Windows Server 2008 R2 Zeitserver einrichten

1.) net stop w32time

2.) w32tm /config /syncfromflags:manual /manualpeerlist:“<server>,0x8″

3.) w32tm /config /reliable:yes

4.) net start w32time

Update: 2013-06-20: Wenn eine Fehlermeldung kommt, dass der Zugriff verweigert ist (0x80070005), dann hilft es wenn

– net stop w32time
– w32tm /unregister
– w32tm /register
– net start w32time

ausgeführt wird.

Wichtig: Auch wenn beim /unregister eine Fehlermeldung kommt hat er den Dienst entfernt.

Windows Server 2008 R2 „User Profile Service“ Event ID 1511 und Anwender hat nur temp. Profil

Hin und wieder kommt es vor, dass ein User nur ein temporäres Profil bekommt, wenn er sich am Windows Server 2008 R2 anmeldet.
Beim Anmelden bekommt der User keine Meldung, im Eventlog steht ein Fehler, dass der UPS kein Profil erstellen konnte. Event ID 1511 wird geloggt.

Mit der UAC hat es nichts zu tun, da andere User ja ein Profil bekommen.
Damit der User wieder ein Profil bekommt, muss in der Registry unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList die SID des Users gelöscht werden.

Häufig ist die SID am Ende mit .bak gekennzeichnet.

Eine mögliche Ursache kann sein, dass ein Benutzerprofil manuell gelöscht wurde. Dann bleibt die SID in der ProfileList zurück und macht später Probleme.

Matthias

 

Emergency Admin Manager (EAM) Version 3.0 released

25.07.2012: Ab sofort steht der EAM v3.0 zur Verfügung.

Was ist eigentlich EAM?
Stellen Sie sich vor, Sie sind mit Ihrem Notebook/Computer häufig ausserhalb ihres Unternehmens unterwegs und müssen dringend auf Ihrem Rechner einen Druckertreiber, USB Treiber oder Software installieren, haben aber wegen Firmenrichtlinien keine Admin-Rechte auf Ihrem PC.
Viele Unternehmen vergeben keine lokalen Adminrechte mehr auf den PCs um höhere Sicherheitsanforderungen zu erfüllen.
Der Helpdesk kann Ihnen nicht helfen, weil er das Kennwort des lokalen Administrators entweder nicht kennt oder nicht herausgeben darf.

Sie haben dann vor Ort keine Möglichkeit, Ihre Arbeit fortzusetzen und müssen im schlimmsten Fall ins Unternehmen zurück, wo Ihnen die Administration den entsprechenden Treiber oder die passende Software installieren kann.

Dabei wäre es doch so einfach! Mit dem EAM kann Ihnen der Helpdesk noch während des Telefongesprächs einen Benutzernamen und Kennwort für Ihren PC nennen, mit dem Sie sich als Administrator anmelden können. Dieses Kennwort können Sie so lange verwenden, bis Sie mir Ihrem Computer wieder eine Verbindung zu Ihrem Netzwerk herstellen. Dann wird das Kennwort auf einen neuen Wert geändert, der verschlüsselt im Active Directory gespeichert wird.
Somit ist das lokale Benutzerkonto wieder sicher und die Richtlinien werden eingehalten.

Das Beste dabei ist – auf dem PCs wird keine Software installiert! Sämtliche Aufgaben werden zentral von Domaincontrollern aus gesteuert.
Dazu zählt
– vorbereiten des Computers (Prepare)
– Kennwort zurücksetzen (Reset)
– Benachrichtigung der Administration/Helpdesk (Notify)
– Logging über Veröffentlichungen und Rücksetzungen von Kennwörtern (Logging)

Die intuitiv zu bedienende Benutzeroberfläche wird über das Kontextmenü direkt aus dem Active Directory heraus gestartet.

Seit der Version 3.0 können Sie nun auch einen Microsoft SQL Server als Speicherort für die Computerdaten und Kennwörter verwenden.

Hier einige Screenshots vom EAM:
1.) Ein Computer mit geschütztem Benutzername und Kennwort

2.) Die Historie eines Computers lässt sich mit einem Click einsehen. Wann wurde ein Kennwort veröffentlicht, wann zurückgesetzt, wer war es

3.) Wenn ein Passwort veröffentlicht wird (wiederholt sichtbar machen), wird dies Protokolliert und dann das Kennwort in Klartext angezeigt.

4.) Der Helpdesk oder Administratoren können über jede Aktion per Mail benachrichtigt werden
4.1) Kennwort wird veröffentlicht

4.2) Kennwort wurde durch das System (Domaincontroller) zurückgesetzt

4.3) Account an einem Computer wurde erzeugt

Bei Fragen zum EAM oder anderen dynatools wie LAM, NRM oder ASM, einfach eine kurze Nachricht an mich! Oder kuckt auch mal unter www.dynatools.de rein.
Dann gibt’s den direkten Kontakt zum Entwickler. 🙂
Demoversionen können auch bei mir angefragt werden.

Matthias

Exchange 2010 Outlook Anywhere Windows XP does not connect

Outlook verwendet für den Zugriff auf Outlook Anywhere (RPCoverHttp) immer die RPC Komponente des Betriebssystems.

Hier gibt es zwischen Windows XP und Vista/Windows 7 Unterschiede im Verhalten.

Ein Grund, warum Windows XP sich nicht verbinden kann, könnte auch an einer Veröffentlichungsregel im TMG liegen. In einer Konstellation, wenn mehrere CAS Server verwendet werden (NLB Verbund), dann werden diese als Web-Farm im TMG als Ziel eingetragen.

Hier gibt es einen Load Balancing Mechanismus, der entweder Cookie Based oder Source IP Based eingetragen wird.

– Cookie Based für genattete Umgebungen, d.h. am TMG kommen alle mit der gleichen IP an
– Source IP Based, d.h jeder Client kommt mit seiner IP an

Problem bei Cookie Based: Windows XP kann damit nicht umgehen. Das bedeutet, es geht für Windows XP nur mit Source IP.

Was aber passiert, wenn die externen Clients genattet sind und alle mit der gleichen IP ankommen? Das funktioniert grundsätzlich auch mit Source IP Routing, jedoch ist dann kein Load Balancing mehr gegeben. D.h. man MUSS NAT auf Source Transparent Routing umstellen.

Wenn es nicht daran lag, dann treffen vielleicht die vielen anderen Artikel, die bei google zu finden sind, zu.

 

 

Windows Server 2008 R2 / sidHistory Filterung und quarantaine

Nachdem ich nun Stunden damit verbracht habe, die sidHistory Filterung auszuschalten obwohl sie „angeblich“ aus ist, bin ich nun auf die Lösung gestoßen:

bei den Parametern /enableSIDHistory und /quarantine gibt man üblicherweise NO an (weil ja alles in Englisch ist). Wenn es aber ein deutsches Betriebssystem ist, dann muss man hier aber NEIN angeben, dann klappt’s sofort.

Da kommt doch kein Mensch drauf….. 🙁

SQL Server 2008 Vorbereitungen zur Installation

Da ich es immer wieder vergesse, was alles installiert sein muss, hier die Liste der ToDos unter Windows Server 2008.

  • Net 3.5 installieren (Download)
  • Net 3.5 SP1 (Download) (Wenn am Zielsystem kein Internetzugang vorhanden, dann das FullPackage runterladen)
  • Windows6.0-KB958481-x86-Server2008.msu (Download alle 3 Fixes!)
  • Windows6.0-KB958483-x86-Server2008.msu
  • NDP35SP1-KB958484-x86-Server2008.exe
  • Windows Installer 4.5 for Windows Server 2008 Windows6.0-KB942288-v2-x86.msu (Download)
  • Windows Powershell CTP3 V2 (Download)

 

Matthias

Microsoft Dynamics CRM 4.0 – SRSConnector Installation

Mal was ganz anderes: Die Installation des SRS Connectors hat bei mir immer fehlgeschlagen. Dummerweise hatte ich anfangs nur die deutsche Fehlermeldung, die nicht sehr aussagekräftig ist.

Nun, mit der englischen Meldung kommen wir der Sache schon näher:

Die Dynamics CRM Installation auf dem SQL 2005 Server ist eine Instanz. Das ist per Default in dem SRSConfigSetup nicht vorgesehen. Deshalb muss man die Install-config.xml anpassen.

Hier mal meine angepasste Variante:
<crmsetup>
  <srsdataconnector>
    <reportserverurl>http://S00109/ReportServer</reportserverurl>
    <instancename>DYNAMICSCRM</instancename>
    <configdbserver></configdbserver>
    <autoupdateconfigdb>1</autoupdateconfigdb>
    <autogroupmanagementoff>0</autogroupmanagementoff>
    <instancename>MSSQLSERVER</instancename>
    <configsku>OnPremise</configsku>
    <!– Set enabled = true for DB webstore integration.  Set configdb=“true“ for config db webstore integration–>
    <webstore enabled=“false“ configdb=“false“ />
    <monitoring>
<!– Monitoring service account name and password. It can not be local system or network service account –>
      <serviceaccountname></serviceaccountname>
      <serviceaccountpassword></serviceaccountpassword>
    </monitoring>
  </srsdataconnector>
</crmsetup>
 
Nun war nur noch die Sicherheitseinstellung am IIS im Application Pool zu ändern (Identity).

Matthias

Group Policy Management Console unter Windows Vista SP1

Mit SP1 wird die GPMC die im RC0 enthalten ist automatisch entfernt. Aus Sicherheitsgründen, damit nicht jeder „User“ die Konsole starten kann, und dann Settings ansehen kann. (lt. Microsoft).

Damit es unter Vista SP1 wieder funktioniert, muss man die Microsoft Remote Server Administration Tools for Windows Vista (KB 941314) herunterladen.

Anschließen nicht vergessen, unter Systemsteuerung/Programme und Funktionen die Tools auch zu aktivieren. Dazu in den Konfigurationsteil gehen: „Windows Funktionen ein- und ausschalten“. Dort die/das Häckchen für die Tools setzen, je nach dem welche man verwenden möchte!

Dann unter „Alle Programme/Verwaltung“ das Tool starten.

Matze

 

Group Policy Management Konsole unter Windows 2003 x64 installieren

Die GPMC kann per Default nicht unter Windows 2003 x64 installiert werden. Das liegt aber nicht daran, dass es technisch nicht möglich wäre und Fehler produziert werden, sondern daran, dass die Setuproutine auf .Net Framework 1.1 prüft und bei nicht Vorhandensein behauptet, man solle erst das Framework SP1 installieren.

Wer das nicht möchte (bei Windows 2003 x64 wird .Net Framework 2.0 installiert), der kann sich auch die gpmc.msi anpassen. Dazu benötigt man jedoch das orca.exe Programm. (Ich hab’s! Ansonsten viel Spaß beim Suchen 🙂 )

Das MSI anpassen und den Eintrag BlockOnNoNetFramework löschen.

Nach der Installation unter x64 muss dann zus. folgendes angepasst werden:

gpmc.msc vom Ordner \Windows\SysWOW64 nach \Windows\System32 kopieren (die fehlt hier nämlich)
gpedit.msc vom Ordner \Windows\System32 nach \Windows\SysWOW64 kopieren

Schon funktioniert es auch unter Windows 2003 x64

 

Matze

 

 

Reparieren von fehlenden VSS Writern (Erfahrung aus Windows 2003 x64)

Wenn NTBackup beim Beginn der Sicherung an der Volume Shadow Copy Vorbereitung hängen bleibt und dann einen Time-Out bringt, liegt es daran, dass keine VSS Writers vorhanden sind, oder diese, aus welchen Gründen auch immer, fehlerhaft registriert sind.

Folgende Lösung hat bei mir bisher immer geholfen:

1.) Den Key HKLM\Software\Microsoft\EventSystem\{26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions (Achtung, nur diesen) löschen
2.) Server rebooten
3.) vssadmin list writers ausführen

Jetzt muss eine Liste der VSS Writer aufgeführt werden. Wenn nicht, dann ist immer noch ein Bug drinnen.

Dann kann u.U. folgendes zus. helfen:

Net stop vss
Net stop swprv
regsvr32.exe /i %windir%\system32\eventcls.dll
regsvr32.exe /i %windir%\system32\swprv.dll
regsvr32.exe %windir%\system32\vssui.dll
regsvr32.exe %windir%\system32\vss_ps.dll
regsvr32.exe %windir%\system32\msxml.dll
regsvr32.exe %windir%\system32\msxml2.dll
regsvr32.exe %windir%\system32\msxml3.dll
regsvr32.exe %windir%\system32\msxml4.dll
regsvr32.exe %windir%\system32\ole32.dll
regsvr32.exe %windir%\system32\oleaut32.dll
regsvr32.exe %windir%\system32\es.dll
regsvr32.exe %windir%\system32\comsvcs.dll
vssvc /register
net start swprv
net start vss

Und zu Guter letzt sollte in dem RegKey

HKEY_CLASSES_ROOT\CLSID\{FAF53CC4-BD73-4E36-83F1-2B23F46E513E}\InProcServer32

im Default der Pfad %systemroot%\system32\ES.DLL eingetragen sein.

Matze

 

Über ADSystemInfo den Benutzer DN ermitteln

So kann man relativ leicht auf Benutzerinfos des angemeldeten Benutzers zugreifen:

Set oRootDSE = GetObject(ldap://RootDSE/)
Set oADSystemInfo = CreateObject(”ADSystemInfo”)
Set oUser = GetObject(”LDAP://” & oADSystemInfo.UserName)

bzw. noch mehr Infos:

Set objADSysInf = CreateObject(„ADSystemInfo“)
WScript.Echo objADSysInf.UserName
WScript.Echo objADSysInf.ComputerName
WScript.Echo objADSysInf.DomainDNSName
WScript.Echo objADSysInf.DomainShortName
WScript.Echo objADSysInf.SiteName
WScript.Echo objADSysInf.PDCRoleOwner
WScript.Echo objADSysInf.IsNativeMode

strSrv = objADSysInf.GetAnyDCName
WScript.Echo strSrv
WScript.Echo objADSysInf.GetDCSiteName(strSrv)
WScript.Echo Join(objADSysInf.GetTrees, „; „)

Damit kann man dann sofort auf das User-Objekt zugreifen, ohne erst lange anhand des Anmeldenames im ADS den Benutzer zu suchen.

In VB.Net folgende Deklaration verwenden(IADsADSystemInfo):

Dim adSys as New ADSystemInfo

Wie immer: Vorher lesen, dann ausprobieren!