Best Practices Analyzer

Best Practices Analyzer meldet diversen Warnungen auf neu installierten Windows Server 5


Best Practices Analyzer
Best Practices Analyzer

Nach der Installation eines Windows Server meldet der Best Practices Analyzer, oder kurz BPA, diversen Warnungen. Grund ist, dass einige Einstellung nicht den von Microsoft empfohlenen Werte entsprechen. Warum bei der Installation von Windows Server nicht automatisch die empfohlenen Werte eingetragen werden werde ich wohl nicht verstehen. Damit ich und Sie nicht jedes mal die Parameter neu recherchieren muss haben ich diese in diesem Beitrag zusammen gefasst. Ebenso habe ich die von Microsoft empfohlenen Lösung recherchiert. Angewendet werden die empfohlenen Lösungen in dem man sich die entsprechende Zeile sich kopiert und einer eine CMD-Konsole mit Administrativen Rechten ausführt.





Die Erstellung kurzer Dateinamen sollte deaktiviert werden

Problem:
Zusätzlich zu dem normalen Dateinamen erstellt der Server für jede Datei einen kurzen, aus acht Zeichen bestehenden Dateinamen mit einer Erweiterung aus drei Zeichen (8.3-Dateiname).

Auswirkung:
Das Erstellen kurzer Dateinamen zusätzlich zu den normalen, langen Dateinamen kann die Dateiserverleistung deutlich verringern.

Lösung:

REG add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem" /v "NtfsDisable8dot3NameCreation" /T REG_DWORD /D "1" /f

„AsynchronousCredits“ sollte den empfohlenen Wert besitzen

Problem:
„AsynchronousCredits“ besitzt nicht den empfohlenen Wert auf diesem Server.

Auswirkung:
SMB ist keine Standardkonfiguration. Dies könnte zu einem weniger optimalen Verhalten führen.

Lösung:
Legen Sie „AsynchronousCredits“ auf den empfohlenen Wert fest: „64“.

REG add "HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters" /v "AsynchronousCredits" /T REG_DWORD /D "64" /f 

„CachedOpenLimit“ sollte den empfohlenen Wert besitzen

Problem:
„CachedOpenLimit“ besitzt nicht den empfohlenen Wert auf diesem Server.

Auswirkung:
SMB ist keine Standardkonfiguration. Dies könnte zu einem weniger optimalen Verhalten führen.

Lösung:
Legen Sie „CachedOpenLimit“ auf den empfohlenen Wert fest: „5“.

REG add "HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters" /v "CachedOpenLimit" /T REG_DWORD /D "5" /f 

„AutoDisconnectTimeout“ sollte den empfohlenen Wert besitzen

Problem:
„AutoDisconnectTimeout“ besitzt nicht den empfohlenen Wert auf diesem Server.

Auswirkung:
SMB ist keine Standardkonfiguration. Dies könnte zu einem weniger optimalen Verhalten führen.

Lösung:
Legen Sie „AutoDisconnectTimeout“ auf den empfohlenen Wert fest: „0“.

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe Set-SmbServerConfiguration -AutoDisconnectTimeout 0 -Force

„Smb2CreditsMin“ sollte den empfohlenen Wert besitzen

Problem:
„Smb2CreditsMin“ besitzt nicht den empfohlenen Wert auf diesem Server.

Auswirkung:
SMB ist keine Standardkonfiguration. Dies könnte zu einem weniger optimalen Verhalten führen.

Lösung:
Legen Sie „Smb2CreditsMin“ auf den empfohlenen Wert fest: „128“.

REG add "HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters" /v "Smb2CreditsMin" /T REG_DWORD /D "128" /f

„Smb2CreditsMax“ sollte den empfohlenen Wert besitzen

Problem:
„Smb2CreditsMax“ besitzt nicht den empfohlenen Wert auf diesem Server.

Auswirkung:
SMB ist keine Standardkonfiguration. Dies könnte zu einem weniger optimalen Verhalten führen.

Lösung:
Legen Sie „Smb2CreditsMax“ auf den empfohlenen Wert fest: „2048“.

REG add "HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters" /v "Smb2CreditsMax" /T REG_DWORD /D "2048" /f 

„DurableHandleV2TimeoutInSeconds“ sollte den empfohlenen Wert besitzen

Problem:
„DurableHandleV2TimeoutInSeconds“ besitzt nicht den empfohlenen Wert auf diesem Server.

Auswirkung:
SMB ist keine Standardkonfiguration. Dies könnte zu einem weniger optimalen Verhalten führen.

Lösung:
Legen Sie „DurableHandleV2TimeoutInSeconds“ auf den empfohlenen Wert fest: „30“.

REG add "HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters" /v "DurableHandleV2TimeoutInSecond" /T REG_DWORD /D "30" /f 

„Srv.sys“ sollte so festgelegt sein, dass sie bei Bedarf gestartet wird

Problem:
„Srv.sys“ ist nicht so festgelegt, dass sie bei Bedarf gestartet wird.

Auswirkung:
Clientcomputer können auf keine Dateifreigaben und andere Server Message Block (SMB) -basierte Netzwerkdienste auf diesem Computer zugreifen.

Lösung:
Legen Sie „Srv.sys“ so fest, dass sie bei Bedarf gestartet wird.

sc config srv start=demand

„Srv.sys“ wurde nicht gestartet

Problem:
„Srv.sys“ wird nicht ausgeführt.

Auswirkung:
Clientcomputer können auf keine Dateifreigaben und andere Server Message Block (SMB)-basierte Netzwerkdienste auf diesem Computer zugreifen.

Lösung:
Starten Sie „Srv.sys“.

sc start srv

Prüfsummenabladung für einen Netzwerkadapter aktivieren

Problem:
Einige Netzwerkadapter können die Prüfsummenabladung verwenden, die Funktion ist jedoch deaktiviert.

Auswirkung:
Die Windows-Systemleistung kann beeinträchtigt sein, da die TCP/IP-Prüfsummenberechnungen nicht von der CPU auf den Netzwerkadapter abgeladen werden.

Lösung:
Aktivieren Sie die Prüfsummenabladung mit dem PowerShell-Cmdlet „Enable-NetAdapterChecksumOffload“ oder in den erweiterten Eigenschaften des Netzwerkadapters.

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe powershell.exe -command "& {Enable-NetAdapterChecksumOffload -Name * }"

IPsec Task Offload v2 (TOv2) für einen Netzwerkadapter aktivieren

Problem:
Einige Netzwerkadapter können IPsec TOv2 verwenden, die Funktion ist jedoch deaktiviert.

Auswirkung:
Die Netzwerkleistung kann beeinträchtigt sein, und die CPU wird möglicherweise überlastet, da keine Optimierung stattfindet.

Lösung:
Aktivieren Sie IPsec TOv2 mit dem PowerShell-Cmdlet „Enable-NetAdapterIPsecOffload“ oder in den erweiterten Eigenschaften des Netzwerkadapters.

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -command "& {Enable-NetAdapterIPsecOffload -Name * }"

Für Systeme mit RDMA-NICs sollte Verschlüsselung oder Signierung nicht aktiviert sein.

Problem:
Signierung oder Verschlüsselung wird auf diesem Server verwendet, der RDMA-NIC(s) besitzt.

Auswirkung:
Die Leistung von RDMA kann erheblich beeinträchtigt werden, wenn die Signierung oder Verschlüsselung aktiviert ist.

Lösung:
Die Leistung von RDMA kann erheblich beeinträchtigt werden, wenn die Signierung oder Verschlüsselung aktiviert ist.

REG add "HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters" /v "EnableSecuritySignature" /T REG_DWORD /D "0" /f  

Das SMB 1.0-Protokoll zur Dateifreigabe sollte aktiviert sein.

Problem:
Das SMB 1.0-Protokoll zur Dateifreigabe (Server Message Block) ist auf diesem Dateiserver deaktiviert.

Auswirkung:
SMB ist keine Standardkonfiguration. Dies könnte zu einem weniger optimalen Verhalten führen.

Lösung:
Aktivieren Sie das SMB 1.0-Protokoll mit dem Registrierungs-Editor.

Install-WindowsFeature -Name FS-SMB1

Server neu starten

Set-SMBServerConfiguration -EnableSMB1Protocol $true

Laut Microsoft ist die letzte Meldung veraltet und SMB1 soll nicht aktiviert werden!

Quelle: https://docs.microsoft.com/de-de/windows-server/storage/file-server/troubleshoot/smbv1-not-installed-by-default-in-windows

@Clemens: Vielen Dank für den Hinweis


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

5 Gedanken zu “Best Practices Analyzer meldet diversen Warnungen auf neu installierten Windows Server

  • Clemens

    Hallo,
    eine Info zum letzten Teil des Beitrags („Das SMB 1.0-Protokoll zur Dateifreigabe sollte aktiviert sein.“).
    SMBv1 sollte aus Sicherheitsgründen nicht mehr verwendet werden – daher hat mich diese Meldung sehr verwundert.
    Bei meiner Recherche bin auf diesen Artikel von Microsoft gestoßen:

    Best Practices Analyzer-Messaging für Windows Server
    Windows Server 2012 und spätere Server Betriebssysteme enthalten einen Best Practices Analyzer (BPA) für Dateiserver. Wenn Sie die richtige Online Anleitung zum Deinstallieren von Server Message Block befolgt haben, wird durch das Ausführen dieses BPA eine widersprüchliche Warnmeldung zurückgegeben:
    Title: The SMB 1.0 file sharing protocol should be enabled
    Severity: Warning
    Date: 3/25/2020 12:38:47 PM
    Category: Configuration
    Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
    Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
    Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
    Sie sollten diese spezielle Richtlinie der BPA-Regel ignorieren, da sie veraltet ist. Wir wiederholen Folgendes: Aktivieren Sie SMB 1,0 nicht.

    Referenz: https://docs.microsoft.com/de-de/windows-server/storage/file-server/troubleshoot/smbv1-not-installed-by-default-in-windows

  • Jan Madera

    Guten Tag, also eine „Lösung“ ist das insofern, dass die die Meldungen im BPA einfach durch Eingabe der Befehle verschwinden lassen. Eine echte „Lösung“ wäre meiner Meinung nach begründet, warum sie welchen Wert für was nun genommen haben. Das ist ja wie „Windows hat Fehler im Eventlog; Lösung: Eventlog leeren dann sind sie weg“.

    • Admin

      Wir haben die Werte genommen, die der BPA empfohlen hat um die Warn-Meldung zu beseitigen. Das hat nichts mit dem Lösen von Fehlern zu tun, sondern das liefern was der BPA gern sieht und was in 95% der Server passt. Alternativ kann man die Warnungen auch ausblenden, dass wäre dann genauso wie das Eventlog löschen um Fehler zu beseitigen.