Installation von KB3000850 auf Windows Server 2012 R2 schlägt fehl …

Alle die meinen Blog verfolgen, wissen – der WSUS und ich haben ein schwieriges Verhältnis … zumindest wollte mir dieser partout nicht der Update Windows8.1-KB3014442-x64.msu zur Installation anbieten, welches neben Windows8.1-KB3016437-x64.msu und dem Windows8.1-KB3003057-x64 die Voraussetzung für Windows8.1-KB3000850-x64 darstellt.

Die Vorgehensweise ist eigentlich immer die gleiche, zu erst auf der Microsoft Webseite nach dem Update suchen, welches fehl schlägt. Dann werden hier manchmal weitere Updates im gleichen Download mit angeboten. Hier einfach alle Updates runter laden und probieren welche sich installieren lassen. Bei mir waren alle drauf, mit Ausnahme von KB3014442-x64.msu und der scheint die Grundlage für Windows8.1-KB3000850-x64.msu zu sein.

image

Danach hat es problemlos funktioniert Smile

 

Enjoy it, b!

Azure VPN-Verbindung (S2S) über den Azure Resource Manager und Windows Server 2012 R2

Fangen wir mal an

Auch für kleine Firmen kann die Nutzung von Diensten aus der Cloud sinnvoll sein, lässt sich damit doch der eine oder andere Test oder die Beschaffung zusätzlicher Server-Hardware umgehen.

Neben einer Vielzahl von Diensten (Azure-Backup), welche einfach über die Ports 80 oder 443 genutzt werden, kann es dennoch notwendig sein, eine VPN Verbindung nach Azure zu bauen (also das lokale Netzwerk mit Azure zu koppeln, was man auch Site-2-Site-VPN/S2S-VPN nennt). Um es gleich vorne weg zu sagen, in Azure kocht man auch nur mit Wasser … oder anders rum, mit Virtuellen Maschinen (VM), was bedeutet das ein VPN-Gateway in Azure nichts anderes ist, als ein Windows Server (Stand heute 2012R2). Zwar gibt es bei Microsoft Azure eine Liste von Routern und Beschreibungen wie diese für eine VPN-Verbindung mit Azure konfiguriert werden müssen, für kleine Firmen tut es aber auch ein Windows Server und genau diese Konfiguration soll hier beschrieben werden.

Um z.B. eine FRITZ!Box mit Azure zu verbinden gibt es eine Reihe von Anleitungen, dass Problem mit den FRITZ!Boxen ist aktuell, dass diese keinen IKEv2 support liefern und deshalb die Verbindung nach Azure über den ARM (Azure Resource Manager) nicht ganz so einfach zu konfigureren ist.

Microsoft hat in Azure zwei Möglichkeiten um Ressourcen zu verwalten:

  • ASM = Azure Service Manager (alt und nicht mehr auf Höhe der Zeit, der ASM wird nur noch aus Gründen der Kompatibilität bereit gestellt)
  • ARM = Azure Resource Manager (aktuell und die empfohlene Lösung)

Ich habe z.B. festgestellt, dass sich Azure GPU VMs (N-series) nur über den ARM bereitstellen lassen und auch nur auf ARM Ressourcen zurückgreifen können. Ich hatte die Situation, dass ich es nicht hinbekommen habe auf eine VPN Verbindung zwischen meiner FRITZ!Box und meinem lokalen Netzwerk (ASM basierend) mit einer N-Series VM zu zugreifen. Vielleicht saß das Problem auch vor dem Rechner, zumindest war eine einfache Lösung nicht möglich (ein VNet-Peering oder VNet-Routing wollte ich nicht konfigurieren).

Voraussetzungen

Damit nun eine VPN-Verbindung zwischen Azure und einem lokalen Netzwerk mit einem Windows Server konfiguriert werden kann, müssen wir uns, über ein paar Dinge klar werden:

  1. IPv4-Adressbereiche in Azure
  2. Lokale IP-Adressbereich(e) und die externe IP des Routers
  3. Auf welchem Server installieren wir RRAS (Remote Routing and Access)?

Gleich mal zu Punkt 3 … auf einem Windows Server mit geladener Essentials Role würde ich von einer Konfiguration von RRAS absehen … Da ich inzwischen die Standard Edition von Windows Server verwende und die seit geraumer Zeit den Betrieb von 2 VMs möglich macht, gehe ich von der folgenden Konfiguration aus:

  • Host mit Hyper-V
  • VM 1, Windows Server mit installierter Essentials Role
  • VM 2, Windows Server mit RRAS und weiteren Diensten

Die folgenden Screenshots wurden auf einem Windows Server 2012 R2 (Englisch) gemacht und auch die Menübeschreibungen des Server beziehen sich auf die Englische Version …

Punkt 2 beschreibt alle lokalen Adressbereiche welche verwendet werden, und darüber hinaus brauchen wir die externe IP des Routers. Diese ist bei mir statisch, oder sagen wir mal so gut wie statisch. Bisher hat bei UnityMedia (meinem Provider) die IP höchstes 1x im Jahr gewechselt.

Meine lokalen Adressbereiche sehen wie folgt aus:

  • 192.168.2.0/24, Gateway ist immer die .1 und der DNS läuft unter 192.168.2.17
  • 192.168.12.0/24, Gateway ist immer die .1

Die externe IP ist 38.210.102.188, bzw. ein verwendeter DynDns-Name wie z.B. azuretest.remotewebaccess.com

Damit kommen wir zum letzten Punkt, was soll eigentlich in Azure gebaut werden? Meine Absicht ist es ein Subnetz für VMs zu erstellen und dieses über ein VPN Gateway mit dem Netzwerk zuhause zu koppeln. Im ARM müssen dazu 2 Netzwerke definiert werden. Ein Netzwerk, oder genauer gesagt Subnetz für die VMs und ein weiteres für das Gateway.

Diese Netze nennen wir wie folgt und verwenden die folgenden Adressbereiche:

  • SBSland-Azure-CR-Network-000, 10.1.0.0/16
  • Subnetz 1: VM-Network-250, 10.1.250.0/24
  • Subnetz 2: GatewaySubnet, 10.1.249.0/28

Darüber hinaus müssen wir im ARM eine Gruppe für diese Ressourcen anlegen:

  • SBSland-Azure-Core-RG-1

Zum Abschluss, also bevor wir die Sache angehen können brauchen wir noch einen PreShared-Key welcher im Gegensatz zu früher (im ASM) selbst erstellt werden muss. Ich mache das immer mit KeePass.

  • f75bb948e79e072503af6cf93b154321cdf88e1c00964da4569e9123456789a8

Da wir zwischen dem lokalen Netzwerk und Azure routen, dürfen sich KEINE der Adressebereiche überlappen.

Konfiguration in Azure Remote Manager (ARM)

Nach der Anmeldung in Azure, muss möglicher Weise in das neue Portal gewechselt werden … was dann so aussieht.

image

Nun erfolgt im ersten Schritt das Erstellen der Ressourcengruppe

  1. Dazu wählen wir Ressourcengruppe / Hinzufügen und geben hier den Ressourcengruppenname (SBSland-Azure-Core-RG-1) ein

    image

    An dieser Stelle wird auch ausgewählt in welcher Azure Region wir den Service laufen lassen, Westeurope = Amsterdam (stand heute)

  2. Ein Klick auf Erstellen erzeugt die Gruppe

    image

  3. Nun legen wir die Netzwerke an. + / Netzwerk / Virtual Network

    image

    Welche wie folgt benannt werden, SBSland-Azure-CR-Network-000 und darüber hinaus geben wir noch den von uns gewählten IP-Adressbereich für das VM-Subnetz 10.1.0.0/16 und das erste Subnetz VM-Network-250, 10.1.250.0/24 an.

    image

    Dazu nicht vergessen, die vorhin erstelle Ressourcengruppe aus zu wählen und natürlich mit Erstellen das virtuelle Netzwerk erzeugen zu lassen. Damit ist das erste Subnetz für die VMs angelegt

  4. Als nächstes muss das Gatewaysubnetz konfiguriert werden, dazu einfach + Gatewaysubnetz (blau markiert) auswählen und den IP-Adressbereich 10.1.249.0/28 einfügen.

    image

    Nach Auswahl der + Gatewaysubnetz Option erscheint der Dialog zur Anöage

    image

    Der Name GatewaySubnet ist vorgegeben, daher kann nur der IP-Adressbereich in CIDR Form eingegeben werden

    image

    In den nächsten Schritten wird nun das Azure Gateway und das Lokale Gateway angelegt. Beginnen wir mit dem Azure Gateway …

  5. Um das Azure Gateway an zu legen, muss + / Netzwerk / Virtuelles Netzwerkgateway ausgewählt werden

    image

    Das Gateway nennen wir SBSland-Azure-AZ-Gateway, darüber hinaus wird das angelegte Netzwerk (SBSland-Azure-CR-Network-000) ausgewählt und eine öffentliche IP erstellt

    image

    Kleiner Hinweis an dieser Stelle … hinter SKU steckt die Größe, bzw. die Leistungsfähigkeit des Gateways und damit im Prinzip nur eine größere oder kleiner VM Winking smile 

    Als Gatewaytyp lassen wir VPN, eine Expressroute haben wir ja nicht und als VPN-Typ verwenden wir Routenbasiert.

    Routenbasiert, unterstützt dynmische routen und mehrere VPN-Verbindungen basierend auf IKEv2
    Richtlinienbasiert, unterstützt statische Routen, eine single VPN-Verbindung und IKEv1

    Für die FRITZ!Boxler unter uns, wäre das eine Möglichkeit ein Richtlinienbasiertes VPN zu bauen, da hier IKEv1 verwendet wird… was ich mir aber bisher noch nicht angeschaut habe.

    Die Erstellung dauert übrigens seine Zeit, be patient … Kaffeepause …

  6. Nach dem das Azure Gateway erstellt wurde, brauchen wir das “lokale” Gegenstück, ein lokales Netzwerk Gateway, welches im Wesentlichen die externe IP des Routers repräsentiert, hier also die 38.210.102.188

    + / Netzwerk / Lokales Netzwerkgateway öffnet den Dialog zur Konfiguration

    image

    Das Netzwerk nennen wir SBSland-Azure-LN-Gateway, als öffentliche IP geben wir die externe IP des Routers ein und konfigurieren zusätzlich die IP-Subnetze welche wir lokal verwenden. In kleinen Umgebungen ist es nur eines, bei mir sind es zwei 192.168.2.0/24 und 192.168.12.0/24

    image

    Nachdem nun fast alle Ressourcen in Azure angelegt sind, fehlt noch die VPN-Verbindung und damit sind wir im ARM auch schon fertig.
    Noch ein Hinweis zu den lokalen Subnetzen, diese können natürlich im Anschluss noch erweitert werden, falls die lokale Infrasturktur zu wachsen beginnt

  7. Zum Einrichten der VPN-Verbindung wählen wir das erstellte Lokale Netzwerkgateway (SBSland-Azure-LN-Gateway) aus und klicken dort auf Verbindungen

    image

    Nach der Auswahl von Verbindungen erfolgt das Hinzufügen einer VPN-Verbindung durch + Hinzufügen rechts oben. Die Verbindung nennen wir SBSland-Azure-Local-VPN und fügen als Gateway für virtuelle Netzwerke das erstellte SBSland-Azure-AZ-Gateway hinzu und den selbst erstellten PSK-Key

    image

So, in Azure (ARM) sind wir nun erst einmal fertig, nun muss noch der Windows Server mit RRAS konfiguriert werden.

Konfiguration des Windows Servers (RRAS)

Die Installation von Routing und Remote Access erfolgt am einfachsten über PowerShell.

Install-WindowsFeature Routing -IncludeManagementTools

 

  1. Unter Routing and Remote Access / Network Interfaces fügen wir nun ein New Demand-dial Interface.. hinzu, damit das funktioniert muss der Server von Local area network (LAN) routing only auf LAN and demand-dial routing umgestellt werden.

    image

    Nun kann das neue Interface erstellt werden …

    image

    Das Demand-Dial Interface nennen wir SBSland-Local-Azure-VPN und wählen im Anschluss Connect using virutal private networking (VPN) aus

    image

  2. darauf hin als VPN Type , IKEv2 auswählen

    image

  3. In der Zusammenfassung des von uns konfigurierten Azure Gateways (SBSland-Azure-AZ-Gateway) finden wir die öffentliche Azure-IP-Adresse …

    image

    … die als Destination Address eingetragen wird

    image

    … und die Sicherheitseinstellungen belassen wir so, wie sie sind …

    image

    … und fügen eine statische Route (Static Route) in unser Azure Netzwerk (VM-Network-250) hinzu

    image

    Wenn mehr als ein Netzwerk in Azure vorhanden ist (das GatewaySubnet zählt nicht), dann hier entsprechend diese Netze ebenfalls hinzufügen.

  4. Den Dialog mit den Credentials zur Einwahl können wir dahingehend ignorieren, dass wir nur einen Benutzer eintragen (SBSland) was dem Wizard ausreicht …

    image

    … mit Finish schließen wir den Dialog und bestätigen die Konfiguration

  5. Damit die VPN-Verbindung funktioniert, muss nun die Verwendung von IKEv2 konfiguriert werden. Das erfolgt in den Eigenschaften des Interfaces unter der Option Security

    image

    Hier wird der gleiche PSK-Key eingetragen, wie schon oben bei der Konfiguration der Verbindung in Azure.

  6. Nun ist die Verbindung erstellt und wir können mit der rechten Maustaste eine Verbindung (Connect) initiieren.
  7. Das manuelle initiieren der Verbindung ist OK, aber nicht das was wir haben wollen, da immer nach einem Server-Neustart die Verbindung manuell getriggert werden muss. Daher ändern wir die Einstellungen der Verbindung wie folgt:
    Routing an Remote Access / <Servername> / Network Interfaces / SBSland-Local-Azure-VPN, rechte Maustaste und Properties / Options auswählen, hier den Haken bei Persistent Connection setzen

    image

    Damit baut der Server nach einem Neustart die Verbindng von selbst auf

Zurück in Azure

In Azure wählen wir nun das Gateway für virtuelle Netzwerke (SBSland-Azure-AZ-Gateway), mit dem Punkt Verbinden aus.

image

So, nun sind wir eigentlich fertig hier noch ein Bild mit den Objekten welche wir konfiguriert haben.

image

The End

Wenn wir aber nicht auf allen VMs im lokalen Netz eine Route nach Azure definieren wollen, ist es sinnvoll dem Router eine entsprechende Route hinzu zu fügen, um eine automatische Weiterleitung aller Paket in das Netzwerk 10.1.250.0/24 zu gewährleisten.

image

Damit sind wir nun wirklich fertig.

Enjoy it, b!

Installation von KB2919355 auf Windows Server 2012 R2 schlägt fehl …

Wenn sich das Update Windows8.1-KB2919355-x64.msu nicht auf einem Windows Server 2012 R2 installieren lässt, ist es sinnvoll die Anwesenheit von KB2919442 zu prüfen, welches die Voraussetzung für die Installation von KB2919355 ist.

image

Leider geht dieser Hinweis auf der Supportseite von Microsoft ein wenig unter, oder wird gerne mal überlesen. Mein Problem konkret war, dass der WSUS oder auch Microsoft Update mir dieses Paket NICHT angeboten hat und die Installation des KB2919355 fehl schlug, mit der Meldung das dieses Update nicht für mein System geeignet wäre.

Aber nun wissen wir ja wie es geht Smile

Enjoy it, b!

WSUS läßt sich nicht auf Windows Server 2012 R2 installieren

Manchmal kann einen ein Windows Server schon zur Verzweiflung bringen…. neulich wollte ich auf einem schon seit geraumer Zeit in Betrieb befindlichen Windows Server 2012 R2 mit der Essentials Rolle den WSUS nach installieren.

Dabei kam es immer wieder zu folgender Fehlermeldung:image

Fu… den Server hatte ich dabei schon mehrfach neu gestartet, daran kann es also bei Leibe nicht liegen. Ein erster Schritt in der Fehleranalyse ist immer der Blick ins Eventlog (System und dann Application) und hier fand ich folgenden interessanten Eintrag.

image

Ein Blick in die GPO des DCs zeigte dann auch, dass der Service-Account nicht die richtigen (ok, keine Smile ) Rechte hatte.

image

Da es sich um eine kleine Umgebung handelt, habe ich das Recht allen lokalen Diensten (NT SERVICE\ALL SERVICES) eingeräumt und dass über die Default Domain Controller Policy konfiguriert, was die Berechtigung wiederum auf diesen einen DC (SBS Umgebungen haben in der Regel nur einen) einschränkt. Tritt das Problem auf Member Servern auf, dann hierzu entweder die Default Domain Policy, oder einfach die Local Policy auf dem Server selbst anpassen.

Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment/Log on as a service

Hier dann NT SERVICE\ALL SERVICES eintragen und den folgenden Befehl ausführen.

C:\Windows\system32> gpupdate /force
Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

Nach einem Refresh der GPO MMC haben wir hier auch den korrekten Eintrag.

image

Danach funktionierte das Hinzufügen der WSUS Rolle ohne Probleme. Wer übrigens einen SQL Server Express für die SUSDB verwendet kann die WID nach erfolgter Installationn des WSUS wieder entfernen.

Enjoy it, b!

WSUS Service terminated …, 7031

Desaster haben einen Namen, bei mir ist es der WSUS mit dem ich mich immer wieder rumschlagen muss.

Inzwischen hatte ich auf drei SBE (Windows Server 2012 R2 mit Essentials Rolle) Servern das Problem, dass nach der Installation von rund 80 Updates keine Verbindung der WSUS Konsole auf den WSUS Server möglich war – mal lief der WSUS Service, mal auch wieder nicht (dann hatte ich im Eventlog einen 7031).

Nun gibt es im Web eine Menge von teilweise esoterischen Lösungen für dieses Problem … welche bei mir alle nicht funktioniert haben, oder vielleicht besser gesagt – ich die Richtige nicht gefunden habe.

Update 12.07.2016: Das Problem wird durch den KB3148812 verursacht, welcher die ESD Verschlüsselung aktiviert und damit den WSUS lahm legt. Die schnelle Lösung des Problems stellt einfach die Deinstallation von KB3148812 dar, und damit funktioniert auch der WSUS wieder.

Update 20.07.2016: Inzwischen hatte ich zwei weitere WSUS Server ohne KB3148812 welche ebenfalls nach der Installation von Updates den Dienst mit einem 7031 eingestellt haben.

Sollte die Deinstallation von KB3148812 aus irgend einem Grund NICHT möglich sein, oder das Problem dennoch weiter bestehen, besteht die Möglichkeit den WSUS nochmals neu zu initialisieren, also einen Reset durch zu führen.

Dazu sind die folgenden Schritte notwendig, aber Achtung – alle Einstellungen Updates, etc. sind danach weg!

  1. Prüfen ob der WSUS im Service Manager auch wirklich nicht läuft (sonst einfach stoppen)
    net stop "WSUS Service"
  2. Umbenennen, bzw. löschen des WSUS Verzeichnisses
    rd e:\wsus /s /q
  3. Löschen der SUSDB im SQL Server (das erfolgt über das SQL Server Management Studio, mit rechter Maustaste auf die SUSDB und der Auswahl delete)
  4. Start der WSUS Postinstallation mit folgendem Befehl
    wsusutil postinstall SQL_INSTANCE_NAME=SBE CONTENT_DIR=E:\WSUS

    Auf dem SBE Server (welcher auch als Computername SBE hat, läuft SQL Server Express als Default-Instanz. Daher tragen wir als Instanzname SBE ein. Das Verzeichnis für den WSUS ist bei mir E:\WSUS

  5. Der Prozess erstellt ein Logfile, welches ich gleich mit Notepad++ öffne und die Erstellung verfolgen kann
    Log file is located at C:\Users\bernd-adm\AppData\Local\Temp\tmp9CC2.tmp
    Post install is starting
    Post install has successfully completed

Danach muss der WSUS nochmals neu eingerichtet werden … macht aber nix, tut ja nun wieder Smile

Enjoy it, b!

Autostart Services Not Running / Shell Hardware Detection

Regelmäßig, nach einem Neustart “meiner” SBE 2012 R2 Server erscheint folgende Fehlermeldung im Health Report.

image

Der Shell Hardware Detection Service steht im Service Status: Stopped

Der Statup type des Services steht dagegen auf Automatic und damit muss der Service laufen. Das übliche Vorgehen den Service im Falle eines Fehlers einfach automatisch nochmals zu starten funktioniert interessanter Weise hier nicht.

image

Der Grund wieso dieser Service gestoppet wird ist nämlich kein Fehler sondern ein Verhalten, welches diesem Service immanent ist. Der Shell Hardware Detection Service wird nur ausgeführt, wenn ein Benutzer am Server direkt angemeldet ist (über die Console, oder über RDP). Daher tritt das Problem auch nur auf, wenn der Server nach einem Update neu gestartet wurde, bei einem laufenden Service und getrennter RDP Session bleibt er aktiv.

Nun stellt sich die Frage, wie man mit diesem Fehler am sinnvollsten umgeht – von Maßnahmen wie “diesen Fehler kann man ignorieren” halte ich nicht viel (auch wenn sie manchmal unumgänglich sind), es gibt keine guten und bösen Fehler – Fehler sind Fehler!

Der Health Report des SBE übernimmt diesen Fehler vom Server Manager, daher habe ich mich entschlossen die Überwachung dieses Services zu deaktivieren.

Dazu sind die folgenden Schritte notwendig:

Server Manager / Dashboard / Local Server / Services

image

Hier im Local Server – Services Detail View den Haken bei Shell Hardware Detection raus nehmen, damit wird die Anzeige des Status im Server Manager deaktiviert und es erfolgt auch keine Anzeige mehr im Health Report. Fehler des Services selbst werden auch weiterhin im Eventlog protokolliert.

image

Enjoy it, b!

Windows Server 2012 R2 liefert keine Dateifreigaben mehr …

Seit geraumer Zeit kann ich auf einem Windows Server 2012 R2 beobachten, dass dieser auf einmal alle Dateifreigaben nicht mehr bereitstellt. Der Server selbst, ist aber über RDP und auch mit einem Ping problemlos erreichbar.

Eine Anmeldung über RDP und der Neustart des Server-Dienstes bringen auch keine Lösung, allerdings sind die Dateifreigaben nach einem Neustart des Servers wieder für einige Wochen verfügbar.

Ein wenig Recherche im Internet hat ergeben, dass ich mit dem Problem nicht alleine bin

https://social.technet.microsoft.com/Forums/de-DE/e9567167-22db-4b8c-9f96-a08b97d507f9/server-2012-r2-file-server-stops-responding-to-smb-connections?forum=winserverfiles

und sogar dafür einen von Microsoft gelieferten Workaround zu Tage gefördert:

https://support.microsoft.com/en-nz/kb/2957623

Die in dem KB-Artikel referenzierten Update rollups vom Mai 2014 sind aber auf meinem Server installiert. Somit habe ich beschlossen einfach den ebenfalls im Artikel beschriebenen Registry-Key zu setzen.

REG ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /v DisableLeasing /t REG_DWORD /d 1 /f

NET STOP SERVER
NET START SERVER

Seit dem läuft der Server ohne Probleme.

Enjoy it, b!