Die Windows Server Update Services (WSUS) bieten im Microsoft-Netzwerk eine recht bequeme und zuverlässige Möglichkeit, Aktualisierungen für die Produkte aus Redmond zu verteilen. Grundsätzlich lässt sich dieser Dienst auch zum WAN hin betreiben um z.B. Außendienst-Mitarbeiter anzubinden.

Leider unterstützt der Windows Update-Client keine Authentifizierung, so das seitens der verwendeten Internet Information Services (IIS) theoretisch die Möglichkeiten über die Computeranmeldung oder Client-seitige Zertifikate bliebe. Erstgenanntes funktioniert nur in der Domäne, letztgenanntes setzt eine Zertifizierungstelle (CA) und die Verteilung von Zertifikaten voraus.

Microsoft TechNet – Secure WSUS 3.0 Deployment

Liest man zur Nutzung der Zertifikate allerdings das Kommentar von Lawrence Garvin kommen einem schnell Zweifel, ob das funktioniert:

"At a minimum you'd need to use some form of reverse-proxy with authentication,
or client-side SSL certificates -- the WUAgent in combination wiht WinHTTP
does support authenticated proxy connectivity.
The SSL certs scenario is a theoretical solution,
I've not actually heard of anybody who has successfully implemented
client-side SSL certificates in a WSUS environment."

Quelle: Microsoft TechNet Forum – WSUS updates for external users

Wie Lawrence schreibt, könnte auch ein Reverse Proxy mit Authentifizierung verwendet werden. Leider habe ich dazu keine detailierten Informationen gefunden und ob es überhaupt auf die Dauer stabil läuft. Der Lesart über verschiedene Treffer via Suchmaschine nach scheint es da gerne Schwierigkeiten zu geben.

Ein weiterer Ansatz kann sein, den Zugang über VPN zu realisieren. Das setzt wiederum neben der nötigen Infrastruktur voraus, dass regelmässig oder automatisch eine VPN-Verbindung hergestellt wird und es zu keinen Konflikt mit den verwendeten IP-Netzen kommt. Noch eine Möglichkeit, und das ist sozusagen des Pudels Kern dieses Beitrags, bietet stunnel an. Dies geht zum einen mittels Zertifikaten oder schneller und einfacher ab Version 5.09 mit Pre-Shared Key (PSK).

stunnel-Server einrichten

Die Server-seite von stunnel kann, muss aber nicht auf dem gleichen System wie der WSUS laufen. Für diesen Beitrag wurde stunnel auf dem gleichen System installiert.

Zunächst die Installationsdatei herunterladen, diese Ausführen und dem Assistenten folgen. Da es gerne zu Schwierigkeiten kommen kann, wenn nach „C:\Program Files (x86)“ installiert wird, sollte dies zu „C:\stunnel“ geändert werden. Beim Erstellen des Zertifikats kann irgendetwas eingetragen werden, dieses wird im weiteren Verlauf nicht verwendet.

Direkt nach der Installation wird stunnel als Anwendung gestartet und kann durch einen Rechtsklick auf das Infobereichssymbol und „Exit“ beendet werden. Die Desktop-Verknüpfung „stunnel AllUsers“ startet dieses wieder als Anwendung und sollte im weiteren Verlauf nicht verwendet bzw. besser entfernt werden.

Bevor mit der eigentlichen Konfiguration begonnen wird, kann man den Stand nach der Installation zunächst sichern. Dazu einfach den Ordner „C:\stunnel\config“ kopieren. Man könnte nun die vorhandene „stunnel.conf“ anpassen. Einfacher und übersichtlicher ist es, eine eigene „stunnel.conf“ zu erstellen:

; *** Logging ***
debug = info
output = stunnel.log

; *** Services ***
[WSUS-http]
accept = 8532
connect = 127.0.0.1:8530
ciphers = PSK
PSKsecrets = secrets.txt

[WSUS-https]
accept = 8533
connect = 127.0.0.1:8531
ciphers = PSK
PSKsecrets = secrets.txt

PSK erzeugen

Den Pre-Shared Key kann man manuell oder per Befehl bzw. Skript erzeugen. stunnel bringt für letzteres alles benötigte mit, so das sich mit einem kleinen Skript dies einfach handhaben lässt:

@echo off

set openssl_conf=C:\stunnel\config\openssl.cnf
set RANDFILE=C:\stunnel\config\.rnd

echo.

C:\stunnel\bin\openssl.exe rand -hex 32

echo.
pause

Der PSK kann zusammen mit einem Benutzernamen dann bequem in die „secrets.txt“ eingefügt werden:

BENUTZERNAME:PSK

Auf der Server-seite befinden sich alle Benutzernamen samt PSK in dieser Datei, auf der Client-seite nur der jeweilige Benutzer mit seinem PSK. Damit der neue oder geänderte Benutzer übernommen wird, entweder einmal die Konfigurationsdatei neu laden (entweder um das Startmenü oder „stunnel.exe -reload“) oder den Dienst „stunnel TLS wrapper“ (Dienstname „stunnel“) neustarten.

Dienst installieren und starten

Aus dem Startmenü „stunnel Service install“ anklicken um den Dienst einzurichten. Über „stunnel Service start“ kann der Dienst gestartet werden.

In einer Eingabeaufforderung geht dies mittels

stunnel.exe -install
stunnel.exe -start

Firewall konfigurieren

Je nach Konfiguation bzw. Anspruch benötigt der WSUS per Vorgabe die Ports 8530/tcp für http und 8531/tcp für https (sofern konfiguriert). Entsprechend der Konfiguration bei stunnel müssen die entsprechenden Ports, 8532/tcp für http bzw. 8533/tcp für https, oder schlicht die „stunnel.exe“ in der Firewall freigeschaltet bzw. weitergeleitet werden.

In der Windows-Firewall werden automatisch bei der Installation des WSUS die Standard-Ports eingerichtet. Soll dieser nun nur noch via stunnel erreicht werden können, sollte man die entsprechenden Regeln deaktivieren. Parallel dazu kann man im IIS einstellen, das z.B. nur auf „localhost“ („127.0.0.1“ bzw. „::1“) gelauscht wird.

stunnel-Client einrichten

Die stunnel.conf auf der Client-Seite kann z.B. so aussehen:

; *** Services ***
[WSUS-http]
client = yes
accept = 127.0.0.1:8530
connect = <Server/IP>:8532
ciphers = PSK
PSKsecrets = secrets.txt

[WSUS-https]
client = yes
accept = 127.0.0.1:8531
connect = <Server/IP>:8533
ciphers = PSK
PSKsecrets = secrets.txt

Der Client liese sich ebenso einrichten, wie der Server, d.h. Setup herunterladen, ausführen usw. Praktischer kann sein, alle benötigte Dateien zusammenzustellen und ggf. per Skript zu verteilen bzw. zu installieren.

Windows Update auf dem Client konfigurieren

Die notwendigen Einstellungen lassen sich per lokale oder domänen-weite Gruppenrichtlinie oder in der Registry vornehmen. Anbei die minimalsten Änderungen für die Registry:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://127.0.0.1:8530"
"WUStatusServer"="http://127.0.0.1:8530"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="TEST"
"DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001

Dem Client wird so mitgeteilt, das der WSUS als Updatequelle dient, die restlichen Einstellungen entsprechen den Vorgaben von Microsoft. Einzige Abweichungen sind:

"TargetGroup"="TEST"

Die Client-seitigen Zuordnung des Clients zu einer Gruppe im WSUS, sofern dies auf dem Server aktiviert ist. Ansonsten kann man diese Zeile weg lassen und schiebt den Computer per Hand in die passende Gruppe.

"DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001

Seit Windows 8.x kann man damit regeln, ob jenseits vom WSUS auch direkt bei Microsoft nach Updates gesucht wird. Ein Equivalent zu anderen Windows-Versionen existiert ebenfalls, siehe dazu das MSDN-Link in den Quellen.

Quellen

stunnel: Authentication

Microsoft – MSDN – Configure Automatic Updates using Registry Editor

WSUS.DE – HowTo > AU-Client Registry Key

Windowspage – Tipps – Windows-Update – Keine Verbindung zu Update-Internetdiensten bei Intranetserver erlauben

Im wesentlichen unterscheidet sich die Installation und Handhabung eines WSUS unter Windows Server 2016 nicht von den bisherigen Versionen. Früher oder später stolpert man allerdings über ein paar Kleinigkeiten. Anbei ein paar Notizen.

Installation

Die Installation erfolgt wie z.B. von Windows Server 2012 gewohnt über den Server-Manager. Hierzu gibt es nichts besonderes zu erwähnen.

Fehlende Komponenten für die Berichterstellung installieren

Leider fehlen nach dem grundlegenden Setup die Komponenten damit Berichte erstellt werden können. Nach einem Doppelklick auf einen Computer oder ein Update erhält man zunächst eine Meldung, die auch gleich die Lösung mit anbietet. Danach fehlt allerdings immer noch etwas, unglücklicherweise ohne Hilfestellung.

• Microsoft Report Viewer 2012 herunterladen und installieren.
• Microsoft System CLR Types for SQL Server 2012 herunterladen und installieren. Scheinbar reicht die 32-bit Version aus:
  Direkte Downloads: 32-bit / 64-bitAlternativ: Microsoft® SQL Server® 2012 Feature Pack– Auf „Anweisungen zur Installation“ klicken.

  – Zu „Microsoft® System-CLR-Typen für Microsoft® SQL Server® 2012“ wechseln und das gewünschte Paket herunterladen.

Definitionsupdates automatisch genehmigen lassen

Verwendet man Defender, Exchange oder Outlook, kann es Sinn machen, die Definitionsupdates automatisch genehmigen zu lassen:

Windows: Nur Definitionsupdates für Windows Defender und Microsoft Security Essentials im WSUS automatisch genehmigen

Fehlende Updates oder Hauptversionen importieren, Windows 10-Updates und – Upgrades zur Verfügung stellen

Der WSUS liefert meist nur Aktualisierungen für bereits installierte Software aus. Möchte man z.B. Internet Explorer 11 oder .NET Framework 4.7 verteilen, so muss dies vorher importiert werden:

Allgemein:

• In der „Windows Server Update Services (WSUS)“-MMC den Servernamen anklicken.
• Aus der rechten Spalte bei „Aktionen“ „Updates importieren…“ anklicken.

Es öffnet sich der Internet Explorer. Beim ersten Mal muss zunächst die Installation einer ActiveX-Erweiterung („Microsoft Update Catalog“) bestätigt werden. Danach kann nach Updates gesucht und diese zum Auswahlkorb hinzugefügt werden. Aus dem Auswahlkorb heraus kann man diese dann in den WSUS importierten.

Wichtig: Den Internet Explorer verwenden (am besten als Standard-Browser belassen), da sonst nur ein Download ohne Import-Möglichkeit angeboten wird.

Internet Explorer 11:

Microsoft Windows IT Pro Center – Installieren von Internet Explorer 11 (IE11) mit Windows Server Update Services (WSUS)

.NET Framework 4.7:

Microsoft MSDN – .NET Blog – Microsoft .NET Framework 4.7 is available on Windows Update, WSUS, and MU Catalog

Windows 10:

Microsoft Windows IT Pro Center – Bereitstellen von Windows10-Updates mit Windows Server Update Services (WSUS)

Windows-FAQ – Windows 10 Creators Update per WSUS verteilen (Die Links am Ende des Beitrags beachten, diese behandelt dann z.B. auch 1607).

Serverbereinigung

Ein wenig Pflege des Datenbestands kann sicherlich nicht Schaden. Vor allem dann nicht, wenn sich im Laufe der Zeit abgelaufene oder ersetzte Updates ansammeln und so langsam aber sicher immer mehr Speicherplatz belegt wird.

Per Hand kann man auf dem WSUS aus den „Optionen“ heraus den „Assistent für die Serverbereinigung“ starten und laufen lassen:

WSUS – Serverbereinigung nicht vergessen

Um den Vorgang zu Automatisieren gibt es mehr oder weniger verschiedene Ansätze:

Die (imho) einfachsten Skripte findet man bei WSUS.DE:

WSUS Serverbereinigung mit Powershell #1 (für mehrere Server)

WSUS Serverbereinigung mit Powershell #2 (mit E-Mail-Report)

Tipp: Um eine Authentifizierung für den E-Mail-Versand im letztgenannten Skript reinbasteln zu können, ist dieser Beitrag interessant:

Phil Erb – Sending mail with PowerShell

Dann gibt’s z.B. noch weitere „Putz-Ansätze“:

Bents Blog – Automatische WSUS Serverbereinigung mit Tasks und Skripten

Bents Blog – Windows Server Update Services (WSUS) auf Windows Server 2012 mit automatischer Bereinigung

xenappblog – How To Clean Up WSUS

Datensicherung

Last, but not least sollte auch der WSUS gesichert werden, denn im Falle eines Crashes alle Einstellungen, Genehmigen und die Updates erneut setzen und herunterladen zu müssen ist eine unschöne Aufgabe. Man kann gezielt alle WSUS-relevanten Teile oder schlicht den ganzen Server mit geeigneten Mitteln, das schließt VSS für die konsistente Sicherung der Datenbank mit ein, sichern.

Microsoft TechNet – Backing Up Windows Server Update Services (bezieht sich noch auf ntbackup, von daher sind lediglich die Pfade interessant)

Microsoft TechNet – Forums – WSUS Backup with Windows Server Backup on 2012 R2 (Antwort von Mary Dong, d.h. die Datenbank mit SQL Management Studio sichern, die Dateien wie gehabt)

The ITbros – How to backup WSUS database

Quellen

RootUsers – Configure WSUS reporting in Windows Server 2016

serverfault – Install SQL CLR types & Report Viewer 2012 on Sql 2008 server

Microsoft TechNet – Using the Server Cleanup Wizard

Beim Silverstone CS380 (SST-CS380) handelt es sich eigentlich um ein nettes Mid-Towergehäuse mit acht integrierten 5,25″ Wechselrahmen, die für HDDs oder SSDs geeignet sind. Von Vorteil ist, das eine SATA/SAS-kompatible Backplan bereits verbaut und das Gehäuse relativ günstig ist.

Gerade letztgenanntes macht sich bei den Wechselrahmen leider eher weniger gut bemerkbar. Schon im Auslieferzustand ohne Laufwerke liesen sich diese nur auf einer Seite oder mit Mühe auf beiden Seiten einrasten. Nach der Montage von SSDs war die Mühe noch größer bishin das es überhaupt nicht geht.

Da die Frontklappe samt Schloss ein mögliches Herausrutschen der Laufwerke verhindert, scheint mir das Ganze aktuell nicht allzuschlimm zu sein. Mit SSDs dürfte das Thema noch weniger kritisch sein, da es lediglich nur durch die Lüfter leichte Vibrationen gibt. Mit Festplatten habe ich es noch nicht testen können.

Der Rest des Gehäuses macht(e) einen guten Eindruck. Ob sich die genannte Passungenauigkeit nur auf dieses eine Exemplar beschränkt oder ein genereller Punkt ist, wird sich zeigen, sobald das nächste Gehäuse da ist.

Vorläufig abschließend kann man wohl sagen, das man für das Geld wohl nicht mehr erwarten darf, ohne das dies nun negativ gemeint sein soll.

Die Migration eines DHCP-Server von einem Windows Server 2012 (ohne R2) zu einem Windows Server 2016 geht recht leicht von der Hand.

• Auf dem Quellserver eine Powershell mit erhöhten Rechten starten und die Daten exportieren:

  Export-DhcpServer -File C:\Migration\DHCPdata.xml -Leases -Force -Verbose

• Nun die Autorisierung des bisherigen DHCP-Servers aufheben und den Dienst beenden.
• Die exportierten Daten auf den Zielserver kopieren.
• Auf dem Zielserver eine Powershell mit erhöhten Rechten starten und die Daten importieren:

  Import-DhcpServer -File C:\Migration\DHCPdata.xml -BackupPath C:\Migration -Leases -ScopeOverwrite -Force -Verbose

• Ggf. den DHCP-Server des Zielservers, sofern Domänenmitglied, autorisieren.
• Abschließend den „DHCP-Server“-Dienst auf dem Zielserver einmal neustarten.

Hintergrund:

Bei einem Projekt sollte von einer Windows-Domäne auf eine Arbeitsgruppe gewechselt werden. Der Ex- und Import der Daten war dabei kein Problem, solange allerdings auf dem alten Domänencontroller noch der DHCP-Dienst lief, war der DHCP-Server auf dem neuen (Arbeitsgruppen-)Server der Meinung, er müsse autorisiert werden. Ohne Mitgliedschaft in einer Active Directory-Domäne, die ohnehin nicht weiter verwendet werden sollte, ein Ding der Unmöglichkeit. Der in der Anleitung genannte Neustart des Dienstes behob diese Fehlannahme des neuen DHCP-Servers.

Quellen:

Microsoft TechNet – Forums – Migrate DHCP from Windows 2012 to Windows 2016 and Add another DHCP as HA/FO

Technikblog – Migration eines DHCP-Servers von Windows Server 2008 R2 auf Windows Server 2012 R2

ITPro – Migrate DHCP from Windows Server 2012 R2 to Window Server 2016 in Just Two Steps

Bei einem Kunden musste ein Windows Server 2012 (ohne R2) mitsamt einer dazugehörigen Dömäne durch einen stand-alone Terminalserver (aka Remote Desktop Session Host, RDSH) ersetzt werden. Dies entspräche der best-practice für die dort verwendete Branchenanwendung, denn, Zitat vom Außendienst „Domäne macht alles langsamer“. Soviel zum aktuellen Anlass für diesen Beitrag.

Neben solchen Szenarien kann es weitere Gründe geben, einen Terminalserver ohne Domäne zu betreiben. Dies soll nun allerdings keine (weitere) Rolle spielen.

Die imho einfachste und schnellste Methode besteht darin, den RDP Wrapper zu verwenden. Wer dies allerdings nicht nutzen kann oder möchte oder schlicht bei den Bordmitteln bleiben will, der kann wie folgt vorgehen.

Hinweis vorab: In diesem Beitrag geht es nur um den reinen Terminalserver (RDHS) ohne drum herum wie TS-Gateway, RDWeb usw.

Installation der benötigten Rollen und Features

• Den „Server-Manager“ starten.
• „Rollenbasierte oder featurebasierte Installation“ auswählen.
• Den Ziel-Server auswählen bzw. bestätigen.
• Bei „Serverrollen“ die „Remotedesktopdienste“ auswählen.
• Bei „Features“ alles so belassen wie es ist.
• Bei „Remotedesktopdienste – Rollendienste“ die „Remotedesktoplizenzierung“ und den „Remotedesktop-Sitzungshost“ auswählen.
• Nach Abschluss der Installation den Server neustarten.

Lizenzierung einrichten und konfigurieren

Direkt nach dem Neustart und der Anmeldung als Administrator wird man per Sprechblase darauf hingewiesen, das die Remotedesktop-Lizenzierung nicht konfiguriert ist.

• Über den „Remotedesktoplizenzierungs-Manager“ den Server aktivieren und die RDS-CALs eintragen.

Damit der Terminalserver den Lizenzserver erreichen kann, wie folgt vorgehen:

• Die lokale Gruppenrichtlinie via „gpedit.msc“ aufrufen.
• Zu „Computerkonfiguration – Administrative Einstellungen – Windows-Komponenten – Remotedesktopdienste – Remotedesktopsitzungs-Host – Lizenzierung“ wechseln.
• Den Lizenzserver mit der IP-Adresse „127.0.0.1“ angeben.
• Den Lizenz-Modus gemäss der erworbenen RDS-CALs konfigurieren.

Lizenzierung prüfen

• Via „Remotedesktop-Lizenzierungsdiagnose“ den Status prüfen.

Benutzer hinzufügen

Nun kann man z.B. über die Computerverwaltung lokale Benutzer hinzufügen. Damit sich diese über eine Remotedesktopverbindung anmelden können ist eine Mitgliedschaft in der Benutzergruppe „Remotedesktopbenutzer“ notwendig.

Quellen:

DigitalBamboo’s Blog – Deploy Remote Desktop Services in a Workgroup or Domain Easily!

Microsoft Support – Guidelines for installing the Remote Desktop Session Host role service on a computer running Windows Server 2012 without the Remote Desktop Connection Broker role service

Ryan Mangan’s IT Blog – Deploying a RDSH Server in a Workgroup – RDS 2012 R2

Vor gut sechs Monaten bin ich von NextPVR zu DVBViewer gewechselt, nachdem eine alte Haupauge WinTV-Sat-Karte durch einen Telestar DIGIBIT Twin ersetzt wurde. Leider klappte es nicht, den Digitbit mit NextPVR zu nutzen, daher der Umstieg.

Das mag nun erstmal etwas wehmütig klingen, letztlich hat sich der Tausch der PVR-Software allerdings gelohnt. Folgende Notizen basieren auf Version 6.0.2 des DVBViewer, mittlerweile ist man bei Version 6.0.4 angekommen, womöglich hat sich das eine oder andere schon erledigt oder geändert.

Es wird DVBViewer mit der Media Server-Erweiterung über den Recording Service, genauer ausgedrückt dessen Web-Interface, verwendet. Für die Wiedergabe von LiveTV oder Aufzeichnungen wird entweder über den Browser der transcodierte HTTP-Stream oder VLC media player verwendet. Die Aufzeichnungen werden i.d.R. von einer Netzwerkfreigabe aus entweder mit VLC media player oder Media Player Classic – Home Cinema (MPC-HC) wiedergegeben.

Telestar DIGIBIT Twin

Damit beide LNB verwendet werden können, muss der Digibit Twin zweimal im DVB Viewer angelegt sein! Z.B. als

• „RTSP Network Device 1“
• „RTSP Network Device 2“

iOS-App funktioniert nicht (workaround)

Die iOS-App scheint nicht 100%-kompatibel mit aktuelleren DVBViewer-Versionen zu sein. Damit sie dennoch funktioniert, kann man folgenden Workaround anwenden:

Unter

C:\Program Files (x86)\DVBViewer\SVCweb\ios

die Datei „iphone.html“ zu „iphone-de.html“ und „iphone-en.html“ kopieren.
Anschließend die Datei „ipad.html“ zu „ipad-de.html“ und „iphone-en.html“ kopieren.

Quelle: http://www.dvbviewer.tv/forum/topic/59886-ios-app-funktioniert-nichr-mehr/

Keine Wiedergabe mit VLC media player von Transportstream-Aufzeichnungen

Ruft man eine *.ts-Datei über eine SMB-Freigabe mit VLC media player auf, so funktioniert die Wiedergabe nicht, bis das die *.log- und *.txt-Datei umbenannt oder entfernt wurden. Das Erstellen dieser Dateien kann man in den Optionen des DVBViewers’s bzw. Recording Service bei der Aufnahme deaktivieren:

Filter für Windows Server

Damit der DVBViewer auf einem Windows Server Inhalte wiedergeben kann, müssen die LAV Filters installiert sein:

• Download unter https://github.com/Nevcairiel/LAVFilters/releases
• Den Installer herunterladen und ausführen.

Migration auf neuen oder anderen Computer

• Programm und Dienste beenden.
• Auf dem alten PC die Lizenzen mit dem „DVBViewer Pro Key Tool“ löschen.
• Den Ordner „C:\ProgramData\CMUV\DVBViewer“ auf den neuen Computer kopieren.
• Die Installation ausführen und die Lizenzdaten eingeben.

Transportstream-Dateien in MP4 über Aufgabe umwandeln

Um Platz sparen zu können, kann man eine Aufgabe anlegen und diese nach der Aufzeichnung ausführen lassen. Möchte man sich nicht großartig mit Kommandozeilen-Parametern auseinandersetzen, kann einfach HandBrake in den DVBViewer integriert werden:

In diesem Beispiel wird die *.ts-Datei mit HandBrake und dem Profil „Fast 720p30“ nach MP4 umgewandelt. Beim Anlegen eines Timers kann die neue Aufgabe ausgewählt werden:

Sobald man sicher ist, das die Konvertierung geglückt ist, kann man die Original-TS-Datei entfernen.

Quelle: DVBViewer Wiki – Optionen Service – Aufgaben

Gerne würde ich einen brauchbareren Beitrag schreiben, wie einst bei der Migration von Exchange Server 2003 zu MDaemon (siehe hier und hier), aber leider klappte es nicht so einfach, wie es sein könnte.

Ausgangslage war die Server-Umstellung von einem SBS 2008 zu Windows Server 2016 Standard (siehe hier). Der Rest lies sich relativ einfach umziehen, vorab wurde allerdings geprüft, ob und wie der Exchange Server 2007 zu MDaemon migriert werden kann. Daher stammen die Ergebnisse bzw. Erkenntnisse dieser Zeilen.

Es könnte so einfach sein

alt-n stellt für die Migration diverse Tools zur Verfügung, für ältere Exchange-Ausgaben wäre das MDMigrator (bis 2007), für Neuere (ab 2010 SP1) der ActiveSync Migration Client.

Outlook 2013 trotz aller notwendigen Updates nicht verwendbar

Die (theoretisch) maximal höchste Version von Outlook die mit Exchange Server 2007 verwendet werden kann ist Outlook 2013. Dafür muss min. Service Pack 2 installiert sein. Allerdings trotz aller Updates für diese Exchange- und Outlook-Version klappte die Verbindung nicht. Also zurück zu Outlook 2010, womit es zumindest was die Verbindung betrifft eine Probleme gibt.

Exchange Server 2007 vorbereiten

Es müssen die notwendigen Berechtigungen erteilt werden, damit der verwendete Benutzer auf die Daten zugreifen kann. In der Exchange Management Shell folgende Befehle ausführen:

Add-ADPermission -identity 'mailbox database' -user 'serviceaccount' -ExtendedRights Receive-As "serviceaccount" z.B. durch "administrator" ersetzen
Add-ADPermission -identity 'mailbox database' -user 'administrator' -ExtendedRights Receive-As
Add-ADPermission -identity 'mailbox database' -user 'journal' -ExtendedRights Receive-As

Zielcomputer

• Der Zielcomputer muss Mitglied der Domäne in dem sich auch der Exchange Server befindet sein.
• MDaemon muss installiert sein.
• Ausgehend von 64-bit MDaemon wird ein 64-bit Outlook benötigt.
• MDaemon muss einmal gestartet worden sein.
• MDaemon muss für die Dauer der Migration beendet sein. (Gemeint ist damit der Dienst, aus dem Startmenü „MDaemon beenden“ anklicken.)
• MDMigrator starten, Exchange Server und Benutzer angeben, die zu migrierenden Konten auswählen.

Soweit, so gut, dann aber die Überraschung:

Bei den Nachrichten die Importiert wurden, gibt es Datumsfehler. Vieles fehlte komplett. Fatal dabei ist, dass das Ausmaß des Scheiterns erst im Log offentsichtlich wird. Kurzum: Nicht brauchbar. Nach langem suchen und testen war klar, das es nicht besser werden wird.

Dazu passend fand sich bei folgendem YouTube-Video ein Kommentar:

Migrating to MDaemon from Microsoft Exchange Server

Ulrich Müller schrieb dort:

Hi,

Your post is very good.

BUT the mdmigrator DOES ACTUALLY NOT WORK with Exch 2007 and 2010 because
the adminustratve group mdmigrator is searching for does not find the admin..
groups of Exch 07/10. In these Exchange Versions the admin groups have
additional infos at the end of the group name like ( FYDIBOHF23SPDLT) at the end.

Here in the log file of mdmigrator this info is shown.

EBUG, szPath = LDAP://BUERO/CN=InformationStore,CN=SBS,CN=Servers,CN=Erste
administrative Gruppe,CN=Administrative Groups,CN=mycompany,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=buero,DC=mycompany,DC=loc

I can see here that mdmigrator is searching an old path.
Theese group names are orphaned and you should use an ini-file or
something like that to define the name of the location within the AD
to get around this problem. I think you will also help users to migrate
from Exch 07 an 2010 and further versions - don't you ? I sent my problem
description to Ebertlang germany. A really great and competent support team !!!

But this problem has to be solved through your developers.
Hope to get a solution soon . Show must go on!

THANKS Ulrich

Man ist also nicht alleine und ja, das Tool ist schlicht nicht auf dem aktuellen Stand.

Plan B

Wenn es nur um E-Mails geht, kann man diese z.B. via IMAP oder MailStore Server (Archivieren oder Importieren, dann nach Outlook exportieren) übernehmen.

Man könnte auch die Exchange Konten in Datendateien exportieren und dann, nachdem Outlook via Outlook Connector an MDaemon angebunden wurde, diese einhängen und per Hand die Daten (Mails, Kontakte, Termine, etc.) verschieben oder kopieren.

Beim Kunden wurde schlicht der Outlook Connector auf den Arbeitsplätzen installiert, das MDaemon-Konto parallel zum Exchange-Konto in Outlook eingebunden und dann die Daten vom Exchange- zum MDaemon-Konto kopiert. Nach Abschluss des Kopiervorgangs wurde ein neues Outlook-Profil nur mit bzw. für MDaemon angelegt.

E-Mails direkt via IMAP umkopieren (ungetestet)

Es gibt diverse Tools um Nachrichten via IMAP von einem Konto in ein anderes zu kopieren. Zunächst muss IMAP im Exchange Server aktiviert werden:

blogperle – IMAP Exchange 2007 einrichten

Mögliche Kandidaten für das Umkopieren sind z.B.

imapsync (kommerziell)

IMAPSize (abgekündigt)

MS TechNet Gallery – Simple IMAP Copy Tool for Windows

IMAPCopy (Stand: 2009)

Natürlich könnte man auch Thunderbird und Co. verwenden. Für einen Skript-gesteuerten Ablauf eignen sich die anderen Tools besser.

Fazit

Es scheitert an der Inkompatibilität des Migrationstools, das ist gelinde ausgedrückt Schade, denn ohne diese Schwierigkeiten wäre es einfacher und schneller von Statten gegangen. Zum Glück gab es bei diesem Kunden eine überschaubare Anzahl an Konten, so das es schlicht per Fleißarbeit geglückt ist. Für größere Umgebungen dürfte das allerdings kaum eine Lösung darstellen.

Quellen

http://www.altn.com/Support/KnowledgeBase/KnowledgeBaseResults/?Number=KBA-01707

http://static.altn.com/Collateral/How-To-Quick-Start-Guide/A4_MDaemon-Mail-Server_Exchange-Migration_How-To-Quick-Start-Guide.pdf

LW:\MDaemon\App\MDMigrator.txt

Vor nicht allzulanger Zeit gab es bei einem Kunden Schwierigkeiten, das der Arbeitsspeicher ausgelastet war und die Branchenanwendung sich mit Fehlermeldungen, die auf ein Memory Leak hindeuten abstürzte. Diese Situation trat allerdings nur einmalig auf, inzwischen wurden die dortigen Server (aus anderen Gründen) ersetzt.

Ein Techniker-Kollege von einer anderen Branchensoftware erzählte mir, das er ähnliche Probleme erlebt hätte. Dort wäre es so gewesen, das der Aufruf einer *.exe-Datei von einem Netzlaufwerk oder via UNC-Pfad zu einem Memory Leak geführt hätte und dann vorallem unter Terminalservern es übel wurde.

Leider konnte ich keine wirklich aktuellen Infos zu solchen Szenarien finden. Spontan via Suchmaschine viel folgendes auf:

Windows Support – Memory leak occurs in the Svchost.exe process on a computer that is running Windows Vista or Windows Server 2008

Microsoft TechNet Foren – Memory leak on Windows Server 2012 R2

Microsoft TechNet – Memory Leak verursacht von dem Remote Registry Dienst unter Windows 8, 8.1 und Server 2012, 2012R2

Zu der EXE/UNC-Thematik konnte ich leider nichts finden. Von daher mal die Frage in die Runde, ob jemand in dieser Richtung Erfahrung(en) gemacht hat?

Offiziell werden von WinOffice pro nur Client-Betriebssysteme wie z.B. Windows 7 oder 10 unterstützt, ein Betrieb auf einem Windows Server oder ganz konkret auf Terminalservern ist dennoch möglich.

Der Hersteller gibt an, das die Anwendung nicht vollständig auf Windows Server getestet wurde. Vom Service heisst es zudem, das es grundsätzlich laufen sollte, es aber für solche Umgebungen keinen kostenlosen Support gibt.

Für den Einsatz auf Terminalservern ist auf jeden Fall die Mehrplatzvariante notwendig (Aussage vom Service). Ob, sofern nur ein Benutzer das Programm benutzen soll, evtl. dann doch die Einzelplatzvariante herangezogen werden kann wurde nicht geklärt oder getestet.

WinOffice pro selbst bietet keine Benutzerverwaltung, von daher muss ggf. über die NTFS-Rechte geregelt werden, wer die Anwendung ausführen darf.

Soweit die Dinge, die man Wissen sollte. Die Installation als solches ist gewohnt einfach und entspricht der Server-Installation wie im Handbuch ab Seite 11 beschrieben:

• Die CD in den Server einlegen oder den gesamten Inhalt in einen Ordner auf dem Server kopieren.
• Die Installationsdatei ausführen und den Anweisungen folgen. Nicht davon irritieren lassen, das erstmal keine Abfrage nach der Art (Einzelplatz, Server oder Client) erfolgt, dies kommt später.
• Adobe (Acrobat) Reader-Installation abbrechen, sofern dieser bereits installiert ist oder bereits in einer neueren Version vorliegt.
• Beim ersten Start den Lizenzcode eingeben.
• Bei „Netzwerkeinsatz“ „Server“ auswählen.
• Den Pfad belassen wie er ist und die Freigabe erstellen lassen. Das Setup übernimmt den UNC-Pfad automatisch.
• Ein dediziertes Client-Setup ist nicht notwendig, sofern nur direkt auf dem Terminalserver mit der Anwendung gearbeitet wird.

Für einen Kunden wurde WinOffice pro auf diese Weise auf einem Terminalserver auf Basis von Windows Server 2008 R2 Standard eingerichtet.

Quelle:

WOP5 per Terminal-Zugriff

Bei der Suche nach dem Grund dafür das eine Einstellung einer Gruppenrichtlinie nicht greift, fiel so ganz nebenbei folgender „Fehler“ auf:

Ruft man in der Gruppenrichtlinienverwaltung (GPMC) das Gruppenrichtlinienergebnis für einen Computer ab, so sieht man in der Zusammenfassung das ein AD/SYSVOL Versionskonflikt angezeigt wird:

In den Details sieht man dann einen Versionsunterschied zwischen dem GPO im Active Directory (AD) und der SYSVOL-Freigabe:

Das Thema ist scheinbar nicht neu und wohl bekannt, zudem scheint es hauptsächlich in der Kombination neuerer Windows Server ab 2012 in Verbindung mit Windows 7 und bestimmten Patches in Erscheinung zu treten. Wenngleich es für Windows 8.x und Windows Server 2012 ohne und mit R2 ein Update gibt:

Microsoft Support – „AD / SYSVOL version mismatch“ message is displayed unexpectedly in the Group Policy Results report in Windows

Konkret konnte ich dies nicht nur bei diesem einen Kunden (Windows Server 2016), sondern auch stichprobenweise bei einem anderem Kunden mit einem Windows Server 2012 R2 nachvollziehen. Es spielt zudem keine Rolle, ob es nur einen oder mehrere Domänencontroller gibt.

Schaut man sich das Gruppenrichtlinienergebnis z.B. beim Domänencontroller an, so taucht kein Fehler bzw. Konflikt auf. Windows 8.x hat keiner unserer Kunden in einer Domäne im Einsatz, Windows 10 werd‘ ich bei nächster Gelegenheit prüfen, sobald mir eine aktive Maschine über’n Weg läuft (zum Zeitpunkt des Schreibens dieser Zeilen ist Wochenende, daher läuft grad kein Windows 10-Arbeitsplatz).

Man sollte allerdings auf jeden Fall prüfen, ob alles in Ordnung ist (Ereignisprotokolle, Replikation bei mehreren DCs, werden die Einstellungen der Gruppenrichtlinien wirklich angewendet, ggf. mal GP-Logging aktivieren und prüfen, stimmt die Version im AD mit der des Angabe in der jeweiligen GPT.ini überein, …).

In diesem Fall tue ich das mal als kosmetisches Problem ab, da sonst nichts negtives aufgefallen ist.

Übrigens: Die eingangs erwähnte Einstellung griff nicht, da schlicht ein ein falscher Pfad eingetragen war. Es ging dabei um SRP, die nun mal keine Netzlaufwerke mag, stattdessen muss der UNC-Pfad eingetragen werden.

Quellen:

Terry L@u’s blog – SYSVOL (65535) and AD / SYSVOL Version Mismatch on Windows Server 2012 R2

Let’s go, use GPO! – Das gpsvc-logging aktivieren

Microsoft TechNet – Group Policy Team Blog – Understanding the domain-based GPO version number (GPMC script included)

Petri – GPO version mismatch

spiceworks – Sysvol version not showing correctly, gpo security correct? after KB3159398….

Ab Werk öffnet Windows Server 2016 Bilddateien wie JPEGs mit Paint. Für den Administrator mag das nicht weiter wild sein, aber läuft der Server als Terminalserver (aka Remote Desktop Session Host, RDSH) so kann dies beim Anwender beim Durchschauen eines Bilder-Ordners schnell für Unmut sorgen.

Glücklicherweise ist die altbekannte Windows-Fotoanzeige nach wie vor vorhanden und muss nur wiederbelebt werden:

• Eine Eingabeaufforderung mit erhöhten Rechten („Als Administrator ausführen“) öffnen.
• Folgende Befehle ausführen:

  regsvr32 "C:\Program Files (x86)\Windows Photo Viewer\PhotoViewer.dll"
  regsvr32 "C:\Program Files\Windows Photo Viewer\PhotoViewer.dll"

Damit Bilddateien per Doppelklick geöffnet werden können, von folgender Seite die *.reg-Dateien als ZIP-Archiv herunterladen, entpacken und doppelt anklicken.

ctm | it support – Installing Windows Photo Viewer on RDS (What’s needed? – Punkt 2)

Ein Neustart oder Ab-/Anmelden ist nicht notwendig.

Quellen:

Schroeter | EDV – Win 2016 – Windows Photo Viewer auf Terminal Server (RDS) installieren bzw. wiederherstellen

Arbeitet man über Remotedesktopverbindungen oder verwendet RemoteApps, kann es vorkommen, das die Zwischenablage zwischen lokalem Rechner und der RDP-Verbindung nicht mehr funktioniert. I.d.R. macht sich das damit bemerkbar, das z.B. Text nicht mehr hin- und her kopiert werden kann.

Abhilfe schafft das Neustarten der „RDP-Zwischenablageüberwachung“ („rdpclip.exe“) auf dem entferntem Computer (z.B. dem Terminalserver). Dazu stehen mehrere Möglichkeiten zur Verfügung, wie z.B. über den Task-Manager. Über ein kleines Skript lässt sich dies einfacher und schneller handhaben und es bietet gerade bei Terminal- und RemoteApp-Servern die Möglichkeit, das der Benutzer dies per Doppelklick selbst ausführen kann.

Ein simples

taskkill /im "rdpclip.exe"
rdpclip.exe

führt evtl. bei einer Remotedesktopverbindung zu einem Arbeitsplatz zum Ziel. Bei einem Terminalserver mit mehreren angemeldeten Benutzern kommt es allerdings zu „Zugriff verweigert“-Meldungen, da dann versucht wird alle „rdpclip.exe“-Prozesse zu beenden, auch die der anderen Benutzer, auf die man keinen Zugriff hat.

Besser ist es da, nur für den Benutzer bei dem die Zwischenablage streikt, den betreffenden Prozess neu zu starten:

@echo off

taskkill /FI "USERNAME eq %username%" /im "rdpclip.exe" /f
timeout /t 5 /nobreak
start rdpclip.exe

Diesen Vierzeiler kann der Benutzer selbst ausführen. Ferner kann das Skript als RemoteApp freigegeben werden.

Erfahrungsgemäss muss das Beenden erzwungen werden (Parameter „/f“) und eine kurze Pause zwischen Beenden und Neustart kann nicht schaden („timeout…“), vor allem dann, wenn das Beenden einen Moment benötigt. Damit das Skript nicht bei „rdpclip.exe“ hängen bleibt, wird dies über „start…“ aufgerufen.

Quelle:

TechTalk – Copy and Paste is not working on my Remote Desktop Connection… what’s wrong?

Gerade bei kleinen Umgebungen in denen es nur einen Server gibt oder z.B. ein SBS oder Essentials Server zum Einsatz kommt, die in der Regel Domänencontroller sind, hat man kaum eine andere Möglichkeit, als den SQL Server (Express) dort zu installieren.

Empfohlen wird dies (aus Sicherheitsgründen) nicht, wenn man allerdings keine andere Wahl hat, ist es dennoch möglich. Das Setup blockiert die Installation auf einem Domänencontroller nicht.

Bietet die Anwendung die den SQL Server benötigt die Möglichkeit, einen bestehenden SQL Server bzw. eine bestehende Instanz zu verwenden, so hat man gute Karten, diese Kombination zum Laufen zu bekommen.

Schwierig kann es hingegen sein, wenn der SQL Server (Express) von einem Anwendungssetup mitgebracht und automatisch installiert wird. Dann läuft man ggf. chancenlos in eine Fehlersituation hinein, ohne etwas ändern zu können.

Woran hängt es überhaupt?

Laut Recherche kann es dafür mehrere unterschiedliche Gründe geben. Im vorliegenden Szenario scheiterte die erfolgreiche Einrichtung am Dienstkonto. Per Standard soll vom Setup ein Benutzer in der Art „NT Service\MSSQL$<INSTANZNAME>“ eingerichtet werden. Auf einem Domänencontroller scheitert dies allerdings. Darüber hinaus kann der SQL Server Express nicht mit den Benutzerkonten „Lokaler Dienst“ oder „Netzwerkdienst“ ausgeführt werden.

Workaround

Als schnelle Lösung kann das „SYSTEM“-Konto verwendet werden. Dieses muss bei der Installation ausgewählt werden. Ein nachträgliches Ändern ist zwar über die Diensteverwaltung umsetzbar, allerdings ist unter Umständen die zugrundeliegende Installation unvollständig oder dermaßen Defekt, das ein Start bzw. eine Reparatur nicht möglich sind. Dies kann man, wenn man so mag, dead-on-arrival nennen.

Ausgehend von einer Standard-Installation muss das Dienstkonto von „NT Service\MSSQL$MSQLEXPRESS“ zu „NT-AUTORITÄT\SYSTEM“ geändert werden:

Alternativ kann ein eigenes Dienstkonto für den SQL Server-Dienst manuell angelegt und bei der Installation ausgewählt werden. Siehe dazu:

MS SQL – Konfigurieren von Windows-Dienstkonten und -Berechtigungen

windowsserversecurity.com – Step-by-Step Guide to Configure Group Managed Service Accounts

Jeff’s Blog – Managed Service Accounts in Server 2012 R2

Welche Anwendungen betrifft es?

Dieser Beitrag entstand aufgrund des Umstands, das bei einem Kunden SFirm V4 eingeführt werden sollte. Beim gemeinsamen Termin mit einem Mitarbeiter der Sparkasse scheiterte die Installation aufgrund der zuvor genannten Dienstkonten-Gegebenheiten. Erst nach Recherche und Tests konnte die Lösung mit dem „SYSTEM“-Konto ermittelt und angewendet werden. Bei dem Server handelt es sich um einen Windows Server 2012 R2 Foundation.

Star Finanz, der Hersteller von SFirm, liefert jenseits der automatischen Installation des SQL Server Express die Möglichkeit, eine bestehende Instanz nutzen zu können. Dazu ist neben der SQL Server-Installation die Vorbereitung für die SFirm-Installation notwendig. Auf der Homepage finden sich dazu die notwendigen Schritte:

SFirm – Anleitungen und Info-Dokumente zu SFirm

Siehe dort „Installation von SFirm (inkl. MS SQL Server)“. Am einfachsten geht es mit  dem Assistenten (Kapitel 5, Seite 27), alternativ mit Batch/SQL-Skript oder per Management Studio.

Hinweis: Das SFirm-Setup installiert einige Abhängigkeiten. Diese erfordern einen Neustart. Zum Zeitpunkt als dieser Beitrag geschrieben wurde war es leider so, das selbst wenn bei der „Neustart“-Abfrage man „Nein“ angeklickt hat, der Server dennoch neustartet. Im laufenden Betrieb ist das gelinde ausgedrückt einigermaßen ungut. Darüber hinaus ist es wichtig, das der Server auf einem aktuellen Stand in Sachen Windows Updates ist, andernfalls kann es zu nicht näher definierten Fehlern bei der Installation kommen wie z.B. das der SFirm-Updatedienst nicht gestartet werden kann und in Folge das Setup abbricht.

Bemerkung: Damit ein manuell installierter SQL Server (Express) mit SFirm als auch weiteren Anwendungen und Netzwerkarbeitsplätzen funktioniert, sind ggf. zusätzliche Schritte notwendig. Stichsätze dazu sind:

• Den Dienst „SQL Server-Browser“ starten.
• Dynamische TCP-Ports deaktivieren.
• Port „1433/tcp“ (SQL Server-Standardport) konfigurieren
• Die Ports „1433/tcp“ (SQL Server) und 1434/udp“ (SQL Server-Browser) in der Windows-Firewall freigeben.

Der Lesart nach kann es ebenso kleine JTL-Installationen betreffen. Mit Sicherheit gibt es noch viele weitere Anwendungen.

Quellen:

BASICS.NET – SQL Server 2012 Express: How to install on a Windows 2012 R2 Domain Controller

Wenn man so möchte als Ergänzungsbeitrag zu MS SQL Server 2014 Express auf einem Domänencontroller installieren folgt nun eine Kurzanleitung, wie man unter Windows Server 2012 R2 ein Group Managed Service Account (gMSA) für Dienste einrichtet.

Als Beispiel dient ein Microsoft SQL Server 2014 Express, der für SFIRM V4 verwendet werden soll und auf einem Domänencontroller installiert ist, bei dem nachträglich vom Systemkonto auf ein gMSA gewechselt werden soll.

Alle nachfolgenden Befehle werden auf dem Server in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten ausgeführt.

KdsRootKey anlegen

Zunächst prüfen, ob es bereits einen Key Distribution Services Root Key (KdsRootKey) existiert:

Get-KdsRootKey

Falls nicht, diesen Anlegen:

Add-KdsRootKey –EffectiveImmediately

In der Vorgabe muss man allerdings 10 Stunden warten, bevor man weiter arbeiten kann. Hintergrund ist, sofern vorhanden, das die Replikation zwischen allen Domänencontrollern abgewartet werden muss. Umgehen kann man dies mit diesem Befehl:

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Dadurch wird der Schlüssel zehn Stunden in der Vergangenheit angelegt. Bei einem einzelnen oder wenigen Domänencontroller(n) geht das in Ordnung.

gMSA erstellen

New-ADServiceAccount <Kontoname> -DNSHostName <FQDN-des-Servers-auf-dem-der-Dienst-läuft> -PrincipalsAllowedToRetrieveManagedPassword "Gruppe"

Beispiel:

New-ADServiceAccount SFIRMV4 -DNSHostName testdc01.testdom01.local -PrincipalsAllowedToRetrieveManagedPassword "Domänencontroller"

Per Vorgabe werden gMSA im Active Directory unter „Managed Service Accounts“ angelegt. Dort sollte man nun das Konto sehen können:

Dienstkonto dem Server zuweisen

Install-AdServiceAccount <Kontoname>

gMSA prüfen

Test-AdServiceAccount <Kontoname>

Dienstkonto des SQL Servers ändern

• Den „SQL-Server-Konfigurationsmanager“ starten.
• Zu „SQL-Server-Dienste“ wechseln.
• Die betreffende Instanz doppelt anklicken.
• Auf der Registerkarte „Anmelden“ „Dieses Konto:“ und „Durchsuchen“ anklicken.
• Auf „Objekttypen“ klicken, alles abwählen und „Dienstkonten“ aktivieren.
• Entweder den Kontoname eingeben oder auf „Erweitert“ klicken und das Konto auswählen.
• Auf „OK“ klicken.

Damit die Änderung übernommen wird, muss der Dienst neu gestartet werden. Dies als auch weitere notwendige Anpassungen (Registry, Rechte im Dateisystem, …), übernimmt der Konfigurationsassistent von selbst.

Quellen:

MS Docs – Create the Key Distribution Services KDS Root Key

MS Docs – Getting Started with Group Managed Service Accounts

Wydler – Group Managed Service Accounts

Active Direcotry FAQ – Group Managed Service Accounts

Seit dem Microsoft Patchday vom März 2018 (13.03.2018), genauer ausgedrückt ab der Installation von „2018-03 – Monatliches Sicherheitsqualitätsrollup für Windows Server 2012 R2 für x64-basierte System (KB4088876)“ unter Windows Server 2012 R2 Standard funktioniert der RDP Wrapper nicht mehr. Allen voran fällt dies auf, das sich nur zwei Benutzer via Remotedesktopverbindung anmelden können. Startet man „RDPConf.exe“ fällt beim „Listener“ ein „not supported“ auf:

Abhilfe schafft ein Downgrade der „termsrv.dll“ unter „C:\Windows\System32“ auf die vorige Version. Diese kann man beispielsweise aus den Schattenkopien oder einer Datensicherung kopieren.

Damit man die Datei umbenennen oder überschreiben kann, muss man zunächst den Besitzt übernehmen und der Benutzergruppe „Administratoren“ Vollzugriff gewähren.

Nachdem die vorige Version der „termsrv.dll“ eingespielt wurde, einmal den Dienst „Remotedesktopdienste“ neustarten.

Nun sollten wieder mehr als zwei RDP-Verbindungen möglich sein und „RDPConfig.exe“ zeigt beim „Listener“ wieder „fully supported“ an:

In wie fern es andere bzw. weitere Windows-Editionen und – Editionen betrifft kann ich nicht sagen.

Wahrscheinlich wird es in absehbarer Zeit eine neue *.ini-Datei für den RDP Wrapper geben, die dann die neue Version der „termsrv.dll“ unterstützt.

Quelle:

RDP Wrapper – GitHub – Add support for termsrv 6.3.9600.18928 #418

Manchmal geschehen Dinge, die man so nicht wollte: Durch einen doppelten Tippfehler hatte ich mich auf einem SuperMicro-Server vom SuperDoctor ausgesperrt. Eigentlich sollte nur das Kennwort geändert werden.

Im Handbuch und bei einer schnellen Suche im Netz fands ich leider keine Reset-Funktion für das Kennwort oder ich hab’s übersehen. Die Schattenkopien waren auf dem System nicht aktiviert und eine Datensicherung gab’s auch nicht (da nur Hyper-V Host). Lediglich zum Ändern des Keystore-Passworts der JVM oder was auch immer da genau läuft ist etwas in der Doku zu finden.

Jedenfalls kurz in den Ordner vom SuperDoctor geschaut, findet sich in verschlüsselter oder gehashter Form das ADMIN-Kennwort in der Datei

C:\Program Files\Supermicro\SuperDoctor5\config\agentweb.properties

#Sat Mar 24 08:16:17 CET 2018
contextPath=/SuperDoctor5
port=8181
enableHttp=true
keystorePassword=<keystore-password>
username=ADMIN
webcontentPath=plugins/builtin/web/WebContent
enableHttps=true
keystore=certificates/.keystore
healthInfo.interval=10
showAdminLogin=false
password=<admin-password>
enableTray=true
sslPort=8444

Also bei „password“ (rot markiert) steht das ADMIN-Kennwort. Leer lassen oder 123… reinschreiben hilft nichts. Damit Änderungen übernommen werden, muss immer der Dienst „SuperDoctor 5“ (Dienstname: „sd5“) neu gestartet werden.

Die Lösung bestand nun schlicht darin, den Wert von einer anderen SuperDoctor-Konfiguration, von der man das Kennwort kennt, zu kopieren, einzufügen, zu speichern und wie erwähnt einmal den Dienst neu zu starten.

Besser ist es in jedem Fall geordnet und geplant eine Migration ganz gleicher welcher Art durchführen zu können. In einer Notfallsituation kann es allerdings vorkommen, das es schnell gehen muss.

So kam es überraschend bei einem Kunden zum Ausfall eines Server, unglücklicherweise war dieser zudem der OCC-Connector von Server-Eye. Offensichtlich gibt es einen Fallback, sollte der OCC-Connector nicht erreichbar sein, so das die Sensorhubs dann direkt ans OCC melden. Man ist also nicht völlig blind.

Geplant lässt sich der OCC-Connector wie bei Server-Eye beschrieben umziehen:

OCC-Connector umziehen

Ebenfalls interessant ist dieser Artikel:

OCC-Connector neu installieren ohne Werte und Sensoren zu verlieren

Quick & dirty kann man auch so vorgehen:

• Vom Altsystem aus den Ordner „C:\ProgramData\ServerEye3“ auf das neue System an gleicher Stelle kopieren.
• Das Server-Eye-Setup bis zum Einrichtungsassistenten laufen lassen und dann beenden. Dieser Schritt ist wichtig, damit die Programmdateien, Dienste und Firewall-Regeln vorhanden sind.
• Die Dienste „Server-Eye OCC Connector“ und „Server-Eye Sensorhub“ starten.

Im OCC meldet sich das neue System wie der bisherige OCC-Connector, d.h. unter gleichem Namen. Bis alle Sensoren laufen, kann es einen Moment dauern, bis im Hintergrund die notwendigen Dateien heruntergeladen wurden. Mitunter kommt es vor, das der eine oder andere Sensor neu konfiguriert werden muss. Konkret mussten wir das bei einem Securepoint-Sensor tun.

Hinweis: Empfohlen ist das nicht und nur ein Notbehelf!

Nach der Installation der Windows Updates vom März 2018 streikte auf einem Windows Server 2016 der WSUS.

Die Installation der Updates verlief gewohnt lahm aber erfolgreich durch. Der notwendige Neustart klappte ebenso. Allerdings war anschließend keine Verbindung der WSUS-Verwaltungsoberfläche möglich. Im Ereignisprotokoll fand sich dies:

Alle relevanten Dienste liefen allerdings. Für zusätzliche Verwirrung sorgt, das es keinen Dienst mit dem Namen „Update Services“ (mehr) gibt, vermutlich ist „WsusService“ gemeint, dieser lief allerdings ebenfalls.

Nach einem weiteren Neustart startete dann der WSUS-Anwendungspool im IIS nicht, dieser wurde manuell nachgestartet, aber so richtig rund lief es dann immer noch nicht.

Alle guten Dinge sind drei, sagt man, also nochmal neu gestartet und siehe da, es lebt wieder.

Möglicherweise hängt dies alles mit der nicht gerade üppigen Ausstattung des virtuellen Computers zusammen. So hat das System nur 4GB Arbeitsspeicher zur Verfügung. Man muss allerdings dazu erwähnen, das es seit der Inbetriebnahme keinerlei Schwierigkeiten gegeben hat. Auffällig ist, das es zu Abstürzen des IIS-Anwendungspool des WSUS kommt, wenn über die Einstellungen von Windows nach Windows Updates gesucht wird. Sucht man die Updates über sconfig geschieht dies nicht, das mag aber nur Zufall sein.

Wir haben nun erstmal mehr RAM zur Verfügung gestellt und die Speicherbegrenzung des WSUS-Anwendungspool von 1.75GB (Voreinstellung) auf testweise 0 (keine Begrenzung) gesetzt.

Mal sehen, was bei der nächsten Windows Updates-Runde geschieht.

Ein seit langem lästiges Problem sind die Verbindungsabbrüche wenn man den Serverberinigungsassistenten beim WSUS ausführt. Meist geschieht dies beim entfernen alter Updates.Für die Abbrüche kann es mehrere Ursachen, wie z.B. den Verbindungs-Timeout zur Datenbank oder langsame Hardware. Ersteres kann man relativ leicht ändern. Auf einem Windows Server 2016 mit WSUS 4.0 und WID (Windows Internal Database) hatte ich allerdings mit der grafischen Oberfläche des Management Studio (getestet mit Version 2012 und 2017) kein Glück, die Verbindungeinstellungen ändern zu können. Es erschien immer folgende Fehlermeldung beim Versuch auf die Eigenschaften zuzugreifen:

Oder als Text (damit die Suchmaschinen auch etwas davon haben):

TITEL: Microsoft SQL Server Management Studio
------------------------------

Das angeforderte Dialogfeld kann nicht angezeigt werden.

------------------------------
ZUSÄTZLICHE INFORMATIONEN:

Das angeforderte Dialogfeld kann nicht angezeigt werden. (SqlMgmt)

------------------------------

Fehler beim Abrufen von Daten für diese Anforderung. (Microsoft.SqlServer.Management.Sdk.Sfc)

Hilfe erhalten Sie durch Klicken auf: http://go.microsoft.com/fwlink?ProdName=Microsoft%20SQL%20Server&LinkId=20476

------------------------------

Ausnahme beim Ausführen einer Transact-SQL-Anweisung oder eines Transact-SQL-Batches. (Microsoft.SqlServer.ConnectionInfo)

------------------------------

Für den aktuellen Befehl ist ein schwerwiegender Fehler aufgetreten. Löschen Sie eventuelle Ergebnisse.
RegQueryValueEx() returned error 2, 'Das System kann die angegebene Datei nicht finden.' (Microsoft SQL Server, Fehler: 0)

Hilfe erhalten Sie durch Klicken auf: http://go.microsoft.com/fwlink?ProdName=Microsoft%20SQL%20Server&ProdVer=12.00.2000&EvtSrc=MSSQLServer&EvtID=0&LinkId=20476

------------------------------
SCHALTFLÄCHEN:

OK
------------------------------

Die Links zu Microsoft führen allerdings ins „nirgendwo“, außer zu Surface-Werbung.

Den Timeout kann man alternativ über folgenden Weg ändern:

Eine Eingabeaufforderung öffnen:

osql -E -S \\.\pipe\Microsoft##WID\tsql\query

exec sp_configure 'show advanced option', '1';
reconfigure;
exec sp_configure; <- Zeigt die Eintellungen an, sobald das nachfolgende go abgesetzt wird. Am besten diese zur Sicherheit Kopieren.
go
exec sp_configure 'remote query timeout (s)', 0;
reconfigure with override;
go
quit

Den Dienst „Interne Windows-Datenbank“ (Dienstname: „MSSQL$MICROSOFT##WID“) neu starten, um die Änderung zu übernehmen.

Mit etwas Glück läuft der Assistent nun durch. Leider war mir das Glück nicht hold, nach etwas über 1.5 Stunde kam es erneut zum Abbruch. Wiederholte Ausführungsversuche halfen auch nicht wirklich weiter, dem Hörensagen nach, soll aber immer ein Fortschritt stattfinden.

Plan B

Es gibt einige Skripte zum Automatisieren der WSUS-Bereinigung. Ein recht umfangreiches Exemplar kommt dabei von Adam Marshall:

Adam Consulting – WSUS Automatic Maintenance

spiceworks – WSUS Automated Maintenance (Formerly Adamj Clean-WSUS)

Das Skript ist gut dokumentiert, es können bzw. müssen nur wenige Variablen den eigenen Bedürfnissen angepasst werden und automatisierbar samt E-Mail-Benachrichtung ist es obendrein auch noch. Aber das ist nicht alles: So lässt sich z.B. auch das Speicherlimit des Anwendungspools ändern, dieses Thema hatten wir ja neulich erst:

Windows Server 2016: WSUS-„Schluckauf“ nach März 2018-Updates

Im Vergleich zum Assistenten war es in diesem Fall-Beispiel nicht nur erfolgreich, sondern auch rasend schnell. Nach 1.5 Minuten waren 5980 Updates entfernt und damit ca. 78 GB zusätzlich an Speicherplatz frei. Und das war nur der „First-Run“. Weitere Durchläufe kann man mit gewünschten Parametern durchführen.

Seit eingier Zeit beobachte ich ein lästiges Problem: Reagiert eine RemoteApp zeitweise nicht, da sie gerade beschäftigt ist, wird die Sitzung getrennt und gleich wieder verbunden.

Bei mehreren gleichzeitig geöffnenten RemoteApps betrifft das alle Verbindungen zum gleichen Terminalserver bzw. RDSH. „Witzigerweise“ geschieht dies bei vollständigen Desktops nicht, es liegt also irgendwie an der RemoteApp-Session.

Ebenfalls kann dies auftreten, wenn der Server einen Moment lang ausgelastet ist.

Dieses Verhalten wird im MS TechNet Forum ebenfalls beschrieben:

RDP Session Disconnect/Reconnect when RemoteApp is in Not Responding State (Server 2012)

Recht häufig habe ich das bislang bei Thunderbird als RemoteApp beobachtet. Abhilfe, zumindest teilweise, kann schaffen, die eine oder andere Maßnahmen aus folgenden Beiträgen anzuwenden:

mozillaZine – Minimize the size of a profile

mozillaZine – Performance – Thunderbird

Auf dem Server findet sich zum Zeitpunkt der Verbindungsunterbrechung folgendes:

Protokollname: Application
Quelle:        Desktop Window Manager
Datum:         10.04.2018 22:55:09
Ereignis-ID:   9009
Aufgabenkategorie:Keine
Ebene:         Informationen
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      HOSTNAME
Beschreibung:
Der Desktopfenster-Manager wurde mit dem Code (0xd00002fe) abgebrochen.

Laut Suchmaschine bedeutet das allerdings mitunter nur, das der RDP-Client beendet wurde. Auf dem Client taucht wiederum überhaupt keine Meldung auf.

Schön wäre es, wenn man einen Timeout einstellen könnte. Dazu konnte allerdings leider nichts gefunden werden.