“Log on as a service” Trouble bei der Migration

Das Recht sich als Service an einem Domain Controller anmelden zu können, spielt eine wichtige Rolle bei der Migration auf den Windows Server 2012 R2 Small Business Essentials (SBE). Hier ist bei meiner letzten Migration irgendetwas schief gelaufen – die Berechtigung hier war nicht ausreichend gesetzt.

Zwar referenziert die Phase 1 der SBE Migration auf eine Löschunt der “Logon as a service” Einstellungen, aber explizit nur für eine Migration von Windows Server 2003!

image

Die Einstellung ist in der Default Domain Controller Policy unter Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Logon as a service zu finden und wird damit lediglich auf Domain Controller angewendet – was aber ein einer SBE Umgebung OK ist, wir haben in der Regel nur diesen einen Server. Auf Member-Servern in der Domain wird die Berechtigung in der lokalen Policy konfiguriert.

Ich habe diese Einstellung bei der letzten Migration nicht geändert … was zu folgenden Problem führte.

  1. Nach der Installation der Essentials Role muss ein Post-Deployment Task ausgeführt werden, welcher das Dashboard startet und damit den Wizard zur Einrichtung des SBE. Das ging erstmal schief und zu diesem Zeitpunkt dachte ich noch nicht an die fehlende Konfiguration der Logon as a service Richtlinie.
  2. Folgende Dienste (Services) wollten nach einem Reboot des Servers nicht mehr starten:
    1. Windows Server Essentials Media Streaming Service
      (Log on as: sbsland.local\MediaAdmin$)
    2. WSUS Service
    3. SQL Server (MSSQLSERVER)
      (Log on as: NT Service\MSSQLServer)

Fehler 1 – The Post-Deployment Configuration task may fail after you install the Windows Server Essentials Experience role on Windows Server 2012 R2

Fehler 1 ist inzwischen bei Microsoft in einem KB-Artikel KB2914651 dokumentiert. Hier fehlt den Accounts ServerAdmin$ und MediaAdmin$ das Recht sich als Service an zu melden (Logon as a service). Nachdem die beiden Accounts, wie im Artikel beschrieben in der Default Domain Controller Policy konfiguriert wurden und ein GPUPDATE das dem Server mitgeteilt hat, konnten der Post-Deployment Task zur Einrichtung des SBE ohne Fehlermeldung starten.

Fehler 2 – die oben genannten Services starten nicht (mehr)

Bis zum Zeitpunkt des Neustarts war der WSUS aktiv und hatte schon gute 2 Wochen lang die Clients mit Updates versorgt. Eine Kontrolle der Default Domain Controller Policy zeigte, dass der Service Account des SQL Servers (NT Service\MSSQLServer) ebenfalls nicht berechtigt war.

Der folgende Screenshot zeigt die korrekt berechtigten Service Accounts in der GPO:

image

Nach dem auch dieser Account eingetragen war, startete der SQL Server ohne Probleme und damit lief auch mein WSUS wieder, welcher diesen zur Ablage der SUSDB (WSUS Datenbank) verwendet.

Der Windows Server Essentials Media Streaming Service war zwar richtig berechtigt, stand aber, aus welchen Gründen auch immer, auf deaktiviert (disabled). Hier habe ich die Service Startart auf Automatisch (automatic) gestellt, danach lief auch dieser Service ohne Probleme.

Enjoy it, b!

Windows SBE 2012 R2 Dashboard

Für den Windows Server Small Business Essentials 2012 R2 hat Microsoft das Management mit PowerShell nochmals deutlich verbessert und liefert eine Reihe hilfreicher PowerShell Befehle mit.

https://technet.microsoft.com/en-us/library/dn205088(v=wps.630).aspx

Im Gegensatz zu früheren Versionen, lässt sich damit z.B. das Dashboard nach einer Migration auf SBE 2012 R2 von Benutzerkonten säubern welche dort nicht angezeigt werden sollen (Service Accounts, zusätzliche Admins, etc.).

Dazu wird einfach PowerShell als Administrator gestartet und die vorhandenen Benutzer des Dashboards ermittelt:

# Ermittlung der im Dashboard angezeigten Benutzer
Get-WssUser | fl UserName

image

Die beiden grün markierten Benutzer sollen nicht mehr im Dashboard angezeigt werden (das eine ist mein Administrator, der andere DHCP2DNS ist der Proxy-Account für DNS Updates).

# Deaktivieren der Anzeige von Benutzern im Dashboard
Set-WssUserDashboardVisibility -Name bernd-adm -Hidden

Set-WssUserDashboardVisibility -Name DHCP2DNS-Update -Hidden

image

Damit zeigt das Dashboard lediglich den Administrator und die eigentlichen SBE Benutzer an.

Enjoy it, b!

Entfernen von Exchange 2007 im Verlauf einer Migration

Im Verlauf einer Migration von Windows Small Business Server 2008 auf einer der neueren Essentials oder Standard Versionen, muss Exchange aus dem Active Directory sauber entfernt werden. Das passiert an einfachsten durch eine Deinstallation von Exchange auf dem alten Small Business Server.

Allerdings musste ich im Verlauf von einigen Migrationen feststellen, dass das nicht immer so problemlos klappt. Letztendlich ist mir aber die Deinstallation von Exchange 2007 immer gelungen, dabei musste ich noch folgende zusätzliche Schritte tun.

Start der Exchange 2007 Deinstallation.image

Im folgenden Dialog alle aktiven Elemente deaktivieren.image

Danach startet die Deinstallation in Form eines Readiness Checks und läuft auf die folgenden drei Fehler / Probleme.

image

Fehler 1: Uninstall cannot continue. Database ‘Mailbox Database’: This mailbox database contains one or more mailboxes ..

Fehler 2: Uninstall cannot continue. Database ‘Public Folder Database’: The public folder database …contains the following offline address books(s).
.\Standard-Offlineadressliste

image

Fehler 3: This computer is configured as a source transport server for 1 connector(s) in the organization …

Lösung von Fehler 1

Exchange Management Console / Recipient Configuration / Mailbox – löschen aller vorhandenen Mailboxen. Falls der Administrator eine Mailbox hat, kann diese nicht gelöscht werden – hier ist es notwendig diese zu deaktivieren.

Danach wird über die Exchange Management PowerShell Console die Mailbox Database gelöscht.

Get-MailboxDatabase
Remove-MailboxDatabase -Identity "Mailbox Database"

Lösung von Fehler 2

Die Public Folder Database läßt sich über ADSIEdit löschen:

http://blog.dargel.at/2012/01/19/remove-public-folder-using-adsiedit/

Dazu starten wir ADSIedit mit erweiteren Rechten als Domain Admin und verbinden uns (mit Connect to) zum Configuration Naming Context.

image

von dem wir uns wie im Blog beschrieben zu CN=Public Folder Database durcharbeiten, um diese im Anschluss zu löschen.

image

Lösung von Fehler 3

Exchange Management Console / Organization Configuration / Hub Transport / Send Connectors – löschen aller vorhandenen Connectoren.

Exchange Management Console / Server Configuration / Hub Transport / Receive Connectors – löschen aller vorhandenen Connectoren.

Danach mit Retry den Readyness Check laufen lassen. Danach kann die Deinstallation von Exchange 2007 fortgesetzt werden.

Enjoy it, b!

Windows Server 2012 R2 Essentials (Role)–Migration

Für die Migration von verschiedenen Small Business Server Versionen auf Windows Server 2012 R2 stellt Microsoft einen Guide zur Verfügung, welchen ich auch im Rahmen meiner Migrationen verwende.

https://technet.microsoft.com/en-us/dn408633.aspx

Der Guide ist in 8 Schritte unterteilt welche die wesentlichen Punkte einer Migration beschreiben:

Im Verlauf meiner Migrationen habe ich einige Punkte anders gemacht, welche ich hier darstellen möchte, Zuerst jedoch eine Überlegung zu wirklich kleinen Umgebungen Winking smile 

(keine) Migration von kleinen Standard-Umgebungen

Kleine SBS Umgebungen (so um die 5 Benutzer) migriere ich gar nicht. Hier führe ich eine Neuinstallation des SBE durch und übertrage anschließend Benutzereinstellungen mit Windows Easy-Transfer in die neue Domain. Das funktioniert auch recht gut, wenn über den Server zentral bereitgestellte Anwendungen lediglich eine Dateifreigabe benötigen (die Arztpraxis lässt da grüßen). Diese Variante stellt einen sauberen Neuanfang dar – ohne Altlasten. Gibt es jedoch in der Umgebung mehr als nur 5 Benutzer und dazu noch Anwendungen, dann ist eine Migration sinnvoll und damit die Abarbeitung der 8 oben beschriebenen Schritte.

Für größere und/oder komplexere Umgebungen migriere ich natürlich …

Migration von größeren SBS Umgebungen

Die Grundlage für die folgenden Empfehlungen war eine Umstellung von Windows Small Business Server 2008 Premium auf Windows Server 2012 R2 Essentials. Neben dem Small Business Server mit Exchange 2007 gab es noch folgende Anwendungen:

  • Mailstore zur Mailarchivierung
  • SQL Server 2008 und eine Anwendung welche Aktienkurse analysiert
  • Windows Server 2008 R2 mit Remote Desktop Services (Terminal Server)

Die Umstellung habe ich in 4 Schritten gemacht:

  1. Umstellung der Mails in die Cloud (Office365)
  2. Migration der Domäne von Windows Server 2008 Small Business auf Windows Server 2012 R2 Essentials (Role), inklusive folgender Dienste:
    – File und Print
    – WSUS (Windows Server Update Services)
  3. CleanUp – Aufräumen des migrierten Servers / der Domäne
  4. Umstellung von SQL Server und der Anwendung für die Aktienkurse (auf SQL Server 2014)

Office365 Business Essentials – die Mails sind nun in der Cloud

Wie man Mails in die Cloud, bzw. nach Office365 transferiert beschreibt Microsoft hinreichend genau und soll hier auch nicht weiter ausgeführt werden. Da die Mailboxen in Summe für 6 Benutzer die 100GB Grenze erreicht hatten und die Anbindung an das Internet mit ADSL (16MBit/s Down und 1MBit/s Upload) nicht gerade üppig ist, habe ich mich auf eine Migration von Kontakten und Kalendern beschränkt. Die Mails verbleiben in der zu Mailarchivierung verwendeten Lösung Mailstore und sind über ein Plugin in Outlook vorhanden. Von dort kann dann jeder Benutzer selbst wichtige Mails in sein neues Postfach transferieren.

Migration der Domäne auf Windows Server 2012 R2 Essentials

Die Migration auf den neuen Server habe ich wie folgt gemacht.

  1. Installation eines neuen Servers als Member-Server in die Domäne
  2. Migration aller Fileshares
  3. Erstellen der Drucker
  4. Installation von WSUS
  5. Installation des SMTP-Servers (den brauchen wir, da ohne Exchange auch keine Mails mehr versendet werden können), die Konfiguration ist hier beschrieben https://sbsland.wordpress.com/2014/11/22/smtphome-mit-11/
  6. Installation des DHCP-Servers
  7. Anpassen bzw. neu Anlegen der GPOs (Ordnerumleitung, WSUS …)
  8. Anpassen des Anmeldescriptes (login.cmd) – Yep, ich hänge an dieser Art der Laufwerkszuordnung Smile

Nach diesen Schritten sollte der alte SBS Server nur noch die Anmeldung machen, alle anderen Dienste laufen zu diesem Zeitpunkt auf dem installierten Member-Server! Diese Vorgehensweise bietet mir ausreichend Zeit um die Funktion des neuen Servers zu testen. Können die Benutzer damit eine Woche problemlos arbeiten, dann kommt der nächste Schritt – Umstellung der Domäne.

  1. Auf dem Member-Server fügen wir die notwendige AD-Rolle(n) (inklusive des DNS) hinzu

    image

  2. Nach erfolgreichem DC Promo erfolgt das Verschieben der FSMO-Rollen auf den neuen DC (sbe.sbsland.local):
    Move-ADDirectoryServerOperationMasterRole -Identity "sbe.sbsland.local" -OperationMasterRole 0,1,2,3,4

    Mit einer Zeile PowerShell ist das eine sehr coole Sache.

  3. Und als Abschluss dieses Schrittes die Installation der Essentials-Role

Cleaning …

So, nun geht’s ans Aufräumen … ob das notwendig ist oder nicht, muss jeder selbst entscheiden. Ich versuche zumindest die migrierte Domäne, wie eine neu installierte erscheinen zu lassen. Dabei geht es im Wesentlichen um folgende Punkte.

  • Entfernen von Exchange 2007
  • Auflösen der MyBusiness OU
  • Löschen von “alten” Gruppen
  • Löschen alter GPOs

Exchange fare well …

Um Exchange 2007 zu deinstallieren sind im Wesentlichen die folgenden Schritte aus der TechNet zu beachten:

https://technet.microsoft.com/en-us/library/bb123893(v=exchg.80).aspx

Bei jeder bisher von mir durchgeführten Migration, bin ich auf die folgenden drei Fehler gestoßen welche die Deinstallation von Exchange 2007 verhindert haben. Daher habe ich diese in einem extra Blog-Beitrag beschrieben:

https://sbsland.wordpress.com/2016/03/07/entfernen-von-exchange-2007-im-verlauf-einer-migration/

Danach ließ sich wie im TechNet-Artikel beschrieben Exchange 2007 deinstallieren.

Auflösen der MyBusiness OU

Die Benutzer und Gruppen verschiebe ich nach \Users und alle Computer (egal ob Server oder Clients) nach \Computers im Active Directory. Unterschiedlichen Anforderungen bzgl der Einstellungen werden über GPOs und Gruppen realisiert:

  • _ SBSland Servers
  • _ SBSland Client Computers
  • _ SBSland Hyper-V Hosts
  • _ SBSland Office Users

Damit die MyBusiness OU gelöscht werden kann, muss noch die Erstellung von Benutzer und Computerkonten in den unteren OUs deaktiviert, bzw. wieder zurück nach \Users und \Computers gestellt werden. Dazu gibt es zwei Befehle:

# redirusr CONTAINER-DN
redirusr cn=users,dc=sbsland,dc=local

# redircmp CONTAINER-DN
redircmp cn=computers,dc=sbsland,dc=local

Nach der Migration der Benutzer von den “alten” Gruppen in neue, können diese gelöscht werden. Das erfolgt wiederum in zwei Schritten:

@echo off

:: net group /dom | findstr /i "Windows SBS" >groups-2-delete-from-2008.cmd

:: Group Accounts for \\SBS
net group "SBS Admin Templates" /dom /delete
net group "SBS Fax Operators" /dom /delete
net group "SBS Folder Operators" /dom /delete
net group "SBS Mail Operators" /dom /delete
net group "SBS Mobile Users" /dom /delete
net group "SBS P User Templates" /dom /delete
net group "SBS Remote Operators" /dom /delete
net group "SBS Report Users" /dom /delete
net group "SBS SP Admins" /dom /delete
net group "Windows SBS Fax Administrators" /dom /delete
net group "Windows SBS Fax Users" /dom /delete
net group "Windows SBS Folder Redirection Accounts" /dom /delete
net group "Windows SBS Link Users" /dom /delete
net group "Windows SBS Remote Web Workplace Users" /dom /delete
net group "Windows SBS SharePoint_MembersGroup" /dom /delete
net group "Windows SBS SharePoint_OwnersGroup" /dom /delete
net group "Windows SBS SharePoint_VisitorsGroup" /dom /delete
net group "Windows SBS Virtual Private Network Users" /dom /delete

und

@echo off

:: net group /dom >groups-2-delete-to-be-standard.cmd

::Group Accounts for \\SBS

:: -------------------------------------------------------------------------------

:: *_ SBSland Client Computers		//-Kunde-//
:: *_ SBSland Desktop Admins			//-Kunde-//
:: *_ SBSland Folders Redirect			//-Kunde-//
:: *_ SBSland Hyper-V Hosts			//-Kunde-//
:: *_ SBSland Mailstore Users			//-Kunde-//
:: *_ SBSland Office				//-Kunde-//
:: *_ SBSland Terminal Server Users		//-Kunde-//

:: *Cloneable Domain Controllers 		//-WS2012R2-//
:: *DnsUpdateProxy 			//-WS2012R2-//
net group "Domain Power Users" /dom /delete	
:: *Domänen-Admins			//-WS2012R2-//
:: *Domänen-Benutzer			//-WS2012R2-//
:: *Domänencomputer			//-WS2012R2-//
:: *Domänencontroller			//-WS2012R2-//
:: *Domänen-Gäste				//-WS2012R2-//
:: *Enterprise Read-only Domain Controllers	//-WS2012R2-//
net group "Exchange Domain Servers" /dom /delete

:: *Organisations-Admins			//-WS2012R2-// - Enterprise Admins
:: *Protected Users				//-WS2012R2-//
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-1531
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-2846
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4661
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4662
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4667
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4683
:: *Read-only Domain Controllers		//-WS2012R2-//
:: *Richtlinien-Ersteller-Besitzer			//-WS2012R2-// - build-in
:: *Schema-Admins				//-WS2012R2-//
net group "User Roles" /dom /delete
net group "Web Workplace Users" /dom /delete
:: *WseAlertAdministrators			//-WS2012R2-//
:: *WseAllowAddInAccess			//-WS2012R2-//
:: *WseAllowComputerAccess			//-WS2012R2-//
:: *WseAllowDashboardAccess		//-WS2012R2-//
:: *WseAllowHomePageLinks			//-WS2012R2-//
:: *WseAllowMediaAccess			//-WS2012R2-//
:: *WseAllowShareAccess			//-WS2012R2-//
:: *WseInvisibleToDashboard			//-WS2012R2-//
:: *WseManagedGroups			//-WS2012R2-//
:: *WseRemoteAccessUsers			//-WS2012R2-//
:: *WseRemoteWebAccessUsers		//-WS2012R2-//

:: The command completed successfully.

Nun kann die MyBusiness OU gelöscht werden und auch die Gruppen entsprechen dem Standard einer neuen Installation.

Nicht vergessen sollte man an dieser Stelle die Bereinigung der GPOs des SBS 2008 inkusive der alten WMI Filter (grün umrandet).

image

Hier ein kleiner Tipp zu den GPOs – vielleicht erst einmal deaktivieren, bevor man sie löscht.

Zum Abschluss wird der alte SBS Server mit DCPromo aus dem AD entfernt und herunter gefahren. Da nach dem DCPromo der alte SBS ein Member-Server ist, lasse ich ihn erst einmal ausgeschaltet und deaktiviere das Computerkonto. Nach 14 Tagen, lösche ich dieses und dazu auch noch die VM (die VHDs mit Daten kann man ja noch behalten … falls man was vergessen hat).

That’s it Smile

Enjoy it, b!