Rund um Windows, Exchange und Active Directory

Kategorie: Windows (Seite 2 von 4)

Enterprise-CA auf einen anderen Server umziehen

Wenn ein Server unter Windows 2003 SP2, der gleichzeitig DC ist und die Enterprise-Zertifizierungsstelle führt, abgelöst und durch einen 2008 R2-Server ersetzt werden soll, kann man schon graue Haare (also noch mehr graue Haare, als sowieso schon) bekommen…
Ein verbreiteter Microsoft-Artikel beschreibt den Umzug unter der Empfehlung, dass der Zielservername und auch das Betriebssystem identisch sein sollten. Außerdem muss die Plattform identisch sein. Tja, da spätestens beißt sich die Katze in den Schwanz, denn ich kann den alten Server nicht einfach ausschalten, da er u.a. noch DC ist und die DC-Dienste bekomme ich nicht runter, weil die Zertifikatsdienste drauf sind. 🙂
Wie dem auch sei – nach längerem Suchen hier ein Guide, der den Umzug der CA von 2003 SP2 nach 2008 R2 unter Berücksichtigung unterschiedlicher Computernamen beschreibt. Man sollte allerdings locker 4-6 Stunden für das Durcharbeiten einplanen…

Active Directory Certificate Services Migration Guide.

Edit im Januar 2017: Hier der Nachfolge-Guide zur Migration der CA von einem DC mit 2008 R2 nach 2012 R2:

Active Directory Certificate Services Migration Guide for Windows Server 2012 R2

Deploying Adobe Reader through GPO

Update 2:

Es benötigt kein Entpacken mehr der .exe – mittlerweile gibt es die .msi-Files auch schon direkt von Adobe. Hier ist ein aktueller Howto.

Ergänzend dazu nur:

Bei der Verteilung über eine GPO muss in den erweiterten Optionen des Paketes angehakt werden, dass auch diese 32-Bit-Anwendung auf 64-Bit-Maschinen installiert werden soll.

Ursprünglicher Artikel:

  1. AdobeReader als .exe herunterladen.
  2. Die „Nosso“-komprimierte .exe entpacken lt. Deployment-Guide:

    AdbeRdr_de_DE.exe -nos_o“entpackt“ -nos_ne

  3. Das entpackte .msi aus dem o.g. Verzeichnis „entpackt“ mit dem Adobe Customization Wizard anpassen, speichern und das .mst danebenlegen.
  4. Das Ganze via Softwareverteilungs-GPO verteilen.

Einzelne Updates (z.B. Adobe Reader 9.3.1 für 9.3) werden als .msp bereitgestellt und können mittels Befehlszeile
msiexec /a AcroRead.msi /p AdbeRdrUpd931_all_incr.msp
in die ursprüngliche Installation integriert werden (slipstream).

UPDATE Januar ’15:
Beim Adobe Reader 11.0.0.10 gibt es bei obiger Befehlszeile ein Problem bei der Installation (fehlende Datei). Hier ist die Empfehlung, zwei Zeilen draus zu machen:

msiexec /a AcroRead.msi
msiexec /p <Acroread.msi_aus_a> AdbeRedUpd931_all_inc.msp

Anschließend ist der entpackte Inhalt PLUS der geslipstreamten .msi und des .mst’s in den zentralen Installationsordner zu kopieren.

Der sollte dann etwa so aussehen:

\Common
\CommonAppData
\program files
\Win
\Windows
\AdbeRdr110010_de_DE.msi
\AdbeRdr110010_de_DE.mst
\Setup.ini

 

WINS unter Server 2008-AD

LDAP://Yusufs.Directory.Blog/ – DNS vs. WINS.

Tja, trotz DNS und der Tatsache, dass die meisten Komponenten nun schon DNS verwenden, sollte man offenbar weiterhin das Feature WINS-Server in einem 2008-AD verwenden.

Also – kurz Feature hinzugefügt, Replikationspartner eingetragen, Eigenschaften des Netzwerkadapters für alle statischen Geräte (Server, …) angepasst, DHCP-Bereichsoption konfiguriert – fertig.

Die Zeit vergeht…

Also wirklich…da musste ich doch eben glatt ein paar Minuten aufwenden, um die richtige Syntax für die Aktualisierung der userseitigen Gruppenrichtlinien unter Windows 2000 hinzubekommen…tststs.

Nun also nochmal zum merken:

secedit /refreshpolicy user_policy

Dynamischen Datenträger in Basisdatenträger zurückkonvertieren

Offiziell heißt es ja, wenn man mal diese Abfrage in der Datenträgerverwaltung von Windows einmal bestätigt hat, dass man keinen dynamischen (System-)Datenträger mehr in einen Basisdatenträger zurückverwandeln kann.
Da aber die Acronis True Image 11 Home (offenbar aus nichttechnischen Gründen) immer noch keine dynamischen Datenträger erkennt (im Gegensatz zu z.B. Norton Ghost oder sogar ehemals Drive Image (7), muss man hier eventuell doch ein wenig tricksen – möchte man nicht seine Festplatte nochmal neu einrichten.
Ein sehr guter Artikel hierzu findet sich hier. Ich persönlich benutzte das Tool Dskprob.exe aus den Windows-Supporttools für XP – die Möglichkeit 2. War zwar ein wenig wie Russisch Roulette, wenn man da mit einem Sektor-Editor direkt die Datenstruktur der Platte ändert, hat aber einwandfrei funktioniert. 😉

UPHClean

Da ist mir doch tatsächlich ein Tool jahrelang durch die Finger gerutscht, wo ich doch schon länger nach Antworten auf Profilproblematiken in Metaframe-Serverfarmen i.V. mit Roaming Profiles suche…
Werde es mal evaluieren. Hier oder hier gibt’s nähere Infos darüber.

Werde mal das Blog im Auge behalten. Die Version 2.x kümmert sich nicht nur um das Entladen des Profils aus der Registry, sondern auch um das Problem der Dateilockings, weswegen Profilverzeichnisse nach dem Zurückschreiben auf den Server nicht gelöscht werden. Wenn in einigen Monaten die entgültige Version raus ist, wird die sofort getestet!

Vista und die UAC

Es ist schon ein kleiner Akt, wenn man ein lokales Programm (in diesem Fall meine Domänen-Verwaltungskonsole) mit einem Domänenaccount ausführen lassen möchte.
Dies kann z.B. für ein .msc-Snapin zur Verwaltung der Domänenbenutzer oder Gruppenrichtlinien notwendig sein.

Zum einen muss man mal die lokale UAC überwinden und dann noch die Möglichkeit bekommen, seine Domänencredentials einzugeben. Hierzu habe ich mir eine Desktopverknüpfung gebaut, in deren erweiterte Eigenschaften ich den Haken gesetzt habe, das Snapin mit (lokalen) Adminrechten zu starten:

vista_verkn_1.jpg

Für den eigentlichen Zielaufruf in der Verknüpfung verwendet man das „runAs“-Kommando:

C:\Windows\System32\runas.exe /netonly /user:admin@domäne.local „mmc C:\Verwaltungskonsole\MeineVerwaltungskonsole.msc“

Zwei Sekunden grübeln

Aus einer Testfrage:

„…Auf den Unix Servern wird ein Server Message Block (SMB) Server System eines Drittanbieters eingesetzt.“…

…Samba? :-))

Vista II – die Vergeltung

Ein neuer Tag, eine neue Erfahrung. 🙂

Die Bereitstellung des Hotfix 933664 für den Zugriff auf diverse SAN-Filer von Vista aus war natürlich nicht so einfach getan. Was auf dem ersten PC funktionierte, klappte auf dem 2. schon nicht mehr.
Beim Versuch der Installation des .msu-Paketes mit dem wusa.exe erhielt ich die Fehlermeldung „Installer encountered an error: 0x8007177f. This machine is disabled for file encryption“. Nun hatte ich nicht genug Fantasie, um zu erahnen, was die von mir selbst definierte domänenweite Deaktivierung von EFS mit der unfallfreien Installation eines Hotfix zu tun haben könnte.
Aber dann fand ich die Ursache:  ein weiterer Bug. Auch diesen Hotfix muss man separat anfordern. Da er auch als .msu-Paket vorliegt, gibt es ja ein Huhn-Ei-Problem. Um das zu umgehen, wird mit dem Vista-eigenen „expand“-Kommando das .msu entpackt und dann mit dem pkgmgr.exe – dem Vista-Paketmanager – das .cab-File installiert. 🙂

Das Märchen vom kleinen Vista

In unserem spannenden Märchen vom kleinen Vista, welcher dann auch irgendwann mal dazugehören und auf dem großen Abenteuerspielplatz ‚Domäne‘ mit den anderen Kindern spielen wollte, hat der liebe Michael an einem etwas ruhigeren Tag erste Schritte eingeleitet, damit irgendwann einmal das Märchen wahr werden kann.

Das ist bisher geschehen:

  • Vista Upgrade Advisor auf meinem PC ausgeführt und herzlich gelacht.  
  • Domänen-Logonscript angepasst
  • Hotfix 933664 für Zugriff auf Netapp-SAN bereitgestellt und installiert
  • Danach die Firewall ausschalten – einschalten und den Hinweisen folgen (der Hotfix lehnt erstmal sämtlichen Netzwerkverkehr nach seiner Installation ab =:/)
  • ADMX-Templates für Domäne bereitgestellt (wobei im Szenario 2 das richtige Snapin GPMC.msc und nicht GPEDIT.msc lautet). Damit hätten wir dann 2400 mögliche Richtlinien.
  • WMI-Filter für Vista-PCs erstellt, um den Netapp-Hotfix zukünftig z.B. über GPO mitzugeben:
    root\CIMv2;SELECT Version, ProductType FROM Win32_OperatingSystem WHERE Version >= ‚6‘ AND ProductType = ‚1‘
  • Notes SingleSignOn wurde als „unerwünschte Anwendung“ vom Windows Defender entdeckt…
  • Die Windows Firewall will auch im DNS-Namensraum der Domäne zwangsläufig gestartet werden, um die Dateifreigaben zu beenden…ein ausschalten über GPO kontert sie mit einem müden lächeln, um sich dann gleich beim anmelden wieder zu starten.

Und in nächster Zeit:

  • Datenausführungsverhinderung (DEP) untersuchen und ggfs. Ausnahmen eintragen 
  • UAC – User Account Control untersuchen
  • Bitlocker ausschalten
  • Netzwerkverkehr untersuchen und viele Dinge deaktivieren… 🙂

Update: Jaja, „das Updatepaket eben via GPO mitgeben“ war natürlich nix: Anscheinend und aus mir noch unbekannten Gründen werden diese Hotfixe als „eigenständiges Windows-Updatepaket“ und vorbei am Microsoft Installer mit der Dateiendung .msu angeboten. Damit kann ich es erst einmal nicht mehr via GPO verteilen, weil diese nur .msi unterstützt.
Statt des Installers (msiexec) läuft die Installation mit einem Programm namens „wusa“. Wenn man das .msu-Paket mit dem Hilfeparameter /h oder /? aufruft, erscheint ein kleines Syntax-Fenster…
Nunja, wird mir erstmal nichts anderes übrig bleiben, als das Paket über ein Startupscript installieren zu lassen.
Ein bißchen fühle ich mich hier ja wie auf Schnitzeljagd in einem Jump ’n Run-Spiel…

« Ältere Beiträge Neuere Beiträge »