SCP of Remote Desktop Licensing Manager missing / SCP des Remotedesktoplizenzierungs-Managers fehlt

Nach der Migration des Lizenz Servers in eine neue Domäne, konnte die Validierung des Lizezdienstes nicht durchgeführt werden. Beim Überprüfen der Remote Desktop Licensing Manager Einstellungen wird in der Konsole bei dem Lizenzserver eine Warnung angezeigt. Klickt man auf Überprüfen, kommt folgender Hinweis:

Der Versuch, den SCPs zu registrieren wird mit folgender Fehlermeldung quittiert:

Nachdem alle Google Ergebnisse ( z.B. : Event ID 85-Remote Desktop License Server Discovery, Überprüfen der Konfig, Manuelles registrieren des Lizenzservers, etc.) abgearbeitet waren, ging es bei mir immer noch nicht. Deshalb machte ich mich auf die Suche, wo denn die SCPs normalerweise im Active Directory gespeichert werden.

Dazu benötigen wir den ADSIEdit um die Attribute des Servers im Active Directory anzeigen zu können.

Der RDS Licenzserver SCP steht unterhalb des Computerobjektes im Active Directory, also z.B.:

CN=TermServLicensing,CN=PLUTO,OU=Domain Controllers,DC=contoso,DC=com

Da stand aber nichts!

Mithilfe des ADSI-Editors habe ich den Container SCP für TermServLicensing manuell hinzugefügt.

Der Common-Name des Objektes muss TermServLicensing lauten.

Nun müssen die SCP Werte noch eingetragen werden:

Dazu müssen folgende Attribute gefüllt werden:

  • serviceBindungInformation: 135
  • serviceClassName: TermServLicensing
  • serviceDNSName: pluto.contoso.com
  • serviceDNSNameType: A

Nun muss man nur kurz warten, bis die Änderungen im Active Directory repliziert wurden. Die Anzeige des RD Licensing Manager schaltet dann auf grün um.

Jetzt funktioniert SCP!

(mh)

 

Active Directory extraColumns im Search Result

Damit benutzerdefinierte Attribute im Suchergebnis in einer eigenen Spalte angezeigt werden können, muss das jeweilige Attribute im „default-Display“ unter extraColumns hinzugefügt werden.

Dabei ist der richtige DisplaySepcifier zu beachten.
– 407 = Deutsch- 409 = Englisch

Aufbau der Werte für extraColumnw:

AttributeName, Anzeigename, 0|1=Default visible, Breite. unused

Siehe hierzu auch den Artikel aus dem Jahre 2007:   extraColumns in der ADS MMC

Exchange 2010 Mini Mobile Device Manager (Entwurf)

Ich schiebe schon seit längerem ein PowerShell Skript vor mir her.

Ich möchte eine GUI die alle Mobilen Geräten anzeigt und von der aus das Device gelöscht oder zurückgesetzt werden kann. Der erste Entwurf sieht schon mal nicht schlecht aus:
MobileDeviceManager

Allerdings lädt die Statistik ziemlich langsam. Ursache ist, dass das CmdLet Get-ActiveSyncDevice keine Referenz zu den Postfachinformationen selbst hat.
Um herauszufinden, wie der DisplayName des Benutzers lautet und ob das Postfach momentan deaktiviert ist, muss zu jedem Device ein Get-Mailbox CmdLet abgesetzt werden.

Dann kommt noch das CmdLet Get-ActiveSyncDeviceStatistics dazu um den Sync Status zu ermitteln.

Alles in allem ziemlich langsam…
Wer kennt einen eleganten Trick, das alles schneller zu machen? (Im obigen Beispiel sind über 1000 Mobile Endgeräte, da dauert das Einlesen ca. 3 Minuten)

Das Skript habe ich hier mal zur Verfügung gestellt (Skript).
Wer will darf es optimieren 🙂 Über Feedback freue ich mich!

Matthias

 

Emergency Admin Manager (EAM) Version 3.0 released

25.07.2012: Ab sofort steht der EAM v3.0 zur Verfügung.

Was ist eigentlich EAM?
Stellen Sie sich vor, Sie sind mit Ihrem Notebook/Computer häufig ausserhalb ihres Unternehmens unterwegs und müssen dringend auf Ihrem Rechner einen Druckertreiber, USB Treiber oder Software installieren, haben aber wegen Firmenrichtlinien keine Admin-Rechte auf Ihrem PC.
Viele Unternehmen vergeben keine lokalen Adminrechte mehr auf den PCs um höhere Sicherheitsanforderungen zu erfüllen.
Der Helpdesk kann Ihnen nicht helfen, weil er das Kennwort des lokalen Administrators entweder nicht kennt oder nicht herausgeben darf.

Sie haben dann vor Ort keine Möglichkeit, Ihre Arbeit fortzusetzen und müssen im schlimmsten Fall ins Unternehmen zurück, wo Ihnen die Administration den entsprechenden Treiber oder die passende Software installieren kann.

Dabei wäre es doch so einfach! Mit dem EAM kann Ihnen der Helpdesk noch während des Telefongesprächs einen Benutzernamen und Kennwort für Ihren PC nennen, mit dem Sie sich als Administrator anmelden können. Dieses Kennwort können Sie so lange verwenden, bis Sie mir Ihrem Computer wieder eine Verbindung zu Ihrem Netzwerk herstellen. Dann wird das Kennwort auf einen neuen Wert geändert, der verschlüsselt im Active Directory gespeichert wird.
Somit ist das lokale Benutzerkonto wieder sicher und die Richtlinien werden eingehalten.

Das Beste dabei ist – auf dem PCs wird keine Software installiert! Sämtliche Aufgaben werden zentral von Domaincontrollern aus gesteuert.
Dazu zählt
– vorbereiten des Computers (Prepare)
– Kennwort zurücksetzen (Reset)
– Benachrichtigung der Administration/Helpdesk (Notify)
– Logging über Veröffentlichungen und Rücksetzungen von Kennwörtern (Logging)

Die intuitiv zu bedienende Benutzeroberfläche wird über das Kontextmenü direkt aus dem Active Directory heraus gestartet.

Seit der Version 3.0 können Sie nun auch einen Microsoft SQL Server als Speicherort für die Computerdaten und Kennwörter verwenden.

Hier einige Screenshots vom EAM:
1.) Ein Computer mit geschütztem Benutzername und Kennwort

2.) Die Historie eines Computers lässt sich mit einem Click einsehen. Wann wurde ein Kennwort veröffentlicht, wann zurückgesetzt, wer war es

3.) Wenn ein Passwort veröffentlicht wird (wiederholt sichtbar machen), wird dies Protokolliert und dann das Kennwort in Klartext angezeigt.

4.) Der Helpdesk oder Administratoren können über jede Aktion per Mail benachrichtigt werden
4.1) Kennwort wird veröffentlicht

4.2) Kennwort wurde durch das System (Domaincontroller) zurückgesetzt

4.3) Account an einem Computer wurde erzeugt

Bei Fragen zum EAM oder anderen dynatools wie LAM, NRM oder ASM, einfach eine kurze Nachricht an mich! Oder kuckt auch mal unter www.dynatools.de rein.
Dann gibt’s den direkten Kontakt zum Entwickler. 🙂
Demoversionen können auch bei mir angefragt werden.

Matthias

Windows Server 2008 R2 LDAP Authentication squid proxy

Artikel von Microsoft: http://technet.microsoft.com/en-us/library/cc816788%28v=ws.10%29.aspx

Allow Anonymous LDAP Binding to an AD LDS Instance

Active Directory Lightweight Directory Services (AD LDS) does not accept anonymous bind requests by default. You can use this procedure to enable anonymous Lightweight Directory Access Protocol (LDAP) operations in AD LDS. However, you must set the seventh character of the dsHeuristics value to 2. In addition, assign permissions so that anonymous users have access to the appropriate objects in the directory. To grant the Read permission on all objects in a given directory partition to anonymous users, you can simply add the built-in security principal Anonymous (from the local computer) to the Readers group on that directory partition.

Membership in Administrators, or equivalent, is the minimum required to complete this procedure. Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups (http://go.microsoft.com/fwlink/?LinkId=83477).
To allow anonymous LDAP binding to an AD LDS instance

Click Start, point to Administrative Tools, and then click ADSI Edit.

Connect and bind to the configuration directory partition of the AD LDS instance on which you want to allow anonymous LDAP binding. For more information, see Manage an AD LDS Instance Using ADSI Edit.

In the console tree, double-click the configuration directory partition (CN=Configuration,CN={GUID}), double-click the services container (CN=Services), double-click the Windows NT container (CN=Windows NT), right-click the directory service container (CN=Directory Service), and then click Properties.

In Attributes, click dsHeuristics, and then click Edit.

In Value, modify the value of the seventh character in the attribute (counting from the left) to 2, as follows:

0000002001001

Click OK twice.

Exchange Active Sync geht nicht bei Benutzeraccounts die Mitglied in Admingruppen sind

Exchange Active Sync funktioniert nicht, wenn die Vererbung bei diesen Usern unterbrochen ist.
Inherit from parent aktivieren, dann geht es wieder….

der AdminSDHolder Background Prozess läuft alle 60 Minuten im Hintergrund und ändern die Berechtigungen auf dem/den Objekt/en

http://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx

http://technet.microsoft.com/en-us/library/dd439375(EXCHG.80).aspx

Update: So können die Accounts ermittelt werden, welche unter Kontolle durch den AdminSDHolder fallen:

Get-ADUser -LDAPFilter „(objectcategory=person)(samaccountname=*)(admincount=1)“|ft

Das Attribut admincount auf 0 setzen und anschließend die Vererbung der Rechte aktivieren. Generell sollten Admin Accounts nicht Mailenabled sein. Dafür hat man doch seinen Standard Account!

 

SnapShot Active Directory einrichten

SnapShots belegen Platz. Damit eine Partition nicht volläuft, sollte mittels vssadmin.exe das SnapShot Volume richtig konfiguriert werden.
Dazu verwende ich den vssadmin.exe:

Mit dem Kommando

vssadmin Add ShadowStorage /For=C: /On=<Ziel-Partition> /MaxSize=2GB

setze ich die Größe, welche für Snapshots von Laufwerk C: verwendet werden sollen. Das schöne daran ist, dass ich mich nicht um alte Snapshots kümmern muss. Sollte der Platz im ShadowStorage nicht mehr ausreichen, dann wird automatisch der älteste Eintrag entfernt.

Nun zum eigentlichen SnapShot, der mittels NTDSUtil.exe erzeugt wird.

Mit diesem Kommand wird ein SnapShot vom  Active Directory erzeugt:

ntdsutil snapshot „activate instance ntds“ create q q

erzeugen wir den SnapShot im angegebenen ShadowStorage Bereich.

Update: 2013-06-04

Mit der Option IFM kann man die ADS Datenbank als „nur“ Datei erzeugen. Das bedeutet, ich muss später nicht mit dem ntdsutil einen SnapShot finden und mounten. Damit kann man gleich direkt auf die ntds.dit Datei zugreifen. Gleichzeitig lässt sich die DIT Datei auch wesentlich leichter an einen anderen Speicherort kopieren.

In einer Batchdatei wird folgendes ausgeführt:

rd "C:\BackupADS\Active Directory"
rd "C:\BackupADS\registry"

ntdsutil "activate instance ntds" IFM "create full C:\BackupADS" q q

 

 

Wiederherstellen von Active Directory Objekten aus einem SnapShot

Ich verwende dazu das „Directory Service Comparison Tool“ von Frederik Lindström.

Von seinem SkyDrive kann es auch direkt heruntergeladen werden.

Voraussetzung: Ein SnapShot muss vorhanden sein. (Hier gehts zum SnapShot Thema)

Verwenden Sie Ntdsutil um einen SnapShot zu mounten:

Im Explorer taucht nun der SnapShot als Linked Volume auf:

Suchen Sie nun die Datei ntds.dit (<SnapShotVolume>\Windows\NTDS\ntds.dit)

Übernehmen Sie den Pfad incl. Dateiname um diese Active Directory Kopie zu mounten.

Verwenden Sie dsamain.exe um die Kopie zu mounten.

Der Befehl lautet :

Dsamain.exe /DBPath „<Pfad zur NTDS Kopie Datei>“ /ldapPort 16000

Starten Sie nun eine MMC.EXE und fügen das SnapIn „Directory Service Comparison Tool“ hinzu.

Verbinden Sie sich mit dem aktuellen Domaincontroller und der Kopie, in dem Sie den Port 16000 verwenden, wie im dsamin Programm angegeben.

Die beiden Verzeichnisse werden nun miteinander verglichen und die Änderungen (Change, Add, Delete) werden angezeigt.

Durch markieren des entsprechenden Attributes können Sie den geänderten Wert durch die Information aus dem SnapShot wieder herstellen.

Wenn der Restore Vorgang beendet ist, beenden Sie die MMC Konsole.

Beenden Sie die gemountete Kopie des Active Directories (im dsamain) indem Sie STRG + C drücken.

Verwenden Sie das ntdsutil um den gemounteten SnapShop zu dismounten. Geben Sie dazu im ntdsutil folgendes ein:

  • „List mount“ um eine Liste der gemounteten SnapShots anzuzeigen
  • Unmount <Nr des SnapShots>

Windows Server 2008 GPMC Scripte

Hier können die Scripte heruntergeladen werden, die in der 2008er Umgebung fehlen.

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=38c1a89b-a6d2-4f2a-a944-9236999aee65&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fb%2f9%2f4%2fb9433bd1-f335-495b-95ff-3c49d2b782b6%2fGPMCSampleScripts.msi

Active Directory Recycle Bin Feature aktivieren

Enable-ADOptionalFeature „Recycle Bin Feature“ -Scope ForestorConfigurationset -Target <your dns domain name>

Wichtig: Das geht nur auf einem DC der Domain Naming Master ist. Auf allen anderen DCs kommt eine Fehlermeldung, „Enable-ADOptionalFeature : A referral was returned from the server“

Powershell aus dem Administrativen Menü starten, da dann die AD CMDLets geladen werden. (Sonst fehlt Enable-ADOptionalFeature)

Active Directory Daten mittels T-SQL auslesen

Einen Linked Server hinzufügen: EXEC sp_addlinkedserver ‚ADSI‘, ‚Active Directory Services 2.5‘, ‚ADSDSOObject‘, ‚adsdatasource‘

Das SQL Statement sieht dann so aus:

SELECT [Name], SN [Last Name], ST State
FROM OPENQUERY( ADSI,

‚SELECT Name, SN, ST FROM “LDAP://Domaincontroller/DC=YourDomain,DC=local“

WHERE objectCategory = “Person“ AND objectClass = “user“‘)

Windows Server 2008 R2 / sidHistory Filterung und quarantaine

Nachdem ich nun Stunden damit verbracht habe, die sidHistory Filterung auszuschalten obwohl sie „angeblich“ aus ist, bin ich nun auf die Lösung gestoßen:

bei den Parametern /enableSIDHistory und /quarantine gibt man üblicherweise NO an (weil ja alles in Englisch ist). Wenn es aber ein deutsches Betriebssystem ist, dann muss man hier aber NEIN angeben, dann klappt’s sofort.

Da kommt doch kein Mensch drauf….. 🙁

UPM heißt jetzt NRM oder nie wieder Logonscripte schreiben

Der UPM (User Printer Manager) wurde upgedated und heißt nun NRM (Network Ressource Manager). (Hier der UPM Artikel)

Weitere Infos zu den Tools gibt es hier: DynaTools

Bisher konnte der UPM Drucker dezentral managen und Druckerzuweisungen im Active Directory vornehmen. Dabei kann man die Drucker sowohl den Benutzern, als auch den Computern und auf OU Ebene zuweisen.

Der NRM kann das auch und zusätzlich noch Laufwerkmapping vornehmen. Dies kann wiederum auf User-, Computer-, oder OU Ebene erfolgen. Jede Zuweisung kann durch Bedingungen (Gruppenmitgliedschaften) noch granular gesteuert werden. Dabei können die Bedingungen auf „muss Mitglied sein“ oder „darf nicht Mitglied sein“ konfiguriert werden.

Nettes Feature: Ich kann einen Friendly Name angeben, so dass der Benutzer nicht den UNC-Pfad am Laufwerk sieht, sondern einen für ihn verständlichen Namen. Beispiel: M:\(Sharename auf Server) wird dann als M: (Meine Daten) angezeigt.

NRM-User

NRM-AddUserDefinedMappings

Exchange 2007 auf Windows Server 2008

Weil ich es immer wieder googeln muss, hier endlich mal die Links:

How to Install Exchange 2007 SP1 Prerequisites on Windows Server 2008 or Windows Vista
http://technet.microsoft.com/en-us/library/bb691354.aspx

How to Create a Windows Server 2008 Failover Cluster for Cluster Continuous Replication
http://technet.microsoft.com/en-us/library/bb676403.aspx

The installation of the Exchange Server 2007 Hub Transport role is unsuccessful on a Windows Server 2008-based computer
http://support.microsoft.com/kb/952842/en-us

(watch the „Fix it for me“ 🙂 )

Outlook Client durch eine Firewall an Exchange anbinden

Zur Info:

Exchange als Proxy verwenden
GC referral ausschalten:

You can disable referrals altogether and force smart clients to use proxying. To do so, add the No RFR Service REG_DWORD value to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters registry subkey on the Exchange 2000 server and set the value to 0x1.

Ansonsten werden die smart Clients (Outlook 2000 und höher) durch den Exchange mit einer Liste an verfügbaren GCs versorgt. Der Client benötigt dann direkten Zugriff auf den Domaincontroller (Firewall Ports beachten!). Wenn das nicht klappt, versucht es Outlook so lange bei allen GCs, anschließend macht es dann doch der Exchange direkt. Das kann u.U. jedoch schon einige Nerven kosten.Matthias

Mit DS Proxy Service:   

Mit DSProxy

 

  

ohne DS Proxy Service (RegKey):

Ohne DSProxy

 

  

Mehr Infos gibt es unter diesem Link.         

 

Group Policy Management Console unter Windows Vista SP1

Mit SP1 wird die GPMC die im RC0 enthalten ist automatisch entfernt. Aus Sicherheitsgründen, damit nicht jeder „User“ die Konsole starten kann, und dann Settings ansehen kann. (lt. Microsoft).

Damit es unter Vista SP1 wieder funktioniert, muss man die Microsoft Remote Server Administration Tools for Windows Vista (KB 941314) herunterladen.

Anschließen nicht vergessen, unter Systemsteuerung/Programme und Funktionen die Tools auch zu aktivieren. Dazu in den Konfigurationsteil gehen: „Windows Funktionen ein- und ausschalten“. Dort die/das Häckchen für die Tools setzen, je nach dem welche man verwenden möchte!

Dann unter „Alle Programme/Verwaltung“ das Tool starten.

Matze

 

AdditionalAccountInfo unter Windows 2003 x64

Alle behaupten, die ACCTINFO.DLL funktioniert nicht unter Windows Server 2003 x64 bit!

Ich glaube, das geht schon. Zumindest habe ich den Tab in der DSA.MSC und ich sehe auch alle Infos.

So gehts:

regsvr32.exe accntinfo.dll (erst aus dem Resource Kit holen und z.B. unter %WINDIR%\system32 speichern.
Shortcut auf dem Desktop anlegen mit folgendem Link: (Beispiel)

C:\Windows\SysWOW64\mmc.exe C:\Windows\System32\dsa.msc -32

Den Shortcut ausführen, schon taucht der Tab auf. Witzigerweise taucht er ab dann immer auf, auch ohne -32.

Probierts aus.