Benutzer Konto läuft ab …

Veröffentlicht am von
Antwort

In den Home-Editionen von Windows hat Microsoft das Benutzer-Management eingeschränkt. So ist es z.B. nicht so einfach möglich einem Benutzer Konto das Ablaufen des Passworts ab zu gewöhnen. In den Pro-Editionen läßt sich das in den Eigenschaften des Kontos konfigurieren:

image

In den Home-Editionen bleibt nur die Möglichkeit über das WMI (was natürlich auch in den Pro-Editionen bzw. in Skripten möglich und hilfreich ist).

WMIC USERACCOUNT WHERE "Name='Support'" SET PasswordExpires=FALSE

Damit läßt sich auch in den Home-Editions ein Account ohne ablaufendes Passwort konfigurieren.

Update 2015-12-18:
Für einen Domain Account geht das natürlich auch, allerdings verwende ich in diesem Fall die dstools welche auf einem AD Controller vorhanden sind:

dsquery user domainroot -name "USERNAME" | dsmod user -pwdneverexpires YES

Enjoy it, b!

Troubleshooting Azure Backup

Veröffentlicht am von
Antwort

Dieser Beitrag behandelt gleich zwei Probleme welche ich mit dem Azure Backup Client auf Windows Server 2008 R2 hatte.

„Unable to execute the embedded application“ …

… error when you try to install the Microsoft Azure backup agent

Dafür liefert Microsoft sogar einen KB, wichtig ist hier das genau die im Artikel referenzierte VC Komponente verwendet wird und nicht etwa ein Update davon.

https://support.microsoft.com/en-us/kb/2934202

Danach klappt’s auch hier mit dem Backup. Interessanter ist jedoch das folgende Problem – und dessen Lösung.

ID: 100050 – Verbindung zu Microsoft Azure Backup

Nach der Installation des Azure Backup Clients ist unter Verwendung korrekter Tresoranmelde-Daten (Vault Credentials) keine Verbindung zu Azure Backup möglich. Die Netzwerkeinstellungen sind aber OK, der Server ist mit dem Internet verbunden!

image

Wenn die obigen Vorraussetzungen zutreffen, sollten einmal die Internet-Einstellungen des System-Accounts geprüft werden! Der Azure Backup Service läuft nämlich unter Local System und hat damit eigene Proxy-Einstellungen, welche möglicher Weise verändert wurden:

image

An diese gelangt man durch einen Aufruf des Internet Explorers durch psexec im Kontext von Local System.

psexec -i -s "C:\Program Files\Internet Explorer\iexplore.exe"

In dem nun gestartetem Internet Explorer kommt man über Extras / Internet Optionen / Verbindungen / LAN-Einstellungen zum Proxyserver welcher in diesem Fall konfiguriert war!

image

Hier alle Einstellungen raus nehmen und schon klappt es mit der Registrierung des Servers.

Update:
Optional kann man auch die Liste erweitern für die kein Proxyserver verwendet wird.

image

Hierzu die folgenden Einträge hinzufügen:

https://*.windows.net;https://*.windowsazure.com

Enjoy it, b!

Client Connector und Windows 10 Support

Veröffentlicht am von
Antwort

Aus einem Blogbeitrag von Microsoft geht hervor, dass auch das große November Update mit dem Client Connector des Windows Server Essentials zusammen arbeitet.

http://blogs.technet.com/b/sbs/archive/2015/11/12/client-connector-support-for-windows-10-with-future-updates.aspx

Ich selbst konnte bisher keine Probleme mit Windows 10 1511 und dem SBS Essentials Connector feststellen. Daher immer fleißig updaten Smile

Update 18.11.2015:

Kaum hat man einen Beitrag geschrieben, schon gibt’s etwas Neues:

http://blogs.technet.com/b/sbs/archive/2015/07/23/client-connector-availability-with-windows-home-server-small-business-server-and-windows-server-essentials-for-supported-client-os.aspx

The update to support auto-redirection of Windows Server 2012 R2 Essentials for Windows 10 client connector is now available at:

https://support.microsoft.com/en-us/kb/3105885

Enjoy it, b!

Update Avago / LSI 9261-4i Controller auf dem Windows Server Core

Veröffentlicht am von
Antwort

Meine Vorliebe für den Windows Server Core und vor allem den Microsoft Hyper-V Server dürfte bekannt sein. Das Arbeiten auf diesen System ist sehr mit der Kommandozeile behaftet, egal ob PowerShell oder die cmd.exe Verwendung finden.

Wenn irgendwie möglich setzte ich in meinen Server immer RAID-Controller von LSI (inzwischen Avago) ein. Der Weg dahin war vorgezeichnet:

  1. Mit den 3Ware Controllern fing alles an und 3ware wurde dann von LSI gekauft
  2. LSI kam bisher immer mit den 92xx-xi Controllern zum Einsatz, also 9240-4i, 9261-8i, 9271-8i, usw.
  3. Dann hat Avago LSI übernommen, führt aber die Controller weiter (im Gegensatz zu LSI, wo die 3Ware Controller nicht mehr weiterentwickelt wurden

Genug der Geschichten … der Update eines LSI Controllers auf Windows Server Core ist kein Hexenwerk, es müssen drei Komponenten aktualisiert werden.

  1. Management (MegaRAID Storage Manager)
  2. Firmware
  3. Windows Treiber

Die entsprechenden Pakete findet man auf der Avago Homepage und können dort herunter geladen werden. Die Links stammen vom Updates eines LSI MegaRAID 9261-8i.

Unter Support Documents and Downloads auf der Avago Homepage (http://www.avagotech.com) folgende Suche absetzen:

image

Alle Downloads entpacke ich in das Verzeichnis c:\temp\lsi – für die jenigen welche auf dem Server Core keine unzip.exe haben, einfach lokal entpacken und auf den Server drauf kopieren.

Das sieht dann wie folgt aus:

image

Wieso LSI den Storage Manager 2x verpackt hat, erschließt sich mir nicht – dennoch, irgendwann taucht mal die setup.exe auf.

Für uns sind hier nun folgende Dateien wichtig:

image

Im ersten Schritt machen wir ein Update des MegaRAID Storage Managers. Dabei werden, in dieser Version zumindest, alle Einstellungen gelöscht (also auch die Benachrichtigung per Email) welche im Anschluss dann wieder gesetzt werden müssen.

Dazu einfach c:\temp\lsi\msm\disk1\setup.exe starten und sich durch den Wizard klicken.

Der Storage Manager läßt sich danach über das folgende Script starten. 

C:\Program Files (x86)\MegaRAID Storage Manager\startupui.bat

Diese Datei kopiere ich unter einem anderen Namen (mr.cmd) in folgendes Verzeichnis c:\program files\script (mit diesem ich die Pfad Variable erweitert habe) und nehme dazu folgende Modifikationen vor:

@Echo off

:: mr.cmd

rem %~d0
rem CD %~dp0

pushd "%ProgramFiles(x86)%\MegaRAID Storage Manager"

start JRE\bin\javaw -DVENUS=true -classpath .;GUI.jar;monitorgui.jar;DebugLog.jar;log4j-1.2.15.jar;jaxen-1.1.jar;jdom-1.1.jar GUI.VivaldiStartupDialog ajsgyqkj=71244

popd

Damit kann ich den Raid Manager von jedem beliebigen Verzeichnis aus starten.

Nun kann über den MegaRAID Storage Manager das Update der Controller Firmware vorgenommen werden.

image

Was bei LSI Controllern meistens online – also ohne einen Neustart erfolgen kann.

Zum Ende kommt nun noch die Installation des Windows-Treibers, welches ich über pnputil.exe erledige. Dazu muss ich in das Verzeichnis mit dem richtigen Treiber (win8.1_x64 = Windows Server 2012 R2) wechseln und folgenden Aufruf durchführen:

pnputil -i -a MegaSAS2.inf

Damit der Treiber dann auch geladen wird, ist allerdings ein Neustart notwendig. Mit SigCheck.exe aus den Sysinternals Tools läßt sich dann auch die Version des geladenen Treibers ermitteln.

C:\Temp>"\Program Files (x86)\Windows Sysinternals Tools\sigcheck.exe" C:\Window
s\system32\DRIVERS\megasas2.sys

Sigcheck v2.30 - File version and signature viewer
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\windows\system32\drivers\megasas2.sys:
        Verified:       Signed
        Signing date:   12:10 PM 9/10/2015
        Publisher:      Avago Technologies U.S. Inc.
        Company:        Avago Technologies
        Description:    MEGASAS RAID Controller Driver for Windows
        Product:        MEGASAS RAID Controller Driver for Windows
        Prod version:   6.709.12.00
        File version:   6.709.12.00
        MachineType:    64-bit

Falls nicht geschehen, nochmals das Alerting (per Emails) konfigurieren.

Enjoy it, b!

Azure Backup fails … 0x07EF4 …

Veröffentlicht am von
Antwort

… There is insufficient disk space in the cache volume. Please ensure that at least 2.5GB of free space exists in the cache volume.

image

Das Problem rührt daher, dass der Cache für das Backup by default unter folgendem Pfad liegt C:\Program Files\Microsoft Azure Recovery Services Agent\Scratch und bei entsprechend großen Datenmengen einfach das Sytemlaufwerk zu müllt.

Seit einiger Zeit bietet der Azure Client die Möglichkeit an, im Verlauf der Installation das Verzeichnis für den Cache zu ändern. Auf großen Fileservern – dieser hier hat 3TB lege ich dafür eigens eine VHDx an (Laufwerk X) und lassen den Cache auf dieser werkeln. Im Verlauf der Neuinstallation habe ich damit X:\Microsoft Azure Recovery Services Agent\Scratch als Pfad für den Cache verwendet.

Der Backupclient ist hier übrigens ein wenig zickig, sprich das Verzeichnis muss manuell erstellt werden, der Wizard kann das nicht.

md "X:\Microsoft Azure Recovery Services Agent"

Der gesamte Ablauf sieht wie folgt aus:

  1. Deinstallation des alten Azure Backup Clients über das Control Panel
  2. Bereitstellen einer Disk für den Cache (bei VMs einfach eine neue VHD erstellen und dem OS zuweisen)
  3. Anlegen des Cache Verzeichnisses, hier X:\Microsoft Azure Recovery Services Agent
    Das Verzeichnis Scratch wird vom Wizard selbst angelegt
  4. Installation des neuen Azure Backup Clients
  5. Registrierung des Servers in Azure Backup – man will ja wieder auf die alten Sicherungen kommen

Zur Registrierung sind die Vault Credentials notwendig, welche aber nach deren Erstellung nur 2 Tage Gültigkeit haben. Daher müssen, falls die Einrichtung des Azure Backups länger als 2 Tage zurück liegt, neue Credentials aus dem Portal herunter geladen werden. Der Wizard spricht hier von “we recommend” … was aber Blödsinn ist, sind die Vault Credentials abgelaufen – geht es mit der Registrierung nicht weiter.

image

Die Vault Credentials (Tresoranmeldedaten) sind hier zu finden.

Microsoft Azure Portal / alle elemente / Name = Kundenname / Typ = Sicherungstresor

image

Die neuen Vault Credentials speichere ich (obwohl nur 2 Tage gültig) zusätzlich nochmals ab und kopiere sie auf den entsprechenden Server C:\Users\Public\Documents\Azure von dort kann sie dann der Register Server Wizard ohne Probleme laden und fordert zur erneuten Eingabe der Passphrase ein – hier nehme ich die ehemals verwendete und speichere diese wiederum in meinem lokalen Azure Verzeichnis ab.

image

Natürlich ist es nicht sinnvoll die PassPhrase lokal auf dem Server zu belassen. Das komplette Azure Verzeichnis wird komprimiert und außerhalb der Firma an einem sicheren Ort gespeichert.

image

Mit dem Start lädt der Azure Backup Agent auch die vorherige Konfiguration und zeigt die vorhandenen Sicherungen an – so wollten wir das ja auch haben.

image

„Ich liebe es, wenn ein Plan funktioniert!“ (für die jüngern Leser – https://de.wikipedia.org/wiki/Das_A-Team)

Damit ist der Azure Backup Client korrekt konfiguriert! Allerdings müssen wir uns an dieser Stelle noch für das vollgelaufene Systemlaufwerk kümmern:

rd "C:\Program Files\Microsoft Azure Recovery Services Agent\Scratch" /s /q

Danach sind auf Laufwerk C: wieder 50GB (in diesem Fall frei).

Wichtig:
Für den Fall, dass die Netzwerkbandbreite beschränkt wird (was während der Arbeitszeit mehr als sinnvoll ist) müssen diese Einstellungen erneut gesetzt werden. Diese sind hier verloren gegangen.

Update 02.11.2015:
Ohne eine Neuinstallation des Azure Clients läßt sich der Pfad für das Scratch-Verzeichnis auch über die Registry ändern. Dazu sind  folgende Schritte notwendig:

  1. Stop des Services 
    net stop obengine
  2. Erstellen der Verzeichnisses 
    md "X:\Microsoft Azure Recovery Services Agent"
  3. Ändern des Registry Eintrags 
    HKLM\SOFTWARE\Microsoft\Windows Azure Backup\Config, ScratchLocation, X:\Microsoft Azure Recovery Services Agent

HKLM\SOFTWARE\Microsoft\Windows Azure Backup\Config\CloudBackupProvider, ScratchLocation, X:\Microsoft Azure Recovery Services Agent
  4. Start des Services 
    net start obengine

Enjoy it, b!

Probleme mit der Zeitumstellung?

Veröffentlicht am von
1

Gleich auf drei meiner Windows Server 2012 R2 Essentials Servern hat die Zeitumstellung am vergangenen Wochenende zu folgendem Effekt geführt.

  • Der Statusbericht wurde um 02:00 Uhr anstatt um 06:00 Uhr versendet
  • Danach wurde kein Statusbericht mehr versendet (und der um 02:00 als “Cannot send email” angezeigt (obwohl er gesendet wurde)

image

Das Problem läßt sich durch einen Neustart des Servers, oder ein wenig ““professioneller”, durch einen Neustart des Windows Server Essentials Management Service lösen.

net stop "Windows Server Essentials Management Service" && net start "Windows Server Essentials Management Service"

Enjoy it, b!

Windows Server 2012 R2 Essentials (Role)–Migration

Veröffentlicht am von
Antwort

Für die Migration von verschiedenen Small Business Server Versionen auf Windows Server 2012 R2 stellt Microsoft einen Guide zur Verfügung, welchen ich auch im Rahmen meiner Migrationen verwende.

https://technet.microsoft.com/en-us/dn408633.aspx

Der Guide ist in 8 Schritte unterteilt welche die wesentlichen Punkte einer Migration beschreiben:

Im Verlauf meiner Migrationen habe ich einige Punkte anders gemacht, welche ich hier darstellen möchte, Zuerst jedoch eine Überlegung zu wirklich kleinen Umgebungen Winking smile 

(keine) Migration von kleinen Standard-Umgebungen

Kleine SBS Umgebungen (so um die 5 Benutzer) migriere ich gar nicht. Hier führe ich eine Neuinstallation des SBE durch und übertrage anschließend Benutzereinstellungen mit Windows Easy-Transfer in die neue Domain. Das funktioniert auch recht gut, wenn über den Server zentral bereitgestellte Anwendungen lediglich eine Dateifreigabe benötigen (die Arztpraxis lässt da grüßen). Diese Variante stellt einen sauberen Neuanfang dar – ohne Altlasten. Gibt es jedoch in der Umgebung mehr als nur 5 Benutzer und dazu noch Anwendungen, dann ist eine Migration sinnvoll und damit die Abarbeitung der 8 oben beschriebenen Schritte.

Für größere und/oder komplexere Umgebungen migriere ich natürlich …

Migration von größeren SBS Umgebungen

Die Grundlage für die folgenden Empfehlungen war eine Umstellung von Windows Small Business Server 2008 Premium auf Windows Server 2012 R2 Essentials. Neben dem Small Business Server mit Exchange 2007 gab es noch folgende Anwendungen:

  • Mailstore zur Mailarchivierung
  • SQL Server 2008 und eine Anwendung welche Aktienkurse analysiert
  • Windows Server 2008 R2 mit Remote Desktop Services (Terminal Server)

Die Umstellung habe ich in 4 Schritten gemacht:

  1. Umstellung der Mails in die Cloud (Office365)
  2. Migration der Domäne von Windows Server 2008 Small Business auf Windows Server 2012 R2 Essentials (Role), inklusive folgender Dienste:
    – File und Print
    – WSUS (Windows Server Update Services)
  3. CleanUp – Aufräumen des migrierten Servers / der Domäne
  4. Umstellung von SQL Server und der Anwendung für die Aktienkurse (auf SQL Server 2014)

Office365 Business Essentials – die Mails sind nun in der Cloud

Wie man Mails in die Cloud, bzw. nach Office365 transferiert beschreibt Microsoft hinreichend genau und soll hier auch nicht weiter ausgeführt werden. Da die Mailboxen in Summe für 6 Benutzer die 100GB Grenze erreicht hatten und die Anbindung an das Internet mit ADSL (16MBit/s Down und 1MBit/s Upload) nicht gerade üppig ist, habe ich mich auf eine Migration von Kontakten und Kalendern beschränkt. Die Mails verbleiben in der zu Mailarchivierung verwendeten Lösung Mailstore und sind über ein Plugin in Outlook vorhanden. Von dort kann dann jeder Benutzer selbst wichtige Mails in sein neues Postfach transferieren.

Migration der Domäne auf Windows Server 2012 R2 Essentials

Die Migration auf den neuen Server habe ich wie folgt gemacht.

  1. Installation eines neuen Servers als Member-Server in die Domäne
  2. Migration aller Fileshares
  3. Erstellen der Drucker
  4. Installation von WSUS
  5. Installation des SMTP-Servers (den brauchen wir, da ohne Exchange auch keine Mails mehr versendet werden können), die Konfiguration ist hier beschrieben https://sbsland.wordpress.com/2014/11/22/smtphome-mit-11/
  6. Installation des DHCP-Servers
  7. Anpassen bzw. neu Anlegen der GPOs (Ordnerumleitung, WSUS …)
  8. Anpassen des Anmeldescriptes (login.cmd) – Yep, ich hänge an dieser Art der Laufwerkszuordnung Smile

Nach diesen Schritten sollte der alte SBS Server nur noch die Anmeldung machen, alle anderen Dienste laufen zu diesem Zeitpunkt auf dem installierten Member-Server! Diese Vorgehensweise bietet mir ausreichend Zeit um die Funktion des neuen Servers zu testen. Können die Benutzer damit eine Woche problemlos arbeiten, dann kommt der nächste Schritt – Umstellung der Domäne.

  1. Auf dem Member-Server fügen wir die notwendige AD-Rolle(n) (inklusive des DNS) hinzu

    image

  2. Nach erfolgreichem DC Promo erfolgt das Verschieben der FSMO-Rollen auf den neuen DC (sbe.sbsland.local): 
    Move-ADDirectoryServerOperationMasterRole -Identity "sbe.sbsland.local" -OperationMasterRole 0,1,2,3,4

    Mit einer Zeile PowerShell ist das eine sehr coole Sache.

  3. Und als Abschluss dieses Schrittes die Installation der Essentials-Role

Cleaning …

So, nun geht’s ans Aufräumen … ob das notwendig ist oder nicht, muss jeder selbst entscheiden. Ich versuche zumindest die migrierte Domäne, wie eine neu installierte erscheinen zu lassen. Dabei geht es im Wesentlichen um folgende Punkte.

  • Entfernen von Exchange 2007
  • Auflösen der MyBusiness OU
  • Löschen von “alten” Gruppen
  • Löschen alter GPOs

Exchange fare well …

Um Exchange 2007 zu deinstallieren sind im Wesentlichen die folgenden Schritte aus der TechNet zu beachten:

https://technet.microsoft.com/en-us/library/bb123893(v=exchg.80).aspx

Bei jeder bisher von mir durchgeführten Migration, bin ich auf die folgenden drei Fehler gestoßen welche die Deinstallation von Exchange 2007 verhindert haben. Daher habe ich diese in einem extra Blog-Beitrag beschrieben:

https://sbsland.wordpress.com/2016/03/07/entfernen-von-exchange-2007-im-verlauf-einer-migration/

Danach ließ sich wie im TechNet-Artikel beschrieben Exchange 2007 deinstallieren.

Auflösen der MyBusiness OU

Die Benutzer und Gruppen verschiebe ich nach \Users und alle Computer (egal ob Server oder Clients) nach \Computers im Active Directory. Unterschiedlichen Anforderungen bzgl der Einstellungen werden über GPOs und Gruppen realisiert:

  • _ SBSland Servers
  • _ SBSland Client Computers
  • _ SBSland Hyper-V Hosts
  • _ SBSland Office Users

Damit die MyBusiness OU gelöscht werden kann, muss noch die Erstellung von Benutzer und Computerkonten in den unteren OUs deaktiviert, bzw. wieder zurück nach \Users und \Computers gestellt werden. Dazu gibt es zwei Befehle:

# redirusr CONTAINER-DN
redirusr cn=users,dc=sbsland,dc=local

# redircmp CONTAINER-DN
redircmp cn=computers,dc=sbsland,dc=local

Nach der Migration der Benutzer von den “alten” Gruppen in neue, können diese gelöscht werden. Das erfolgt wiederum in zwei Schritten:

@echo off

:: net group /dom | findstr /i "Windows SBS" >groups-2-delete-from-2008.cmd

:: Group Accounts for \\SBS
net group "SBS Admin Templates" /dom /delete
net group "SBS Fax Operators" /dom /delete
net group "SBS Folder Operators" /dom /delete
net group "SBS Mail Operators" /dom /delete
net group "SBS Mobile Users" /dom /delete
net group "SBS P User Templates" /dom /delete
net group "SBS Remote Operators" /dom /delete
net group "SBS Report Users" /dom /delete
net group "SBS SP Admins" /dom /delete
net group "Windows SBS Fax Administrators" /dom /delete
net group "Windows SBS Fax Users" /dom /delete
net group "Windows SBS Folder Redirection Accounts" /dom /delete
net group "Windows SBS Link Users" /dom /delete
net group "Windows SBS Remote Web Workplace Users" /dom /delete
net group "Windows SBS SharePoint_MembersGroup" /dom /delete
net group "Windows SBS SharePoint_OwnersGroup" /dom /delete
net group "Windows SBS SharePoint_VisitorsGroup" /dom /delete
net group "Windows SBS Virtual Private Network Users" /dom /delete

und 

@echo off

:: net group /dom >groups-2-delete-to-be-standard.cmd

::Group Accounts for \\SBS

:: -------------------------------------------------------------------------------

:: *_ SBSland Client Computers		//-Kunde-//
:: *_ SBSland Desktop Admins			//-Kunde-//
:: *_ SBSland Folders Redirect			//-Kunde-//
:: *_ SBSland Hyper-V Hosts			//-Kunde-//
:: *_ SBSland Mailstore Users			//-Kunde-//
:: *_ SBSland Office				//-Kunde-//
:: *_ SBSland Terminal Server Users		//-Kunde-//

:: *Cloneable Domain Controllers 		//-WS2012R2-//
:: *DnsUpdateProxy 			//-WS2012R2-//
net group "Domain Power Users" /dom /delete	
:: *Domänen-Admins			//-WS2012R2-//
:: *Domänen-Benutzer			//-WS2012R2-//
:: *Domänencomputer			//-WS2012R2-//
:: *Domänencontroller			//-WS2012R2-//
:: *Domänen-Gäste				//-WS2012R2-//
:: *Enterprise Read-only Domain Controllers	//-WS2012R2-//
net group "Exchange Domain Servers" /dom /delete

:: *Organisations-Admins			//-WS2012R2-// - Enterprise Admins
:: *Protected Users				//-WS2012R2-//
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-1531
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-2846
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4661
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4662
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4667
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4683
:: *Read-only Domain Controllers		//-WS2012R2-//
:: *Richtlinien-Ersteller-Besitzer			//-WS2012R2-// - build-in
:: *Schema-Admins				//-WS2012R2-//
net group "User Roles" /dom /delete
net group "Web Workplace Users" /dom /delete
:: *WseAlertAdministrators			//-WS2012R2-//
:: *WseAllowAddInAccess			//-WS2012R2-//
:: *WseAllowComputerAccess			//-WS2012R2-//
:: *WseAllowDashboardAccess		//-WS2012R2-//
:: *WseAllowHomePageLinks			//-WS2012R2-//
:: *WseAllowMediaAccess			//-WS2012R2-//
:: *WseAllowShareAccess			//-WS2012R2-//
:: *WseInvisibleToDashboard			//-WS2012R2-//
:: *WseManagedGroups			//-WS2012R2-//
:: *WseRemoteAccessUsers			//-WS2012R2-//
:: *WseRemoteWebAccessUsers		//-WS2012R2-//

:: The command completed successfully.

Nun kann die MyBusiness OU gelöscht werden und auch die Gruppen entsprechen dem Standard einer neuen Installation.

Nicht vergessen sollte man an dieser Stelle die Bereinigung der GPOs des SBS 2008 inkusive der alten WMI Filter (grün umrandet).

image

Hier ein kleiner Tipp zu den GPOs – vielleicht erst einmal deaktivieren, bevor man sie löscht.

Zum Abschluss wird der alte SBS Server mit DCPromo aus dem AD entfernt und herunter gefahren. Da nach dem DCPromo der alte SBS ein Member-Server ist, lasse ich ihn erst einmal ausgeschaltet und deaktiviere das Computerkonto. Nach 14 Tagen, lösche ich dieses und dazu auch noch die VM (die VHDs mit Daten kann man ja noch behalten … falls man was vergessen hat).

That’s it Smile

Enjoy it, b!

Wiederbelebung eines Windows Server 2012 R2 SBE, Event 2228 …

Veröffentlicht am von
Antwort

… war heute Nacht bei einem Kunden agesagt! Hyper-V Replika und VMs sind eine feine Sache, allerding muss man auch wissen was man damit anstellen kann.

Ausgangssituation (was der Admin meines Kunden wollte)

Da die Installation einer LOB Anwendung am recht neuen SBE stattfinden sollte und der Hersteller der Anwendung sich 100% sicher war, dass dies “kein Problem ist” hatte sich der Admin (nein nicht ich) dazu entschlossen, den bestehenden SBE zu exportieren und modifiziert (andere IP-Adresse in einem anderen Subnetz) als Testsystem zu verwenden.

Dazu hat er folgende Schritte ausgeführt:

# - Hyper-V Host 1
Export-VM –Name sbs.sbsland.local –Path \\mx-whv-2\Temp
# - Hyper-V Host 2
Import-VM –Path 'D:\Temp\sbs.sbsland.local\VirtualMachines\5AE40946-3A98-428E-8C83-081A3C6BD18C.XML'

Danach wurde der SBE auch gestartet, eine Anmeldung war leider nicht möglich – da laut dem Server die Anmeldung nicht authentifiziert werden konnte. Eine lokale Anmeldung mit dem Administrator war jedoch möglich. Ein Blick in das Eventlog und in die Services.msc offenbarte, das ein Start des Active Directories fehlgeschlagen war.

Directory Service, ActiveDirectory_DomainService, 2228

An dieser Stelle klingelte mein Telefon… Confused smile die Testumgebung musst ja fertig werden …

Was war passiert?

Beim Start des ““importieten” SBE wurde vergessen das Netzwerk zu ändern und so waren auf einmal 2 Domain Controller im Netzwerk, von denen der zweite (importierte) den Dienst verweigerte, Ein Blick in sein Eventlog offenbarte das Problem.

image

Mit dem Zeitdruck doch noch das Testsystem fertig zu bekommen, entschlossen wir uns das AD über den DSRM (Directory Services Resource Mode) zu “reparieren”.

Authoritative Restore des AD

Dazu waren folgende Schritte notwendig:

  1. Anmeldung als lokaler Administrator und Konfiguration des Systems für den DSRM 
    bcdedit /set safeboot dsrepair

    Neustart des Servers und erneute Anmeldung als lokaler Administrator.

    http://blogs.technet.com/b/activedirectoryua/archive/2008/11/20/how-to-start-in-directory-service-restore-mode-dsrm-in-windows-server-2008-and-windows-server-2008-r2.aspx

  2. Start von ntdsutil und Ausführung der folgenden Schritte 
    ntdsutil
ntdsutil: activate instance ntds

# Active instance set to "ntds". 

ntdsutil: authoritative restore

# die Domain heisst sbsland.local

authoritative restore: restore subtree "CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=sbsland,DC=local"

# Authorative Restore completed successfully.

  3. Danach wurde der DSRM wieder deaktiviert 
    bcdedit /deletevalue safeboot
  4. Konfiguration einer neuen IP-Adresse 192.168.32.11
  5. Disable des DHCP-Servers
  6. Neustart des SBE

So, der SBE als Testsystem läuft, hätte der Admin den importierten SBE mit einem isolierten virtuellem Netzwerk (Private Virtual Switch) gestartet, wäre uns das ganze Theater erspart geblieben.

Enjoy it, b!

Error, ESENT, 490 Application Logfile

Veröffentlicht am von
Antwort

Nach einer Migration auf Windows Server 2012 R2 Essentials (Role) hatte ich die folgenden Einträge im Application-Log:

image

Welches Executable / Service der SvcHost startet habe ich mit dem ProcessExplorer von Sysinternals ermittelt.

image

Der Terminal Services Gateway Service (tgateway) läuft unter dem Network Service Account, welcher anscheinend auf das oben genannten Verzeichnis keinen Zugriff hat.

C:\Windows\System32\LogFiles>icacls Sum
Sum NT AUTHORITY\Authenticated Users:(I)(RX)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(GR,GE)
    BUILTIN\Server-Operatoren:(I)(RX)
    BUILTIN\Server-Operatoren:(I)(OI)(CI)(IO)(GR,GE)
    BUILTIN\Administratoren:(I)(F)
    BUILTIN\Administratoren:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    CREATOR OWNER:(I)(OI)(CI)(IO)(F)

Successfully processed 1 files; Failed processing 0 files

Nachdem ich dem NETWORK SERVICE Modify Rechte auf das Verzeichnis gegenben hatte, waren die Fehlermeldungen verschwunden:

C:\Windows\System32\LogFiles>icacls Sum
Sum NT AUTHORITY\NETWORK SERVICE:(OI)(CI)(M)
    NT AUTHORITY\Authenticated Users:(I)(RX)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(GR,GE)
    BUILTIN\Server-Operatoren:(I)(RX)
    BUILTIN\Server-Operatoren:(I)(OI)(CI)(IO)(GR,GE)
    BUILTIN\Administratoren:(I)(F)
    BUILTIN\Administratoren:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    CREATOR OWNER:(I)(OI)(CI)(IO)(F)

Successfully processed 1 files; Failed processing 0 files

Enjoy it, b!