Kategorie: Microsoft (Seite 5 von 5)

Ein neuer Tag, eine neue Erfahrung. 🙂

Die Bereitstellung des Hotfix 933664 für den Zugriff auf diverse SAN-Filer von Vista aus war natürlich nicht so einfach getan. Was auf dem ersten PC funktionierte, klappte auf dem 2. schon nicht mehr.
Beim Versuch der Installation des .msu-Paketes mit dem wusa.exe erhielt ich die Fehlermeldung „Installer encountered an error: 0x8007177f. This machine is disabled for file encryption“. Nun hatte ich nicht genug Fantasie, um zu erahnen, was die von mir selbst definierte domänenweite Deaktivierung von EFS mit der unfallfreien Installation eines Hotfix zu tun haben könnte.
Aber dann fand ich die Ursache:  ein weiterer Bug. Auch diesen Hotfix muss man separat anfordern. Da er auch als .msu-Paket vorliegt, gibt es ja ein Huhn-Ei-Problem. Um das zu umgehen, wird mit dem Vista-eigenen „expand“-Kommando das .msu entpackt und dann mit dem pkgmgr.exe – dem Vista-Paketmanager – das .cab-File installiert. 🙂

In unserem spannenden Märchen vom kleinen Vista, welcher dann auch irgendwann mal dazugehören und auf dem großen Abenteuerspielplatz ‚Domäne‘ mit den anderen Kindern spielen wollte, hat der liebe Michael an einem etwas ruhigeren Tag erste Schritte eingeleitet, damit irgendwann einmal das Märchen wahr werden kann.

Das ist bisher geschehen:

• Vista Upgrade Advisor auf meinem PC ausgeführt und herzlich gelacht.  
• Domänen-Logonscript angepasst
• Hotfix 933664 für Zugriff auf Netapp-SAN bereitgestellt und installiert
• Danach die Firewall ausschalten – einschalten und den Hinweisen folgen (der Hotfix lehnt erstmal sämtlichen Netzwerkverkehr nach seiner Installation ab =:/)
• ADMX-Templates für Domäne bereitgestellt (wobei im Szenario 2 das richtige Snapin GPMC.msc und nicht GPEDIT.msc lautet). Damit hätten wir dann 2400 mögliche Richtlinien.
• WMI-Filter für Vista-PCs erstellt, um den Netapp-Hotfix zukünftig z.B. über GPO mitzugeben:
  root\CIMv2;SELECT Version, ProductType FROM Win32_OperatingSystem WHERE Version >= ‚6‘ AND ProductType = ‚1‘
• Notes SingleSignOn wurde als „unerwünschte Anwendung“ vom Windows Defender entdeckt…
• Die Windows Firewall will auch im DNS-Namensraum der Domäne zwangsläufig gestartet werden, um die Dateifreigaben zu beenden…ein ausschalten über GPO kontert sie mit einem müden lächeln, um sich dann gleich beim anmelden wieder zu starten.

Und in nächster Zeit:

• Datenausführungsverhinderung (DEP) untersuchen und ggfs. Ausnahmen eintragen 
• UAC – User Account Control untersuchen
• Bitlocker ausschalten
• Netzwerkverkehr untersuchen und viele Dinge deaktivieren… 🙂

Update: Jaja, „das Updatepaket eben via GPO mitgeben“ war natürlich nix: Anscheinend und aus mir noch unbekannten Gründen werden diese Hotfixe als „eigenständiges Windows-Updatepaket“ und vorbei am Microsoft Installer mit der Dateiendung .msu angeboten. Damit kann ich es erst einmal nicht mehr via GPO verteilen, weil diese nur .msi unterstützt.
Statt des Installers (msiexec) läuft die Installation mit einem Programm namens „wusa“. Wenn man das .msu-Paket mit dem Hilfeparameter /h oder /? aufruft, erscheint ein kleines Syntax-Fenster…
Nunja, wird mir erstmal nichts anderes übrig bleiben, als das Paket über ein Startupscript installieren zu lassen.Ein bißchen fühle ich mich hier ja wie auf Schnitzeljagd in einem Jump ’n Run-Spiel…