Granikos Technology Blog

Die Installation und Einrichtung eines Windows Servers den Betrieb von Exchange Server 2019 ist nicht kompliziert. Jedoch sind einige Dinge zu beachten und zu konfigurieren, bevor eine Installation von Exchange Server 2019 durchgeführt wird. In diesem Artikel finden Sie sowohl Informationen für die Vorbereitung des Windows Server 2019 Systems, als auch für die Installation Exchange Server 2019.

In diesem Artikel wird die folgende Konstellation betrachtet:

• Windows Server 2019, Desktop-Edition
• Exchange Server 2019, Postfach-Rolle 

Die unten aufgeführte Checkliste passt nicht auf jede Exchange Server Umgebung. Nutzen Sie diese Checkliste als Vorlage für Ihre eigenen Checkliste zur Installation von Exchange Server. Insbesondere für den Fall einer Recovery-Installation ist eine erprobte Standard-Checkliste hilfreich und stressmindernd. 

Auf GitHub finden Sie eine Excel-Checkliste, die Sie bei der Installation von Exchange Server 2019 unterstützt. Passen Sie Excel-Checkliste Ihren Bedürfnissen an.

Empfehlungen

• Die Installationsmedien für Exchange Server 2019 werden nur für das aktuelle und das vorherige kumulative Update (CU) über das Volumenlizenzportal (VLSC) angeboten. Daher empfehle ich Ihnen dringend, ein lokales Repository für die Exchange Server 2019 ISO-Dateien einzurichten und dieses Repository auch in eine Datensicherung mit aufzunehmen.
   
• Binden Sie die Exchange Server ISO-Datei immer auf einem zuverlässigen Weg ein.
  Die Einbindung über einen Netzwerkpfad ist keine zuverlässige Einbindung. Sollte die Netzwerkverbindung während der Installation von Exchange Server 2019 gestört werden, enden Sie mit hoher Wahrscheinlichkeit mit einer korrupten Exchange Server Installation. Solch eine Installation lässt sich weder weiter installieren, noch deinstallieren.
  Der bessere Weg ist das Kopieren der ISO-Datei in das lokale Dateisystem des Servers, auf den Exchange Server installiert werden soll, und die lokale Einbindung direkt im Dateisystem des Servers.
   
• Die Vorbereitung des Active Directory kann auf unterschiedlichen Computersystemen durchgeführt werden. Sie verfügen als Exchange Administrator eventuell nicht über die alle notwendigen Berechtigungen, um die notwenigen Anpassungen im Active Directory durchführen zu können. Wenn Sie über die Berechtigung zur Aktualisierung des Active Directory Schemas, der Gesamtstruktur und der Domäne verfügen, achten Sie unbedingt darauf, dass das Computersystem in der gleichen Active Directory Site platziert ist, wie der Domain Controller mit der SchemaMaster FSMO-Rolle.
  Weitere Informationen über die Active Directory Anforderungen finden Sie in der Exchange Server Online Dokumentation.

Vorbereitung

• Download aktuelles Exchange Server 2019 CU
• Download .reg-Dateien zur Anpassung der Registry für Exchange Server Best Practices
  • https://github.com/Apoc70/SetupExchangeServer2019
• Download Visual Studio C++ Blibliotheken
  • Visual C++ Redistributable Packages for Visual Studio 2013
  • Visual C++ Redistributable for Visual Studio 2012
• Installieren Sie immer die aktuellste verfügbare Version der jeweiligen C++ Bibliotheken
  • Prüfung auf mögliche Updates der C++ Bibliotheken
• Download .NET Framework 4.8
• Download PowerShell-Skript für Exchange Server HealthCheck nach der Installation
  • https://aka.ms/ExchangeHealthChecker
• Prüfen Sie, dass der Systemdienst "Remote Registry" nicht durch eine Gruppenrichtlinie deaktiviert ist
• Einrichtung der erforderlichen DNS-Namen in der internen und externe DNS-Zone, für den Exchange Namensraum, z.B.
  • autodiscover.varunagroup.de -> A-Record
  • mail.varunagroup.de -> A-Record
  • download.varunagroup.de -> CNAME-Record
• Bereitstellung eines offiziellen TLS-Zertifikates für den gewünschten Exchange Namensraum der Domäne
  Das Zertifikat ist entweder:
  • ein Wildcard-Zertifkat,
    z.B.: *.varunagroup.de
  • ein SAN-Zertifikat mti einem Eintrag für den AutoDiscover-Endpunkt und einem Name für alle Client-Exchange-Dienste (https, POP, IMAP) und einem Namen für den E-Mail-Verbindungen (SMTP)
    z.B.: autodiscover.varunagroup.de, owa.varunagroup.de, mail.varunagroup.de, download.varunagroup.de

Checkliste - Exchange Server 2019 - Postfach-Rolle

Links

• GitHub-Seite für Feedback und Erweiterungswünsche
• Virtualisierung von Exchange Server 2019 in Zeiten von 48 Cores und MetaCache-Datenbank
• Vorbereitung von Active Directory und Domänen

Viel Spaß mit Exchange Server 2019!

Problem

After In-place upgrading from Windows Server 2008 R2 to Windows Server 2012 R2 (not a good idea in production environment) and activating the new Windows Server Updates Services Role, I´ve encountered several errors. The machine had also the System Center Configuration Manager 2012 R2 installed.

The post-installation task ended with the error Failed to start and configure the WSUS service.

A manually start did not work either (Error 193: 0xc1):

Reason

CCMSetup (SCCM) created a file called Program in the root folder and the WSUS Application Pool ran under the wrong .NET CLR Version.

Solution

Delete or rename Program file and change the .NET CLR Version from .NET 2 to .NET 4.

After an IISReset restart the Post-installation tasks of WSUS:

Sometimes you have the same scheduled task configured for manual execution available across different servers. Instead of triggering the start manually on each server by logging on remotely, you can trigger the scheduled task on each server by using Remote PowerShell.

The following example triggers the configured scheduled task My-Manual-Task on server MYSERVER01 to MYSERVER06.

$cimSession = New-CimSession -ComputerName MYSERVER01,MYSERVER02,MYSERVER03,MYSERVER04,MYSERVER05,MYSERVER06

Start-ScheduledTask My-Manual-Task -CimSession $cimSession

Remove-CimSession $cimSession

Enjoy Remote PowerShell

You are unsure what Office 365 has to offer for your business? We are here to help you get the best out of Office 365. Contact us at info@granikos.eu or visit our website.  

Das Thema Diversity ist allgegenwärtig und wird in Unternehmen inzwischen für unterschiedliche Themenkreise herangezogen. Viele Unternehmen haben hierzu dedizierte Teams gebildet, die über das Thema Diversity im Unternehmen aktiv aufklären und Fortbildung anbieten.

Ein wichtiges Themengebiet, ist die Geschlechtsidentität. Hier gibt es aus ganz unterschiedlichen Gründen immer noch Mißverständnisse und Vorbehalte.

Die Geschlechtsidentität ist eine der Dimensionen, die einen Menschen ausmachen und über die sich eine Person definiert. Über diese Identität bezieht eine Person auch die ganz persönliche Wertschätzung und Respekt. Leider ist diese Dimension im täglichen (Arbeits-)Leben oft Ausgangspunkt für Diskriminierung und respektlosen Umgang. 

In vielen Unternehmen existieren Richtlinien, die eine Diskriminierung auf von Personen auf Grundlage des Geschlechts, der Geschlechtsidentität, des Geschlechtsausdrucks oder der sexuellen Orientierung untersagen. Hat das Unternehmen, in dem Sie arbeiten, eine entsprechende Diversitätsrichtlinie oder eine Definition von Grundwerten im Unternehmen und sind diese allen Mitarbeitern im Unternehmen bekannt?

Der respektvolle Umgang mit Kollegen basiert nicht nur auf organisatorischen Richtlinien, sondern vielmehr auf dem respektvollen Umgang aus innerer Überzeugung heraus. Ohne eine innere Überzeugung wird es immer wieder zu respektlosen Aussagen kommen.  

Wichtige Begriffe

Um einen fairen und respektvollen Umgang miteinander, nicht nur beruflichen Alltag, zu leben, ist ein gemeinschaftliches Verständnis der Begriffe erforderlich. Die folgenden Begriffserklärungen helfen Ihnen bei Gesprächen mit Kollegen und Mitarbeitern. Vielleicht machen sie auch neugierig, mehr zu erfahren

• Coming-out
  Das Coming-out ist der Vorgang, bei dem eine Person zum ersten Mal ihre sexuelle Orientierung oder Geschlechtsidentität anerkennt, akzeptiert und wertschätzt. Zum Coming-out gehört, dies anderen mitzuteilen. Das Mitteilen kann eine große Herausforderung darstellen. Die sich outende Person kann nicht abschätzen, wie Freunde, Verwandte oder Kollegen darauf reagieren. 
   
• Geschlecht
  Das Geschlecht bestimmt sich aus den biologischen Merkmalen zur Fortpflanzung, aus denen sich die Bezeichnung als männlich oder weiblich ableitet. Diese Klassifizierung ist das Ergebnis der visuellen Beurteilung der Geschlechtsorgane eines Babys durch einen Arzt.
   
• Gender
  Die soziale Dimension (Rolle) des biologischen Geschlechts bezeichnet man als Gender. Die Gender-Rolle spiegelt die Pflichten, Eigenschaften und die Erwartungen der Gesellschaft auf Basis des sozialen Geschlechts wider. Zu diesen Eigenschaften und Erwartungen gehören z.B das Aussehen, das Verhalten, der Kleidungsstil, der gewählte Beruf, der Vorname, aber auch erlerntes Verhalten, wie z.B. die Gangart.
   
• Geschlechtsausdruck
  Die äußeren Merkmale und Verhaltensweisen, die gesellschaftlich als männlich oder weiblich angesehen werden, bezeichnet man als Geschlechtsausdruck. Hierzu gehören z.B. Kleidung, Körperpflege, Eigenheiten, Sprechweise und soziale Interkation. Soziale und kulturelle Normen sind in jeder Kultur unterschiedlich und können daher weit voneinander abweichen.
   
• Geschlechtsidentität
  Die angeborene, tief empfundene psychologische Identifikation als männlich oder weiblich, wird als Geschlechtsidentität bezeichnet. Diese Identität muss nicht zwingend mit dem Körper oder dem bei der Geburt bestimmten Geschlecht übereinstimmen.
   
• Geschlechtsangleichung
  Die Geschlechtsangleichung ist der Prozess, bei dem eine Person ihre physischen Merkmale und/oder ihr geschlechtliches Ausdrucksverhalten an die eigene Geschlechtsidentität anpasst. 
   
• Transgender
  Der Begriff Transgender ist ein Sammelbegriff, der transsexuelle Menschen sowie andere Menschen, die nicht den gängigen Geschlehcterrollen entsprechen, zusammenfasst. Diese Menschen empfinden ihr soziales Geschlecht als abweichend von ihrem biologischen Geschlecht. Ihr soziales Geschlecht wird oft abweichend vom biologischen Geschlecht ausgedrückt. Dies erfolgt entweder durch entsprechendes soziales Verhalten oder durch eine Geschlechtsumwandlung. Es ist wichtig zu wissen, dass sich nicht alle Individuen, die sich als Transgender verstehen, einer Geschlechtsangleichung unterziehen. 
   
• Transsexuell
  Wenn eine Person dass eigene physische und/oder das vor dem Gesetz geltende Geschlecht so ändert, dass es dem inneren Gefühl der eigenen Geschlechtsidentität entspricht, bezeichnet man diese Person als transsexuell. Dies gilt unabhängig davon, ob sich die Person im Prozess der Änderung befindet oder diesen bereits abgeschlossen hat. Der Begriff kann für die Beschreibung von Personen verwendet werden, die sich, auch ohne ärztliche Behandlung, vollständig gegenteilig zu ihrem biologischen Geschlecht verhalten und sich mit dieser Geschlechterrolle vollständig identifizieren. Nach Abschluss einer Geschlechtsangleichung verstehen sich Transsexuelle mitunter als Transfrau bzw. als Transmann. Wichig ist, dass die Transsexualität einer Person keinen direkten oder verhersagbaren Rückschluss auf die sexuelle Orientierung der Person zulässt.
   
• Sexuelle Orientierung
  Mit der sexuellen Orientierung beschreibt man, ob sich ein Individuum physisch und/oder emotional zum selben oder zum einem anderen Geschlecht hingezogen fühlt. Heterosexuell, bisexuell und homosexuell sind sexuelle Orientierungen. Es ist wichtig, die sexuelle Orientierung ist von der Geschlechtsidentität und dem Geschlechtsausdruck eines Individuums zu unterscheiden.

Der respektvolle Umgang mit Menschen ist nicht auf die Kollegen am Arbeitsplatz beschränkt. Machen Sie den respektvollen Umgang mit Menschen zu Ihrer innersten Überzeugung und tragen Sie so, einfach und selbstverständlich, dazu bei, dass diese Welt eine lebenswerter Ort bleibt. 

Anmerkung

In meinen Blogartikeln schreibe ich immer über den Anwender, den Mitarbeiter oder den Kollegen. Diese Benennung erfolgt ohne jegliche Ein- oder Ausgrenzung eines Geschlechts. Vielmehr erfolgt die Benennung immer im Hinblick auf die Vielfalt der Geschlechter (gn*, gender neutral / non-binary). 

Links

• Diversity and Tech Community

Photo from rawpixel.com from Pexels

De-Mail

De-Mail ist Bestandteil der E-Government-2.0 Strategie Deutschlands und ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Technik zur sicheren, vertraulichen und nachweisbaren E-Mail Kommunikation.

Eine komfortable Anbindung an die De-Mail Infrastruktur ist mit Hilfe der E-Mail Gateway Lösung NoSpamProxy Encryption möglich. Für eine Anbindung an die E-Mail Systeme eines Unternehmens muss eine De-Mail Gateway Kommunikation eingerichtet werden. Die Nutzung von De-Mail in dieserm Szenario erfordert den Einsatz einer Signaturkarte, was für die Anbindung an eine serverbasierte Softwarelösung ganz eigene Herausforderungen mit sich bringt.

Im nachfolgenden Artikel wird die Anbindung exemplarisch für die T-Systems De-Mail Schnittstelle unter Verwendung von NoSpamProxy Encryption beschrieben. Die von T-Systems zur Verfügung gestellte Gateway-Lösung wird hierzu nicht benötigt. Die NoSpamProxy Encryption Gateway Rolle ist in diesem Beispiel bereits auf dem Windows Server 2012R2 System installiert.

Voraussetzungen

Lesegeräte für Signaturkarten sind mit einer USB Schnittstelle ausgestattet. Bei direkter Nutzung einer hardwarebasierten Serverlösung stellt dies kein Problem dar, da der Kartenleser direkt am Server angeschlossen werden kann.

In einer virtualisierten Serverinfrastruktur muss der USB Kartenleser mit Hilfe eines USB Servers dem Betriebssystem zur Verfügung gestellt werden. Hier gibt es unterschiedliche Produkte am Markt. T-System empfiehlt hier das SoHo Produkt myUTN-50a der Fa. SEH. Am Markt existieren auch industrietaugliche Alternativen.

Als Kartenlesen empfiehlt und verkauft T-Systems den SCR3310 (lt. Herstellt End of Life), der auch in diesem Beispiel verwendet wird.

Hinweise

• Da die PIN Nutzung durch die Software erfolgt, darf kein Kartenleser mit eigener Tastatur verwendet werden.
• Jeder Gateway Server erfordert einen eigenen Kartenleser und eine dedizierte Smartcard.

Installation

Die Installation aller Smartcard Komponenten muss über die Konsole erfolgen. Eine Installation über eine RDP Verbindung (auch RDP Konsole) führt zu einer fehlerhaften Installation der Smartcard Komponenten.

1. Einrichtung und Installation USB Server

Für den USB Server ist die Verwendung einer dedizierten und fest konfigurierten IP-Adresse einer Zuweisung per DHCP vorzuziehen. Nach der Einrichtung muss der USB Server mit Hilfe der zugehörigen Verwaltungssoftware erreichbar sein und die USB Ports müssen im Gastbetriebssystem eingebunden werden. Die korrekte Einbindung kann im Gerätemanager kontrolliert werden.

Wichtig ist, dass die Einbindung des USB-Servers als „Autostart“ konfiguriert ist, damit der USB-Server beim Start des Betriebssystems automatisch verbunden wird.

2. Installation Smartcard-Kartenleser (SCR3311)

Die Installation der Treibersoftware für den Kartenleser SCR3311 ist einfach, da es sich um eine simple Windows-Installer Lösung handelt. Nach der Installation muss der Kartenleser im Gerätemanager sichtbar sein und als korrekt installiert angezeigt werden.

3. Installation Smartcard

Für den Zugriff auf die Smartcard muss der Treiber für das TCOS (TeleSec Chipcard Operating System) installiert werden. Hier ist TCOS Cardmodul Treiber für die manuelle Installation zu verwenden. Nach dem Entpacken des gezippten Archivs erfolgt die Installation (Treiber Update) mit Hilfe des Gerätemanagers. Nach der Installation muss die Smartcard im Gerätemanager sichtbar sein und als korrekt installiert angezeigt werden.

4. Installation CardManager

Für die Registrierung der auf der Smartcard gespeicherten Zertifikate muss die TCOS CardManager Software installiert werden. Auch hier ist die Installation einfach, da es sich um eine simple Windows-Installer Lösung handelt.

Konfiguration

Nachdem alle Komponenten korrekt installiert sind, können die Zertifikate auf dem Server registriert und mit Hilfe eines Tools im Zertifikatsspeicher des Servers zur Nutzung bereitgestellt werden.

1. Registrierung Zertifikate

Starten Sie den TeleSec CardManager und wählen Sie die den Knoten Personalisierung -> Zertifikate und registrieren Sie alle Zertifikate.

2. Promoten der Zertifikate

Nach der Registrierung müssen die registrierten Zertifikate in den lokalen Zertifikatspeicher promotet werden, damit die Software mit den Zertifikaten arbeiten kann.

Starten Sie die CertificatePromoter.exe und wählen Sie alle registrierten Zertifikate. Klicken Sie anschließend auf Ok und starten Sie anschließend den Server durch.

Wichtig ist, dass nach der Bereitstellung der Zertifikate mindestens das Zertifikat für Client Authentication, Smart Card Logon im Zertifikatsspeicher aufgeführt wird.

In der Anzeige der Zertifikatsdetails können die erweiterten Nutzungsarten angezeigt werden:

3. De-Mail Konnektor

Nachdem nun die Zertifikate korrekt im lokalen Zertifikatsspeicher verfügbar sind, kann der NoSpamProxy De-Mail Konnektor in der NoSpamProxy Verwaltungskonsole konfiguriert werden.

Vergeben Sie einen Namen für den Konnektor und wählen Sie T-System als Ziel aus. Anschließend wählen Sie das zu verwendete Zertifikat aus.

Im Auswahldialog für das Zertifikat werden alle Zertifikate angezeigt, die auf den verbundenen NoSpamProxy Gateway Systemen im lokalen Zertifikatsspeicher zur Verfügung stehen. Werden in diesem Dialog die De-Mail Zertifikate nicht angezeigt, müssen die Konfigurationsschritte zur Einbindung der Zertifikate überprüft werden.

Überprüfen Sie anhand der Zertifikate-Detailanzeige das zu verwendende Zertifikat (s.o.) und wählen es anschließend aus.

Für jedes Gateway-System muss ein separater Konnektor erstellt werden.

Nach der Einrichtung des Konnektors und der erfolgreichen Verbindung zum T-System De-Mail Server werden in der NoSpamProxy Verwaltungskonsole die zur Verfügung stehenden De-Mail Domänen angezeigt. Damit wurde die De-Mail Anbindung mit NoSpamProxy Protection eingerichtet.

Nach der rein technischen Anbindung des Unternehmens an De-Mail, muss De-Mail in Ihre Fachverfahren nach Ihren Wünschen und Anforderungen integriert werden. Dies erfordert eine ganz individuelle Beratung und Umsetzung.

Links

• De-Mail Informationsportal, http://www.de-mail.info
• USB Server
  • myUTN-50a, USB Server in SoHo Ausführung (SEH Computertechnik GmbH)
    Produkt http://www.seh.de/produkte/usb-deviceserver/myutn-50a.html
    Treiber und Software http://www.seh.de/service/downloads/download-deviceserver/myutn-50a.html
  • USB-Server Gigabit in Industrie-Ausführung (Wiesemann & Theis GmbH)
    Produkt, Treiber und Software http://www.wut.de/e-53662-ww-dade-000.php
• Smartcard Kartenleser
  • SCR3310 v2 (SCM PC-Card GmbH)
    Produkt http://www.scm-pc-card.de/index.php?page=product&function=show_product&lang=de&category_id=46&p=SCR3310 v2&c=SmartCard (SCR)&product_id=608
    Treiber (Version 8.57) http://www.scm-pc-card.de/index.php?page=download&function=show_downloads&lang=de&product_id=608
• Smartcard
  • TCOS Cardmodul Treiber (Telesec)
    Treiber https://www.telesec.de/de/tcos/support/downloadbereich/category/26-tcos-cardmodul-zum-microsoft-smartcard-basecsp
  • TeleSec CardManager V2 Lite 1.2.1
    Software https://www.telesec.de/de/tcos/support/downloadbereich/file/165-telesec-cardmanager-v2-lite-1-2-1-fuer-windows
• NoSpamProxy
  • Weitere Informationen https://www.granikos.eu/de/Produkte/NetatWork
  • Software Download https://www.nospamproxy.de/de/download/

Viel Spaß mit De-Mail.

Today's virtualization options provide a wide variety to even virtualize business-critical enterprise applications. Distributed enterprise applications can easily be virtualized but require proper planning. Otherwise, you will end up with virtualized SharePoint Server Farm that does not scale well and perform badly.

This article will provide information on how to virtualize your production environment properly and will not necessarily cover development environments, as those tend to run in over-committed scenarios anyway.

The following table provides a simple overview of the SharePoint farm terminology:

Never ever start a SharePoint production deployment with a single multi-role SharePoint Server.

The following figure illustrates the architecture of a SharePoint Server 2013 environment example.

Capacity and Performance: These two key aspects are the most important aspects when you plan your SharePoint virtualization infrastructure. You need to plan for enough disk capacity to host all of the content databases and data that is cached to disk by the web server and application server roles. Your overall capacity should be planned at least for a three year period. The requirements for CPU and memory sizing of the virtual hosts depends on your server requirements. A virtual host should always be equipped to the physical maximum. If you leave CPU sockets empty, there is no guarantee that you will get the CPU for that socket in the future. The memory banks should be filled in the proper ratio per CPU as well. Otherwise, you will not be able to fully benefit from the virtualization of your servers.

Virtualizing the Load Balancer

Mostly all of the major vendors of hardware load balancers offer virtualized load balancers as well. As long as the virtual load balancer is not running on an over-committed host, and sufficient performance is provided, there is no legitimate reason to not virtualize a load balancer. 

Especially when you maintain a large virtualization platform you are heavily interested to not add additional hardware complexity to your network infrastructure by adding hardware load balancers. Any additional layer of complexity adds an additional layer for support as well.

Some of the major vendors are (purely alphabetical):

• F5, http://f5.com
• jetNEXUS, http://www.jetnexus.com
• Kemp,  http://kemptechnologies.com
• Radware, http://www.radware.com
• Riverbed, http://www.riverbed.com

Virtualizing the Web Server role

Web servers are easy to scale because web servers generally provide much better performance by adding additional CPUs and memory resources. This is the reason why the webserver role within a SharePoint deployment is the easiest to scale out. Because it is so easy to just add additional resources it is not automatically the right approach. Performance-wise you will reach a point where adding an additional web server makes more sense. This decision if you extend the resources of an existing server or add a new virtual machine depends on the overall virtualization infrastructure and the available hardware resources.

Another important topic to think about is the migration of virtual machines between hosts and the high-availability functionality of your virtualization platform. A virtual machine can be moved between virtual hosts more quickly when the virtual machine is not over-sized. The larger the assigned resources are, the more time it takes to migrate a virtual machine. You need to keep this in mind not only for migrations due to maintenance reasons or virtual hosts fail-overs. The same is true when you utilize the automatic load balancing of virtual machines.

NUMA nodes are an additional important topic. Microsoft provides dedicated information to NUMA nodes SharePoint here. Even though the article is focusing on Hyper-V, the general NUMA node requirements are valid for other hyper-visor platforms as well. As per Microsoft performance can decrease by up to 8% when a virtual machine needs to access remote memory from another NUMA node.

The proper sizing of memory resources ensures that your web servers perform as expected. You need to ensure that the webserver does not require to swap memory and make heavy use of the page file. Any use of the page file results in unnecessary disk I/O. And depending on the disk subsystem the required I/O reduces the performance dramatically. Even though the operating system supports the hot-adding of virtual memory, not all application functions make use of added virtual memory. Some components recognized available memory during the start-up of the operating system and do not adjust themselves during run time (e.g. Distributed Cache).

Your SharePoint server running the webserver role should be configured with at least:

• 2 CPU
• 8 GB Memory
• Single Volume hosting the operating system and the SharePoint Server application files

Virtualizing the Application Server role

The CPU demand of SharePoint application servers depends heavily on the applications that are running on those servers. Some applications might be more CPU resource-intensive (e.g. Search), others might be more memory intensive. To find the proper sizing for your specific requirements you need to monitor the system resources not only on a general level (e.g. System CPU usage, system memory consumption) but on a more granular level (per service, per application pool, per worker process). 

Your SharePoint server running the application server role should be configured with at least:

• 2 CPU (4 CPU, if running multiple applications on a single server)
• 8 GB Memory (16 GB, if running multiple applications on a single server)
• Single Volume hosting the operating system and the SharePoint Server application files

Virtualizing the Database Server role

The virtualization of SQL Server is a separate topic that will be covered in more detail in a separate blog article. But it would be unfair to leave this section more or less empty.

First of all, it should be said that even SQL Server can be virtualized. If virtualizing SQL Server is an option for your IT infrastructure depends on the SQL Server and data warehouse design of your company. Some companies prefer to host SQL databases in central SQL Servers serving all data applications within the company. Other companies prefer to host SQL databases on different SQL servers and group those by SQL Server SLA and/or by the type of data stored in databases.

In this example, we assume that there are three SQL Server 2012 dedicated to SharePoint in use. The following table gives a brief overview of the recommended memory sizing for SQL Server virtual machines:

SQL Server 2012 provides a new functionality called AlwaysOn Availability Groups (AAG). The AAG provides a much better experience and performance when it comes to database fail-overs. But at the same time, you need to plan resource requirements in a different way than you were used to with classic Windows Clustering capabilities. An AAG does have a primary replica of a database and many secondary (passive) replicas of the same database.

AAGs can be operated in two different availability modes:

1. Asynchronous-commit
   The primary replica commits transactions without waiting for confirmation by the secondary replicas.
   This mode is similar to high-performance mode with database mirroring.
2. Synchronous-commit
   The primary replica waits for the acknowledgment of all secondary replicas.
   This mode is similar to high-safety mode with database mirroring.

 In our example we have two different AlwaysOn Availability Groups configured:

1. AAG1: Synchronous-commit
   This AAG supports the databases for Central Administration and the SharePoint configuration databases.
   These databases do not rely so much on database performance, but we want to make sure that the data is properly protected.
2. AAG2: Asynchronous-commit
   This AAG supports all SharePoint content databases.
   We want to achieve the best performance for the content databases. 

Summary

The SharePoint 2013 farm example ends up in the following virtual host demands:

To be able to have a single virtual host in maintenance, but still have redundancy we need to plan for at least three virtual hosts. But even in this case one of the two can fail. Therefore you need to protect yourself from a failure while having on a virtual host in maintenance. The disk subsystem is connected to each host by fiber channel or iSCSI on a dedicated 10GB network.

Links

• Performance And Capacity Technical Case Studies (SharePoint Server 2010)
• Use best-practice configurations for the SharePoint 2013 virtual machines and Hyper-V environment
• Storage and SQL Server capacity planning and configuration (SharePoint Server 2013)