2010-7
21

Fehler 0×80070668 bei der Installation von Office Patches auf einem Terminalserver

Category: Allgemein | No Comments

Aufgefallen ist der Fehler bei der routinemäßigen Installation von Sicherheitsupdates auf einem Terminalserver.
Der Fehler 0×80070668 heißt im Klartext: ERROR_INSTALL_REMOTE_DISALLOWED.


Die anstehenden Sicherheitsupdates für das Betriebssystem wurden hingegen anstandslos installiert.

Verursacher hierfür ist ein fehlender Eintrag in der Registry.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\Installer]
“EnableAdminTSRemote”=dword:00000001

Wird dieser gesetzt, so ist auch eine entfernte Installation der Sicherheitsupdates möglich.

2010-7
21

Microsoft Hyper-V und HP Reseller Option Kit (ROK)

Category: Hyper-V, SBS 2008, Windows Server 2008 | No Comments

HP Fachhandelspartner können beim Kauf eines HP ProLiant Servers gleich das passende Betriebssystem von HP als Reseller Option Kit (ROK) dazu bestellen – zu einem deutlich attraktiveren Preis als bisherige OEM-Produkte.

Die Installation eines Reseller Option Kits (ROK) Betriebssystems auf einem Hyper-V Server schlägt aber fehl,  da die Prüfroutine das BIOS nicht abfragen kann.

HP hat auf dieses Problem reagiert und stellt ein kleines Tool bereit, welches auf dem Hyper-V Server ausgeführt wird und somit die Installation von einem ROK OS ermöglicht.

Es befindet sich auf der Installations DVD unter

D:\Sources\$OEM$\$$\system32\HPVirtualOSE.exe (älteres Tool)

oder

D:\Sources\$OEM$\$$\system32\HPactive.cmd (neueres Tool)

2010-7
21

Fehler 1622 bei der Installation von Exchange Server 2007 SP3 auf einem SBS 2008

Category: SBS 2008 | No Comments

Das Exchange Server 2007 Service Pack 3 wurde kürzlich veröffentlicht, daher bietet es sich an, auch den SBS 2008 damit auszustatten. Ein kleines Installationstool speziell für den SBS 2008 gibt es wie beim SP2 diesmal nicht. Prinzipiell sind zwei Installationszenarien zu unterscheiden: Installation des SP3 mit oder ohne vorhandenem Forefront.

Selbst auf einem frisch installierten SBS 2008 schlägt die Installation fehl.

Bei der Installation setzt das Servicepack alle Exchange Dienste, den WWW-Publishingdienst und den IIS-Verwaltungsdienst auf deaktiviert. Nach kurzer Zeit bricht die Installation mit dem Fehler 1622 ab.

Wie bekommt man nun das Servicepack installiert?

  1. Servicepack Installation starten und Fehler abwarten, Installer bricht ab
  2. Die Volltextsuche per Hand deinstallieren: MsiExec.exe /X {6574fdc2-40fc-405a-9554-22d1ce15686b}
  3. Die Dienste WWW-Publishingdienst und IIS-Verwaltungsdienst wieder auf automatisch setzen und starten
  4. Servicepack Installation erneut starten
  5. Geduld mitbringen, das Entfernen der Exchange Dateien kann bis zu 45 Minuten dauern

Sollte auf dem Server Forefront aktiv sein, so sind noch einige vorbereitende Schritte notwendig, die in diesem KB Artikel beschriben sind.

MsiExec.exe /X {6574fdc2-40fc-405a-9554-22d1ce15686b}
2010-7
4

Windows Server 2008 R2 Active Directory Papierkorb

Category: Windows Server 2008 | No Comments

Ein lang erwartetes Tool um versehentlich gelöschte Objekte im Active Directory ohne aufwändiges Restore wiederherzustellen. Dabei spielt es keine Rolle, ob nur ein Benutzer oder gleich eine ganze OU gelöscht wurde. Wer aber eine GUI ähnlich dem Explorer Papierkorb erwartet, der wird enttäuscht. Der Restore der gelöschten Objekte erfolgt per Powershell.

Voraussetzungen für die Wiederherstellung von gelöschten Objekten sind:

  • Der Active Directory Papierkorb muss eingeschaltet sein
  • Die Domänen Funktionsebene muss Windows Server 2008 R2 sein
  • Die Forest Funktionsebene muss Windows Server 2008 R2 sein

Funktionsebenen anpassen

Die Domänen Funktionsebene und die Forest Funktionsebene wird mit folgenden Powershell Befehlen angepasst:

Set-ADDomainMode -Identity sbs2008faq.de -DomainMode Windows2008R2Domain
Set-ADForestMode –Identity sbs2008faq.de -ForestMode Windows2008R2Forest

Stimmt die Funktionsbene nicht, quittiert die Powershell dies mit folgender Fehlermeldung

Enable-ADOptionalFeature : Die angegebene Methode wird nicht unterstützt
Bei Zeile:1 Zeichen:25
+ enable-ADOptionalFeature <<<<  -Identity ‘CN=Recycle Bin Feature,CN=Optional
Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=sb
s2008faq,DC=de’ -Scope ForestOrConfigurationSet -Target ’sbs2008faq.de’
+ CategoryInfo          : NotSpecified: (CN=Recycle Bin …bs2008faq,DC=de
:ADOptionalFeature) [Enable-ADOptionalFeature], ADException
+ FullyQualifiedErrorId : Die angegebene Methode wird nicht unterstützt,Mi
crosoft.ActiveDirectory.Management.Commands.EnableADOptionalFeature

Active Directory Papierkorb aktivieren

Der Active Directory Papierkorb wird mit folgenden Powershell Befehl aktiviert:

enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=sbs2008faq,DC=de’ –Scope ForestOrConfigurationSet –Target ‘sbs2008faq.de

Wiederherstellen von gelöschten Objekten

Testweise lösche ich mein Benutzerkonto vom Server

Dann schauen wir mit dem Kommando

Get-ADObject –Searchbase „CN=Deleted Objects,DC=sbs2008faq,DC=de“ –LdapFilter „(objectclass=*)“ –Includedeletedobjects | fl

in den Papierkorb.

Dort findet sich das gelöschte Objekt.

Für einen Restore kopiert man sich lediglich die ObjectGUID und führt dann folgenden Befehl aus:

Restore-ADObject -Identity 711929ac-5373-4404-980a-b4112a1b7229

2010-7
4

Domänen Migration von Windows Server 2003 auf Windows Server 2008 R2

Category: Windows Server 2008 | No Comments

Vorarbeit

Sollten mehrere DCs in der Domäne vorhanden sein, so muss zuerst sichergestellt werden, dass keine Replikationskonflikte bestehen. Dazu verwendet man das Tool replmon bzw. repadmin /showrepl (diese Tools befinden sich als Installer SUPTOOLS.MSI auf Installations-CD). Ausserdem kann ein Check mit dem Tool dcdiag nicht schaden. Sind alle evtl aufgetretenen Probleme beseitigt, kann es weitergehen.

Zunächst muss das Schema auf die neuste Version angepasst werden, dazu findet man auf der Windows Server 2008 R2 CD jeweilig passende Programm.

\support\adprep\adprep.exe für einen 64bit Server
\support\adprep\adprep32.exe für einen 32bit Server

Folgende Kommandos sind dazu notwendig:

  • adprep /forestprep
  • adprep /domainprep
  • adprep /rodcprep

Mit dem Befehl schupgr kann man schauen, ob der Schema nun die richtige Versionnummer besitzt. Ist es eine 44 (Windows Server 2008) oder 47 (Windows Server 2008 R2) ist alles glatt gelaufen.

Installation

Nun installiert man einen neuen Windows Server 2008 R2 und macht diesem zum Memberserver,
statische IP und DNS Eintrag auf den alten DC nicht vergessen.

dcpromo ausführen und den Server mit DNS und Global Catalog ausstatten.

Nach erfolgreicher Installation, wird die Replikation und der DC wieder mit den Tools replmon und dcdiag geprüft.

Umzug

Nun müssen noch die FSMO Rollen übertragen werden.
Es sind fünf an der Zahl, die da wären:

  • Domain Naming Master
  • Schema Master
  • RID Master
  • PDC Emulator
  • Domain Infrastructure Master

Leider muss man an drei verschiedenen Orten den Umzug vornehmen.

Die ersten drei Rollen (RID, PDC, Infrastruktur) werden per Active Directory-Benutzer und -Computer MMC umgezogen.

Der Domain Naming Master wird per Active Directory-Domänen und Vertrauensstellungen MMC umgezogen.

Beim Schema Master ist ein kleiner Zwischenschritt erforderlich,
die notwendige MMC muss zunächst mit dem Befehl

regsvr32 schmmgmt.dll

registriert werden, damit sie überhaupt in der MMC SnapIn Liste auftaucht.

Restarbeiten

Danach ist evtl. die Konfiguration eines Zeitservers (NTP) notwendig, da nicht alle Server uneingeschränkten Zugriff auf das Internet haben und z.B. ein lokaler NTP Server verwendet werden soll.

w32tm /config /manualpeerlist:ntp1.ptb.de /syncfromflags:manual /reliable:yes /update

Die primäre DNS Adresse auf dem neuen DC sollte nun auf sich selbst zeigen (127.0.0.1).
Der alte DC kann nun mit dcpromo demotet werden.

Danach noch den aus der Liste der Domaincontroller entfernen.

Zum Schluss kann nun die Domänenfunktionseben auf Windows Server 2008 R2 angehoben werden.

2010-7
4

Die Neuerungen in Windows Server 2008 R2

Category: Windows Server 2008 | No Comments

Lohnt sich der Umstieg auf Windows Server 2008 R2 von Windows Server 2008 (R1)?
Eine Frage die sich viele Administratoren nach dem Release gestellt haben.
Die Antwort ist: meistens ja.

Windows Server 2008 R2 kommt nur noch in der 64bit Ausführung, daher kann der ein oder andere Admin schon ins stolpern geraten, wenn es darum geht z.B. die 8 Jahre alte Finanzapplikation unter einem 64bit Server zum laufen zu bekommen.

Die neuen Features im Überblick:

AppLocker

AppLocker ist ein neues Feature in Windows 7 und Windows Server 2008 R2, mit dem der Zugriff auf Anwendungen gesteuert werden kann.
Folgende Punkte können regelmentiert werden:

  • Auf welche Anwendungen der Benutzer zugreifen soll
  • Welche Benutzer neue Software installieren dürfen
  • Welche Versionen von Applikationen ausgeführt werden dürfen und von welchem Benutzerkreis

Mit AppLocker ist es nun möglich diese Punkte zu steuern, wie Benutzer die verschiedenen Anwendungstypen ausführen, einschließlich ausführbarer Dateien, Skripts, Windows Installer-Dateien und DLLs.

BranchCache

BranchCache verbessert die Zweigstellenumgebung, indem häufig verwendete Datei in einem lokalen Zwischenspeicher auf einem Server unter Windows Server 2008 R2 oder auf Arbeitsstationen von Benutzern abgelegt werden, sodass die Benutzer nicht über die Netzwerkfreigaben eines zentralen Speicherorts auf Dateien zugreifen müssen

Direct Access

Die Kernidee von Direct Access ist, dass ein IPv6/IPSec Tunnel den Client mit einem Direct Access Server (Windows Server 2008 R2) transparent über das Internet herstellt. Der DA Server wiederum leitet dann die Daten zum Zielhost im Firmennetz weiter. Der Administrator kann dabei einstellen, ob alle Firmenrechner zugänglich sind oder nur eine bestimmte Auswahl.

Active Directory-Verwaltungscenter

Das Active Directory-Verwaltungscenter bietet eine komfortable Bedienung für folgende Aufgaben:

  • Neue Benutzer anlegen oder verwalten
  • Neue Grupppen anlegen oder verwalten
  • Neue Computer anlegen oder verwalten
  • Neue Organisationseinheiten (OUs) anlegen oder verwalten
  • Filtern von Active Directory-Daten mithilfe der abfragegenerierenden Suche

Active Directory Modul für die PowerShell

Wie man es bereits vom Exchange Server 2007/2010 gewohnt ist, können nun auch alle GUI Kommandos per Powershell abgesetzt werden. Die üblichen Hilfsbefehle wie z.B. dsget, dsquery, etc… fehlen nun gänzlich und werden komplett über die Powershell abgedeckt.

Active Directory Best Practices Analyzer

Ebenfalls wie z.B. beim Exchange Server 2007/2010 gibt es nun auch einen Best Practices Analyzer, der mit Optimierungstipps das Active Directory stabiler und performanter laufen lässt.

Active Directory Recycle Bin

Ein lang erwartetes Tool um versehentlich gelöschte Objekte im Active Directory ohne aufwändiges Restore wiederherzustellen. Dabei spielt es keine Rolle, ob nur ein Benutzer oder gleich eine ganze OU gelöscht wurde. Wer aber eine GUI ähnlich dem Explorer Papierkorb erwartet, der wird enttäuscht. Der Restore der gelöschten Objekte erfolgt per Powershell.

2010-6
25

Exchange 2010 Unified Messaging mit Asterisk

Category: Allgemein, Asterisk | No Comments

Seit Exchange 2007 ist die Unified Messaging Rolle verfügbar, ein tolles Feature nicht nur zur Nutzung von OVA (=Outlook Voice Access), sondern auch sehr nützlich wenns es darum geht Ordnung in seine Sprachnachrichten zu bringen. Outlook wird dann zum zentralen Anlaufpunkt für alle Arten von Kommunikation.

Problem bis jetzt war immer die Verbindung zwischen klassischer Telefonie und Exchange Server. Wer bereits einen Asterisk Server besitzt, kann in wenigen Schritten die Kopplung herstellen.

Die Exchange Seite

Wechsel auf die Seite UnifiedMessaging in der Organisationskonfiguration

Wählplan anlegen

Asterisk Server angeben

Wechsel auf die Seite UnifiedMessaging in der Serverkonfiguration

User für UnifiedMessaging freischalten

Die Asterisk Seite

In der sip.conf muss der Exchange Server “bekannt” gemacht werden, auffällig hierbei ist die Kommunikation über TCP und auf Port 5065. 192.168.10.101 ist hierbei die IP-Adresse des Exchange Servers.

sip.conf

[exchangeum]
host=192.168.10.101
type=friend
insecure=very
transport=tcp
port=5065

In der extensions.conf wird festgelegt welcher UM-Sammelanschluss (hier die 1000)  angerufen wird und welcher Teilnehmer (hier die 2000) auf den UM-Sammelanschluss umgeleitet hat.

extensions.conf

exten => 99,1,Answer
exten => 99,2,SIPAddHeader(Diversion: <tel:2000>\;reason=no-answer\;screen=no\;privacy=off)
exten => 99,3,Dial(SIP/1000@exchangeum)
exten => 99,4,Hangup


2010-3
26

In Outlook Web Access geschriebene Emails erscheinen beim Empfänger als Plain Text

Category: SBS 2008 | No Comments

In Outlook Web Access geschriebene Emails erscheinen beim Empfänger als Plain Text, auch wenn in den Outlook Web Access Optionen HTML als Grundeinstellung gewählt ist.

Um auch per Outlook Web Access HTML Mails versenden zu können, bedarf es einer kleinen Änderung via Exchange Verwaltungsshell.

set-remotedomain -Identity Standard -ContentType MimeHtmlText

Die Kontrolle zeigt, jetzt stimmt alles.

2010-3
15

VMware ESXi 4 und HP Reseller Option Kit (ROK)

Category: SBS 2008 | No Comments

HP Fachhandelspartner können beim Kauf eines HP ProLiant Servers gleich das passende Betriebssystem von HP als Reseller Option Kit (ROK) dazu bestellen – zu einem deutlich attraktiveren Preis als bisherige OEM-Produkte.

Die Installation eines Reseller Option Kits (ROK) Betriebssystems auf einem VMware ESXi 4 schlägt aber fehl,  da die Prüfroutine das BIOS nicht abfragen kann.

Um es dem ROK zu ermöglichen, die korrekten BIOS Parameter abzufragen, fügt man lediglich die Zeile SMBIOS.reflectHost=TRUE in die Konfiguration des Servers ein.

2010-3
13

Smartcard Registrierung mit Windows 7 und einer Windows Server 2003 CA

Category: Allgemein, Windows 7 | No Comments

Um ein Zertifikat für die Smartcardanmeldung zu erhalten, konnten XP Clients per Webregistrierung (http://servername/certsrv)  auf eine Windows Server 2003 CA zugreifen. Bei Windows VISTA und Windows 7 schlägt die Registrierung aufgrund inkompatibler ActiveX Komponenten fehl.

Microsoft bietet dazu ein entsprechendes Update an.

Nach der Installation des Patches funktioniert zwar der Zugriff auf die Webregistrierung einwandfrei, leider sucht man den Punkt zur Registrierung einer Smartcard für einen Dritten vergebens.

Dieser ist in den Bereich der Zertifikats-MMC gerutscht.