incrementele back-up wordt genoemd.

De eerste back-uptaak is natuurlijk altijd een volledige back-up, maar volgende taken nemen veel minder opslagruimte in beslag, waardoor het programma een langere back-upgeschiedenis kan bijhouden. Met de optie Aangepast kunt u opgeven of u volledige of incrementele back-ups wilt maken voor elk van de volumes op de computer.

6.1.6.4 Een herstel uitvoeren

Met Windows Server Backup kunt u volledige volumes of geselecteerde bestanden, mappen en toepassingen herstellen met behulp van een op een wizard gebaseerde interface in de Windows Server Backup-console.

Nadat u ten minste één back-uptaak hebt voltooid, kunt u de Windows Server Backup-console gebruiken om alle of een deel van de gegevens op uw back-upschijf te herstellen. Beheerders moeten met regelmatige tussenpozen testherstel uitvoeren om ervoor te zorgen dat de back-ups correct worden voltooid.

Gebruik de volgende procedure om geselecteerde bestanden of mappen te herstellen.

1. Open de Windows Server Backup-console en klik in het deelvenster Acties op Herstellen om de herstelwizard te starten.
2. Laat op de pagina Aan de slag de optie Deze server geselecteerd.
3. Selecteer op de pagina Back-updatum selecteren, weergegeven in de volgende afbeelding, in het vak Beschikbare back-ups de datum van de back-up waarvan u de back-up wilt herstellen, en als u op die datum meer dan één back-up hebt uitgevoerd, ook de tijd.
   

   

4. Op de pagina Hersteltype selecteren, weergegeven in de volgende afbeelding, laat u de optie Bestanden en mappen geselecteerd.
   

   

5. Vouw op de pagina Selecteer items om te herstellen de servermap uit, zoals weergegeven in de volgende afbeelding, en selecteer de bestanden of submappen die u wilt herstellen.
   

   

6. Geef op de pagina Herstelopties opgeven, weergegeven in de volgende afbeelding, in het vak Herstelbestemming op of u de selecties wilt herstellen naar hun oorspronkelijke locatie of naar een andere locatie van uw keuze.
   

   

7. Geef in het vak Wanneer de wizard bestanden en mappen in de herstelbestemming vindt, op of u de bestaande bestanden en mappen wilt kopiëren, overschrijven of overslaan.
8. Geef in het vak Beveiligingsinstellingen op of u de toegangscontrolelijsten van de geselecteerde bestanden en mappen wilt herstellen.
9. Klik op de bevestigingspagina op Herstellen. De wizard herstelt de geselecteerde bestanden.
10. Klik op Sluiten.

In tegenstelling tot veel back-upsoftwareproducten is de verwerking van incrementele taken in het herstelproces volledig onzichtbaar voor de console-operator. Wanneer u bijvoorbeeld een map selecteert om te herstellen, opent de Recovery Wizard automatisch alle eerdere taken die nodig zijn om de nieuwste versie van elk bestand in de map te vinden.

Opmerking Volumes en toepassingen herstellen

Op de pagina Selecteer items om te herstellen kunt u ook volledige volumes herstellen, evenals toepassingen. Wanneer u een back-up maakt van een volume dat toepassingen bevat die Volume Shadow Copy Service (VSS) en Windows Server Backup compliant zijn, kunt u een volledige toepassing en de bijbehorende gegevens in één keer herstellen door deze in de wizard te selecteren.

6.1.7 Back-upstrategieën bepalen

Sommige Windows Server 2016-componenten bieden speciale problemen voor een back-upoplossing, en toch zijn die componenten vaak het meest de moeite waard om te beschermen.

6.1.7.1 Back-up maken van Active Directory

De Active Directory-database is een cruciale bron op de meeste Windows-netwerken, een bron die back-upbeheerders niet mogen negeren. Het back-uppen en terugzetten van Active Directory is echter in bijna alle opzichten een uitzonderlijk proces. Wanneer u een geplande back-up van een Active Directory-domeincontroller uitvoert, of een enkele back-up uitvoert terwijl het selectievakje Systeemstatus is ingeschakeld, neemt Windows Server Backup onder andere de Active Directory-database op als onderdeel van de systeemstatus.

Active Directory-domeinen moeten ten minste twee domeincontrollers hebben, en als dat het geval is, en een ervan faalt of gaat verloren, zou het niet nodig moeten zijn om de Active Directory-database te herstellen vanaf een back-up. In plaats daarvan kunt u de Active Directory Domain Services-rol opnieuw installeren, de computer promoveren tot domeincontroller en het replicatieproces toestaan om de database opnieuw op te bouwen op de nieuwe domeincontroller.

Het uitvoeren van een volledige serverherstel omvat de systeemstatus met de Active Directory-database, maar het kan voorkomen dat u delen van Active Directory wilt ophalen, zoals objecten die u per ongeluk hebt verwijderd.

Opmerking Een back-up maken van de systeemstatus

U kunt alleen met de systeemstatus als een enkele entiteit werken. U kunt geen back-up maken van afzonderlijke elementen binnen de systeemstatus of deze herstellen.

Het is mogelijk om alleen de systeemstatus te herstellen vanaf een back-up, maar u moet het opdrachtregelprogramma Wbadmin.exe gebruiken, zoals in het volgende voorbeeld:

wbadmin start systemstaterecovery –versie: 11/27/2016-11:07

De datum- en tijdwaarde die volgt op de parameter version: is de versie-id voor de back-up waarvan u de systeemstatus wilt herstellen. Gebruik de volgende opdracht om de versie-ID’s van de beschikbare back-ups weer te geven, zoals weergegeven in de volgende afbeelding.

Het is belangrijk dat de beheerder begrijpt dat er twee soorten systeemstatusherstel zijn: gezaghebbend en niet-bevoegd.

• Niet-authoratief – Wanneer u een opdrachtpromptvenster opent in een standaard Windows-sessie en de systeemstatus herstelt, voert u een niet-bevoegd herstel uit. Dit betekent dat het programma de Active Directory-database terugzet in de exacte staat waarin deze zich bevond op het moment van de back-up. De volgende keer dat een Active Directory-replicatie plaatsvindt, zullen de andere domeincontrollers het zojuist herstelde systeem bijwerken met alle wijzigingen die zijn opgetreden sinds de back-up heeft plaatsgevonden. Dit betekent dat als u AD-objecten probeert te herstellen die u per ongeluk hebt verwijderd, het replicatieproces ervoor zorgt dat het systeem de zojuist herstelde objecten verwijdert.
• Gezaghebbend – Om verwijderde objecten te herstellen, moet u een gezaghebbend herstel uitvoeren. Hiervoor moet u de computer opnieuw opstarten in de Directory Services Repair Mode (DSRM) door tijdens het opstartproces op F8 te drukken en het juiste item te selecteren in het menu Geavanceerde opstartopties. Nadat u zich hebt aangemeld met het beheerdersaccount en het DSRM-wachtwoord dat is opgegeven tijdens de installatie van Active Directory Domain Services, kunt u de systeemstatus herstellen met Wbadmin.exe. Zodra het herstel van de systeemstatus is voltooid, kunt u het hulpprogramma Ntdsutil.exe gebruiken om de objecten op te geven die u autoritair wilt herstellen.

6.1.7.2 Een back-up maken van groepsbeleidsobjecten

Groepsbeleidsobjecten (GPO’s) zijn een speciaal geval. U kunt de gezaghebbende herstelprocedure niet gebruiken om groepsbeleidsobjecten te herstellen die u per ongeluk hebt verwijderd. Als u een back-up wilt maken van groepsbeleidsobjecten en deze wilt herstellen, moet u de console Groepsbeleidsbeheer gebruiken. Wanneer u met de rechtermuisknop op een GPO in de console klikt en Back-up selecteert in het contextmenu, verschijnt een dialoogvenster Back-up groepsbeleidsobject, zoals weergegeven in de vogende afbeelding , waarin u de locatie voor de back-up kunt specificeren.

Om een groepsbeleidsobject te herstellen, klikt u met de rechtermuisknop op de container Groepsbeleidsobjecten en selecteert u in het contextmenu Back-ups beheren. Het dialoogvenster Back-ups beheren verschijnt, zoals weergegeven in de volgende afbeelding, waarin u het groepsbeleidsobject kunt selecteren dat u wilt herstellen en op de knop Herstellen klikt.

6.1.7.3 Een back-up maken van Hyper-V

Hyper-V vormt een probleem voor back-upbeheerders. U kunt een back-up maken van virtuele machines alsof het afzonderlijke systemen zijn, door Windows Server Backup in het gastbesturingssysteem uit te voeren. U kunt er ook een back-up van maken als onderdeel van de hostserver, door een back-up te maken van de virtuele machinebestanden en de virtuele harde schijven.

Een back-up maken vanuit het gast-besturingssysteem kan toegang bieden tot bronnen die niet beschikbaar zijn via de host, zoals pass-through-schijven, maar het slaat geen van de instellingen van de virtuele machine op. Als u een herstel van de gast moet uitvoeren, moet u eerst de virtuele machine opnieuw maken, met de juiste instellingen, en vervolgens het gast-besturingssysteem herstellen. Microsoft raadt beheerders aan deze methode naast een hostback-up te gebruiken, niet in plaats daarvan.

Voor het maken van back-ups van virtuele machines vanaf de Hyper-V-host wordt de Hyper-V Volume Shadow Copy Requestor-service in het gastbesturingssysteem gebruikt om de host in staat te stellen een back-up van de VM te maken terwijl deze draait. De aanvraagservice in de gast communiceert met de Volume Shadow Copy Service (VSS) in de host, waardoor deze een back-up kan maken van de configuratiebestanden van de virtuele machine, de virtuele harde schijven en alle controlepunten die aan de VM zijn gekoppeld. U kunt de virtuele machine vervolgens indien nodig vanaf de host herstellen zonder deze eerst in Hyper-V te hoeven configureren.

Windows Server Backup biedt ondersteuning voor de VSS-schrijver en de gastverzoekservice, waardoor het eenvoudig is om een back-up te maken van virtuele machines en hun hostinstellingen. Wanneer u een back-up van een Hyper-V-host maakt, bevat het dialoogvenster Items selecteren een Hyper-V-item, zoals weergegeven in de volgende afbeelding, waarmee u de hostcomponenten en de afzonderlijke VM’s die op de server draaien, kunt selecteren.

6.1.7.4 Een back-up maken van IIS

Websites met Internet Information Services (IIS) kunnen componenten bevatten die het maken van een back-up bemoeilijken. De statische bestanden waaruit een website bestaat, zoals HTML-bestanden, zijn geen probleem, omdat ze kunnen worden behandeld als bestanden op een bestandsserver en dienovereenkomstig een back-up gemaakt.

Veel websites zijn echter verbonden met back-enddatabases die worden gehost door Microsoft SQL Server of andere toepassingen. De database kan zich bevinden op de server waarop IIS draait of op een andere server. Om hiervan een back-up te maken, moet u een product gebruiken dat back-ups van SQL Server ondersteunt. Windows Server Backup kan VSS-back-ups van SQL Server-databases uitvoeren.

De derde mogelijke componenten van een IIS-website zijn de configuratiebestanden, waaronder ApplicationHost.config, Administration.config en Redirection.config. Dit zijn XML-bestanden in de map Windows\System32\inetsrv, die de configuratie-instellingen voor de IIS-sites en -toepassingen bevatten.

Omdat dit XML-bestanden zijn, is het geen probleem om er een back-up van te maken, maar beheerders moeten eraan denken ze te selecteren voor back-up. Het is ook mogelijk om deze configuratiebestanden te back-uppen met behulp van een IIS-hulpprogramma genaamd Appcmd.exe. Om een back-up van de IIS-configuratiebestanden uit te voeren, voert u een opdracht als de volgende uit in de map Windows\System32\inetsrv:

appcmd add backup configbackup1

Om de configuratiebestanden van een eerder uitgevoerde back-up te herstellen, gebruikt u een opdracht zoals het volgende:

appcmd restore backup configbackup1