TechNet · Englische TechNet Blogs · TechNet Deutschland · itproblogs.de · .NET Blogs

Carsten Rachfahl [Technik]: Windows Phone 8.1–Preview bereits jetzt installieren

Bis Sommer soll das Update gratis für alle Windows Phone 8 Geräte ausgerollt werden. Mit einem Trick können Sie die Vorabversion bereits jetzt auf Ihr Windows Phone 8 installieren. Die Installation der Vorabversion ist ohne PC möglich und kann direkt vom Handy aus gestartet werden. Zunächst registrieren Sie sich im  Windows Phone Appstudio, dazu müssen [...]

Arnd Rößner: Microsoft Business User Forum

faq-o-matic: Spart 3PAR Thin Provisioning wirklich Speicherkapazität?

Diese Frage kann ich kurz und knapp mit einem JA beantworten.

Einen kleinen Nachweis am Beispiel unseres Democenters findet sich in meinem Artikel an folgender Stelle:

[Spart 3PAR Thin Provisioning wirklich Speicherkapazität? | consulting lounge]
http://consulting-lounge.de/2013/11/spart-3par-thin-provisioning-wirklich-speicherkapazitaet/

Carsten Rachfahl [Private Cloud]: Office 365–Journaling mit MailStore einrichten

Die zentrale Archivierung von E-Mails aus Exchange Online Office 365 bietet Unternehmen den Vorteil, dass alle E-Mails zusätzlich lokal im Unternehmen und somit unter eigener Kontrolle verfügbar sind. Zusammen mit den historischen E-Mails kann so ein vollständiges E-Mail-Archiv gebildet werden, das die Sicherheit der Daten dauerhaft sicherstellt.

In älteren Artikeln habe ich das Vorgehen bereits mit älteren Office365 Versionen dokumentiert (http://www.himmlische-it.de/news/mailstore-an-office-365-anbinden/).

Zunächst benötigen Sie ein weiteres E-Mail Konto außerhalb von Office365.

In meinem Fall habe ich ein outlook.com  Konto mit POP3 verwendet. Sie können natürlich ein anderes Konto mit POP3 oder IMAP verwenden. Zu beachten ist, dass der Anbieter des Postfachs den X-MS-Journal-Report Header nicht aus den Journal E-Mails entfernt.

Im Dashboard von Outlook.com Konto müssen Sie zunächst den POP Zugriff aktiveren, dazu werden unter Optionen die weiteren POP Einstellungen geöffnet.

2014-04-17 15_24_16-Outlook.com

Setzen Sie den ““Haken” bei E-Mails abrufen (inkl. POP) auf “Aktiviert”, sowie “Die Einstellungen des Gerätes oder der App anwenden…”damit das Postfach nicht vollläuft.

2014-04-17 15_24_48-Outlook.com

Im nächsten Schritt muss MailStore auf einem Rechner installiert werden. In unseren Fall verwende ich einen separaten Windows Server 2012R2.

2014-04-17 15_41_49-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

Die Installation von MailStore ist einfach gehalten, erst nach erfolgreicher Installationen wird Mailstore auf Ihre Infrastruktur angepasst.

Nachdem die Installation beendet ist können Sie sich in der “Mail Store Client” anmelden. 2014-04-17 15_50_41-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

Unter “Storage –> Speicherorte” wird der Speicherort des Archives festgelegt. Aus Testzwecken belasse ich den Pfad des Archivspeichers auf dem Standard Speicherort (C:\MailArchive). In Ihrer Live Umgebung sollten Sie diesen anpassen.

2014-04-17 15_52_43-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

Im nächsten Schritt muss Journaling im Office365 Dashboard aktiviert werden. Dazu wird die Exchange Online Console geöffnet…

2014-04-17 15_58_33-Übersicht - Internet Explorer

Unter “Verwaltung der Richtlinientreue –> Journalregeln” kann eine neue Regel für Journaling angelegt werden.

2014-04-17 15_59_05-Journalregeln - Microsoft Exchange - Internet Explorer

In unseren Beispiel lege ich eine Regel für mich an, alle ein und ausgehen Nachrichten werden an journal-rachfahl [at] outlook. com versendet.

2014-04-17 16_00_33-Journalregel - Internet Explorer

Falls Sie beim Speichern eine Fehlermeldung bekommen, muss zunächst via Powershell der
“set-transportconfig” Befehl ausgeführt werden, dazu gehen Sie wie folgt vor:

$cred = Get-Credential
$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri
https://ps.outlook.com/powershell -Credential $cred -Authentication Basic –AllowRedirection
$importresults = Import-PSSession $session

set-transportconfig -JournalingReportNdrTo journal-rachfah [at ]outlook.de

image
Im MailStore müssen anschließend Benutzer mit deren E-Mail Adresse angelegt werden, alternativ können Sie MailStore auch mit ihrer Active Directory Verknüpfen.

2014-04-17 16_03_15-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

2014-04-17 16_04_07-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

Nachdem die User angelegt sind, wird unter “E-Mails archivieren” ein neues Profil angelegt.

2014-04-17 16_04_28-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

Für Journaling benötigen Sie ein Microsoft Exchange Profil mit Journaling.

2014-04-17 16_04_36-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

Zum Schluss müssen Sie Serverdaten angeben, damit das Postfach nicht vollläuft sollten “E-Mails in Postfach löschen” aktiviert werden. Des Weiteren können unbekannte Adresse ebenfalls archiviert werden.

2014-04-17 16_06_21-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

Nach dem Speichern des Profils sende ich aus Testzwecken eine Mail an mein Office365 Konto und beginne mit der Archivierung.

2014-04-17 16_07_54-

2014-04-17 16_07_00-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

Unter meinem Archiv erstellt MailStore automatisiert einen “Journal Incoming” Ordner, darunter erscheinen die Archivierten E-Mails.

2014-04-17 16_09_17-_vMailStore_ auf _Z230NK_ - Verbindung mit virtuellen Computern

In Mail Store können Sie des Weiteren verschiedene Profile sowie Task mit unterschiedlichen Zeitintervallen anlegen damit die Archivierung automatisiert durchgeführt wird. Mit hilfe von MailStore können Sie so einfach Ihre Mails zentral im Unternehmen GDPdU Konform archivieren.

Carsten Rachfahl [Hyper-V]: Umbenennung einer Active Directory inkl. Hyper-V Failover Cluster und einem Scale-Out File Server

Vorlage-Button-WinServ2012R2Ich habe aktuell die Anfrage eines unserer Kunden, bei dem eine Änderung der Active Directory von einer .local-Endung auf eine .de-Endung erfolgen soll. Bei der Domäne handelt es sich um eine recht kleine Umgebung ohne weitere Namen oder Vertrauensstellungen usw. Da allerdings zwei Failover Cluster vorhanden sind und ich solch eine Umbenennung noch nie durchgeführt habe wurde der Transfer vorher mit einer Kopie unserer Schulungs-Umgebung powerkurs.local vorgenommen. In die AD powerkurs.local wurde ein Zwei-Knoten Scale-Out File Server und zwei Hyper-V Hosts installiert. Der Scale-Out File Server stellte mehrere SMB3-Shares zur Verfügung, die Hyper-V Hosts führten mehrere VMs aus, die sowohl lokal als auch auf den SMB3-Shares gespeichert waren.

Grundsätzlich gilt: Nur weil diese Art von Transfer technisch möglich ist heißt es nicht, dass dies die empfohlene Vorgehensweise ist. Installieren Sie wenn möglich eine neue Active Directory! Spätere Probleme oder Probleme bei der Umbenennung können natürlich immer auftreten. Die hier beschriebene Vorgehensweise erfolgt auf eigenes Risiko!

Als Vorlage für diesen Vorgang standen mit zwei Blogartikel sowie der TechNet-Eintrag von Microsoft zur Verfügung:

Ricky in Melbourne: How to rename your single active directory domain

Simple Guide : How to Rename Domain Name in Windows Server 2012?

Microsoft TechNet: Managing Active Directory Domain Rename

In dem ersten Artikel wird empfohlen, die Umbenennung auf einem Member-Server durchzuführen, in dem zweiten wird die Umbenennung direkt auf dem AD-Controller vorgenommen. Ich habe mit einem Member-Server angefangen, musste dann aber auf den DC selbst wechseln, da ab einem bestimmten Zeitpunkt keine Verbindung mehr möglich war (Member in alter AD, AD-Controller in neuer AD). Falls Sie auf einem Member-Server beginnen brauchen Sie die Active Directory Domain Services-Rolle und die entsprechenden Management-Tools, eine Einrichtung dieser Rolle ist nicht notwendig.

screenshot.1

Erstellen Sie danach auf dem DC eine neue Zone im DNS mit dem Namen der neuen AD. Die vorhandene Zone ist powerkurs.local, die neue Zone ist powerkurs.de.

image

Bei der neuen Zone handelt es sich um eine primäre Zone, die in der AD gespeichert wird

image

Die Replikation erfolgt zu allen DNS Servern in diesem Forest

image

Vergeben Sie nun den Namen der neuen Zone, in meinem Fall powerkurs.de

image

Bei den dynamischen Updates dürfen nur sichere Aktualisierungen innerhalb der AD gemacht werden

image

Danach bekommen Sie noch eine Zusammenfassung und die Erstellung kann beginnen. Im nächsten Schritt kann die Umbenennung der AD beginnen. Öffnen Sie eine administrative cmd (entweder auf dem Server, auf dem Sie die Rolle installiert haben oder direkt auf einem DC) und wechseln Sie in das Verzeichnis, an dem die Datei erstellt werden soll. Ich wähle hier C:\system. Führen Sie nun den Befehl

rendom /list

aus und öffnen Sie danach die Datei domainlist.xml in einem Texteditor.

screenshot.14

image

Ersetzen Sie nun in dieser Datei den Namen der alten Domäne mit dem Namen der neuen und den alten NetBiosName mit dem neuen (falls sich dieser ändert, in meinem Fall bleibt er gleich).

image

Speichern Sie die Datei ab und führen Sie in der noch geöffneten Eingabeaufforderung den Befehl

rendom /showforest

aus.

screenshot.18

Laden Sie die Datei mit dem Befehl

rendom /upload

hoch.

screenshot.19

Nun bereiten Sie den Umbenennungs-Vorgang mit dem Befehl

rendom /prepare

vor.

screenshot.20

Letztendlich ausführen können Sie den Vorgang mit dem Befehl

rendom /execute

screenshot.25

Auf Ihrem AD-Controller sehen Sie nun, dass das Systen neu startet.

image

Wenn Sie sich nun nach dem Neustart an dem Server anmelden möchten per RDP, erhalten Sie eine Warnung bzgl. des Zertifikats.

screenshot.28

An diese Stelle musste ich nun auf den DC selbst springen, da eine Ausführung der folgenden Befehle auf meinem Member-Server nicht mehr möglich war. Starten Sie mit dem Ausführen von

gpfixup /olddns:powerkurs.local /newdns:powerkurs.de

image

Die Ausführung zur Änderung des NetBiosNamen bringt in meinem Fall einen Fehler, da sich dieser Name nicht ändert

gpfixup /oldnb:powerkurs /newnb:powerkurs

image

Mit den Befehlen

netdom computername dc01.powerkurs.local /add:dc01.powerkurs.de

und

netdom computername dc01.powerkurs.local /makeprimary:dc01.powerkurs.de

fügen Sie einen neuen Namen hinzu und setzen diesen danach primär.

image

Nach einem erneuten Neustart sehen Sie, dass sich der Name der VM nun geändert hat

image

Innerhalb der VM hat sich der Name der Domäne nun auch geändert

image

An dieser Stelle habe ich nun den Server, auf dem ich die rendom-Befehle ausgeführt habe, neugestartet. Das System war nach dem Neustart Mitglied der powerkurs.de-Domäne. Die Ausführung von

rendom /clean

hat aber trotzdem nicht funktioniert, als Ausgabe habe ich eine Fehlermeldung erhalten

screenshot.37

Ich habe nun an dieser Stelle die Dateien, die sich auf dem lokalen Server unter C:\system befanden, auf den AD-Controller kopiert und den Befehl

rendom /clean

dort erneut ausgeführt. Dieses Mal lief der Vorgang erfolgreich durch.

image

Nun habe ich im DNS die Zone powerkurs.local gelöscht.

image

image

image

Nun habe ich alle Server, die Mitglied der AD sind, durchgebootet. Nach dem Neustart der Scale-Out File Server-Knoten bot sich im Manager die folgende Ansicht:

image

Das Failover Cluster ist erfolgreich gestartet, der Name und die IP-Adresse ist online und der Storage kann ebenfalls gemountet werden.

image

image

image

Einzig die Dateiserver-Rolle war nicht gestartet. Dies könnte aber daran liegen, dass ich diese vor Beginn der Umbauarbeiten manuell gestoppt habe.

image

Ein manueller Start war erfolgreich, danach waren die Freigaben auch wieder erreichbar.

image

Ich habe nun überprüft ob sich alle VMs starten lassen und Zugriff auf Ihre Dateien bekommen, dies war der Fall. Alle Test-VMs auf dem SOFS sowie den VMs auf den lokalen SSDs ließen sich problemlos starten und nutzen.

Zum Abschluss stehen noch ein paar weitere Aktionen an, welche die Übernahme dann noch etwas runder machen:

  • Überprüfung auf korrekte Eintragung aller Netzwerkkarten im DNS-Server
  • Anpassung der RDP-Zertifikate zur Vermeidung der Warnungen bei einer Verbindung
  • Schwenk der unterschiedlichen Rollen, Datenträger usw. im Failover Cluster
  • Falls vorher vorhanden: Neu-Erstellung des Hyper-V Failover Cluster
  • Durchsuchen der Eventlogs nach möglichen Fehlern oder Problemen
  • Anmeldung an allen Systemen zur Überprüfung auf korrekte Verbindung zur AD, ggf. mit einem neuen Benutzer
  • Falls mehrere DCs vorhanden sind sollten Sie die Replikation zwischen den Systemen prüfen

Ich möchte noch einmal darauf hinweisen, dass diese Art des “Umzugs” nicht der bevorzugte Weg ist und wir, wenn möglich, eine Neu/Parallel-Installation bevorzugen.

faq-o-matic: Netzwerk-Debugging mit und unter Linux

Dieser Artikel erschien zuerst auf Ollis Blog.

Hier ein paar Hinweise zu (einfachem) Netzwerk-Debugging mit und unter Linux. Die typischen Kommandos ping, netstat lasse ich dabei mal außen vor, sondern gehe auf "etwas" speziellere Kommandos bzw. Alternativen ein.

Nachdem der letzte Blog-Eintrag schon etwas her ist, möchte ich dieses Mal etwas über (einfaches) Netzwerk-Debugging mit und unter Linux schreiben.

Die typischen Kommandos ping, netstat lasse ich dabei mal außen vor, sondern gehe auf "etwas" speziellere Kommandos bzw. Alternativen ein.

Prüfung auf aktive Hosts/Erreichbarkeit

Ich nutze dafür fping:
Vorteile: Ip-Ranges (Range oder CIDR Notation!), Statistiken und parallele Verarbeitung!
Nachteile: muss meist nachinstalliert werden

1. Single Host

$ fping -s 172.16.1.91

172.16.1.91 is alive

       1 targets
       1 alive
       0 unreachable
       0 unknown addresses

       0 timeouts (waiting for response)
       1 ICMP Echos sent
       1 ICMP Echo Replies received
       0 other ICMP received

 0.98 ms (min round trip time)
 0.98 ms (avg round trip time)
 0.98 ms (max round trip time)
        0.011 sec (elapsed real time)


2. mit IP-Range und Statisktik

$ fping -s -g 172.16.1.90 172.16.1.100 -r 1
172.16.1.91 is alive
172.16.1.92 is alive
172.16.1.93 is alive
172.16.1.94 is alive
172.16.1.95 is alive
172.16.1.97 is alive
172.16.1.90 is unreachable
172.16.1.96 is unreachable
172.16.1.98 is unreachable
172.16.1.99 is unreachable
172.16.1.100 is unreachable
 
      11 targets
       6 alive
       5 unreachable
       0 unknown addresses
 
      10 timeouts (waiting for response)
      16 ICMP Echos sent
       6 ICMP Echo Replies received
       0 other ICMP received
 
 0.38 ms (min round trip time)
 0.75 ms (avg round trip time)
 1.45 ms (max round trip time)
        2.808 sec (elapsed real time)

Verbindungen/Sessions anzeigen

Die meisten werden wahrscheinlich netstat nutzen, ich nehme dafür "ss".
"ss" ist schneller und bietet mehr Möglichkeiten in den Abfragen.

Alle Verbindungen anzeigen
$ ss -a | less
 
State      Recv-Q Send-Q      Local Address:Port          Peer Address:Port
LISTEN     0      0                       *:6080                     *:*
LISTEN     0      0             172.16.0.250:5667                     *:*
LISTEN     0      0                       *:5668                     *:*
LISTEN     0      0                       *:11301                    *:*
LISTEN     0      0               127.0.0.1:smux                     *:*
LISTEN     0      0                       *:mysql                    *:*
LISTEN     0      0                       *:sunrpc                   *:*
LISTEN     0      0                       *:http                     *:*
LISTEN     0      0                       *:ssh                      *:*
LISTEN     0      0                       *:smtp                     *:*
LISTEN     0      0                       *:iscsi                    *:*
TIME-WAIT  0      0             172.16.0.250:http           172.16.0.1:14653
TIME-WAIT  0      0             172.16.0.250:http           172.16.0.14:58166
TIME-WAIT  0      0             172.16.0.250:http           172.16.0.14:58167
TIME-WAIT  0      0             172.16.0.250:http           172.16.0.14:58164
TIME-WAIT  0      0             172.16.0.250:http           172.16.0.1:14654
TIME-WAIT  0      0             172.16.0.250:http           172.16.0.14:58165
<snip>

Lauschende Ports

Alle offenen Ports auflisten
$ ss -l | less
 
State      Recv-Q Send-Q      Local Address:Port          Peer Address:Port
LISTEN     0      50              127.0.0.1:netbios-ssn              *:*
LISTEN     0      128                     *:59532                    *:*
LISTEN     0      128                    :::sunrpc                  :::*
LISTEN     0      128                     *:sunrpc                   *:*
LISTEN     0      128                     *:http                     *:*
LISTEN     0      128                    :::38386                   :::*
LISTEN     0      128                    :::ssh                     :::*
LISTEN     0      128                     *:ssh                      *:*
LISTEN     0      128             127.0.0.1:6010                     *:*
LISTEN     0      128                   ::1:6010                    :::*
LISTEN     0      50              127.0.0.1:microsoft-ds             *:*
LISTEN     0      50              127.0.0.1:mysql                    *:*
Nur TCP auflisten
$ ss -lt | less
 
State      Recv-Q Send-Q      Local Address:Port          Peer Address:Port
LISTEN     0      50              127.0.0.1:netbios-ssn              *:*
LISTEN     0      128                     *:59532                    *:*
LISTEN     0      128                    :::sunrpc                  :::*
LISTEN     0      128                     *:sunrpc                   *:*
LISTEN     0      128                     *:http                     *:*
LISTEN     0      128                    :::38386                   :::*
LISTEN     0      128                    :::ssh                     :::*
LISTEN     0      128                     *:ssh                      *:*
LISTEN     0      128             127.0.0.1:6010                     *:*
LISTEN     0      128                   ::1:6010                    :::*
LISTEN     0      50              127.0.0.1:microsoft-ds             *:*
LISTEN     0      50              127.0.0.1:mysql                    *:*
Nur UDP auflisten
$ ss -lu | less
 
State      Recv-Q Send-Q      Local Address:Port          Peer Address:Port
UNCONN     0      0                       *:bootpc                   *:*
UNCONN     0      0                       *:sunrpc                   *:*
UNCONN     0      0              172.16.0.75:ntp                      *:*
UNCONN     0      0               127.0.0.1:ntp                      *:*
UNCONN     0      0                       *:ntp                      *:*
UNCONN     0      0            172.16.255.255:netbios-ns               *:*
UNCONN     0      0              172.16.0.75:netbios-ns               *:*
UNCONN     0      0                       *:netbios-ns               *:*
UNCONN     0      0            172.16.255.255:netbios-dgm              *:*
UNCONN     0      0              172.16.0.75:netbios-dgm              *:*
UNCONN     0      0                       *:netbios-dgm              *:*
UNCONN     0      0                       *:37222                    *:*
UNCONN     0      0               127.0.0.1:746                      *:*
UNCONN     0      0                       *:858                      *:*
UNCONN     0      0                      :::sunrpc                  :::*
UNCONN     0      0                     ::1:ntp                     :::*
UNCONN     0      0        fe80::250:56ff:feb2:6063:ntp             :::*
UNCONN     0      0                      :::ntp                     :::*
UNCONN     0      0                      :::858                     :::*
UNCONN     0      0                      :::38139                   :::*
Prozess-IDs zu den jeweiligen Diensten mit anzeigen
ss -lp

Anzeige mit Filterung

Die Filter können im iproute(2)-doc nachgeschlagen werden.

Nach Port:

Alle SSH Verbindungen:
$ ss -t src :22
 
State      Recv-Q Send-Q      Local Address:Port          Peer Address:Port
ESTAB      0      0              172.16.0.75:ssh           172.16.0.12:62708
Alle HTTP oder HTTPS Verbindungen
$ ss -t '( src :80 or src: 443 )'
 
State      Recv-Q Send-Q        Local Address:Port          Peer Address:Port
ESTAB      0      0               172.16.0.250:80             172.16.0.239:59538
Nach Adresse in CIDR Notation, nur TCP (-t!)
$ ss -t  dst 172.16.0.0/24
oder single Host:
$ ss -t dst 172.16.0.123
oder mit Host und Port
$ ss -t dst 172.16.0.123:80
Aktive (state established) TCP-Sessions
$ ss -t state established | less
 
Recv-Q Send-Q           Local Address:Port               Peer Address:Port
0      0                   172.16.0.75:58739                 172.16.0.2:microsoft-ds
0      0                   172.16.0.75:51709                 172.16.0.3:microsoft-ds
0      0                   172.16.0.75:39253                 172.16.0.3:1025
0      0                   172.16.0.75:ssh                 172.16.0.123:62708
Mögliche weitere States:
  • established
  • syn-sent
  • syn-recv
  • fin-wait-1
  • fin-wait-2
  • time-wait
  • closed
  • close-wait
  • last-ack
  • closing
  • all – Alle..
  • connected – Alle verbundenen Sessions
  • synchronized – Alle verbundenen Sessions, ohne syn-sent
  • bucket – minisockets, z.B. time-wait und syn-recv.
  • big – „Normale" sockets

Statistiken

$ ss -s
 
Total: 364 (kernel 449)
TCP:   1272 (estab 19, closed 1240, orphaned 1, synrecv 0, timewait 1238/0), ports 825
 
Transport Total     IP        IPv6
*         449       -         -
RAW       0         0         0
UDP       11        11        0
TCP       32        32        0
INET      43        43        0
FRAG      0         0         0

Verbindungen mitschneiden

Bei Netzwerk/Verständnis-Problemen können Verbindungen mitgeschnitten werden, dazu wird TCPdump genutzt. Die geschriebene Datei kann dann mit WireShark verarbeitet/gelesen werden.
Format:
$ tcpdump -n -i $INTERFACE -s$MAXIMALEPAKETGRÖßE -w $AUSGABEDATEI $FILTER
 
-s = maximale Paketgröße, 0 => 65535 Bytes (empfehlenswert)
-n = keine DNS Auflösung
-i = Interface
-w = Ausgabedatei

Filter

Alles was einen bestimmten Host betrifft (IP oder DNS-Name)
$ tcpdump -ni lanbond0 -w ~/http_mitschnitt.pcap -s0 host 172.16.0.5
Alles was HTTP betrifft, ohne SSH Verbindungen
$ tcpdump -ni lanbond0 -w ~/http_mitschnitt.pcap -s0  port not ssh and port http

Beispiel

Welche Daten werden bei einem Request mittels HTTP und Host 172.16.0.5 übertragen:
$ tcpdump -ni lanbond0 -w ~/http_mitschnitt.pcap -s0 host 172.16.0.5 and port http

Marc Grote: Austausch eines selbstsignierten Remote Desktop Connection Zertifikats in Windows Server 2012 R2

Hallo Leutz,

Windows Server 2012 R2 verwendet fuer die Remote Desktop Connection ein selbst signiertes Zertifikat.
Anders als bei Windows Server 2008 R2 gibt es die MMC TSCONFIG.MSC in Windows Server 2012 / R2 nicht mehr.
Wie also das Zertifikat auf einem Server austauschen, ohne ueber den Server Manager ein Remote Desktop Services Deployment durch zu fuehren?
Die Loesung heisst per WMIC oder Powershell das alte Zertifikat und den Thumbprint zu ermitteln, ein neues Zertifikat anzufordern, mit privaten Schluessel zu exportieren und anschliessend per WMIC wieder an die RDS-Dienste zu binden.

Wie das geht, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/RDS-2012R2-SelfSignedCertificate.pdf

Gruss Marc

Marc Grote: Implementierung Offline Root CA mit Issuing Online Enterprise Root CA und Windows Server 2012 R2

Hallo Leutz,

bei einem Kunden habe ich in den letzten Wochen und heute final die Online Enterprise Root CA dekommissioniert und eine zweistufige CA Hierarchie mit einer Offline Root CA und einer Online Enterprise Issuing CA auf Basis Windows Server 2012 R2 implementiert, um unter anderen der baldigen Abschaltung des Support fuer SHA1 seitens Microsoft nachzukommen: http://www.it-training-grote.de/blog/?p=6254

Die neue CA wurde mit CNG (SHA256 Hashalgorithmus) implementiert.
Durchgefuehrte Schritte:
Installation Offline Standalone Root CA
Installation Online Enterprise Issuing CA
Einrichtung der Schluesselarchivierung
Einbindung von Common PKI (Rollentrennung)
Ausstellen von neuen Zertifikaten fuer alle Server
Dekommissionierung der alten Online Enterprise CA

Dabei ist folgendes Bilderbuch entstanden: http://www.it-training-grote.de/download/OfflineRoot-EnterpriseOnline-CA.pdf

Gruss Marc

Hans Brender: Dienste und Automatisierung

WordPress, Twitter, Facebook und Paper.li sind Dienste, die viele nutzen. Natürlich möchte am es sich einfach machen. Wenn ein neuer Blog Post erstellt wurde, und dieser veröffentlicht wird, soll automatisch ein Tweet über den Nachrichten-Dienst Twittter veröffentlicht werden. Und in vielen Blog Programmen ist dies auch enthalten, muss nur noch konfiguriert werden. Aber es kann schon tückisch werden. Zum Bespiel wenn man in 2 Sprachen bloggt. Dann möchte man man natürlich das Tweet zeitversetzt senden. Dann, wenn die amerikanische Bevölkerung nicht mehr schläft. 

Oder aber man folgt anderen Bloggern Und möchte sofort informiert werden, wenn dort etwas veröffentlicht wird. Und diese Information dann sofort in Facebook posten , einen Tweet darüber senden, diesen Fremd-Beitrag dann in Linked-In veröffentlichen.

Wundern sie sich über Personen, von denen Sie genau wissen, dass diese Urlaub ohne Internetzugang machen, und trotzdem jede Menge Nachrichten in den sozialen Netzwerken erscheinen? Und das zu jeder Uhrzeit?

Möglich machen das Dienste wie Twitterfeed, Paper.li, IFFFT, Hootsuite, oder Bufferapp.
Diese Programme unterstützen auf unterschiedliche Weise die Arbeit des Bloggers.

Ich habe nach Diensten gesucht, die folgendes ausführen können.

  • Tweets zeitversetzt senden.
  • Tweets zu bestimmten Zeiten immer wieder senden.
  • fremde Blog-Informationen aufbereiten und in verschiedene Netzwerke weiterleiten.
  • fremde Blog-Informationen auf mein Smartphone per SMS zukommen lassen.
  • eigene Blog-Artikel in andere Netzwerke veröffentlichen.

Bestimmte Dienste setze ich schon lange ein. Aber man muss immer wieder ins Internet, denn neue Dienste werden über Nacht etabliert, vorhandene Dienste erweitert.

schon vor drei Jahren habe ich darüber geschrieben

Das Rad der Zeit hat sich jedoch weitergedreht und als Beispiel IFTTT hat jede Menge Channels implementiert. Inzwischen sind auch Microsoft Programme wie OneDrive und OneNote dazugekommen. Und sogar ein Kanal für Yammer gibt es.

 

Das Dashborad von IFTTT

eige Rezepte in IFTTT Unterschiedliche IFTTT-Rezepte automatisieren die tägliche Arbeit

Leider gibt es nicht das allumfassende Tool, das all meine Wünsche erfüllt, so muss ich noch mit mehreren Diensten arbeiten.

Das bedeutet auch, dass ich mir eine Excel-Liste gebaut habe, in der meine Automatisierungen “was macht wann welches Tool” abgebildet sind.

 

Und wie schreibt Agnes Molnar, MVP SharePoint (Mrs. Search), ein Kanal in IFFFT fehlt noch, nämlich Lync, damit man seinen Lync Status (Grün, Rot) anzapfen und diesen dann einer Lampe oder einem Schalter zukommen kann. So kann dann jeder im Home-Office sehen, ob ich beschäftigt bin. Die Schalter und Lampen gibt es schon….

Ach ja, derzeit benutze ich folgende Dienste…

  • Twitterfeed
  • IFFT
  • Bufferapp
  • Hootsuite

Carsten Rachfahl [Hyper-V]: Unsere Best Practice-Erfahrungen – Teil 1 – Die Installation eines Hyper-V Failover Cluster unter Windows Server 2012 R2

Vorlage-Button-WinServ2012R2Dieser Artikel behandelt die Installation eines Failover Cluster unter Windows Server 2012 R2, welches zur Ausführung von Hyper-V VMs genutzt wird. Gegenüber den vorherigen Artikeln zur Einrichtung unter Windows Server 2008 R2 und Windows Server 2012 hat sich teilweise etwas geändert, das “Grundrauschen” ist allerdings gleich geblieben. Die größte Änderung liegt darin, dass durch unterschiedliche Techniken die Anzahl der Möglichkeiten enorm gestiegen sind. Dadurch gibt es nicht mehr “die eine” optimale Lösung, es muss nun anhand der jeweiligen Hardware entschieden werden, was die beste Lösung in diesem einen Fall ist. Zusätzlich habe ich an einigen Stellen noch die genutzten PowerShell-Befehle mit aufgeführt. Diese hier beschriebene Konfiguration eignet sich primär bei der Nutzung eines Scale-Out File Servers. Dieser ist bereits eingerichtet und in diesem Artikel wird nicht auf die Einrichtung eingegangen, dies wird komplett im zweiten Teil der Serie gemacht.

Egal was Sie einsetzen möchten, was Sie bereits haben oder wo Sie ansetzen: Sprechen Sie uns an, wir können diese Konfiguration gerne an Ihre Bedürfnisse anpassen.


Die genutzte Hardware

Die Demoumgebung

Die hier genutzte Hardware sind zwei Rechner aus unserem Hyper-V Powerkurs und einem Scale-Out Fileserver unter Windows Server 2012 R2 als SMB3-Ziel. Die Rechner besitzen zwei 1Gbit NICs und vier 10Gbit NICs, 24 GB RAM und eine Quadcore-CPU. Beide Server sind Mitglied der Active Directory powerkurs.local. Der Scale-Out File Server hat jeweils zwei 10Gbit-Ports für SMB3 und zwei 1Gbit-Ports zur Anbindung an die Active Directory pro Knoten.

Ein paar Worte zu der Hardware, den Verbesserungs- und den Sparmöglichkeiten

Diese hier beschriebene Konfiguration entsprecht von den Eckdaten her dem, was wir empfehlen und was wir bereits in Projekten mehrfach erfolgreich eingesetzt haben. Natürlich sollte als Server ein wirklicher Server zum Einsatz kommen, der für den 24/7-Betrieb geeignet ist. Von einer Nutzung von PCs oder Workstations ist natürlich absolut abzuraten, wegen der Verfügbarkeit habe ich diese Systeme aber als Demoumgebung genutzt.

Wir geben Ihnen als Empfehlung zwei 10Gbit-Adapter mit jeweils zwei Ports vor, d.h. jeder Hyper-V Host ist mit 40 Gbit angebunden, hinzu kommen noch zwei oder mehr 1 Gbit-Adapter. Diese Anbindung könnte theoretisch noch erhöht werden auf sechs 10 Gbit-Adapter, prinzipiell spricht hier nichts gegen. Dies bewirkt eine Erhöhung der Gesamtbandbreite, ändert aber nichts an der Performance der einzelnen Adapter. Hier kommen RDMA bzw. SMB Direct-Karten ins Spiel. Mit Hilfe dieser Technik können Sie eine deutliche Steigerung der Performance bei sehr geringer Latenz erreichen. Wenn alle Netzwerk-Komponenten diese Technik beherrschen haben Sie eine enorm hohe Bandbreite zwischen Hyper-V Failover Cluster und Scale-Out File Server. Informationen zu dem Thema gibt es unter anderem im Hyper-V Podcast Folge 35 von meinem Kollegen Carsten Rachfahl.

Wenn Sie nicht den Bedarf von 40 Gbit pro Knoten haben oder die Hardware bereits vorhanden ist, können Sie den Betrieb auch mit einer 10 Gbit DualPort-Karte realisieren. In diesem Fall wären die VMs mit zwei oder mehr 1 Gbit-Karten angebunden, die 20 Gbit ständen dann exklusiv für die Anbindung an den Storage zur Verfügung.

Die Installation und Einrichtung des Betriebssystems

Die Einrichtung beginnt mit einer frischen Installation eines Windows Server 2012 R2 in der Datacenter Edition auf beiden Hosts. Nach der Grundinstallation werden die Netzwerkkarten umbenannt und teilweise zu einem Team konfiguriert.

image

Beide 1Gbit-Adapter werden zu einem Team zusammengefasst, zusätzlich werden zwei 10Gbit-Adapter (jeweils auf einem der beiden Adapter) zu einem Team zusammengefasst. Das 2Gbit-Team wird als Management-Netzwerk genutzt, das 20Gbit-Team wird zur Anbindung der VMs an das Netzwerk genutzt. Insgesamt existieren vier Netzwerke, auf drei der Karten hat der Host eine eigene IP-Adresse. Das VM-Netzwerk wird exklusiv für die virtuellen Computer genutzt.

image

image

image

Die Konfiguration per PowerShell wäre wie folgt:

New-NetLBFOTeam -Name "Management-Team" -TeamNICName "Management-Team" -TeamMembers 1GBit#1, 1GBit#2 -TeamingMode SwitchIndependent -LoadBalancingAlgorithm Dynamic -Confirm:$false

New-NetLBFOTeam -Name "VM-Team" -TeamNICName "VM-Team" -TeamMembers 10GBit#1, 10GBit#3 -TeamingMode SwitchIndependent -LoadBalancingAlgorithm Dynamic -Confirm:$false

Die Karte Management-Team wird mit einer IP-Adresse im Bereich 192.168.209.0/24 konfiguriert. In meinem Fall arbeite ich mit den Systemen Hyperv10 und Hyperv15, daher bekommt Hyperv10 die Adresse 192.168.209.10 und Hyperv15 die Adresse 192.168.209.15. Die Endadresse bleibt in allen Netzen gleich, so kann eine eindeutige Zuordnung erfolgen. Eine gleichmäßige Zuweisung von Adressen sowie eine durchgängige Benamung machen den Betrieb und die Administration an vielen Stellen einfacher. Die Karte VM-Team wird zu diesem Zeitpunkt nicht konfiguriert, sie wird später als Hyper-V Netzwerk genutzt. Bei der Wahl der Adapter wird jeweils ein Adapter pro Hardware-Karte gewählt, dies ermöglicht einen Betrieb auch dann, wenn einer der beiden Hardware-Karten ausfallen würde. Die Bindungen der Karte werden nicht geändert und sehen wie folgt aus:

image

Die beiden 10Gbit-Adapter, die nicht Mitglied des Teams sind, werden mit einer IP-Adresse aus den Storage-Bereichen versehen. Hierbei achten wir ebenfalls darauf, dass die End-Adresse jeweils identisch ist mit der Adresse im Management-Netz. Nach der korrekten Konfiguration sehen die Eigenschaften der Karten wie folgt aus:

image

image

 

 

 

 

 

image

image

 

 

 

 

 

 

 

 

 

 

 

Unter IP-Einstellungen werden keine Änderungen vorgenommen, die Einstellungen der Karte 10GBit#2 (die zweite Storage-Karte) sind bis auf die IP-Adresse identisch.

Die Konfiguration per PowerShell:

Set-NetIPInterface -InterfaceAlias "10GBit#2" -dhcp Disabled -verbose
New-NetIPAddress -AddressFamily IPv4 -PrefixLength 24 -InterfaceAlias "10GBit#2" -IPAddress 192.168.208.10
Set-DnsClientServerAddress -InterfaceAlias "10GBit#2" -ServerAddresses 192.168.209.1
Set-NetAdapterBinding -Name "10GBit#2" -ComponentID ms_tcpip6 -Enabled $False

Set-NetIPInterface -InterfaceAlias "10GBit#2" -dhcp Disabled -verbose
New-NetIPAddress -AddressFamily IPv4 -PrefixLength 24 -InterfaceAlias "10GBit#4" -IPAddress 192.168.207.10
Set-DnsClientServerAddress -InterfaceAlias "10GBit#4" -ServerAddresses 192.168.209.1
Set-NetAdapterBinding -Name "10GBit#2" -ComponentID ms_tcpip6 -Enabled $False

Beide Server werden nun auf den aktuellen Patchlevel geupdatet.

image

Nach der Installation und dem anschließenden Neustart kann die Einrichtung mit der Installation der Hyper-V Rolle fortgesetzt werden.

Über den Server-Manager oder per PowerShell kann nun die Hyper-V Rolle installiert werden. Bei der während der Installation durchgeführten Konfiguration wählen wir keine der Karten für das Hyper-V Netzwerk aus, dies wird im späteren Verlauf manuell konfiguriert. Die Livemigration wird nicht konfiguriert, bei der Wahl der Pfade wird ebenfalls an dieser Stelle keine Änderung vorgenommen. Das System startet nun zwei Mal durch und steht danach wieder zur Verfügung.

image

image

imageimage

 

 

 

 

 

 

Alternativ kann die Installation natürlich auch per PowerShell gemacht werden:

Install-WindowsFeature -Name Hyper-V -IncludeManagementTools –Restart

Wenn der Parameter –ComputerName noch mit angegeben wird können sogar alle Server fast gleichzeitig installiert werden:

Install-WindowsFeature -Name Hyper-V -IncludeManagementTools –Restart -ComputerName Hyperv10

Die Einrichtung von Hyper-V zur Vorbereitung auf den Betrieb als Failover Cluster-Knoten

Nach der Installation von Hyper-V müssen noch ein paar lokale Einstellungen vorgenommen werden, bevor das Failover Cluster eingerichtet werden kann. Im Hyper-V-Manager werden auf beiden Systemen unter dem Manager für virtuelle Switches eine neue externe Switch erstellt und auf den VM-Team-Adapter gebunden. Achten Sie darauf, den korrekten Adapter auszuwählen.

image

Wie Sie die virtuelle Switch nennen ist Ihnen überlassen, wichtig ist das sie auf allen Hyper-V Hosts gleich heißt. Achten Sie zusätzlich unbedingt darauf, nicht die gemeinsame Verwendung zu aktivieren. Bei Nutzung der gemeinsamen Verwendung bekommt der Host eine weitere, virtuelle Netzwerkkarte, die nicht benötigt und nicht gewollt ist. Der PowerShell-Befehl hierzu ist:

New-VMSwitch -Name "VM" -NetAdapterName VM -AllowManagementOS 0 -ComputerName Hyperv10

Danach kann Hyperv10 durch den Namen des zweiten Knoten ersetzt werden.

Die Installation und Einrichtung des Failover Cluster

Nachdem nun die Vorbereitungen abgeschlossen sind können wir mit der Installation und Einrichtung des Failover Cluster beginnen.

Die Installation der benötigten Features

Für die Einrichtung eines Failover Cluster wird das Feature Failoverclustering benötigt

image

Wenn Sie das System lokal administrieren möchten oder müssen sollten Sie die Failovercluster-Verwaltungstools sowie das Failoverclustermodul für Windows PowerShell ebenfalls installieren

image

Per PowerShell:

Install-WindowsFeature Failover-Clustering –IncludeAllSubFeature –IncludeManagementTools -ComputerName Hyperv10

Die Einrichtung des Failover Cluster

Nach der Installation öffnen Sie den Failovercluster-Manager und beginnen mit dem Menüpunkt Konfiguration überprüfen….

image

Im Assistenten fügen Sie die Server hinzu, die überprüft werden sollen (Tipp: das lokale System kann mit einem Punkt ( . ) oder “localhost” hinzugefügt werden)

image

Danach können Sie auswählen, welche Tests durchgeführt werden sollen. Falls dies der erste Durchlauf ist sollten Sie unbedingt alle Tests auswählen, falls Sie nur einen oder mehrere spezielle Tests durchführen möchten (z.B. bei einem erneuten Durchlauf) können Sie diese manuell auswählen.

image

Es werden nun alle Tests durchgeführt, dies dauert je nach Anzahl der Server.

image

Nach dem Durchlauf erhalten Sie eine Übersicht der Tests und haben die Möglichkeit, sich den kompletten Bericht anzeigen zu lassen.

image

Schauen Sie sich unbedingt die Warnungen und Fehler an. Je nach Art der Fehler können diese entweder ignoriert werden oder sie müssen aktiv korrigiert werden. In meinem Fall steckte ein Kabel in einem falschen VLAN, wodurch die folgende Meldung in dem Bericht auftaucht:

image

Solche Fehler werden meist durch den Assistenten erkannt und angemerkt, eine Behebung vor der Erstellung und Nutzung des Failover Cluster macht deutlich mehr Spaß als die nachträgliche Suche.

Andere Warnungen können ggf. ignoriert werden, z.B. ein fehlender Datenträger oder eine permanente SCSI-3-Reservierung. Da wir mit SMB3-Shares arbeiten sind keine Datenträger im Failover Cluster vorhanden.

image

Wenn keine Fehler während der Überprüfung auftauchen aktiviert der Assistent direkt die Möglichkeit, den Failover Cluster mit den überprüften Knoten zu erstellen

image

Während der Erstellung werden wir nach dem Namen des Failover Cluster und der IP-Adresse gefragt, unter der eine Administration möglich ist. Die Frage nach dem Netzwerk erscheint nur, weil keine der Netzwerkkarten ein Gateway eingetragen hat. Sobald ein Gateway vorhanden ist wird automatisch dieses Netzwerk als Zugriffspunkt definiert.

image

Wir benötigen in unserem Fall eine IP-Adresse im Netzwerk 192.168.209.0/24 und einen eindeutigen Namen

image

Nach einem Klick auf Weiter wird überprüft, ob Name und IP-Adresse bereits vorhanden bzw. belegt sind, falls dies nicht der Fall ist erscheint eine Übersicht über die getätigten Einstellungen.

image

Die Option Der gesamte geeignete Speicher soll dem Cluster hinzugefügt werden bewirkt an dieser Stelle keine Änderung, da keine Datenträger hinzugefügt wurden. Wir haben uns angewöhnt diese Option grundsätzlich zu deaktivieren, da wir den Speicher manuell zuweisen wollen. Nach einem Klick auf Weiter wird der Cluster erstellt, danach verbindet sich der Failovercluster-Manager automatisch mit dem gerade erstellten Cluster. In der Zusammenfassung bekommen wir noch einen Hinweis angezeigt, dass kein geeigneter Datenträgerzeuge vorhanden ist. Um diese Einstellungen kümmern wir uns später.

image

Die Konfiguration des Netzwerks

Die ersten Anpassungen im gerade erstellten Cluster werden im Netzwerk gemacht. Die Netze werden automatisch durchnummeriert, diese Namen ändern wir auf die Funktion des einzelnen Netzwerks.

image

Um welches Netz es sich handelt können Sie sehen, wenn Sie auf das Netzwerk klicken und im unteren Teil auf den Reiter Netzwerkverbindungen wechseln.

image

Das Ergebnis sind drei vollständig benannte Netzwerke. Die Eigenschaften der Karten sehen wie folgt aus:

image

image

In den Einstellungen für Livemigration muss nun die Reihenfolge der Netzwerke definiert werden, über die eine Livemigration gemacht wird.

image

Hier werden die beiden Storage-Karten als primäre Karten definiert und in der Reihenfolge nach oben geschoben, falls dies nicht automatisch der Fall ist. Der Adapter Management bleibt ebenfalls aktiviert, wird aber ganz nach unten verschoben.

image

Als nächstes muss die Metrik der Netzwerke im Failover Cluster definiert werden. Die Metrik bestimmt, über welches Netzwerk die Daten während eines umgeleiteten Modus zwischen den einzelnen Knoten laufen. Diese Einstellung kann ausschließlich per PowerShell ausgelesen und gesetzt werden, eine Administration per GUI ist nicht möglich. Öffnen Sie eine administrative PowerShell oder die PowerShell ISE und nutzen Sie die folgenden Befehle zum Auslesen und manuellen Setzen der Werte.

Get-ClusterNetwork | ft Name, Metric, AutoMetric

image

Je kleiner die Metrik, desto höher ist die Priorität. Standardmäßig wird in dem oberen Screenshot das Netzwerk Storage2 genutzt, da die Metrik 30240 die kleinste der drei ist. Grundsätzlich ist diese Reihenfolge (Erst Storage2, dann Storage1 und dann Management) in Ordnung, wir möchten aber gerne die Prioritäten manuell auf die folgenden Werte setzen:

Storage1 100
Storage2 101
Management 110

Die entsprechenden Befehle dazu sind

(Get-ClusterNetwork &quot;Storage1&quot;).Metric = 100
(Get-ClusterNetwork &quot;Storage2&quot;).Metric = 101
(Get-ClusterNetwork &quot;Management&quot;).Metric = 110

Diese Einstellungen müssen nur auf einem der Knoten gemacht werden, da hier clusterweite Einstellungen verändert und konfiguriert werden.

Die folgende Einstellung muss auf jedem Cluster-Knoten gesetzt werden, da es sich um eine lokale Einstellung handelt. Wechseln Sie in die Netzwerkverbindungen und wählen Sie in der Menüleiste (Falls nicht sichtbar “Alt” drücken) unter Erweitert die Option Erweiterte Einstellungen….

image

Schieben Sie dort den Adapter Management-Team ganz nach oben.

image

An dieser Stelle sind wir mit der Konfiguration des Netzwerks lokal und im Cluster fertig.

Die Einrichtung des Datenträgerzeugen / Quorum

Ganz wichtige Änderung unter Windows Server 2012 R2 in Bezug auf das Quorum: Erstellen Sie immer (egal welche Anzahl von Knoten und ob gerade oder ungerade) ein Quorum und weisen Sie dieses auch immer! zu. Das Failover Cluster verwendet dieses Quorum dynamisch, und zwar immer nur dann wenn es eins benötigt. Weitere Informationen und eine Bestätigung seitens Microsoft finden Sie im Technet: What’s New in Failover Clustering in Windows Server 2012 R2.

Da wir bei der Nutzung eines Scale-Out File Server keine CSV-Datenträger in unserem Failover Cluster haben müssen wir eine Dateifreigabe verwenden. Es existieren zu diesem Zeitpunkt drei Freigaben auf dem Scale-Out File Server. Die Freigabe HVQuorum wird für den Hyper-V Failover Cluster genutzt.

image

Wechseln Sie im Hauptmenü des Failover Cluster unter Weitere Aktionen auf Clusterquorumeinstellungen konfigurieren….

image

Es öffnet sich ein Assistent, der Sie bei der Einrichtung unterstützt. Nach der Vorbemerkung werden Sie nach der Art der Einrichtung gefragt. Die erste Option Standardquorumkonfiguration verwenden ist in diesem Fall nicht möglich, dies führt dazu das kein Quorum verwendet wird. Wir nutzen daher die zweite Option Quorumzeugen auswählen.

image

Im nächsten Schritt werden Sie nach der Art des Quorum gefragt, hier wählen Sie die Option Dateifreigabezeuge konfigurieren.

image

Schreiben oder Kopieren Sie nun den Pfad der Freigabe in den Assistenten.

image

Bestätigen Sie die Einstellungen und schließen Sie den Assistenten ab.

image

Nachdem Sie die Einrichtung abgeschlossen haben können Sie sehen, dass an besagtem Ort nun ein Ordner erstellt wurde, in dem eine Textdatei liegt.

image

Kurze Zeit später erscheint eine zweite Datei

image

Die Konfiguration ist nun abgeschlossen.

Die Einrichtung von Bandbreitenmanagement für SMB-Traffic

Wenn, wie in unserem Fall, die Livemigration und der Storage-Traffic über eine Leitung laufen, könnte dies ungewünschte Folgen bei vielen gleichzeitigen Livemigrationen haben. Zusätzlich werden Daten zwischen den einzelnen Hosts ebenfalls über diese Netze gesendet (Metric-Konfiguration weiter oben, bei der Storage1 die geringste Metric besitzt. In solch einem Fall können wir ein Bandbreitenmanagement für SMB-Traffic einführen. Die Installation kann auf Wunsch per Server-Manager gemacht werden, die Konfiguration muss allerdings zwingend per PowerShell gemacht werden. Das Feature versteckt sich hinter dem Namen SMB Bandwidth Limit.

image

Die Installation per PowerShell erfolgt mit dem Befehl

Add-WindowsFeature FS-SMBBW

Nach der Installation erfolgt die Einrichtung per PowerShell. Um die Livemigration auf z.B. 8 Gbit/s zu begrenzen, kann der folgende Befehl angewendet werden

Set-SmbBandwidthLimit -Category LiveMigration -BytesPerSecond 1000MB

Als Kategorie steht neben LiveMigration noch VirtualMachine und Default zur Verfügung.

image

Die Nutzung von SMB Multi Channel

Wir nutzen in unserem Fall mehrere Wege zu unserem Scale-Out File Server, daher haben wir beim Netzwerk-Design und bei der Einrichtung weiter oben zwei Storage-Karten konfiguriert. Grundsätzliches zum Thema SMB3 hat Carsten unter anderem in diesem Video gezeigt und erklärt: Hyper-V-Server.de: Videocast rund um Hyper-V auf SMB. Damit die Multi Channel-Funktionalität in einem Failover Cluster (egal ob Hyper-V oder Scale-Out File Server) greift, müssen sich die Storage-Karten in unterschiedlichen Subnetzen befinden. Multi Channel in einem Subnetz funktioniert nur bei Konfigurationen, in dem das Failover Cluster-Feature noch nicht installiert ist.

Arnd Rößner: Microsoft-CEO stellt neue Datenstrategie vor und präsentiert eine der umfassendsten Datenplattformen auf dem Markt

Microsoft-CEO Satya Nadella hat soeben auf der „Accelerate your insights“ in San Francisco die neue Datenstrategie von Microsoft vorgestellt. Zusammen mit der Präsentation neuer Lösungen und Services, dem Launch von SQL Server 2014, der Public Preview von Microsoft Azure Intelligent System Service (ISS) sowie der allgemeinen Verfügbarkeit von Analytics Platform System (APS) hob Nadella in seiner Keynote die Vision einer „Umgebungsintelligenz“ („ambient intelligence“) hervor. Es sei für jedes Unternehmen und jeden Mitarbeiter wichtig, eine neue Datenkultur und die dafür notwendigen Werkzeuge zur Verfügung zu haben. „Microsoft verfügt mit seinen Tools und Plattformen jetzt über die umfassendste Datenplattform auf dem Markt, und die Zeit ist reif, um aus den vorhandenen Daten Treibstoff für innovationsgetriebene Unternehmen zu machen“, kommentiert Kai Göttmann, Direktor Geschäftsbereich Server, Tools & Cloud. Einer IDC-Studie im Auftrag von Microsoft zufolge haben geschäftliche Mehrwerte auf der Basis von Datenanalysen in den kommenden vier Jahren ein weltweites Potenzial von 1,6 Billionen US-Dollar. Allein für Deutschland prognostizieren die IDC-Analysten eine mögliche „Daten-Dividende“ in Höhe von 99 Milliarden US-Dollar bis 2017. Unternehmen brauchen eine neue DatenkulturWerkzeuge allein reichen für eine nachhaltige Datenkultur aber nicht aus. Unternehmen müssen sich so verändern, dass Teams und Individuen überhaupt in der Lage sind, aus Daten auf Knopfdruck produktive Einsichten zu gewinnen. Mitarbeiter in innovativen Unternehmen fangen damit an, Fragen zu stellen, formulieren aus diesen Fragen Hypothesen, prüfen diese Hypothesen anhand von internen sowie extern verfügbaren Daten und können am Ende ihre Einsichten mit anderen teilen oder selbst für den Geschäftserfolg nutzen. Für diese Schritte benötigen Unternehmen eine Analyse- und Datenplattform, die Ordnung in die aus einer Vielzahl von Quellen generierten Daten zunehmend unterschiedlichsten Datentyps bringt. Um den immer größer werdenden Datenvolumina gerecht zu werden, brauchen Unternehmen in Echtzeit skalierbaren Speicherplatz aus der Private, Hosted oder Public-Cloud. Diese Teile bilden zusammen die Microsoft-Plattform für intelligente Datenumgebungen und sind die Basis für eine neue Ära der Datenanalysen. Diese intelligenten Umgebungen brauchen Unternehmen aber nicht erst in ferner Zukunft. Schon heute stehen sie vor der Herausforderung, ihre Daten effizient zu verwalten. Sie müssen mit einer Vielzahl von strukturierten und unstrukturierten Daten aus unterschiedlichen Quellen umgehen, die oft in isolierten Silos abgelegt sind, auf die nur Spezialisten Zugriff haben. Microsoft bietet für solche Szenarien schon heute Lösungen an und verbindet seine Visionen von einer Datenplattform der Zukunft mit seinen direkt verfügbaren Angeboten für Big Data, das Internet der Dinge bzw. Industrie 4.0 und die unterschiedlichsten Varianten der Cloud, mit denen Kunden beides schaffen: Daten effizient zu analysieren und zugleich im gesamten Unternehmen eine Plattform für die Datenanalysen von morgen aufzubauen. Die Microsoft-Lösungen auf einen Blick: SQL-Server 2014 mit stark verbessertem Echtzeit-Antwortverhalten für die Analyse mittels In-Memory-Technologie sowie Hybrid Cloud basierte Skalierungsmöglichkeiten in Richtung Microsoft Azure HDInsight zur Analyse von unstrukturierten Datenmaterialien on Premise und in der Cloud Power Query für Excel – zur Abbildung von ETL-Prozessen für den Fachanwender Das neue Analytics Platform System (APS) mit der neuen universellen Analyseplattform PolyBase für sowohl unstrukturierte als auch relationale Daten über einheitliche Datenqueries. Die Appliance kombiniert damit SQL Server und Hadoop-Technologien für […]

Arnd Rößner: RWE setzt auf Microsoft: Innovatives Datenmanagement im Dienst des Kunden

Effektivere Kundenprozesse, besseren Service und mehr Kosteneffizienz Der in Europa führende Strom- und Gasanbieter RWE setzt bei hoher Verfügbarkeit von Anwendungen auf die SQL Server-Technologie von Microsoft. Damit ist bei zunehmenden Datenaufkommen der flexible Einsatz der Ressourcen mit gleichzeitiger Senkung der Systemkosten und Ausgaben für den Datenbankbetrieb gesichert.Der Abschluss eines erweiterten und auf weitere drei Jahre ausgelegten Rahmenvertrages ist für den Essener Energieversorger von großer Bedeutung in Punkto Planungssicherheit und Kundenservice. Vorwärts denken mit SQL ServerMit der Bereitstellung von Daten in Echtzeit zum Zeitpunkt und im Kontext der Entscheidungsprozesse profitiert RWE von effektiveren Kundenprozessen und mehr Kosteneffizienz, die Kunden von noch besserem Service.„Wir haben mit Microsoft einen vertrauensvollen Partner gefunden, mit dem wir gerne den erfolgreichen Weg fortsetzen und strategisch erweitern wollen“, begründet Michael Neff, CIO im RWE-Konzern, die Entscheidung zum neuen Rahmenvertrag mit Microsoft und ergänzt: „Microsoft gibt bei hochverfügbaren Anwendungen mit der leistungsstarken und hochverfügbaren SQL Server-Technologie die notwendige Sicherheit und Flexibilität. Als Partner kennt und versteht Microsoft die dahinterliegenden Business-Prozesse, bindet unsere IT- und Fachabteilungen frühzeitig ein und passt die Systeme unseren Bedürfnissen an.“Mit seinen rund 66.000 Mitarbeitern gehört der RWE-Konzern zu Europas führenden Strom- und Gasanbietern. Für seine Strategie auf dem europäischen Markt setzt das Unternehmen dabei auf innovative Projekte und einen breiten Energiemix. „Wachstumsanforderungen an Datenbanksysteme und Kapazitäten lassen sich im Vorfeld oft nur schwer abschätzen. Umso wichtiger ist es für große Unternehmen, dass Lizenzmodelle ihnen die Möglichkeit geben, Technologien einfach nach Bedarf und erforderlichem Umfang einzusetzen“, erklärt Thomas Schröder, Mitglied der Geschäftsleitung der Microsoft Deutschland GmbH. Die Nutzung der Microsoft Enrollment for Application Platform (EAP)-Lizenzierung gewährleistet diese System-Harmonisierung und gibt mit der Reduzierung der Lizenz- und Wartungskosten Raum für Einsparungen und Investitionen. Daten intelligent und effizient nutzen„Der Einsatz modernster SQL Server Datenbanktechnologie mit der Kombination innovativer Lizenzierungsmodelle schafft in unserem Business-Critical Umfeld die Voraussetzung, Tier 1 Applikationen einfach zu konfigurieren und so auf Herausforderungen flexibel zu reagieren”, erklärt Andreas Gillhuber, Leiter IT Infrastructure. So können alle RWE Gesellschaften mit dem neuen Rahmenvertrag auf das Angebot an Business Intelligence und Datenmanagement-Features zugreifen und verbessern mit der InMemory-Technologie die Systemperformance oder verringern Backup-Zeiten.„Beim Datenaufkommen in Unternehmen haben sich die Voraussetzungen dramatisch verändert“, erklärt Gillhuber. „Zum einen weil das Volumen von verfügbaren Daten fast explosionsartig ansteigt, zum anderen weil immer mehr Quellen zur Verfügung stehen, die Daten wesentlich schneller generieren. SQL Server ist dabei langfristig das sichere Fundament unserer Datenplattform Strategie.“ Viele Grüße Arnd Rößner

Michel Lüscher [MS]: Infrastructure as a Service (IaaS) Product Line Architecture (PLA) Guides verfügbar

Das warten hat ein Ende, die “Infrastructure as a Service” Product Line Architecture Guides (PLA) stehen ab Heute zum Download bereit. Mit der Veröffentlichung der PLA für Fabric (183 Seiten) und Fabric Management (128 Seiten) stellt Microsoft ihren Kunden und Partner “die” Referenz für eine Private Cloud Implementierung zur Verfügung. Das Ziel der PLA, welche

Arnd Rößner: Microsoft stellt Patch für WSUS-Probleme mit Windows 8.1 Update bereit

Microsoft stellt Patch für WSUS-Probleme mit Windows 8.1 Update bereit – heise online Viele Grüße Arnd Rößner

Arnd Rößner: Virendefinitionen für Microsoft Security Essentials legen Windows XP lahm

Virendefinitionen für Microsoft Security Essentials legen Windows XP lahm Ein Update der Virendefinitionen von Microsoft Security Essentials und verwandten Produkten scheint Windows-XP-Rechner zum Absturz zu bringen oder extrem zu verlangsamen. Das Problem soll mit dem Echtzeit-Scanner zusammenzuhängen. Ein Update für die Virendefinitionen von Microsoft Security Essentials (MSE) und dessen vewandten Produkte für den Business-Einsatz führt nach Nutzerberichten im Netz auf manchen Windows-XP-Rechnern zu Abstürzen. Andere Rechner werden nach dem Update extrem langsam. Auslöser des Problems sollen die Virendefinitionen mit der Versionsnummer 1.171.1.0 gewesen sein. Allerdings scheint es nicht möglich zu sein, diese Definitionen zu deinstallieren, sobald das Problem einmal auftritt. Neuere Definitionen sollen den Bug mittlerweile behoben haben. Als Notlösung soll ein Abschalten des Echtzeit-Scanners von MSE das Problem ebenfalls beseitigen. Falls das nicht praktikabel ist, weil das Programm nicht mehr reagiert, berichten betroffene Nutzer, dass ein Setzen des folgenden Wertes in der Registry Abstürze und den Geschwindigkeitsverlust des Systems verhindert: HKLM\Software\Microsoft\Microsoft Antimalware\Real-Time Protection DisableBehaviorMonitoring = 1 Der Fehler tritt nur knapp eine Woche nach dem Ende der offiziellen Unterstützung von Windows XP durch Microsoft auf. MSE kann mittlerweile auf XP-Rechnern nicht mehr installiert werden, soll aber bis April 2015 noch mir Virendefinitionen versorgt werden. (fab)   Quelle: heise online Viele Grüße Arnd Rößner

faq-o-matic: vSphere mit SC VMM steuern: Die Ecken und Kanten

Schon seit mehreren Versionen kann Microsofts System Center Virtual Machine Manager (SC VMM) auch “gemischte” Virtualisierungsumgebungen steuern. Dazu bindet er auf Wunsch vSphere- und XenServer-Hosts zur Verwaltung ein. Soweit die kurze Darstellung. Tatsächlich allerdings enthält SC VMM “nur” Schnittstellen zu den Verwaltungsprogrammen von vSphere und XenServer, die damit eine zwingende Voraussetzung darstellen. Was dann tatsächlich die Nutzbarkeit einer solchen Hybridlösung bestimmt, sind dann die vielen kleinen “müsste gehen, geht aber nicht” …

Der MVP- und Hyper-V-Buchautoren-Kollege Nicholas Dille hat in einem Blog-Artikel zusammengetragen, welche Lücken und Fehlstellen er bei der Integration von vSphere (bzw. vCenter) und SC VMM festgestellt hat:

[Pains When Using VMM on Top of vCenter | sepago]
http://www.sepago.de/d/nicholas/2014/04/14/pains-when-using-vmm-on-top-of-vcenter

In einem vorangegangenen Artikel stellt Nicholas dar, wie man einen vCenter-Server überhaupt in VMM integriert:

[How to Manage ESX Hosts with VMM 2012 R2 | sepago]
http://www.sepago.de/d/nicholas/2014/04/11/how-to-manage-esx-hosts-with-vmm-2012-r2

Mark Heitbrink: Der ultimative ADMX Central Store

Client und Server haben unterschiedliche ADMx, man muss sie kombinieren.

Marc Grote: Windows Azure Hyper-V Recovery Manager

Hallo Leutz,

seit einiger Zeit nutze ich Windows Azure u. a. fuer Demonstrationen und Workshops zum Thema System Center 2012 R2 Virtual Machine Manager und der Windows Azure Hyper-V Recovery Manager Integration.
Gestern Abend wollte ich in Windows Azure den Hyper-V-Wiederherstellungs-Manager-Tresor loeschen und fuer eine andere Windows Azure Subscription neu erstellen.
Dazu habe ich den Datentresor in Windows Azure geloescht und fuer die neue Subscription einen neuen Datentresor erstellt.
Anschliessend habe ich auf dem SCVMM 2012 R2 Server ein neues Zertifkat erstellt und dieses in den Windows Azure Datentresor hochgeladen.
Bei dem anschliessenden Versuch den Windows Azure Hyper-V Recovery Manager Provider neu zu registrieren, erschien die Fehlermeldung, dass bereits ein Recovery Manager Tresor existiert und ein Zertifikat ebenfalls vorhanden ist. Angezeigt wurde der Tresor der alten Windows Azure Subscription. Deinstallation und Neuinstallation des Providers half nicht. Die Loesung des Problems war letztlich in der Registry des SCVMM-Server einige Schluessel zu bereinigen.
Die Loesung des Problems steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/HV-RecoverManager-Azure.pdf

Gruss Marc

 

faq-o-matic: Wer bewacht die Bewacher?

Viele Artikel der letzten Wochen, die sich mit der Spionage durch Geheimdienste beschäftigt haben, enthielten hinweise darauf, dass Geheimdienste in der Lage seien unterschiedliche Verschlüsselungen zu knacken, darunter auch SSL. In den Fachmedien hingegen hieß es, dass die mathematischen Verfahren welche z.B. bei aktuellen SSL Implementierungen zum Einsatz kommen, weiterhin sicher sind und noch nicht geknackt wurden.

Was steckt dahinter? Das beleuchtet mein Beitrag an folgender Adresse:

[Wer bewacht die Bewacher? | consulting lounge]
http://consulting-lounge.de/2013/09/wer-bewacht-die-bewacher/

Hans Brender: I’m speaking at the European SharePoint Conference 2014

The European SharePoint Conference is less than three weeks away and I’m delighted to be part of such an exceptional line up. The conference will take place in Barcelona, Spain from the 5-8th May 2014 and is Europe’s largest SharePoint event bringing you great sessions and the latest innovations from Vegas.

Browse through the superb conference program including 110 sessions, keynotes, and tutorials, including topics covering the latest news from SPC14 including what’s new with SharePoint 2013 SP1 – Office Graph/Oslo – new Office 365 REST APIs – Access Apps – Cloud Business Apps.

I will be conducting a session on “Latest News from OneDrive for Business” aimed at IT Professionals.

“Latest News from OneDrive for Business”

"An Overview about OneDrive for business and the little brother OneDrive, the restriction of files and folders of SharePoint Online and SharePoint on premise, learn about conflicts and how to resolve them, mass import with a powershell script, tips and tricks with OneDrive for business..”

image


Marc Grote: System Center 2012 R2 Configuration Manager – Management Point (MP) Installation schlaegt fehl

Hallo Leutz,

Bei einem Kunden migriere ich zur Zeit eine Forefront Endpoint Protection 2010 Installation mit SCCM 2007 auf SCCM/SCEP 2012 R2. Die SCCM Installation ist erfolgreich, „lediglich“ die Installation des Management Point (MP) meldet im CCM Komponentenstatus den Fehler das der SMS_MP_CONTROL_MANAGER den MP nicht installieren kann (MP.MSI). Durch Analyse der CCM Logdateien MPSETUP.LOG und MPMSI.LOG habe ich festgestellt, dass das CCM Setup Probleme hat, den CCM Namespace im WMI zu registrieren, bzw. vorhandene CCM Eintraege im Repository nicht geloescht werden koennen.
Ursache war, dass auf dem neuen CCM-Server durch die existierende Forefront Endpoint Protection 2010 (SCCM 2007), bereits ein CCM-Client installiert wurde, welcher den CCM-Namespace im WMI angelegt hat.
Wie man den Fehler analysieren und beheben kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/SCCM2012-R2-MP-Error.pdf

Gruss Marc

Arnd Rößner: Terrabit zum 3. Mal ausgezeichnet

Die hauseigene Cloud-Lösung vCompany des Reutlinger Systemhauses Terrabit GmbH wurde jetzt zum dritten Mal in Folge mit dem renommierten Innovationspreis IT der Initiative Mittelstand ausgezeichnet. Damit setzte sich die Lösung des Unternehmens im Wettbewerb erneut gegen knapp 5000 Bewerbungen aus ganz Deutschland durch, die eine Expertenjury aus Wissenschaftlern, Branchenexperten und Fachjournalisten überzeugen mussten. “Wir sind sehr stolz, erneut mit diesem Preis geehrt zu werden, und werden auch weiterhin die Begeisterung für vCompany an unsere Kunden weitergeben, damit wir dem Vertrauen, das in uns gesetzt wird, gerecht werden”, sagte Terrabit-Geschäftsführer Tobias Hahn. Artikel der Südwestpresse Viele Grüße Arnd Rößner

faq-o-matic: Hyper-V: Reif fürs Unternehmen? Die Folien

imageAm 2. April 2014 habe ich bei michael wessel | it performance die aktuelle Version von Hyper-V vorgestellt. Im Fokus stand die Frage, ob und in welchem Umfang Microsofts Virtualisierungslösung für mittlere und große Unternehmen geeignet ist.

Die Folien meines Vortrags stehen jetzt zum Download bereit:

[Newsroom  - Downloads | michael wessel it performance]
http://www.michael-wessel.de/unternehmen/newsroom/#page-downloads

Arnd Rößner: Was Microsoft aus dem Cloudbusiness mit Azure gelernt hat

Was Microsoft aus dem Cloudbusiness mit Azure gelernt hat – Link Viele Grüße Arnd Rößner

Carsten Rachfahl [Private Cloud]: Microsoft Synopsis 2014 vom 13.-14. Mai 2014 in Darmstadt

imageAuf zur Microsoft Synopsis 2014 vom 13.-14. Mai 2014 in Darmstadt. Zwei Tage lang gibt es geballtes Wissen und Trends rund um die IT-Branche. Neben Microsoft gibt es eine Reihe ausgewählter Referenten, die aus der Praxis berichten. Die Abschluss Keynote für den ersten Tag hält Gerriet Danz, Kommunikationscoach und Bestsellerautor. Doch um welche Themen geht es genau?

  • Business IT: Der neue Innovationsführer
  • Business-Analytics: Vereinfachte Analyse beliebiger Daten
  • Hybrid Cloud: Transformation des Rechenzentrums
  • Moderne Apps: Benutzer-  und kundenorientierte IT
  • Social Enterprise: Die neue Generation der Produktivität

Es wird auch einen Stand der Ask the Expert geben ATE, wo Ihnen kompetenten Ansprechpartner zu den verschiedenen Themen ihre Fragen beantworten. Ich bin mit dabei. Übrigens, die ersten 300 Teilnehmer erhalten einen Sonderrabatt von 100,- Euro auf das Event. Also los anmelden.

Torsten Meringer: Server 2012 R2 Update (April 2014 – kb2919355)

Das Update für Server 2012 R2 kb2919355 kann problemlos für System Center 2012 R2 Umgebungen eingesetzt werden: http://support.microsoft.com/kb/2949669

faq-o-matic: Cindy 1.4: Windows-Rechner dokumentieren

Mein kleines Dokumentationsscript "Cindy" für Windows-Rechner liegt jetzt in Version 1.4 vor. Die neue Fassung behebt ein Problem mit der automatischen Ausführung per Batch auf nicht-deutschen Systemen, und sie ergänzt die Remote-Ausführung.

Näheres zu dem Werkzeug findet sich in diesem Artikel:

[Cindy 1.3: Windows-Rechner dokumentieren | faq-o-matic.net]
http://www.faq-o-matic.net/2012/11/12/cindy-1-3-windows-rechner-dokumentieren/

Der Download ist hier:
Note: There is a file embedded within this post, please visit this post to download the file.

Um schnell Reports zu erzeugen, gehe folgendermaßen vor:

  • Skript in einen beliebigen Ordner auspacken.
  • Doppelklick auf Cindy-LocalReport.bat erzeugt zwei kurze Reports des lokalen Rechners in einem Unterordner, der wie der Rechner heißt.
  • Doppelklick auf Cindy-LocalReport-All.bat erzeugt drei Reports, darunter die "All"-Variante. Diese dauert deutlcih länger und führt in seltenen Fällen zum Skript-Abbruch (verursacht aber keine Schäden).

Reports für andere Rechner gehen so:

  • Hierzu brauchst du Admin-Rechte auf dem Zielrechner! (Das ist eine Beschränkung von WMI.)
  • CMD-Fenster öffnen, in den Skriptordner wechseln.
  • Aufruf mit: Cindy-RemoteReport Rechnername
    dabei ist Rechnername der Name des Zielrechners
  • Auch hier erzeugt die Variante Cindy-RemoteReport-All wieder alle drei Reports, und der letzte dauert lang.

 

Michel Lüscher [MS]: Der neue Microsoft Virtual Machine Converter ist verfügbar

Vor wenigen Tagen wurde die Version 2.0 des Microsoft Virtual Machine Converter (MVMC) veröffentlicht und zum Download bereitgestellt. Auf dieses Update wurde lange gewartet, da bisher die aktuellen VMware Versionen nicht unterstützt wurden, weder von MVMC noch von System Center Virtual Machine Manager. Zu den neuen Funktionen zählt nebst dem Support für VMware 5.1 /

Carsten Rachfahl [Private Cloud]: Update: Ihre Daten in der Microsoft Cloud

imageHier ein Link zu einem neuen Artikel von Brad Smith, General Counsel and Executive Vice President of Legal and Corporate Affairs bei Microsoft. Danke an meine Super-MVP Kollegin, Martina Grom ohne die wir anderen die Hälfte der Entwicklungen im Office 365 Umfeld verpassen würden. Sie ist einfach die beste Suchmaschine der Welt! – Aber jetzt zum Inhalt des Blogposts von Brad Smith.

Microsoft hat mit seinen Services: Microsoft Azure, Office 365, Microsoft Dynamics CRM und Windows Intune, offiziell die Bestätigung erhalten, durch die Artikel 29 Gruppe, dass ihre Services den strengen Anforderungen des EU 28 Datenschutzbestimmungen entsprechen. Damit ist Microsoft derzeit der einzige Anbieter im Cloud Bereich – und ich denke das trifft auch im Vergleich zu rein deutschen Anbietern von solchen Services zu – die dieses erfüllen für ALLE ihre Rechenzentren weltweit. Das letzte Wort hier wirklich nicht verschlucken! Egal ob ihre Daten im europäischen Raum oder außerhalb davon liegen würden, die strengen europäischen Richtlinien für den Datenschutz werden erfüllt. Ob nun die Vereinbarung Save Harbour kippt oder bleibt ist egal, denn selbst beim Bleiben hätte diese Vereinbarung nur Auswirkungen auf Daten die in die USA transferiert würden, aber nicht in andere Staaten. Hier jetzt der Link zu dem Artikel:

Privacy authorities across Europe approve Microsoft´s cloud commitments

Zwei weitere Anmerkungen über die ich in den letzten Tagen gestolpert bin. Heartbleed die Sicherheitslücke bei Open SSL Zertifikaten betrifft keinen Dienst von Microsoft und auch keine On-Premise Software, da Microsoft mit eigenen SSL Zertifikaten arbeitet. Hier eine kurze Stellungnahme von dem Microsoft Security Team.

Microsoft Services unaffected by OpenSSL vulnerability von Tracey Pretorius, Director, Trustworthy Computing.

Als ich vor kurzem las, dass die E-Mail Dienste von deutschen Anbietern ab sofort verschlüsselt arbeiten, musste ich kurz den Kopf schütteln über den Pressewirbel. Das ist etwas, was ich von Anfang an haben wollte und weshalb ich mich in dieser Hinsicht immer auf die Microsoft Lösungen verlassen habe, denn die nehmen IT-Sicherheit sehr ernst. Doch Verschlüsselung allein reicht nicht. Es muss eine End-zu-End Verschlüsselung sein, Passwörter benötigen Komplexität, für unterschiedliche Zugänge von Webseiten müssen auch unterschiedliche Passwörter gewählt werden und nicht zu vergessen auf ihrem Rechner liegen die Informationen im Normalfall unverschlüsselt. Es wird einfach Zeit, dass wir uns bewusst werden, wo die Sicherheitsrisiken liegen und entsprechend im Unternehmen oder Privat umgesetzt werden müssen. Die Benutzer weiterhin dumm halten, das Internet abschotten und für eine Speicherung der Daten plädieren, indem mit der Angst der Menschen gespielt wird, entspricht nicht meinem Bild eines freien, demokratischen Staates. Wer in einem Land lebt wie dem unseren, darf nicht vergessen das Demokratie Arbeit ist, mit der wir nie aufhören dürfen!

Sorry für das kurze abdriften in die Politik. Für alle, die an diesem Thema Interesse haben, die Fachkompetenz besitzen und auf der Suche nach einem neuen Job sind:

image

faq-o-matic: Microsoft Virtual Machine Converter 2.0 erhältlich

Microsoft hat die neue Version 2.0 seines Microsoft Virtual Machine Converter (MVMC) freigegeben. Damit lassen sich virtuelle Maschinen von VMware vSphere nach Hyper-V konvertieren. Neben den aktuellen Windows-Versionen unterstützt das Werkzeug innerhalb der zu konvertierenden VMs auch Linux. Eine PowerShell-Integration sowie die Möglichkeit, die erzeugten VHD(X)-Dateien gleich zu Azure hochzuladen, gehören nun auch dazu.

Der Download mit einem Admin-Handbuch findet sich hier:

[Download Microsoft Virtual Machine Converter 2.0 from Official Microsoft Download Center]
http://www.microsoft.com/en-us/download/details.aspx?id=42497

Arnd Rößner: Windows 7 Desktopverknüpfungen verschwinden

Windows 7-Benutzer melden sich mit dem Hinweis, dass Dekstopverknüpfungen einfach verschwinden. Meistens handelt es sich dabei um Verknüpfungen auf Server außerhalb der Domäne oder auf USB-Geräte. Abschalten der Computerwartung: Key : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ScheduledDiagnosticsName : EnabledExecutionTyp : REG_DWORDWert : 0 = disable / 1= Enable Viele Grüße Arnd Rößner

Carsten Rachfahl [Hyper-V]: Einen bestehenden Scale-Out Fileserver um SSDs erweitern

imageVorweg das ist ein langer Screencast (ca. 1 Stunde)! Ich habe allen mehr als 25 Stunden in die Aufnahme gesteckt – also Ihr müsst Zeit mitbringen.Was seht ihr dafür? Ich zeige den Abbau und wieder Aufbau eines Scale-Out Fileservers mit Storage Spaces und SSDs.

Warum habe ich das gemacht? Ich wolte mal zeigen wie man einen Scale-Out Fileserver mit HDDs um SSDs erweitert und zwar nicht ein leeres System sondern eines das in Benutzung ist. Der Plan war nicht schlecht aber leider wegen eines Bugs in der SSD Firmware nicht durchführbar (siehe Artikel Windows-Update im Scale-Out Fileserver erzeugt Probleme bei der Arbeit mit Datenträgern im Failover Cluster (Update 1). Also haben wir die VMs die auf unserem Scale-Out Fileserver liegen kurzerhand auf den Scale-Out Fileserver unserer Demo/PowerKurs Umgebung verschoben, den Scale-Out Fileserver abgebaut und wieder neu mit SSDs und

Autotieren aufgebaut. Aber diesmal nicht “Quick and Dirty” sondern so wie er in der Realität momentan in unseren Kundenprojekten auch gebaut wird.

Hierzu verwende ich einige Erkenntnisse die ich in Interaktionen mit der Produktgruppe gewonnen habe und einige sehr hilfreiche Scripts.

Hier sind die Downloads der Verwendeten Scripts:

Completely Clearing an Existing Storage Spaces Configuration von Joshua Adams Microsoft

Storage Spaces Physical Disk Validation Script von Bryan Matthew Microsoft

Create-StoragePools_and_VirtualDisk Script von Carsten Rachfahl und Joshua Adams Microsoft

Ich wünsche euch viel Spaß und viele Erkenntnisse beim anschauen des Videos!

Marc Grote: Exchange 2010 zu Exchange 2013 Migration – Offline Adress Buch (OAB) Probleme

Hallo Leutz,

bei einem Kunden bin ich gerade in der finalen Phase der Migration der Exchange Server 2010 auf Exchange Server 2013. In der letzten Phase muss dass Offline Adressbuch fuer die neuen Exchange 2013 Server zugewiesen werden (bis zu diesem Zeitpunkt wurden die OAB von Exchange 2010 verwendet) und die alten OAB vor der Exchange Server 2010 Dekommissonierung geloescht werden. Da die OAB nicht von Exchange 2010 zu Exchange Server 2013 verschoben werden koennen, muessen neue OAB erstellt werden.
Bei der Erstellung der neuen OAB per Exchange Management Shell (GUI ist nicht mehr moeglich), kam die Fehlermeldung ManagementObjectNotFoundException. Die neuen OAB wurden jedoch in der Active Directory Konfigurations Partition erstellt. Die Anzeige der OAB mit der Exchange Management Shell zeigte nur die Exchange 2010 OAB an. Nach einiger Recherche habe ich festgestellt, dass die Berechtigungen fuer die Exchange Sichereitsgruppen im Container CN=Offline Adress Lists der Active Directory Konfigurations Partition nicht korrekt waren, bzw. die Vererbung der Berechtigungen auf dieser Ebene deaktiviert war. Nach Bereinigung der Berechtigungen liessen sich neue OAB mit der Exchange Management Shell anlegen und den neuen Exchange 2013 Datenbanken zuweisen.
Ein weiteres Problem bestand noch darin, dass das von Exchange Server 2013 angelegte OAB Standard-Offlineadressbuch (Ex2013) ein Problem hatte, weil es noch fuer OABGEN 2 und 4 eingerichtet war. Das Problem konnte geloest werden, indem mit ADSIEDIT in den Eigenschaften des OAB der Wert des Attributs doOABVersion von 6 auf 4 gesetzt wurde.
Weitere Details, Fehlermeldungen und Loesungsansaetze stehen in diesem Bilderbuch:
http://www.it-training-grote.de/download/Mig-2010-2013-OAB-Probleme.pdf

Gruss Marc

Arnd Rößner: Windows 8.1 Update prevents interaction with WSUS 3.2 over SSL

Windows 8.1 Update (KB 2919355) prevents interaction with WSUS 3.2 over SSL – Link Viele Grüße Arnd Rößner

Arnd Rößner: Windows 8.1 Update lässt WSUS klemmen

Windows 8.1 Update lässt WSUS klemmen – Link Viele Grüße Arnd Rößner

Hans Brender: OneDrive for Business | Repair function

OneDrive for Business, Microsoft

"Repair" added to OneDrive for Business

OneDrive for Business, 15.0.4605.1000, Version With the release of the April Product update, build 4605, the OneDrive for Business “Repair” option is now available. Repair will provide the user an option to fix a certain set of client side sync issues thereby increasing user confidence and, enhancing the usability of the OneDrive sync client. This is a first big step in enabling impacted users to get to a good sync state
Repair option in Onedrive for Business, systray context menu The Repair option is available as part of the systray context menu. If you find you are currently in a permanent sync error state, please use Repair.

Things to keep in mind:

1. Repair will stop sync on all your libraries and then re-sync them. How long this takes depends on the number of files and folders you’re syncing.

2. All your files will be archived by default, hence there is a pre-requisite on required disk space.

3. There can be a delay after Repair is complete, for files to appear in your synced folders. This time will vary (take longer), depending on the number of document libraries you have synced.

4. Don’t time a machine-restart while Repair is in progress, as the program currently don’t have support for auto-restart of Repair.

5. Document libraries deleted on the server, will continue to be in error state post Repair.


Hans Brender: OneDrive for business | service description

OneDrive for Business, Microsoft

 

Microsoft has published on Technet the service description for OneDrive for business with Office Online, SharePoint Online plan 1 and SharePoint Online plan 2 :

  • Links to plans of Office 365
  • Links to OneDrive for Business plans
  • System requirements on the client side
  • OneDrive for Business limits

and a table with all features for

  • OneDrive for Business with Office Online
  • SharePoint Online Plan 1
  • SharePoint Online Plan 2

OneDrive for Business with Office Online, service description, SharePoint Online Plan 1, SharePoint Online Plan 2


Hans Brender: OneDrive for Business | Service Beschreibungen

OneDrive for Business, Microsoft

Microsoft hat die Service-Beschreibungen für OneDrive for Business with Office Online auf Technet zur Verfügung gestellt (in englischer Sprache):

  • Links zu Plänen von Office 365
  • Links zu OneDrive for Business Plänen
  • System-Voraussetzungen  auf der Client-Seite
  • Beschränkungen von OneDrive for Business

und dann eine Tabelle mit allen Eigenschaften für

  • OneDrive for Business with Office Online
  • SharePoint Online Plan 1
  • SharePoint Online Plan 2

OneDrive for Business; Service Beschreibung, SharePoint Online Plan 1, SharePoint Plan 2


Michael Greth: SharePoint Kaffeetasse 320

Aktion

Security

SharePoint

Was noch

faq-o-matic: Internet Explorer Content Advisor wird für alle Benutzer übernommen

Wie man am besten den Zugriff auf das Inter- und Intranet beschränkt und welches Fehlverhalten es im Zusammenhang mit dem Internet Explorer-Inhaltsratgeber und
Gruppenrichtlinien gibt, erfahrt ihr in meinem aktuellen Beitrag.

http://matthiaswolf.blogspot.de/2014/03/internet-explorer-content-advisor-wird.html

Carsten Rachfahl [Hyper-V]: Ankündigung einer neuen Artikel-Serie: Unsere Best-Practise Erfahrungen

Vorlage-Button-WinServ2012R2Wir beginnen mit diesem Artikel eine Serie an Artikeln, in der wir unsere Best Practise-Erfahrung teilen möchten. Ziel ist es, unser Wissen und unsere Erfahrung in diesen Artikeln unterzubringen. Wir sind seit einiger Zeit bei den unterschiedlichsten Kunden, die jeweils eine eigene, einzigartige Umgebung haben. Diese Erfahrungen sowie der Betrieb einer eigenen Infrastruktur bei uns im Haus sollen in den kommenden Artikeln einfließen, um Ihnen einen Mehrwert und eine Empfehlung für den Betrieb einer Hyper-V oder Storage-Lösung zu geben. Hauptfokus liegt auf dem hochverfügbaren Betrieb eines SMB3-Speicher in Form eines Scale-Out File Servers, welcher als Ablage von VM-Daten genutzt wird.

Die in der Reihe beschriebenen Konfiguration sind nicht die einzigen nutzbaren und sinnvollen Konfigurationen, wir haben mit dieser Art von Betrieb bisher aber immer gute Erfahrungen gemacht und können sie daher empfehlen.

Wir werden jeweils an einem Freitag einen neuen Artikel veröffentlichen, die Veröffentlichung richtet sich nach den Möglichkeiten der jeweiligen Themen und Hardware-Komponenten sowie unserer Zeit. Aktuell geplant sind die folgenden Beiträge:

Installation und Einrichtung eines Failover Cluster unter Windows Server 2012 R2

In diesem Artikel gehen wir auf die Einrichtung eines Failover Cluster zur Nutzung als Hyper-V Cluster ein. Als Storage kommt ein Scale-Out File Server zum Einsatz, d.h. wir arbeiten mit einem hochverfügbaren Fileshare. Der Hauptaugenmerk bei dieser Konfiguration liegt auf dem SMB3-Protokoll. Neben der reinen Installation werden unter anderem die Themen SMB Multichannel, SMB Multichannel Constraint und Bandbreitenmanagement für SMB3-Traffic behandelt.

Installation und Einrichtung eines Scale-Out File Server unter Windows Server 2012 R2 mit JBODs

Im zweiten Artikel beschreiben wir die Installation, Einrichtung und Administration eines Scale-Out File Server. Als Speicher werden HDDs und SSDs genutzt, die in einem JBOD per SAS an beide Cluster-Knoten angeschlossen sind. Die Themen EnclosureAwareness, Tiering, CSV Block Cache und WriteBack Cache sind nur einige der Themen, die in diesem Artikel behandelt werden.

Installation und Einrichtung eines Scale-Out File Server unter Windows Server 2012 R2 mit BlockStorage

Neben dem Aufbau eines Scale-Out File Server mit JBODs besteht natürlich auch die Möglichkeit, vorhandene SAN-Systeme als Speicher zu nutzen und diesen Speicher über den Scale-Out File Server mit SMB3 zu maskieren. In diesem Beitrag werden wir unsere NetApp FAS6040 nutzen, um den per iSCSI oder Fibre Channel nutzbaren Speicher an die File Server-Knoten anzubinden und nach oben per SMB3 weiter zu reichen.

Installation und Einrichtung eines Scale-Out File Server unter Windows Server 2012 R2 mit zwei LSI Syncro HBAs und JBODs

Wir werden in diesem Beitrag den Aufbau und die Einrichtung von zwei LSI Syncro RAID-Controllern beschreiben. Mit Hilfe des Controller-Pärchen besteht die Möglichkeit, mehrere Datenträger in einem oder mehreren JBODs zu einem RAID-Verbund zusammenzuschließen und an zwei Servern gleichzeitig zu nutzen. Wir gehen detailliert auf die Funktionsweise, die Vor- und Nachteile sowie den Aufbau der Umgebung ein.

Die Nutzung von Cluster Aware Updating (CAU)

In diesem Artikel beschreiben wir, wie wir die Möglichkeiten des Cluster Aware Updating in Zusammenhang mit WSUS und den Gruppenrichtlinien nutzen, um den Ablauf des Update-Vorgangs zu optimieren und teilweise automatisieren.

Torsten Meringer: Die Gefahr lauert in der Task Sequence – Supersedence

Supersedence ist eine neue Funktion von ConfigMgr 2012, die es ermöglicht, eine Application durch eine andere / neuere zu ersetzen. An sich ein sehr brauchbares und praktisches Feature. An einem praktischen Beispiel will ich aber zeigen, dass dies auch mit einer gewissen “Gefahr” verbunden ist.
Gehen wir von einer Application aus – in meinem Beispiel irfanView 4.35. Diese beinhaltet einen einzigen Deployment Type (DT) und ist auf alle meine Win7/8-Testlab-Rechner optional (available) verteilt. Auf manchen Rechnern wurde die Software bereits installiert, auf anderen nicht.

Application in der ConfigMgr Console inkl. Deployment (purpose: available):

Supersedence01

Auf einem Testclient wurde die Application bereits installiert, wie im Software Center zu sehen:

Supersedence02

Bis hier läuft also alles nach Plan.

Mittlerweile ist aber eine neue Version der Application erschienen. irfanView 4.37 in meinem Beispiel.
Diese wird dann in ConfigMgr angelegt (als Beispiel wieder mit einem DT, wobei die Art und Anzahl der DTs keine Rolle spielt) und eine Supersedence-Beziehung eingerichtet.

Supersedence03

Diese Supersedence-Information ist in der Admin Console auch grafisch darstellbar:

Supersedence04

Was passiert jetzt auf dem Client? Erst einmal nichts ungewöhnliches, nämlich nichts. Klar, denn ohne Deployment für irfanView 4.37 “weiß” der Client nicht, dass die Applikation von 4.35 auf 4.37 zu aktualisieren ist. Das macht auch Sinn, denn sonst würde man ja die Application automatisch ausrollen / aktualisieren, ohne dass Tests möglich wären.

Folgendes Szenario: auf 90% aller Clients ist irfanView 4.35 vorhanden, es laufen erste Tests für den Aktualisierung auf irfanView 4.37 (mittels eine Deployments von irfanView 4.37 auf eine Anzahl X von Testrechnern).
Jetzt wird entschieden, dass irfanView 4.37 ab sofort für alle Neuinstallationen verwendet werden soll. Also wird irfanView 4.37 zu einer OSD-Tasksequenz hinzugefügt:

Supersedence05

Diese Task Sequence ist auf “All System” deployed (ich weiß, das sollte man nicht unbedingt tun! Für Testzwecke ist dies aber durchaus ok. Außerdem kann das beschriebene Szenario auch passieren, wenn eine andere Collection als “All Systems” im Spiel ist; nur sind dann halt weniger Rechner betroffen), aber nur für Boot-Medien und PXE verfügbar (d.h. sie wird nicht im laufenden Betriebssystem im Software Center angezeigt):

Supersedence07

Was passiert nun, nachdem ein Client das nächste mal Policies abfragt?

Entering ExecQueryAsync for query “select * from CCM_AppDeliveryType where (AppDeliveryTypeId = “ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c” AND Revision = 3)” AppDiscovery
Performing detection of app deployment type irfanView 4.35 (exe)(ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c, revision 3) for system. AppDiscovery
+++ Discovered application [AppDT Id: ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c, Revision: 3] AppDiscovery
+++ Detected app deployment type irfanView 4.35 (exe)(ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c, revision 3) for system. AppDiscovery
Entering ExecQueryAsync for query “select * from CCM_AppDeliveryType where (AppDeliveryTypeId = “ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f” AND Revision = 9)” AppDiscovery
Performing detection of app deployment type irfanView 4.37(ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f, revision 9) for system. AppDiscovery
+++ Application not discovered. [AppDT Id: ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f, Revision: 9] AppDiscovery
+++ Did not detect app deployment type irfanView 4.37(ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f, revision 9) for system. AppDiscovery

Auf einmal taucht im Logfile irfanView zum ersten Mal irfanView 4.37 auf. Und das ist der Moment, der für die Überraschung sorgt. Denn läuft nun der “Application Deployment Evaluation Cycle” (Evaluationszyklus für die Anwendungsbereitstellung – der per default alle 7 Tage automatisch läuft), dann wird tatsächlich irfanView 4.35 entfernt und durch irfanView 4.37 ersetzt:

+++ Starting Uninstall enforcement for App DT “irfanView 4.35 (exe)” ApplicationDeliveryType – ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c, Revision – 3, ContentPath – C:\WINDOWS\ccmcache\r, Execution Context – System AppEnforce
A user is logged on to the system. AppEnforce
Performing detection of app deployment type irfanView 4.35 (exe)(ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c, revision 3) for system. AppEnforce
+++ Discovered application [AppDT Id: ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c, Revision: 3] AppEnforce
[... hier passiert die Deinstallation von irfanView 4.35 ...]
Performing detection of app deployment type irfanView 4.35 (exe)(ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c, revision 3) for system. AppEnforce
+++ Application not discovered. [AppDT Id: ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c, Revision: 3] AppEnforce
++++++ App enforcement completed (0 seconds) for App DT “irfanView 4.35 (exe)” [ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_4e6b2c21-dcba-471a-85b7-a49c7737fb5c], Revision: 3, User SID: ] ++++++ AppEnforce
+++ Starting Install enforcement for App DT “irfanView 4.37″ ApplicationDeliveryType – ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f, Revision – 9, ContentPath – C:\WINDOWS\ccmcache\1, Execution Context – System AppEnforce
A user is logged on to the system. AppEnforce
Performing detection of app deployment type irfanView 4.37(ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f, revision 9) for system. AppEnforce
+++ Application not discovered. [AppDT Id: ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f, Revision: 9] AppEnforce
[... hier passiert die Installation von irfanView 4.37 ...]
Performing detection of app deployment type irfanView 4.37(ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f, revision 9) for system. AppEnforce
+++ Discovered application [AppDT Id: ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f, Revision: 9] AppEnforce
++++++ App enforcement completed (2 seconds) for App DT “irfanView 4.37″ [ScopeId_9CF7DEB9-6D21-4D41-B660-CC4E9ED87B1D/DeploymentType_9a23e8a4-8109-4360-b5d5-4b84a454008f], Revision: 9, User SID: ] ++++++ AppEnforce

Eigentlich ist dabei alles logisch. Allerdings muss man sich dessen erst einmal bewusst sein. Falls es also zu ungewünschten Effekten bei der Softwareverteilung kommt, so könnte eine OSD Task Sequenz in Verbindung mit Supersedence die Erklärung sein. Die neue Applikation taucht dann übrigens nicht mehr im Software Center auf.

Carsten Rachfahl [Private Cloud]: Die Office App für das iPad

IMG_0019Das ist ein absolutes Freudenfest für mich gewesen, die Ankündigung der neuen Office Apps für das iPad. Gleich als die Ankündigung kam, musste ich mir natürlich sofort die kostenlosen Office Apps für mein iPad mini herunterladen. Übrigens ist es inzwischen das von mir meist genutzte Gerät. Es ist einerseits super handlich von den Maßen und andererseits groß genug, dass ich damit gut Lesen und recherchieren kann. Aber ich wollte ja nicht über das iPad mini schreiben, sondern über die Office Apps. Neben OWA, OneNote, Lync die es ja schon länger gibt nun auch Word, Excel und PowerPoint auf dem Apple Device. Ich wollte erst ein wenig damit spielen, bis ich darüber schreiben, deshalb kommt dieser Blogpost, obwohl es ja vom Hype bereits mit den neuen Meldungen von der Build konkurriert.

Meine Erfahrung:

Also als erstes seht ihr Bilder in der Galerie unten, wie ich die Office Apps aus dem iTunes Store herunterlade und mein Cloud-Konto damit verbinde. Sowohl mein Office 365 E3 Plan, als auch mein Office 365 SMB (Small Business) ließ sich gleichzeitig verbinden. Erstes Fazit daraus, eine App herunterladen, dann aus der App die anderen herunterladen, so werden die Einstellungen sofort übernommen. Ich muss gestehen, dass ich skeptisch war, da ich bisher von der Touch Bedienbarkeit der Office Produkten auf Tablets nicht so begeistert war. Mag sein, dass es daran liegt, das ich im “Touch” von Anfang an, durch die Apple Produkte verwöhnt war und mich schwer tue die etwas andere Art von der Bedienerführung anzunehmen. Das hat bei den Office Apps für das iPad sofort funktioniert. Beim ersten Touch reagieren die Menüs, dass ich einen “Double” Touch in einem Excel-Feld machen muss, damit das Keyboard hochkommt, habe ich selbst herausgefunden. Das Markieren funktioniert total intuitiv. Die Möglichkeit einen Zahlenblock einzublenden – genial, denn das habe ich bisher bei den Anwendungen immer vermisst.

Die PowerPoint kann ich über die Einstellung meines iPads auf AirPlay mit dem Apple TV verbinden. Was noch nicht funktioniert ist, dass ich aus der Anwendung heraus, über den Präsentationsmodus diese Funktion verwenden kann. Der Unterschied liegt in der Darstellung und das ich so z.B. meine Notizen nicht auf meinem iPad habe und gleichzeitig den Inhalt der Präsentation auf dem Fernseher. Ich denke hier haben die Entwickler noch gar nicht soweit gedacht, weil im Business Umfeld ein Apple TV ja nicht unbedingt vorhanden ist. Klasse auch, wie man mit dem Streichen von rechts und links sich vorwärts und rückwärts in der Präsentation bewegt. Vor allem bei einem Effekt, wie das Zusammenknüllen einer Folie.

Auch der Abstand von den Icons bei z.B. der Auswahl der Funktionen in der entsprechenden Registerkarte, ist so gewählt, dass ich sie ohne Probleme mit dem Finger anwählen konnte und sie sofort reagieren. Das kann natürlich auch an dem Touch sensitivem Bildschirm meines iPad minis liegen, aber es ist mir sofort positiv aufgefallen. Die Auswahl der Funktionen gefällt mir sogar besser, als bei dem vollen Client. Die Farben brilliant und obwohl mein Bildschirm im mini ja begrenzt ist, kam ich super gut klar mit der Bedienung. Mit anderen Worten – ihr merkt es vielleicht. -ich bin völlig begeistert. Endlich habe ich nicht nur mein OneNote ständig und überall dabei, sondern auch meine andere Arbeit – hmh dass könnte allerdings auf Dauer auch ein Nachteil sein.

Insgesamt würde ich sagen, dass das Entwicklerteam für die iPad Apps hier einen tollen Job hingelegt haben und die Messlatte für die anderen Teams echt hochliegt. Aber vielleicht bin ich ja auch hoffnungslos subjektiv, wenn es um mein, süßes, schnuckeliges, multifunktionales iPad mini geht.

Hier jetzt die Bildergalerie:

Anfang1AnmeldungAnmeldung2Anmeldung3Anmeldung4Anmeldung5Excel1Excel2PowerPointPowerPoint1PowerPoint2PowerPoint3PowerPoint4PowerPoint5Word1word2word3word4

Hans Brender: Windows 8.1 Update | renaming: SkyDrive to OneDrive

OneDrive SkyDrive

if expected, Microsoft has made changes in Windows 8.1 Update ( April 2014) in OS, but also has renamed SkyDrive to OneDrive.

 

Windows 8.1 Update: Explorer and the remaned SkyDrive

First changes you see in the Windows Explorer… 

 

Windows 8.1 Update: OneDrive and synchronisation Stop OneDrive Synchronisation to the Cloud is stopped

in the context menu you are now allowed to interrupt the synchronization with OneDrive  to the cloud. Later on you may continue…

Windows 8.1 Update: Renamed modern App OneDrive

Also the modern app is renamed to OneDrive

 

if your OneDrive synchronisation is stopped, you will be remembered

If you have made your synchronization Off and start your modern app, you will be remembered…

 

 

OneDrive modern App: Options: new switch

in the option section within you OneDrive modern app there is a new switch to interrupt the synchronization or you may continue…


Hans Brender: Windows 8.1 Update | aus SkyDrive wird OneDrive

OneDrive SkyDrive

wie schon vermutet, hat Microsoft im Windows 8.1 Update (April 2014) Änderungen am Betriebssystem vollzogen, und die betreffen auch SkyDrive. Denn jetzt wurden konsequent die Namensänderungen vollzogen.

nach Windows 8.1. Update: OneDrive

Im Windows Explorer wurde der Name geändert: Aus SkyDrive wird jetzt auch unter Windows 8.1 OneDrive

OneDrive: Synchronisierung anhalten OneDrive: Synchronisierungs-Status

Im Kontext-Menü gibt es jetzt (endlich) die Möglichkeit, die Synchronisierung von OneDrive Dateien mit der Wolke zu unterbrechen bzw. fortzusetzen.

mit Windows 8.1 Update: Namensänderung an Modern App OneDrive

auch die “modern App” wurde auf den Namen OneDrive umgestellt.

 

Windows 8.1 Update: Hinweis, Synchronisierung abgeschaltet

Hat man die Synchronisierung ausgeschaltet und startet erneut die Modern App, wird man gleich darauf hingewiesen…

 

Ausschalten der Synchronisierung in der Modern App OneDrive

Die Optionen innerhalb der Modern App enthalten jetzt zusätzlich einen Punkt, um auch hier die Synchronisierung anhalten und fortsetzen zu können


Marc Grote: Windows Server 2012 und R2 – Core Parking – Energiesparplan

Hallo Leutz,

seit Windows Server 2008 R2 gibt es das Core Park Feature, um eine CPU in den Idle Mode zu setzen. Mit Windows Server 2012 hat Microsoft die Core Parking Policy geaendert (KB: http://support.microsoft.com/kb/2814791). Auszug: “Currently by default, Windows Server 2012 disables core parking for Intel based processors to maximize energy efficiency and CPU performance”.

Bei einem Kunden habe ich heute festgestellt, dass sowohl auf den physikalischen Hyper-V Servern als auch in den virtuellen Maschinen das Core Parking Feature aktiv ist. lt. den Windows Server 2012 / R2 Performance Tuning Guidelines (http://msdn.microsoft.com/en-us/library/windows/hardware/dn529134) kann die Funktion des Core Parking mit den Powerplan Einstellungen modifiziert werden. Standardmaessig wird der Energiesparplan “Ausbalanciert” verwendet. Wenn man diesen auf “Hoechstleistung” umstellt, ist das Core Parking auch desaktiviert. Die Energiesparplaene kann man auch per Gruppenrichtlinie steuern. Wenn Sie also das Core Parking Feature desaktivieren wollen, erstellen Sie eine Gruppenrichtlinie mit entsprechenden Einstellungen und wenden diese auf die Server an.
Diese und weitere Informationen stehen in folgendem Bilderbuch: http://www.it-training-grote.de/download/CPU-CoreParking-WS2012.pdf

Gruss Marc

faq-o-matic: Die Anwendung von Gruppenrichtlinien steuern


Dieser Artikel stammt aus dem Buch “Windows Server 2003 – Die Expertentipps” von Microsoft Press. Wir veröffentlichen ihn hier mit freundlicher Genehmigung des Verlags.

»Einige meiner Gruppenrichtlinienobjekte werden nicht angewendet. Ich habe den Verdacht, dass ich sie nicht richtig zugeordnet habe oder dass die Vererbung der Anwendung nicht so funktioniert, wie ich geglaubt habe.«

Die Anwendung von Gruppenrichtlinienobjekten (Group Policy Object, GPO) folgt einem recht komplexen Verfahren. Sie sollten es kennen, um sicherzustellen, dass Ihre Richtlinien so wirken, wie Sie es sich vorstellen. Auch zur Problembehebung ist es unabdingbar, dass Sie das Anwendungsprinzip beherrschen. Grundsätzlich sind dabei verschiedene Ebenen zu unterscheiden: Die Objekte, die von GPOs gesteuert werden, das grundlegende Anwendungs- und Vererbungsprinzip sowie verschiedene Methoden, die Anwendung gezielt zu steuern.


Steuerbare Objekte

Eine der wichtigsten, aber oft missachteten Grundlagen der Gruppenrichtlinien ist, dass sie ausschließlich auf Benutzer- und Computerobjekte wirken. Obwohl die Bezeichnung »Gruppenrichtlinien« es nahe legt, wirken Gruppenrichtlinien nicht auf Gruppen und deren Mitglieder. Entscheidend ist stets, ob das betrachtete Benutzerobjekt oder das betrachtete Computerobjekt, deren Umgebung durch Gruppenrichtlinien konfiguriert werden soll, im Geltungsbereich des GPO liegt oder nicht.

GPOs werden immer an Container gekoppelt und wirken dann auf alle darin enthaltenen Benutzer- oder Computerobjekte. Dabei wirken die Einstellungen des GPO-Zweigs Benutzereinstellungen ausschließlich auf Benutzerobjekte und diejenigen des Zweigs Computereinstellungen ausschließlich auf Computerobjekte. Wenn Sie also ein GPO zusammenstellen, das nur Einstellungen im Zweig Computereinstellungen umfasst, wird dieses niemals praktisch wirksam, wenn es auf eine Organisationseinheit (Organizational Unit, OU) wirkt, in der nur Benutzerobjekte gespeichert sind.

Die Anwendung der Gruppenrichtlinien geschieht für Benutzer- und Computerobjekte nach ähnlichen, aber unterschiedlichen Verfahren. Wenn ein Computer gestartet wird, der Mitglied eines Active Directory ist, fordert er beim Domänencontroller eine Liste aller anwendbaren GPOs an. Um die Liste zusammenzustellen, wertet der Domänencontroller den Speicherort des Computerkontos im Active Directory aus und prüft, welche GPOs auf dieses Konto wirken. Die daraus resultierende Liste von GPOs wird an den Computer übermittelt, der sie abarbeitet und die enthaltenen GPOs anwendet. Im laufenden Betrieb werden die Einstellungen regelmäßig aktualisiert.

Ähnliches passiert bei der Anmeldung eines Benutzers: Auch hier fordert der Computer eine Liste aller GPOs an, die für das Benutzerkonto anzuwenden sind. Wieder ermittelt der Domänencontroller den Speicherort des Objekts, also des Benutzerkontos, im Active Directory und ermittelt die anzuwendenden GPOs. Diese werden im Zuge der Anmeldung und später regelmäßig durch den Client-PC angewandt. In beiden Fällen, also bei Computer- und Benutzerobjekten, spielt die Mitgliedschaft in Gruppen für die Liste der anzuwendenden GPOs keine Rolle.

Standardreihenfolge

Im Active Directory können beliebig viele GPOs definiert sein, und auf dasselbe Objekt können beliebig viele GPOs angewendet werden. Nun kann es vorkommen, dass darin abgelegte Einstellungen einander widersprechen. Daher werden die GPOs nicht in irgendeiner Reihenfolge abgearbeitet, sondern nach einem bestimmten Prinzip. GPOs können an verschiedene Container geknüpft werden, damit sie angewandt werden. Folgende Ebenen sind für Richtlinien nutzbar:

  • die Domäne
  • jede Organisationseinheit (OU)
  • Standorte
  • der lokale Computer

Der lokale Computer nimmt hierbei eine Sonderstellung ein. Für jeden Windows-Computer existiert eine lokale Richtlinie. Sie definiert in erster Linie Sicherheitseinstellungen. Die lokale Richtlinie wird überschrieben, wenn abweichende Einstellungen in einem GPO auf anderer Ebene definiert sind. Lokale Richtlinien werden auch niemals repliziert.

Jedes GPO gilt (normalerweise) für den gesamten Container, an den es geknüpft ist. Eine Richtlinie auf Domänenebene gilt also für alle Computer bzw. alle Benutzer der gesamten Domäne. Ein Standort-GPO gilt für alle Benutzer und Computer des Standorts. Ein GPO auf OU-Ebene gilt für die jeweilige OU und ihre Unter-OUs. Welche Einstellungen tatsächlich für einen Computer gelten, hängt davon ab, auf welcher Ebene Richtlinien definiert sind. Es können beliebig viele GPOs auf jeder möglichen Ebene gleichzeitig definiert werden. Ebenso können Sie dasselbe GPO an verschiedene Container knüpfen, sodass es auf jeden verknüpften Container (Domäne, Standort, OU) angewendet wird. Ein Vererbungssystem regelt die Abarbeitung: Abhängig davon, in welchem Container sich ein Computer- oder Benutzerkonto im Active Directory befindet, können unterschiedliche GPOs gelten. Grundsätzlich werden alle GPOs angewendet, die in Frage kommen, wodurch die Einstellungen zusammengefasst werden. Würde also in einem GPO der Startmenü-Befehl Ausführen entfernt und in einem anderen GPO der Befehl Suchen, so wäre im Effekt weder der Ausführen- noch der Suchen-Befehl verfügbar. Folgende ist die Standardhierarchie für die Vererbung:

  1. Als erste wird die lokale Richtlinie angewandt.
  2. Dann werden, falls definiert, die Standort-Richtlinien abgearbeitet.
  3. Danach findet die Gruppenrichtlinie auf Domänenebene Anwendung.
  4. Hierauf folgt die OU, die vom betrachteten Zielobjekt aus (Benutzer- oder Computerkonto) an oberster Stelle steht. Danach werden sämtliche OUs von oben nach unten abgearbeitet, in deren Verschachtelung das betrachtete Zielobjekt steht.

Dabei überschreibt jedes GPO die vorigen, damit ist das angewandte Prinzip also: Je näher am betrachteten Objekt ein GPO sich befindet, desto höher ist die Priorität dieser Gruppenrichtlinie. Diese Hierarchie ist allerdings nur unter zwei Voraussetzungen überhaupt interessant: Eine Priorität gibt es nur dann, wenn tatsächlich auf mehr als einer Ebene GPOs vorhanden sind. Außerdem wird die Priorität nur dann beachtet, wenn die Einstellungen in den Richtlinien sich widersprechen. Betreffen die Einstellungen unterschiedliche Systemkomponenten, so werden sie zusammengeführt und gelten damit gemeinsam.

Ein Beispiel: Die Domäne contoso.com hat auf oberster Ebene die OU Benutzer, die ihrerseits einige OUs enthält. Betrachten Sie einen Benutzer in der Vertriebsabteilung, und gehen Sie davon aus, dass es in der Domäne, in der OU Benutzer und in der OU Vertrieb jeweils eine Gruppenrichtlinie gibt (siehe Abbildung). Folgende Einstellungen sind dort definiert:

  • Auf Domänenebene wird die minimale Passwortlänge auf acht Zeichen gesetzt. Außerdem wird für alle Desktops das Firmenlogo contoso.bmp als Hintergrundbild gesetzt.
  • In der OU Benutzer wird das Symbol Eigene Dateien vom Desktop entfernt und der Zugriff auf die Systemsteuerung abgeschaltet.
  • In der OU Vertrieb wird der Zugriff auf die Systemsteuerung explizit aktiviert, und es wird das Hintergrundbild contoso-aktion-2006.bmp eingeschaltet.

BLD05_03

GPOs können auf verschiedenen OU-Ebenen wirken. Ihre Einstellungen werden dann nach einem Vererbungsprinzip zusammengeführt.

Der Effekt auf den Desktop des betrachteten Benutzers in der Vertriebsabteilung wäre nun folgender: Zunächst wird die Passwortlänge eingestellt. Dann wird contoso.bmp als Hintergrund gesetzt. Danach wird Eigene Dateien entfernt und die Systemsteuerung abgeschaltet. Zuletzt wird die Systemsteuerung eingeschaltet und contoso-aktion-2006.bmp gesetzt. Der Desktop zeigt also folgende Einstellungen:

  • Passwortlänge acht Zeichen
  • Eigene Dateien nicht sichtbar
  • Systemsteuerung kann genutzt werden
  • contoso-aktion-2006.bmp ist das Hintergrundbild

Dieses Standardverfahren hat den Vorteil, dass sich einzelne Abteilungen mit speziellen Einstellungen versehen lassen, die von den »höheren« Konfigurationen abweichen. Der gravierende Nachteil besteht darin, dass eine Einstellung, die vom Domänenadministrator auf Domänenebene vorgegeben wurde, von einem untergeordneten Administrator außer Kraft gesetzt werden könnte. Dies widerspricht dem hierarchischen Prinzip, auf dem Active Directory beruht. Um diesem Problem abzuhelfen, gibt es Methoden, die die Standardvererbung unterbrechen.

Vererbung unterbrechen

Mit Hilfe von zwei Methoden kann die normale Vererbungsstruktur der Gruppenrichtlinien unterbrochen werden: Deaktivieren und Erzwingen. Beide können Sie am besten in der Gruppenrichtlinienverwaltung steuern.

Das Deaktivieren kann grundsätzlich auf jeder OU-Ebene geschehen. In der Gruppenrichtlinienverwaltung klicken Sie mit der rechten Maustaste auf die jeweilige OU und wählen dann den Befehl Vererbung deaktivieren (siehe Abbildung). Das Symbol der OU zeigt dann ein blaues Ausrufezeichen an. Mit dieser Option wird die Vererbung »von oben« auf die aktuelle OU abgeschaltet – eine Einstellung, die weiter »oben« getroffen wurde, kommt also »unten« nicht an. Durch diese Konfiguration lässt sich eine OU von den Richtlinien höherer Container abkoppeln, um eine Art Insellösung zu schaffen.

image

Die Vererbung von GPOs auf eine bestimmte OU kann deaktiviert werden

Auf diese Weise wird natürlich dem Administrator einer untergeordneten OU noch größere Autonomie gegenüber dem Domänen-Administrator verliehen. Um seiner Machtposition Nachdruck zu verleihen, kann ein übergeordneter Administrator daher das Erzwingen anwenden. Mit dieser Methode wird die Anwendung eines bestimmten GPO erzwungen und kann auf unterer Ebene nicht mehr außer Kraft gesetzt werden. Diese Methode wird für ein GPO unabhängig von der verknüpften OU angewendet. In der Gruppenrichtlinienverwaltung klicken Sie dazu auf das betreffende GPO und führen dann im Inhaltsbereich einen Rechtsklick auf die Spalte Erzwungen aus. Im Kontextmenü aktivieren Sie dann den Befehl Erzwungen und beantworten die Sicherheitsabfrage mit OK (siehe Abbildung). Dadurch ist es nicht möglich, die Vererbung dieser Richtlinie außer Kraft zu setzen.

image

Die Vererbung bestimmter GPOs kann erzwungen werden, sodass keine andere Einstellung und auch keine Deaktivierung die Anwendung des GPO verhindert

Anwendung von GPOs aussetzen

Sie können auch verhindern, dass GPOs oder Teile davon angewendet werden. Dies kann sinnvoll sein, wenn Sie zu Testzwecken oder zur Problemsuche Objekte abschalten wollen. In manchen Situationen kann es aber auch nützlich sein, ein GPO nur vorübergehend auszusetzen, anstatt es gleich zu löschen. Eine Möglichkeit hierzu besteht darin, eine bestimmte GPO-Verknüpfung zu deaktivieren. Hierzu klicken Sie in der Gruppenrichtlinienverwaltung auf die OU, bei der die Verknüpfung definiert ist, und markieren dann im Inhaltsbereich das betreffende GPO. Klicken Sie dann mit der rechten Maustaste in die Spalte Verknüpfung aktiviert, und wählen Sie im Kontextmenü den Befehl Verknüpfung aktiviert aus. Nach dem Bestätigen der Sicherheitsabfrage wird der Zustand der Verknüpfung umgeschaltet. Diese Methode ist besonders bei der Problemsuche nützlich. Dasselbe GPO kann durchaus auf andere Container angewandt werden, wenn es dort mit einer aktiven Verknüpfung zugewiesen ist.

Eine radikalere Methode ist das Deaktivieren eines ganzen GPO oder von einem seiner Zweige. In diesem Fall wird das betreffende GPO auf keinen verknüpften Container angewendet. Um dies einzustellen, klicken Sie in der Gruppenrichtlinienverwaltung auf den Knoten Gruppenrichtlinienobjekte. Markieren Sie dann das betreffende GPO, und klicken Sie mit der rechten Maustaste darauf. Wählen Sie im Kontextmenü den Eintrag Status der Gruppenrichtlinie aus. Ihnen stehen dann vier Optionen zur Auswahl:

  • Aktiviert: Das GPO wird normal angewendet.
  • Benutzerkonfigurationseinstellungen deaktiviert: Alle Einstellungen aus dem Zweig Benutzereinstellungen werden übergangen.
  • Computerkonfigurationseinstellungen deaktiviert: Alle Einstellungen aus dem Zweig Computereinstellungen werden übergangen.
  • Alle Einstellungen deaktiviert: Das gesamte GPO wird nicht angewendet, unabhängig vom Container, mit dem es verknüpft ist.

GPOs filtern

Eine weitere Methode zur Steuerung der GPO-Anwendung besteht in der Filterung. Dahinter verbirgt sich die Verwaltung von Zugriffsberechtigungen auf GPOs. Ähnlich wie Dateien im Dateisystem können Sie auch GPOs durch Berechtigungen schützen. Wenn für einen Benutzer oder einen Computer ein GPO angewendet werden soll, muss das Benutzer- oder Computerobjekt über zwei Berechtigungen für das GPO verfügen: Lesen und Gruppenrichtlinie übernehmen. Gemäß dem Windows-Berechtigungssystem ist es dabei unerheblich, ob diese Berechtigungen direkt an die Objekte oder an Gruppen erteilt werden, in denen die Objekte Mitglieder sind: Das Mitglied einer Gruppe übernimmt sämtliche Berechtigungen, die die Gruppe hat. Es ist stets empfehlenswert, Berechtigungen an Gruppen zu erteilen und nicht an Einzelobjekte. Auf diese Weise können Sie – gewissermaßen durch die Hintertür – erreichen, dass bestimmte GPOs nur für die Mitglieder gewisser Gruppen gelten, wodurch Sie den Namen Gruppenrichtlinien nachträglich wieder rechtfertigen.

GPO-Berechtigungen wirken immer auf das ganze GPO und nicht nur auf eine einzelne Verknüpfung. Sie verwalten die Berechtigungen in der Gruppenrichtlinienverwaltung, indem Sie das betreffende GPO markieren und dann im Inhaltsbereich die Registerkarte Delegierung öffnen. Es ist dabei empfehlenswert, mit der Schaltfläche Erweitert zu arbeiten, weil diese die tatsächlichen Berechtigungen sichtbar macht; die vereinfachte Oberfläche zeigt nur grobe Zusammenfassungen an. Standardmäßig sind die Berechtigungen zur Anwendung von GPOs an die Gruppe Authentifizierte Benutzer verliehen, sodass die normale Anwendung sichergestellt ist. Falls Sie ein GPO nur auf eine bestimmte Gruppe anwenden lassen möchten, müssen Sie zunächst der Gruppe Authentifizierte Benutzer die Berechtigung Gruppenrichtlinie übernehmen entziehen. Dann fügen Sie der Berechtigungsliste mit der Schaltfläche Hinzufügen die gewünschte Gruppe hinzu und erteilen dieser die benötigten Berechtigungen.

Loopbackverarbeitungsmodus

Welche GPOs auf ein Benutzerkonto angewendet werden, um die Arbeitsumgebung zu definieren, wird durch den Speicherort des Kontos im AD festgelegt. Dadurch dass die Liste der anzuwendenden GPOs bei der Benutzeranmeldung zusammengestellt wird, erhält der Benutzer immer denselben Satz an Richtlinien, unabhängig davon, an welchem Computer der Domäne er sich anmeldet. In einigen Situationen ist es aber wünschenswert, dass ein Benutzer an bestimmten Computern andere Einstellungen vorgegeben bekommt. Dazu gehören in erster Linie Terminalserver – hier ist es in der Regel unerwünscht, dass der Benutzer auf die lokalen Laufwerke C:, D: usw. zugreift, weil es sich ja um die Datenträger des Servers handelt. Auch andere Einstellungen werden auf Terminalservern strenger gehandhabt. Wenn sich derselbe Benutzer aber an einem normalen Desktop-PC anmeldet, soll er natürlich auf die lokalen Laufwerke zugreifen dürfen und darüber hinaus auch andere Vorgaben erhalten. Vergleichbar sind Szenarien mit Schulungscomputern oder Internetterminals, für die bestimmte Einstellungen gelten.

In solchen Fällen lässt sich der Loopbackverarbeitungsmodus der Gruppenrichtlinien einsetzen. Dieser bewirkt, dass bei der Benutzeranmeldung nicht der Speicherort des Benutzerkontos über die anzuwendenden GPOs entscheidet, sondern der Speicherort des Computerkontos. So lässt sich erreichen, dass für alle Benutzer bestimmter Computer andere Einstellungen gelten, als bei einer »normalen« Anmeldung. Beachten Sie dabei, dass hier stets die Rede von den GPO-Einstellungen im Pfad Benutzerkonfiguration ist, denn nur diese können auf ein Benutzerkonto angewendet werden.

image

Der Loopbackverarbeitungsmodus bewirkt, dass die Einstellungen bei der Benutzung bestimmter Computer anders sind als bei einer normalen Anmeldung

Sie finden den Loopbackverarbeitungsmodus innerhalb eines GPO unter dem Pfad Computereinstellungen/Administrative Vorlagen/System/Gruppenrichtlinien mit dem Namen Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie. Öffnen Sie diesen Eintrag per Doppelklick und wählen die Option Aktiviert, so haben Sie zwei Modi zur Auswahl (siehe Abbildung 5.6): Ersetzen und Zusammenführen. Hierbei bedeutet Ersetzen, dass ausschließlich die Einstellungen der GPOs gelten, die für den Speicherort des Benutzerkontos gelten. Zusammenführen bewirkt, dass sowohl die für das Benutzerkonto gültigen GPOs als auch diejenigen für das Computerkonto angewendet werden; im Konfliktfall haben die Einstellungen des Computerkontos Vorrang.

Empfehlungen

Die hier beschriebenen Möglichkeiten zur Beeinflussung der GPO-Anwendung sind noch nicht vollständig, es handelt sich nur um die wichtigsten Techniken. Allgemein aber gilt: Setzen Sie die Manipulation der Anwendung nur sparsam und gezielt ein. Entscheiden Sie sich nach Möglichkeit für eine Haupttechnik, die Sie einsetzen, und nutzen Sie die anderen Techniken höchstens punktuell. Und vor allem: Dokumentieren Sie die Einstellungen und die Gründe, die zu diesen Einstellungen geführt haben. Anderenfalls werden Sie im Problemfall unnötig hohen Aufwand haben, um Fehler zu lokalisieren und zu beheben. Eine sinnvolle Maßnahme ist auch, dass Sie Ihren GPOs knappe, aber aussagefähige sprechende Namen geben. Anstelle von Bezeichnungen wie »GPO1«, »Test« oder »Standard« können Namen wie »Desktopkonfiguration Vertrieb«, »Sicherheit Domänenbenutzer« oder »Benutzerumgebung Terminalserver« recht gut darüber Aufschluss geben, wozu ein GPO dient.

Willmar Heinrich: Windows Phone 8 und Remote Desktop

Noch vor Monaten habe ich jeden als Phantasten bezeichnet, der meinte, Tablets sind nur der Übergang, die Zukunft sind SmartPhones. Beispiel: Vor Jahren konnte ich nur das Tablet von Blackberry, das Playbook, nutzen, um über eine RDP-Connection auf einen Server oder Client remote zuzugreifen. Es dauerte lange, bis der Hersteller der Software dann auch RDP-Gateway […]

SharePointPodcast: SPPD300 Talkin Insights mit Markus Raatz und 3 mal 2 Freikarten


300Wer hätte das gedacht, das diese kleine auditive Gemme mal die 300te Ausgabe schafft! Aber heute ist es soweit und zur Feier des Tages habe ich nicht nur wieder einen guten alten Bekannten als Talkgast – Markus Raatz - mit dabei, sondern es gibt auch wieder richtig was zu gewinnen.

Vielen Dank allen Zuhörern, die seit welcher Ausgabe auch immer diesen Podcast herunterladen und anhören.

Aktion (02:10)

Dank der freundlichen Sponsoren Microsoft, ppedv und HLMC verlosen wir 3 x 2 Eintrittskarten für die

Gewinnspiel-Teilnahme bis zum 25.4.2014 über diese Umfrage !!

300Banner

Tipps (05:15)

Themen (07:40)

Talk “Was Friseure können, können nur Friseure” (11:24)

Markus Raatz - Ceteris AG

Power BI – Power BI für Office 365 – Übersicht und Schulung - Power Query - Power Pivot - Power View - Power Map - Power BI-Bereitstellungshandbuch - Microsoft Data Management GatewaySAP BusinessObjects Design Studio - Microsoft Power BI Windows AppSQL Server and English Query -

Datability – SQL Server 2014 - In-Memory OLTP - SAP Hana - SQL Server 2012 Parallel Data WarehouseSPCY008 Cebitability

flattr this!

Christian Küver: Smartroom: Powerpoint Präsentation: There was a problem verifying the certificate from the server

Hi Leute,

eine SmartRoom Integration in die Lync 2013 Umgebung eines Kunden hat uns etwas Kopfschmerzen bereitet.

Beim präsentieren einer Powerpoint in einem Smart Meeting kam immer folgender Fehler:

“There was a problem verifying the certificate from the server”

Schnell waren die Standards überprüft:

Half leider alles nichts.

Die Lösung:

Das Zertifikat des Office WebApp Server benötigt eine hinterlegte Sperrlistenveröffentlichung über http, dies war beim Kunden nicht der Fall.

Wie man dies einrichtet wird hier beschrieben:

http://blogs.technet.com/b/lyncativity/archive/2012/12/06/troubleshooting-lync-2013-powerpoint-sharing-issue-there-was-a-problem-verifying-the-certificate-from-the-server-please-contact-your-support-team.aspx

Aber auch das reicht immer noch nicht! Smart hat hier scheinbar einen Bug, weshalb die Sperrlisten auf dem Smart noch in den “Zwischenzertifizierungs-Store” importiert werden müssen.

Hier die Aussage vom Smart Support:

There was a problem verifying the certificate from the server. Please contact your support team.

This appears when you share a PPT, resolve by fixing the CRL path issues as above under Certificates. i.e. add a http CRL path and reissue your OWAS server certificate and set-officewebappfarm -Certificate your new cert name

Important: You import the CRL's as a workaround to the Intermediate Certificate Authorities underneath Certificates (Local Computer). They should appear below that folder in Certificate Revocation List (click Refresh if they don't appear immediately!).

 

Danach klappt’s dann auch mit Powerpoint Smiley

Viele Grüße,

Christian

Don't contact us via this (fleischfalle@alphasierrapapa.com) email address.