Windows Server

Alles rund um Windows Server. Von W2k3 bis 2008R2

Exchange 2010: Dieser Computer ist für das Erweitern der Mitgliedschaft von 1 Verteilergruppe(n) zuständig

Heute habe ich einen Exchange 2010 nach einer Migration aus der Organisation entfernen wollen. Bei der Deinstallation wurde ich von folgendem Fehler angelacht:

bildschirmfoto-2016-09-24-um-14-44-01

Dieser Computer ist für das Erweitern der Mitgliedschaft von 1 Verteilergruppe(n) zuständig. 

Freundlicherweise hat Microsoft einen Hilfe-Link beigefügt um das Problem zu lösen. Blöd nur, dass dieser Link auf einen 404 führte… Hier nun die Lösung aus dem Technet-Forum:

get-distributiongroup -resultsize unlimited | ft name,expansionserver
get-dynamicdistributiongroup -resultsize unlimited | ft name,expansionserver
get-distributiongroup -resultsize unlimited | set-distributiongroup -expansionserver $null
get-dynamicdistributiongroup -resultsize unlimited | set-dynamicdistributiongroup -expansionserver $null

Die ersten beiden Befehle zeigen die Gruppen inkl. Erweiterungsserver an und die letzten beiden Befehle löschen den Server aus den Gruppen.

Microsoft Setup Bootstrapper has stopped working / Microsoft Setup Bootstrapper funktioniert nicht mehr

Heute wollte ich auf einem Terminalserver ein MS Office 2013 x64 durch die 32-Bit Variante ersetzen, da es sonst nicht mit DATEV zusammen arbeitet.

Also fix das 64-Bit Office deinstalliert und den Installer für 32-Bit gestartet, mit dem Ergebnis:

B971C95C-5C69-422C-9FE0-2231E797B72F

Microsoft Setup Bootstrapper has stopped working / Microsoft Setup Bootstrapper funktioniert nicht mehr

Was ist das denn nu? Mal schnell den 64-Bit Installer probiert – ging auch nicht. Anschließend mal einen Blick ins Logfile geworfen….

Error: Unable to select Source Engine process to start, see debug level logs for detail Type: 88::UnexpectedError.

Sehr vielsagend, danke. Unexpected error … Aber google hat geholfen! Das Problem hatte natürlich schon jemand anders und er hat es auch gelöst. Hier nun für euch die Lösung:

  1. Erstellt einen Ordner für den OSE Dienst:
    1. C:\Program Files\Common Files\microsoft shared\Source Engine
  2. Kopiert die OSE.exe aus <DVD>\standard.ww\ose.exe in diesen Ordner
  3. Installiert das ose.reg – File (siehe unten)
  4. Einmal neustarten bitte…
  5. In die Dienst-Verwaltung (services.msc) gehen und den Office 64 Source Engine Dienst starten:
  6. Bildschirmfoto 2016-06-26 um 14.24.22
  7. Die Installation von Office 2013 erneut starten.
Download: ose.txt (in ose.reg umbenennen und doppelklicken)


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ose64]
"DisplayName"="Office 64 Source Engine"
"Description"="Saves installation files used for updates and repairs and is required for the downloading of Setup updates and Watson error reports."
"Type"=dword:00000010
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,\
6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,43,00,6f,00,6d,00,6d,00,6f,\
00,6e,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4d,00,69,00,63,00,72,00,\
6f,00,73,00,6f,00,66,00,74,00,20,00,53,00,68,00,61,00,72,00,65,00,64,00,5c,\
00,53,00,6f,00,75,00,72,00,63,00,65,00,20,00,45,00,6e,00,67,00,69,00,6e,00,\
65,00,5c,00,4f,00,53,00,45,00,2e,00,45,00,58,00,45,00,22,00,00,00
"ObjectName"="LocalSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ose64\Security]
"Security"=hex:01,00,14,80,8c,00,00,00,98,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,5c,00,04,00,00,00,00,00,14,00,9d,01,00,00,01,01,00,00,00,00,00,\
05,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,\
00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,\
00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,\
00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

 

AD-FS Dienst startet nicht mehr: EventID 220 & 102

Heute startete plötzlich unser Active Directory Federation Service nicht mehr. Erstaunlicher weise, hat niemand etwas an dem Dienst verändert.

Nach ca 2 Stunden Suchen, Fluchen & Debug Logging habe ich dann die Lösung in einem Forum gefunden. Man musste den Datenbank Connection String um das Flag „Current Language=English“ ergänzen.

Der Connection String befindet sich in „C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config“.

Hier einer der Fehler:

Got exception:ADMIN0012: OperationFault with stacktrace: bei Microsoft.IdentityServer.Service.Policy.PolicyServer.Service.Sql.SqlStore.Search(Filter filter, Int32 maxObjects, String[] propertyNames)
bei Microsoft.IdentityServer.Service.Policy.PolicyServer.Service.SqlPolicyStoreService.<>c__DisplayClass4.<SearchCore>b__3()
bei Microsoft.IdentityServer.Service.Policy.PolicyServer.Service.SqlPolicyStoreService.AttemptDeadlockSusceptibleOperation(DeadlockSusceptibleOperation operation)
bei Microsoft.IdentityServer.Service.Policy.PolicyServer.Service.SqlPolicyStoreService.SearchDirect(Filter filter, Int32 maxObjects, String[] propertyNames)
bei Microsoft.IdentityServer.Service.Policy.PolicyServer.Service.SqlPolicyStoreService.SearchDirect(FilterData filterData, Int32 maxObjects, String[] propertyNames)
bei Microsoft.IdentityServer.Service.Configuration.SqlServiceConfigurationReader.LoadData()
bei Microsoft.IdentityServer.Service.Configuration.AdministrationServiceState.FetchAdministrationServiceStateData()
bei Microsoft.IdentityServer.ServiceHost.STSService.FetchAdministrationServiceConfiguration() while fetching configuration. Will retry in 2000 ms.

An error occurred while trying to search in the policy store:
Message: Ein Aufrufziel hat einen Ausnahmefehler verursacht.

Quelle der Lösung:http://www.datazx.cn/Forums/en-US/0e1d8110-2291-44b2-b6c6-c46a52819867/action?threadDisplayName=adfs-20-service-cannot-start

Log on as Service via GPO

Gestern war ich bei einem unserer Kunden vor Ort um ein Update der CRM Software zu installieren.

In dieser neuen Version nutzt die Software einen „Update Service“(Windows Dienst der Upates automatisch installiert) der sich von einem Netzwerkshare die Hotfixes / Updates lädt und diese dann installiert. Da der Service Zugriff auf das Netzlaufwerk braucht kann er nicht als „SYSTEM“ laufen, der User und das Passwort werden in einer INI-Datei des Dienstes (Passwort ist zwar verschlüsselt… aber naja) hinterlegt und der Dienst läuft dann im Kontext dieses Benutzers.

Dummerweise war dieses Konto aber gar nicht berechtigt sich als Dienst anzumelden. Diese Einstellung kann man ja über eine GPO verteilen… nach einer kurzen Prüfung stellte sich heraus, dass das nicht zufriedenstellend funkioniert. Die lokalen Einstellungen werden duch die GPO überschrieben und nicht ergänzt. Doch in meinem Hinterkopf machte sich ein Tool aus dem Windows Server 2003 Resource Kit bemerkbar:

ntrights.exe hieß das gute Stück. Mit diesem kann man einem Benutzerkonto ganz bestimmte Rechte zuweisen, auch unter Windows 7 ist dies kein Problem. (http://support.microsoft.com/kb/315276/)

Also habe ich ein Startup-Script für die betroffenen PCs per GPO verteilt in dem der Account entsprechend berechtigt wird:


@ECHO OFF
set log = %temp%\ntrights.log

if exist c:\support\flag.txt goto eof

if exist C:\support goto copy
echo create directory >> %$log%
md c:\support

:copy
if exist c:\support\ntrights.exe goto setrights
echo copy ntrights>> %$log%
robocopy \\domain.intern\SysVol\domain.intern\Policies\{29DF8DC2-9A6D-4549-BB1B-23E5A370FFB2}\Machine\Scripts\Startup\ c:\support ntrights.exe
echo %errorlevel% >> %$log%

:setrights
if exist c:\support\flag.txt goto eof
echo Setting rights >> %$log%
cd /d c:\support
c:\support\Ntrights.exe -u domain\cas_cl_inst +r SeServiceLogonRight

if %errorlevel% == 0 echo %errorlevel% > c:\support\flag.txt
echo Set rights successful >> %$log%

:eof
echo EOF >> %$log%
exit

Nach einem Neustart haben alle PCs angefangen sich das Update zu installieren. Durch die Nutzung der Flag-Datei wird der Befehl nicht bei jedem Start des PCs ausgeführt.

Zertifikat der Remotedesktop Verbindung ändern

Heute Stand ich ziemlich auf dem Schlauch, daher hier eine kleine Gedächtnisstütze an mich und euch ;). Ich wollte auf meinem Test-Terminalserver gerne das Selfsigned – Zertifikat für die RDP-Verbindung durch ein von meiner CA signiertes Zertifikat tauschen. Diese ewige Frage beim Verbinden nervt, und wenn nächste Woche mein IGEL-Client da ist soll alles fertig sein und rund laufen. Aber wo war das nochmal?

(mehr …)

DCPROMO Fehler – Zugriff verweigert

Heute war ich extra früh aufgestanden um noch vor 7 Uhr einen Domaincontroller herunterzustufen. Nachdem das Ganze letzte Woche nicht geklappt hat, weil die Zertifikatsdienste noch auf dem Server installiert werden, hatte ich für heute Hoffnung. Aber es hat heute morgen natürlich auch nicht auf Anhieb geklappt.

(mehr …)

Sicheres WLAN mit PEAP und WPA2-Enterprise – Teil 2

Hier soll es darum gehen, wie Gruppenrichtlinien dazu genutzt werden können Windows Clients über SSO mit einem WPA2 geschützten WLAN zu verbinden.

Voraussetzung ist, ihr habt Teil1 erfolgreich zu Ende geführt.

Wir starten mal direkt im Gruppenrichtlinien Client mit einer neuen GPO Namens „D_WLAN_CFG“. Diese ist bei mir auf das Domain-Root verknüpft:

(mehr …)

Sicheres WLAN mit PEAP und WPA2-Enterprise

Bei mir zu Hause werkelt noch eine uralte (meine erste) Fritzbox als Accesspoint. Alles andere ist inzwischen modernisiert worden.

Die Firewall (Sohos UTMv9) läuft virtuell und der Switch ist ein stromsparender D-LINK Eco Switch der im Gegensatz zu seinem Vorgänger (HP 2524) zwar nicht mehr managebar ist, aber deutlich weniger Strom verbraucht und Gigabit hat.

(mehr …)

Get-Exchange Certificate -Server ‚SERVER‘ : Access is denied

Heute Morgen wollte ich mir ein Problem mit der Generierung des OAB anschauen und bin in der EMC auf folgende Fehlermeldung gestoßen:

Um das ganze zu verifizieren habe ich dann den Befehl nochmal von hand in der EMS ausgeführt – leider das gleiche Ergebnis:

Get-ExchangeCertificate -Server ‚SERVER‘

Bei der Fehlermeldung schoss mir sofort in den Kopf, dass ich vor zwei Wochen eine neue GPO erstellt habe mit der ich einem User Rechte auf allen Maschinen eingeräumt hatte. Anscheinend habe ich damit aber die Gruppe der lokalen Admins auf den Servern etwas geleert…

Was definitiv fehlte, war das „Exchange Trusted Subsystem“, also einfach „Add“ wählen und wieder rein mit ihm…

Und sofort funktionierte der Befehl wieder wie gewünscht:

Der Fehler war, dass ich beim Anlegen einer GPO mit der Einstellung „Restricted Group Access“ nur den „neuen“ User, den ich eintragen wollte, ausgewählt habe und nicht die Mitglieder der jeweils lokalen Gruppe „Administrators“.

Dadurch wurden alle bis auf den neuen User aus der Gruppe gelöscht. 

Wenn man aber den Eintrag „Administrators“ hinzufügt, werden die Mitglieder der lokalen Administrator-Gruppe erhalten. Muss man wissen!

Die Intelligenz von Exchange…

Vorhin habe ich einmal den Versionsstand der Exchange-Umgebung prüfen wollen. Dazu kurz das passende CMD-Let rausgesucht, anschließend die EMS geöffnet… Und Exchange wusste was ich wollte. Verrückt 🙂