Windows 10 Upgrade in einer SBE Domain

Erfolgt ein Upgrade auf Windows 10 und ist der Client in einer Windows Server 2012 R2 Small Business Essentials Domain Mitglied, so gibt es ein paar Kleinigkeiten welche im Anschluss korrigiert werden müssen.

  1. Ist ein WSUS im Einsatz, dann erkennt dieser den Client als Windows Vista (und das wollen wir unserem Windows 10 ja gewiss nicht antun)

    image

  2. Der Connector funktioniert nicht mehr und im Dashboard des SBE erscheint der Windows 10 Client als Offline.

Punkt 1 wird über einen Hotfix für den WSUS auf Windows Server 2012 und R2 gelöst. Dazu existiert KB3095113 mit dem entsprechenden Hotfix.

image

Punkt 2 lässt sich durch die Installation des Connectors für Windows 10 lösen, dazu existiert KB2790621 mit dem entsprechenden Update. Nach der Installation des Connectors auf dem Windows 10 Client muss dieser konfiguriert und Windows 10 nochmals mit dem SBE verbunden werden, danach ist der PC wieder Online im SBE Dashboard dargestellt.

Darüber hinaus sollten die Gruppenrichtlinien für Windows 10 aktualisiert werden, was ich in diesem Blogbeitrag beschrieben habe und zum Abschluss ist noch eine Anpassung des WSE Group Policy WMI Filters sinnvoll, damit die Umleitung von Ordnern mit Windows 10 wieder korrekt funktioniert.

image

In diesem WMI Filter muss die Query (Abfrage) wie im Folgenden dargestellt geändert werden:

/* Alt (bis einschließlich Windows 8.1 */

select * from Win32_OperatingSystem where (Version >= "6.1%") and ProductType= "1"

/* Neu (bis einschließlich Windows 10 */

select * from Win32_OperatingSystem where Version like "10.%" or Version >="6.1"

Enjoy it, b!

Aver 8572G und Windows 10

Ich habe immer noch das Acer 8572G rum liegen, 8GB und Core i7 sind nicht schlecht und irgendwie möchte ich das Ding schon auf Windows 10 haben. Also habe ich mir das Teil nochmals angeschaut. Im BIOS des Rechners gibt es die Möglichkeit den Grafikadapter auf Switchable Graphics: [Discrete Mode] ein zu stellen (eigentlich für Linux und Windows XP!), damit wird die Intel Grafik deaktiviert und Windows 10 ist in der Lage einen NVIDIA GeForce GT 330M Chip zu erkennen und den richtigen Treiber zu laden.

image

Der in diesem Beitrag beschriebene Microsoft Basic Display Adapter ist nun nicht mehr vorhanden und es ist möglich auf die volle Beschleunigungsleistung des NVIDIA Chips zurück zu greifen! Allerdings nur bei einer Auflösung von 1366×768 Punkten, will man mehr – also die alte Auflösung von 1920×1080 muss man im NVIDIA Setup eine Benutzerspezifische Auflösung von 1920×1080/60Hz konfigurieren, welche zwar funktioniert, aber nicht die Schärfe und Klarheit der 1366 Punkte erziehlt.

image

Nach der Windows Installation sind noch zwei unbekannte Geräte im Device-Manager zu finden, eines läßt sich über Windows Update aktualisieren (Intel) und das zweite Gerät stellt den Fingerprint-Reader dar, welche problemlos mit dem Windows 7 Treiber läuft den Acer wenigstens zur Verfügung stellt.

Dazu gibt es auch einen inzwischen prähistorischen Blog (wer wollte eigentlich jemals Windows 8.1 auf dem Notebook haben … Winking smile )

https://sbsland.wordpress.com/2013/12/29/acer-travelmate-8572g-und-windows-8-1/

Enjoy it, b!

“Log on as a service” Trouble bei der Migration

Das Recht sich als Service an einem Domain Controller anmelden zu können, spielt eine wichtige Rolle bei der Migration auf den Windows Server 2012 R2 Small Business Essentials (SBE). Hier ist bei meiner letzten Migration irgendetwas schief gelaufen – die Berechtigung hier war nicht ausreichend gesetzt.

Zwar referenziert die Phase 1 der SBE Migration auf eine Löschunt der “Logon as a service” Einstellungen, aber explizit nur für eine Migration von Windows Server 2003!

image

Die Einstellung ist in der Default Domain Controller Policy unter Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Logon as a service zu finden und wird damit lediglich auf Domain Controller angewendet – was aber ein einer SBE Umgebung OK ist, wir haben in der Regel nur diesen einen Server. Auf Member-Servern in der Domain wird die Berechtigung in der lokalen Policy konfiguriert.

Ich habe diese Einstellung bei der letzten Migration nicht geändert … was zu folgenden Problem führte.

  1. Nach der Installation der Essentials Role muss ein Post-Deployment Task ausgeführt werden, welcher das Dashboard startet und damit den Wizard zur Einrichtung des SBE. Das ging erstmal schief und zu diesem Zeitpunkt dachte ich noch nicht an die fehlende Konfiguration der Logon as a service Richtlinie.
  2. Folgende Dienste (Services) wollten nach einem Reboot des Servers nicht mehr starten:
    1. Windows Server Essentials Media Streaming Service
      (Log on as: sbsland.local\MediaAdmin$)
    2. WSUS Service
    3. SQL Server (MSSQLSERVER)
      (Log on as: NT Service\MSSQLServer)

Fehler 1 – The Post-Deployment Configuration task may fail after you install the Windows Server Essentials Experience role on Windows Server 2012 R2

Fehler 1 ist inzwischen bei Microsoft in einem KB-Artikel KB2914651 dokumentiert. Hier fehlt den Accounts ServerAdmin$ und MediaAdmin$ das Recht sich als Service an zu melden (Logon as a service). Nachdem die beiden Accounts, wie im Artikel beschrieben in der Default Domain Controller Policy konfiguriert wurden und ein GPUPDATE das dem Server mitgeteilt hat, konnten der Post-Deployment Task zur Einrichtung des SBE ohne Fehlermeldung starten.

Fehler 2 – die oben genannten Services starten nicht (mehr)

Bis zum Zeitpunkt des Neustarts war der WSUS aktiv und hatte schon gute 2 Wochen lang die Clients mit Updates versorgt. Eine Kontrolle der Default Domain Controller Policy zeigte, dass der Service Account des SQL Servers (NT Service\MSSQLServer) ebenfalls nicht berechtigt war.

Der folgende Screenshot zeigt die korrekt berechtigten Service Accounts in der GPO:

image

Nach dem auch dieser Account eingetragen war, startete der SQL Server ohne Probleme und damit lief auch mein WSUS wieder, welcher diesen zur Ablage der SUSDB (WSUS Datenbank) verwendet.

Der Windows Server Essentials Media Streaming Service war zwar richtig berechtigt, stand aber, aus welchen Gründen auch immer, auf deaktiviert (disabled). Hier habe ich die Service Startart auf Automatisch (automatic) gestellt, danach lief auch dieser Service ohne Probleme.

Enjoy it, b!

Windows SBE 2012 R2 Dashboard

Für den Windows Server Small Business Essentials 2012 R2 hat Microsoft das Management mit PowerShell nochmals deutlich verbessert und liefert eine Reihe hilfreicher PowerShell Befehle mit.

https://technet.microsoft.com/en-us/library/dn205088(v=wps.630).aspx

Im Gegensatz zu früheren Versionen, lässt sich damit z.B. das Dashboard nach einer Migration auf SBE 2012 R2 von Benutzerkonten säubern welche dort nicht angezeigt werden sollen (Service Accounts, zusätzliche Admins, etc.).

Dazu wird einfach PowerShell als Administrator gestartet und die vorhandenen Benutzer des Dashboards ermittelt:

# Ermittlung der im Dashboard angezeigten Benutzer
Get-WssUser | fl UserName

image

Die beiden grün markierten Benutzer sollen nicht mehr im Dashboard angezeigt werden (das eine ist mein Administrator, der andere DHCP2DNS ist der Proxy-Account für DNS Updates).

# Deaktivieren der Anzeige von Benutzern im Dashboard
Set-WssUserDashboardVisibility -Name bernd-adm -Hidden

Set-WssUserDashboardVisibility -Name DHCP2DNS-Update -Hidden

image

Damit zeigt das Dashboard lediglich den Administrator und die eigentlichen SBE Benutzer an.

Enjoy it, b!

Entfernen von Exchange 2007 im Verlauf einer Migration

Im Verlauf einer Migration von Windows Small Business Server 2008 auf einer der neueren Essentials oder Standard Versionen, muss Exchange aus dem Active Directory sauber entfernt werden. Das passiert an einfachsten durch eine Deinstallation von Exchange auf dem alten Small Business Server.

Allerdings musste ich im Verlauf von einigen Migrationen feststellen, dass das nicht immer so problemlos klappt. Letztendlich ist mir aber die Deinstallation von Exchange 2007 immer gelungen, dabei musste ich noch folgende zusätzliche Schritte tun.

Start der Exchange 2007 Deinstallation.image

Im folgenden Dialog alle aktiven Elemente deaktivieren.image

Danach startet die Deinstallation in Form eines Readiness Checks und läuft auf die folgenden drei Fehler / Probleme.

image

Fehler 1: Uninstall cannot continue. Database ‘Mailbox Database’: This mailbox database contains one or more mailboxes ..

Fehler 2: Uninstall cannot continue. Database ‘Public Folder Database’: The public folder database …contains the following offline address books(s).
.\Standard-Offlineadressliste

image

Fehler 3: This computer is configured as a source transport server for 1 connector(s) in the organization …

Lösung von Fehler 1

Exchange Management Console / Recipient Configuration / Mailbox – löschen aller vorhandenen Mailboxen. Falls der Administrator eine Mailbox hat, kann diese nicht gelöscht werden – hier ist es notwendig diese zu deaktivieren.

Danach wird über die Exchange Management PowerShell Console die Mailbox Database gelöscht.

Get-MailboxDatabase
Remove-MailboxDatabase -Identity "Mailbox Database"

Lösung von Fehler 2

Die Public Folder Database läßt sich über ADSIEdit löschen:

http://blog.dargel.at/2012/01/19/remove-public-folder-using-adsiedit/

Dazu starten wir ADSIedit mit erweiteren Rechten als Domain Admin und verbinden uns (mit Connect to) zum Configuration Naming Context.

image

von dem wir uns wie im Blog beschrieben zu CN=Public Folder Database durcharbeiten, um diese im Anschluss zu löschen.

image

Lösung von Fehler 3

Exchange Management Console / Organization Configuration / Hub Transport / Send Connectors – löschen aller vorhandenen Connectoren.

Exchange Management Console / Server Configuration / Hub Transport / Receive Connectors – löschen aller vorhandenen Connectoren.

Danach mit Retry den Readyness Check laufen lassen. Danach kann die Deinstallation von Exchange 2007 fortgesetzt werden.

Enjoy it, b!

Windows Server 2012 R2 liefert keine Dateifreigaben mehr …

Seit geraumer Zeit kann ich auf einem Windows Server 2012 R2 beobachten, dass dieser auf einmal alle Dateifreigaben nicht mehr bereitstellt. Der Server selbst, ist aber über RDP und auch mit einem Ping problemlos erreichbar.

Eine Anmeldung über RDP und der Neustart des Server-Dienstes bringen auch keine Lösung, allerdings sind die Dateifreigaben nach einem Neustart des Servers wieder für einige Wochen verfügbar.

Ein wenig Recherche im Internet hat ergeben, dass ich mit dem Problem nicht alleine bin

https://social.technet.microsoft.com/Forums/de-DE/e9567167-22db-4b8c-9f96-a08b97d507f9/server-2012-r2-file-server-stops-responding-to-smb-connections?forum=winserverfiles

und sogar dafür einen von Microsoft gelieferten Workaround zu Tage gefördert:

https://support.microsoft.com/en-nz/kb/2957623

Die in dem KB-Artikel referenzierten Update rollups vom Mai 2014 sind aber auf meinem Server installiert. Somit habe ich beschlossen einfach den ebenfalls im Artikel beschriebenen Registry-Key zu setzen.

REG ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /v DisableLeasing /t REG_DWORD /d 1 /f

NET STOP SERVER
NET START SERVER

Seit dem läuft der Server ohne Probleme.

Enjoy it, b!