Blog von Haiko Hertes zu allen Themen rund um Microsoft, Cloud und Datacenter
Ich habe drei Videos rund um das Thema Active Directory erstellt und bei YouTube veröffentlicht.
Im ersten Video geht es um die Installation von Active Directory.
Das zweite Video behandelt die Verwaltung von Benutzern, Gruppen, Computern und OUs.
Im dritten Video zeige ich den Umgang mit Gruppenrichtlinien (GPOs).
Viel Spaß beim Ansehen!
Hier geht es zur gesamten AD-Playlist:
https://www.youtube.com/playlist?list=PLPK8RW8p4Ok9mJbpRzb0bq_OL7mfMm5hg
Schreibe einen Kommentar...Seit ein paar Stunden ist die TP4 des künftigen Windows Server 2016 für die Öffentlichkeit verfügbar. Der Download kann u.a. über die MSDN oder das Eval-Center erfolgen:
https://technet.microsoft.com/de-de/evalcenter/dn781243.aspx
Eine der großen neu verfügbaren Funktionen ist “Hyper-V Container”. Damit das funktionieren kann, muss die Nested Virtualization möglich sein, die bereits seit kurzem in Windows 10 (Fast Ring) verfügbar ist.
Weitere Informationen auf diesem Blog-Post des Lead Program Managers des Windows Server Programms:
Weiterhin werden heute TP4-Releases der System Center Produkte erwartet. Es bleibt also spannend!
Schreibe einen Kommentar...Wenn beim Versuch, PowerShell DSC Konfigurationen von einem Windows Server 2016 als Pull-Server auf andere Server der selben Generation zu schicken, neuere Ressourcen verwendet werden, dann kann u.U. folgender Fehler auftreten:
Fehlermeldung nochmal vollständig:
“The PowerShell DSC resource MSFT_RoleResource from module <PSDesiredStateConfiguration,1.0> does not exist at the PowerShell module path nor is it registered as a WMI DSC resource.”
Grund ist ein unterschiedlicher Patch-Stand zwischen den einzelnen Servern. Abhilfe schafft also ein einspielen der entsprechenden Patches.
Schreibe einen Kommentar...Will man die aktuelle Technical Preview 2 vom Windows Server vNext (2016?) patchen, so schlagen die üblichen Methoden fehl:
Die Systemsteuerung (“Control Panel”) bietet keine Update-Option mehr:
Und auch die wuapp.exe meldet einen “Fehler”:
Als “Workaround” kann man aktuell auf die sconfig.exe zurückgreifen. Dort gibt es entsprechende Optionen:
Seit einigen Tagen schon ist die Technical Preview 2 des kommenden Windows Server (aka “vNext”) in Technet und MSDN verfügbar. (Ich hatte in einem meiner letzten Artikel darüber berichtet) Leider bin ich erst heute dazu gekommen, mir das Ganze mal anzusehen.
Schon bei der Installation fällt auf, dass Microsoft immer mehr in Richtung No-GUI-Server tut:
Der Setup-Assistent bietet 2 Versionen an. Einmal “Windows Server Technical Preview 2” und einmal “Windows Server Technical Preview 2”. Die erste Version ist der eine Server Core Installation, komplett ohne grafische Werkzeuge. Bei der zweiten Version bekommt man immerhin ein paar grafische Werkzeuge (z.B. den Servermanager), aber nicht die reguläre Shell (mit Desktop, Startmenü und co.) und auch keinen Explorer (da dieser ja auch durch die Shell gestellt würde).
Entscheidet man sich für die erste Version, so sieht es nach der Installation so aus:
Selbst das “STRG-ALT-ENT” wird nun also in einer Konsole präsentiert!
Wenn man sich für die zweite Installations-Option (“with local admin tools”) entscheidet, dann schaut es nach der Installation so aus:
Hier hat man also immerhin einen grafischen Login und eben den Servermanager. Über diesen oder über die PowerShell lässt sich nun auch die grafische Oberfläche nachinstallieren:
Der neue Windows Server bringt noch eine neue Rolle mit, die in der bisherigen Preview nicht enthalten war:
Bei der neuen Rolle handelt es sich um den “Host Guardian Service”, welcher wohl dem Schutz von Virtuellen Maschinen dienen soll.
Weiterhin ist mir aufgefallen, dass es neue AD Funktionsebenen gibt:
Mal sehen was ich noch so finde – ich bleibe auf jeden Fall dran!
Schreibe einen Kommentar...In den letzten Tagen hat sich wieder viel getan rund um Microsofts nächste Produkt-Versionen. Folgende Produkte sind in neueren Versionen verfügbar:
Dazu kommt der Release Candidate (RC) vom TFS (Visual Studio Team Foundation Server) 2015 (seit 12.05.2015) und Visual Studio 2015 RC (seit 29.04.2015)
Downloadquelle ist u.a. die MSDN oder das MS Evaluation Center (https://www.microsoft.com/en-us/evalcenter/search?k=&p=&a=&s=&r=16&so=)
Schreibe einen Kommentar...Auf den ersten Blick klingt das für viele sicher nach einer trivialen Frage: “Wie soll die neue AD Domäne denn heißen?” – aber so trivial ist diese Frage gar nicht.
Zunächst einmal muss man sich natürlich an die Vorgaben halten:
Ein AD Domänen-Name ist immer auch ein DNS-Name. Ein Domänen-Name besteht daher in der Regel aus einem oder mehreren Präfixen und einem Suffix, nach dem Aufbau-Prinzip
Präfix1.Präfix2.Suffix
Nun findet man heute sehr viele Domänen-Name nach dem Aufbau “Firma.local”, “.site”, “.lan” und so weiter. Die Wahl dieses Namens ist in der Regel auf die frühere Empfehlung, als Suffix keine öffentlichen Internet-Toplevel-Domänen wie “.com”, “.net” oder “.de” zu verwenden, da es sonst zu dem Problem kommt, dass man eine gesplittete DNS-Verwaltung benötigt oder aus dem internen Netz heraus eine Webseite nicht erreichen kann, wenn diese aus dem selben Prä- und Suffix besteht.
Diese Empfehlung hat heute keine Gültigkeit mehr!
Erstens werden auch diese “selbsterdachten” Suffixe mittlerweile von den Anbietern als Toplevel-Domänen verkauft. Das von einem selbst verwendete “FIRMA.LOCAL” könnte also zeitnah Eigentum einer anderen Firma werden! Und zweitens gibt es in gewissen Szenarien ganz klare Vorgaben, die die Verwendung dieser selbsterdachten Suffixe verbieten. Eines davon ist, dass keiner der großen SSL-Zertifikat-Anbieter Zertifikate für derartige Domänen- oder Hostnamen mehr ausstellt! (Vergleich dazu auch: https://www.cabforum.org/Guidance-Deprecated-Internal-Names.pdf)
Also, wir halten zunächst fest: “.site”, “.local” oder ähnlich sind keine guten Suffixe! Besser ist es, offizielle TLD-Suffice wie “.com”, “.net” oder “.de” zu verwenden.
Aber was ist dann mit dem oder den Präfix(en)?
Wie wäre es, wenn man nun als “Firma Foo”, die “www.foo.com” als Webseite verwendet, “foo.com” als internen Domänennamen wählt? Das kann (besser: wird) zu Problemen führen. Hierzu ein kleines Beispiel:
Wenn ein Benutzer sich an einer Workstation innerhalb einer Domäne anmeldet, dann ist hierbei der Name (z.T. auch nur der NetBIOS-Name) der Domäne angegeben. Der Computer muss aber einen Domänencontroller kontaktieren können. Daher wird der Domänen-Name in den Namen eines DCs und dieser wiederum in eine IP-Adresse eines DCs übersetzt. Also, aus “foo.com” wird dann die IP eines DCs, hinter “foo.com” verbirgt sich ebenso die interne DNS-Zone.
Und was passiert, wenn nun jemand in dieser Firma “foo.com” in seinen Browser eingibt? Seine Browser würde versuchen, einen DC per HTTP anzusprechen, was in der Regel scheitert, weil ein DC kein Webserver ist!
Nun gibt es für den (ersten) Präfix zwei Optionen:
Wenn also “Firma Foo” die Domäne “foo.com” als Domäne für ihre Webseite nutzt, dann müsste der Name der obersten (ersten) interne AD-Domäne ABC.foo.com heissen. Dabei sollte “ABC” ein möglichst kurzes Wort sein, um die FQDN aller kommenden AD-Objekte nicht unnötig lang zu machen. Eine Option wäre z.B. “AD.FOO.COM”.
Damit nun bei der Anmeldung nicht “AD\User” sondern “FOO\User” genutzt wird, muss man einfach bei der Installation des ersten (!) Domänencontrollers der Domäne als NetBIOS-Namen anstatt des vorgeschlagenen “AD” das Wort “FOO” verwenden. (Achtung: Das nachträgliche Ändern des NetBIOS-Namen ist nicht trivial!)
Die Verwendung eines solchen DNS- und Domänen-Namens hat viele Vorteile:
Als Referenz und zum Weiterlesen empfehle ich folgende Links:
Mit Hilfe des System Center Configuration Manager 2012 / 2012 R2 ist es sehr einfach möglich, Windows- und Microsoft-Updates an die Clients und Server des eigenen Netzwerkes zu verteilen. Im Hintergrund arbeitet hierzu der bekannte WSUS-Dienst, welcher wiederum mit Microsoft kommuniziert, um die Updates von dort zu beziehen.
Wäre es nicht auch gut, wenn man auf ähnliche Weise auch Anwendungen von anderen Herstellern patchen könnte? JA! Und man kann!
Das einzige was man neben WSUS und dem SCCM braucht, ist der System Center Update Publisher, kurz SCUP. Mit diesem kann man Updates anderer Hersteller aus “externen Katalogen” beziehen. Und das beste: SCUP ist kostenlos!
Im Folgenden möchte ich die Installation und Einrichtung von SCUP zeigen. Ausgangslage ist ein installierter SCCM mit einer einzigen Primary Site (stand-alone), einem installierten WSUS und einem darauf laufenden Software Update Point (SUP).
Als erstes muss SCUP heruntergeladen werden. Dies geht über diese Quellen:
https://technet.microsoft.com/de-de/systemcenter/bb741049.aspx
bzw.
https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=11940
Nach dem Download kann die Installation durchgeführt werden, welche jedoch Admin-Rechte benötigt:
Wenn es sich bei dem WSUS-Server um einen Windows Server 2008 R2 oder älter handelt, dan ist die Installation eines Patches nötig, der während des SCUP-Setup angeboten wird:
Auf einem Windows Server 2012 / 2012 R2 ist dieses Patch nicht nötig – hier läuft WSUS 4.0!
Um nun überhaupt Updates via SCUP auf dem WSUS veröffentlichen zu können, ist noch etwas Vorarbeit nötig. Diese Vorgänge sind etwas genauer hier dokumentiert (dies betrifft idR nur den Windows Server 2012 / 2012 R2):
https://technet.microsoft.com/en-us/library/hh134747.aspx#PublishToServer2012
Folgende Schritte sind im Wesentlichen nötig:
Regedit.exe, dort bis HKEY_CLASSES_ROOT\AppID\{8F5D3447-9CCE-455C-BAEF-55D42420143B} durchhangeln und dann den Eigentümer von diesem Pfad ändern sowie für “SYSTEM” und die “Administratoren” den Vollzugriff vergeben (Durch einen Klick auf die Bilder werden diese in größerer Auflösung gezeigt):
Nun kann der “System Center Update Publisher” über das Startmenü gestartet werden – dies sollte aber “Als Administrator” geschehen, da es sonst später zu einem Fehler kommt / kommen kann.
Dieser Fehler tritt später auf, wenn man die SCUP-Konsole ohne die nötigen Rechte startet:
Als erstes sind die Optionen zu öffnen:
Dort muss nun die Verbindung zum WSUS-Server konfiguriert werden (dabei Port beachten – WSUS 4.0 läuft auf 8530 (non-SSL) bzw. 8531 (SSL)):
Nun fehlt noch ein Zertifikat zum signieren der Updates. Hier kann auch ein selbstsigniertes Zertifikat erzeugt und verwendet werden. Dies geschieht über den “Create”-Button:
Dieses Zertifikat muss später noch weiter “behandelt” werden. Als nächster Step wird im SCUP die Verbindung zum SCCM definiert:
Das WSUS-/SCUP-Zertifikat muss nun in die “Trusted Publishers” (Vertrauenswürdige Herausgeber) und die “Trusted Root Certificates” (Vertrauenswürdige Stammzertifizierungsstellen) des Computer-Kontos (WSUS/SCUP-Server) importiert werden, vorher muss es natürlich exportiert werden:
Nun können die ersten Updates über den SCUP veröffentlicht werden. Dazu muss zunächst ein Katalog hinzugefügt werden:
Beispielhaft verwende ich hier den “Adobe Reader X” Katalog:
Danach können die Updates aus diesem Katalog in den SCUP importiert werden:
Nun können die neuen Updates zu einer neuen Veröffentlichung hinzugefügt werden:
Diese neue Veröffentlichung (Bei mir heißt sie “März 2015”) kann nun veröffentlicht werden. Dazu wird sie unter “Publications” ausgewählt, die jeweiligen Updates markiert und dann auf “Publish” geklickt.
Dabei sollten die Updates vom SCUP signiert werden:
Nun kann im SCCM eine erste Synchronisierung durchgeführt werden. Diese ist nötig, damit der SUP (SCCM) “erfährt”, dass es nun auch Adobe als neuen Hersteller und Adobe Reader als Produkt gibt:
Um den Vorgang zu beobachten bietet der SCCM ein eigenes Werkzeug, alternativ würde auch CMTrace gegen die WSyncMgr.log funktionieren:
Die letzte Meldung zeigt an, dass die Synchronisierung abgeschlossen ist. Nun kann das neue Produkt (in meinem Fall der Adobe Reader) für die Verteilung durch den SUP aktiviert werden:
Dabei ist auch der Reiter “Klassifizierungen” zu beachten – wenn das gewünschte Update ein “Sicherheitsupdate” ist, SUP aber nur “Wichtige Updates” synchronisiert, dann wird man nicht zu einem positiven Ergebnis kommen.
Nun ist noch einmal eine Synchronisierung des SUP nötig, damit dieser die bekannten Updates vom WSUS “kennenlernt”.
Danach stehen die Updates, in meinem Fall für den Adobe Reader, im SCCM wie ein reguläres Windows Update zur Verfügung und können verteilt und bereitgestellt werden:
Viel Spaß damit!
2 CommentsDie aktuelle Build 9841 des kommenden Windows Server (aktuell als “vNext” bezeichnet, vermutlich später “Windows Server 2016”, da erst Mitte 2016 erscheinen wird) bringt neben einigen anderen neuen Funktionen auch ein Feature “Soft Restart” mit:
Unabhängig davon, ob es installiert ist oder nicht, stehen sowohl in der CMD via shutdown.exe als auch in der PowerShell passende Optionen zur Verfügung:
Von den Funktionen erwarte ich mir, dass sie den Server neustarten, ohne die gesamte Hardware neu starten zu müssen (verbunden mit den ganzen POST-Checks und co., RAID-Controller und alles was beim Booten eben so auf einem Server Zeit kostet). Dadurch sollte der Reboot auch deutlich schneller sein, was auch Downtimes nach Updates deutlich verkürzen würde.
Leider haben beide Schalter (“shutdown.exe /soft” und “Restart-Computer –Soft”) in der aktuellsten freien Build (9841) noch keine Auswirkung und zeigen auch keinerlei Verkürzung der Boot-Zeit.
Auch nach der Installation des Features und dem dadurch notwendigen Reboot ändert sich nichts. Schade. Also abwarten…
Schreibe einen Kommentar...In den Windows Bereitstellungsdiensten gibt es die Möglichkeit, ein “Aufzeichnungsabbild” aus einem regulären “Startabbild” zu erzeugen. So natürlich auch beim aktuellen Windows Server 2012 R2:
Häufig kommt es dann aber bei dieser Server-Version später beim Booten der aufzuzeichnenden Maschine zu einem Fehler:
Dieser Fehler tritt dann auf, wenn man:
Der Fehler würde NICHT auftreten, wenn man vor dem Erzeugen des Aufzeichnungsabbildes noch nie ein Startabbild von Windows 8.1 Update1 oder Windows Server 2012 R2 Update1 importiert hatte.
Natürlich kann man den Fehler aber auch anderweitig umgehen bzw. beheben:
Dazu hinterlegt man zunächst das gewünschte Startabbild (dabei spielt es keine Rolle, ob bisher ein Update-1-Startabbild hinterlegt wurde oder nicht, das zu hinterlegende Abbild selbst darf auch von einer Update-1-Version stammen):
Danach erzeugt man aus diesem ein Aufzeichnungsabbild:
Dabei sollte man dass entstehende Abbild nicht direkt dem WDS Server hinzugefügt wird:
Anschließend muss das entstandene WIM-File (in meinem Beispiel “C:\aufz.wim”) mittels DISM gemountet werden:
Für das Mounten verwendet man einen Aufruf in dieser Form:
dism /Mount-Wim /WimFile:C:\aufz.wim /index:1 /MountDir:C:\mount
(Achtung: Keine Leerzeichen nach den Doppelpunkten!)
Im Anschluss kann die Datei direkt wieder “unmounted” werden (ohne dass sie dabei inhaltlich wirklich verändert wurde):
Hierzu wird folgender Aufruf verwendet:
dism /Unmount-Wim /MountDir:C:\mount /commit
Das nun neu erzeugte WIM-File kann jetzt als funktionsfähiges Aufzeichnunge-/Startabbild auf dem WDS-Server hinterlegt werden:
Nun kann eine (Test-)Maschine per PXE gebootet werden, es sollte nun, da es mehrere Startabbilder gibt, eine Auswahl möglich sein:
Wenn man das Aufzeichnungsabbild gewählt und die Maschine komplett gebootet hat sollte in etwa folgendes Menü zu sehen sein:
Nun kann die Festplatte der (Test-)Maschine aufgezeichnet werden. Wichtig ist dabei allerdings, dass dies nur funktioniert, wenn man das dort laufende Betriebssystem vorher mit sysprep vorbereitet hat.
Schreibe einen Kommentar...