Und so beginnt es, kann man sagen: Neulich hat das Windows-Update KB3035583 noch für entsprechende Aufmerksamkeit (z.B. bei heise) gesorgt, das man damit die Anwender zum Umstieg auf Windows 10 animieren möchte. Jetzt es es soweit.

Heute (01.06.2015) erschien ein neues Symbol im Infobereich (Tray) meines Windows 8.1-Notebooks. Ist der Mauszeiger auf dem Symbol erscheint der Tipp “Windows 10 Herunterladen” (Im Screenshot ohne Tipp-Meldung, es handelt sich um das erste Symbol):

Öffnet man “das neue Programm” (Doppelklick), erscheint folgendes Fenster:

Herunterladen kann man also noch nicht, lediglich reservieren. Nun gibt es letzte Gewissheit mit dem eingangs erwähnten Update, das es eben im weitesten Sinne Werbung einblendet.

Ironisch ist in meinem Fall, das es sich bei mir um eine Action Pack-Lizenz von Windows 8.1 Pro handelt.

Den Downloader ansich findet man laut Task-Manager unter

C:\Windows\System32\GWX

Informationen zum Entfernen finden sich im oben verlinkten heise-Artikel.

Unschön seitens Microsoft ist der Umstand, das dieses Update zunächst optional, später dann wichtig war und stillschweigend installiert wurde. Das ist nicht gerade die feine Art.

Wie heute z.B. bei heise oder golem zu lesen war, arbeitet Microsoft mit OpenSSH daran, eine native Implementierung von SSH in Windows PowerShell zu realisieren. Als cross-platform Nutzer ist man geneigt zu sagen: Es wird langsam auch Zeit.

Bleibt (natürlich) abzuwarten, was letztlich dabei raus kommt, SSH alleine ist ja ggf. noch nicht alles. Jedenfalls bin ich gespannt, wie sich das entwickelt.

In der Zwischenzeit kann man als Client nach wie vor auf PuTTY oder KiTTY setzen und als Server (aka Daemon) auf Bitvise SSH Server oder freeSSHd.

Es ist Montag und der Tag fängt mit einer Hiobsbotschaft von einem Kunden an, das die Telefonanlage streikt. Alle Telefone würden „Initialisierung“ auf dem Display anzeigen. Ein Neustart der Telefonanlage als auch der einzelnen Telefone ändert fast nichts an diesem Zustand, ein Teil der Telefone bleibt unbenutzbar.

Nicht funktionierende Telefonie ist für nahezu jeden ein Problem, um so schlimmer wenn man eine Agentur ist, die unter anderem Call-Center-Services anbietet.

Der Kunde hat eine ältere NetPhone-Anlage (Deutsche Telekom-gelabelte Swyx) im Einsatz. Als Telefone kommen Octophone F31 (Deutsche Telekom-gelabelte Siemens optiPoint F31) zum Einsatz. Und genau an diesen Telefonen hing es letztlich, dazu gleich mehr. Die Netzwerkinfrastruktur-Dienste (AD, DHCP, DNS, …) werden von einem Microsoft Windows Small Business Server 2011 Standard (SBS) gestellt.

Die Telefone erhalten per DHCP ihre IP-Adresse, die IP-Adresse zum Netphone-Server ist wiederum fest in den Geräten konfiguriert. Manche Teilnehmer sind fest vorgegeben, soll heißen: Es wird automatisch auf Basis der MAC-Adresse des Telefons ein Teilnehmer angemeldet, andere melden sich je nachdem wo sie sitzen mit ihrer Durchwahl an.

Hinweis: Bei NetPhone/Swyx gibt es mehrere Möglichkeiten, wie bzw. woher die Telefone ihre Konfiguration erhalten. DHCP ist eine davon, manuell bzw. fest geht ebenso als auch (soweit mir bekannt) alles über’s Netz.

Spurensuche

Leider kann man am Telefon in der Initialisierungs-Phase nichts weiter machen, es steht kein Menü, Abbrechen etc. zur Verfügung. Folglich muss man sozusagen von der anderen Seite aus mit der Fehlersuche beginnen. In diesem Fall bedeutet das vom Server aus.

Bemerkung: Am Rande sei erwähnt, das diese Telefone per PoE mit Spannung versorgt werden. Es gibt eine Möglichkeit, ein Netzteil anzuschließen. Vor Ort war aber weder ein solches Netzteil noch ein unbenutzer PoE-Switch oder ein PoE-Injektor vorhanden.

Um zu sehen, was in dem Moment passiert, wenn das Telefon ans Netz geht, wurde kurzerhand Nirsoft’s SmartSniff auf dem SBS gestartet. Beobachtet man dann den Verkehr von „UDP – 0.0.0.0 – 255.255.255.255 – Service „bootpc““ (dort finden sich die DHCP-Daten) so sieht man, wie sich das Telefon am DHCP-Server meldet und die Meldung (vom Server) erhält, das die IP-Adresse bereits verwendet ist.

Da die IP bereits vergeben ist, sollte nun dem Telefon eine neue Adresse zugewiesen werden, genau das geschieht allerdings nicht. Stattdessen versucht das Telefon weiter seine alte bereits anderweitig verwendete Adresse zu verlängern.

Bemerkung: Mit anderen Geräten wie z.B. ThinClients, Notebooks und PCs vor Ort klappte der DHCP-Vorgang ohne Probleme, scheinbar ist dieses Problem auf die Telefone begrenzt gewesen.

Neustart der Telefone, ganz gleich ob Soft (per Admin-Webinterface) oder Hard (Stromlos machen…) änderte nichts an der Sache. Bei näherem Begutachten der Einstellungen im administrativen Teil des Webinterfaces eines der Telefone viel auf, das trotz aktivierten DHCP noch ein seit langem nicht mehr vorhandener DNS-Server als auch Router eingetragen ist.

Als seinerzeit der DHCP-Server migriert wurde, wurden alle aktuellen Einstellungen übernommen, scheinbar interessierte das die Telefone im Gegensatz zu allen anderen Netzwerk-Euqipment nicht.

Mit dieser Erkenntnis wurde daraufhin mittels Angry IP Scanner mal der Bereich des Netzwerks aus dem DHCP-Bereich gescannt und das Ergebnis mit den aktuellen Leases verglichen. Dabei fiel auf, das bei nahezu allen Telefonen die verwendete IP-Adresse nicht mit dem Lease im DHCP-Server übereinstimmt. Offensichtlich bestand das Problem bereits länger.

Die Lösung

Nachdem klar war, das die Telefone „auf Teufel komm raus“ ihre IP zunächst nicht hergeben wollten und zu allem Unglück die vergebenen Leases nicht zu den MAC-Adressen passte, musste eine Lösung her. Die Bestand darin im DHCP-Server die Konfliktbehandlung zu aktivieren:

• Die MMC „DHCP“ öffnen.
• Zum entsprechenden Server gehen.
• Mit der rechten Maustaste auf „IPv4″ klicken und aus dem Kontextmenü „Eigenschaften“ auswählen.
• Zur Registerkarte „Erweitert“ wechseln.
• Im Feld „Anzahl der Konflikterkennungsversuche“ den Wert von „0“ auf (min.) „1“ ändern.
• Auf die Schaltfläche „Übernehmen“ klicken.
• Ggf. alle Geräte, die eine IP-Adresse per DHCP erhalten neustarten.

Und siehe da, die Telefone gaben ihre „Blockadehaltung“ auf und holten sich neue IP-Adressen in dem Moment wo sie neu gestartet wurden. Letztlich war Turnschuh-Administration angesagt, jedes Telefon wurde vom Strom getrennt und neu verbunden. Anschließend wurde geprüft ob die IP-Adresse zum Lease passt.

Wie im Screenshot zu sehen, werden merhfach verwendete IP-Adressen als „BAD_ADDRESS“ deklariert, die Leasezeit ist dann relativ klein (sollte ausreichen um das Problem zu lösen). Im Protokoll unter „C:\Windows\System32\dhcp“ lässt sich ebenfalls der Ablauf nachvollziehen.

Bei einem Kunden erschien nach der Migration eines Terminalservers von Windows Server 2003 auf Windows Server 2008 R2 beim Aufrufen von „Speichern unter“ z.B. aus dem Adobe Reader oder Excel die Meldung „Der Vorgang wurde aufgrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden sie sich an den Systemadministrator.“

Für diese Meldung kann es verschiedene Gründe geben, die Ausgangslage ist entsprechend relevant bei der Suche nach der Ursache. In diesem Fall erschien die Meldung reproduzierbar nach dem z.B. eine PDF-Datei, die an einer E-Mail angehängt war von Outlook aus im Adobe Reader geöffnet wurde. Klickte man dann auf „Datei – Speichern unter“ kommt genannte Meldung. Nachdem Diese mit einem Klick auf „OK“ bestätigt wurde, konnte man dennoch Speichern.

Ursachenforschung

Das eine Gruppenrichtlinie dafür verantwortlich ist lässt schon der Text der Meldung vermuten, die Frage war allerdings, was im verborgenen geschieht. Einen Hinweis darauf lieferte der Process Monitor mit dessen Hilfe man beobachten konnte, das der Adobe Reader in dem Moment, in dem man Speichern möchte, in den „Temporary Internet Files“-Ordner des Internet Explorers (Outlook greift darauf zu, da es die IE-Engine verwendet, in Folge betrifft es auch den Reader) eine „Zugriff verweigert (Access Denied)“-Meldung erhält. Das mutet zunächst seltsam an, da der Benutzer innerhalb seines eigenen Profils eigentlich überall Zugriff hat.

Lösung

Ursächlich für dieses Phänomen ist folgende Gruppenrichtlinieneinstellung:

Computer-/Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Windows-Komponenten - Windows-Explorer - Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen

Nachdem die Richtlinie geändert wurde, funktionierte alles wieder wie gewohnt. Die lokalen Laufwerke bleiben dennoch für den Anwender verborgen (aber der Zugriff ist dennoch möglich) da im gleichen Pfad die Richtlinie „Diese angegebenen Datenträger im Fenster Arbeitsplatz ausblenden“ entsprechend konfiguriert ist. Das ist zwar in diesem Szenario irgendwie Security-by-obscurity, aber was will man machen.

Kurios bleibt allerdings, das dieses GPO ebenfalls auf den alten Terminalserver wirkte und dort diese Meldung nicht erschien. Tatsächlich handelt es sich sogar um das bis zu diesem Zeitpunkt gleiche unveränderte GPO wie seit Jahren.

Gelegentlich bekommen wir Computer in die Werkstatt, auf dem Benutzer IncrediMail für die E-Mail-Kommunikation verwenden. Möchte man diese Anwendung auf einen neuen Computer migrieren, kann man unter Umständen auf ein Problem treffen.

Theorie und bisherige Praxis

In der Theorie und das hat in der Vergangenheit auch immer wieder gut funktioniert, kann man über den Menüpunkt „Datei – Übertragen von Daten und Einstellungen – Übertragung zu neuem Computer“ eine CAB-Datei erstellen lassen, die alle relevanten Daten enthält.

Auf dem neuen Computer installiert man IncrediMail und spielt die Daten dann über „Datei – Übertragen von Daten und Einstellungen – Übertragen vom alten Computer“ ein. Diese Heransgehensweise ist einfach und effektiv.

Der gesamte Vorgang ist unter anderem auf den Hilfeseiten beschrieben:

IncrediMail-Hilfezentrum – F: Wie übertrage ich alle meine IncrediMail-Dateien und -Einstellungen auf einen anderen Computer?

Was aber, wenn der Punkt zum Übertragen auf einen neuen Computer fehlt, wie es in der Version 2.5 der Fall ist?! Recherchiert man dieses Thema, stellt man schnell fest, das man nicht alleine ist und das es sich bei der Sache vermutlich um einen Fehler handelt.

Aktuelle Praxis / Lösung

Etwas weniger bequem gelangt man dennoch ans Ziel. Auf dem Quellcomputer müssen folgende Daten gesichert werden:

Im Ordner „C:\Users\%username%\AppData\Local\IM“ befinden sich alle Dateien zur Anwendung. Diesen Ordner einfach an gleicher Stelle auf den Zielcomputer kopieren.

Aus der Registry muss der Schlüssel

HKCU\Software\IncrediMail

exportiert werden (rechte Maustaste auf den Schlüssel und „Exportieren“ anklicken).

Da wir über genannten Umstand, erst gestolpert sind, als IncrediMail bereits auf dem neuen Computer installiert war, war unsere Vorgehensweise wie folgt. Denkbar ist aber auch, das man erst die Daten vom alten Computer einfügt und dann erst die Anwendung installiert. Getestet haben wir das allerdings nicht.

Den neu angelegten „IM“-Ordner haben wir gelöscht und durch den vom alten Computer ersetzt. Via Regedit haben wir den IncrediMail-Schlüssel gelöscht. Nun die zuvor exportierten Registry-Einstellungen importieren (Doppelklick auf die *.reg-Datei).

Für den Fall das sich z.B. der Benutzername geändert hat, müssen noch die Werte von „ApplicationPath“ und „ApplicationPathBackup“ angepasst werden:

Startet man nun IncrediMail sollte alles funktionieren.

Zur Info: Es wurde von Windows 7 Home Premium 32-bit auf Windows 8.1 64-bit migriert.

Einem Kunden viel auf, das die erweiterte Suche in Outlook keine Ergebnisse lieferte, als er Nachrichten mit einem bestimmten Schlüsselwort und vergangene Woche eingangen sind suchte. Vor ein paar Tagen hatte die gleiche Suche noch die entsprechenden Mails ausgegeben.

Bei weiterer Begutachtung viel auf, das der älteste Eintrag nur gut eine Woche zurückreichte, allein das war bereits seltsam, da in den Postfächern Nachrichten aus den letzten Jahren liegen. Da die normale Suche in Outlook passende Ergebnisse lieferte war schnell klar, das es an der Art der Suche und dem Index des Suchdienstes liegen muss.

Da wir ein solches Phänomen bislang nicht kannten, musste zunächst recherchiert werden, wo denn die Datenbank mit dem Index abgelegt ist und was man tun könnte. Die Kunden-Umgebung besteht aus einem Windows Small Business Server 2011, der einen Exchange Server 2010 enthält, es geht also nur um einen einzelnen Server.

Hinweis: Für Exchange Server mit DAG gibt es andere bzw. weitere Möglichkeiten (siehe Quellen).

Der Suchindex wird parallel zu den Exchange-Datenbanken (Informationsspeicher) abgelegt, das heisst im gleichen Ordner in dem die *.edb-Dateien liegen. Die Standard-Vorgabe ist

"C:\Program Files\Microsoft\Exchange Server\V14\Mailbox\MAILBOX-DATENBANKNAME"

Dort findet sich ein Unterordner der mit „CatalogData…“ beginnt, darin je nach Umfang viele kleinere Dateien.

Anmerkung: Die Transaktionsprotokolle liegen in diesem Fall auf einem anderen Laufwerk, als die Datenbanken. In der Standard-Installation befinden sich alle Drei (Logs, EDBs und Index) im gleichen Ordner.

Wie sich herausstellte gab es zwei Index-Ordner, einmal im Pfad der Transaktionsprotokolle und einmal im Pfad der Informationsspeicher. Auffällig war, das der Ordner bei den Logs gut ein Gigabyte an Umfang hatte und bis zu dem Zeitpunkt (laut Zeitstempel der enthaltenen Dateien) verwendet wurde, bis das der zweite Ordner auf dem anderen Laufwerk erstellt wurde. Der zweite Ordner hatte nur einen Umfang von ca. 28 MB.

Die Ursache für dieses Aufsplitten über die zwei Laufwerke und warum der alte Index nicht weiter verwendet bzw. mit auf das andere Laufwerk übernommen wurde bleibt indes unklar.

Funktion prüfen

Mit dem Befehl „Test-ExchangeSearch“, ausgeführt in einer „Exchange Management Shell“, lässt sich überprüfen ob die Index-Funktion überhaupt tut was sie soll. In diesem Fall erhielt man eine positive Antwort.

Erster Versuch / Erster Misserfolg

Basierend auf dem Thread unter

TechNet Foren – Exchange 2010: Suche in Outlook 2010 und OWA liefert nur Teilergebnisse

wurde zunächst der Dienst „Microsoft Exchange-Suchindizierung“ (MSExchangeSearch) beendet, die „Content…“-Ordner umbenannt und der Dienst erneut gestartet. Der „Content“-Ordner im Pfad der *.edb-Dateien wurde daraufhin automatisch neu erstellt, war aber sofort wieder nur 28 MB groß, im Pfad der Logs tat sich indes nichts.

Die Lösung

Der Einfachheit halber wurde schlicht der gesamte alte Index entfernt und neu erstellt. Bei gut 70 GB an E-Mails dauerte der Vorgang ca. zwei Stunden.

• Eine „Exchange Management Shell“ öffnen.
• In den Ordner „C:\Program Files\Microsoft\Exchange Server\V14\Scripts“ wechseln.
• Das Skript „.\ResetSearchIndex.ps1 –all“ ausführen.

Quellen

MS TechNet – Exchange Server 2013 – Diagnose Exchange Search issues

MS TechNet – Exchange Server 2013 – Reseed the search catalog

Stephan Mey – Exchange 2010: Index und Indexdienst

MS TechNet Blogs – How To Troubleshoot Issues With Exchange 2010 Search

Corelan Team – Exchange 2007 : Indexing and searching mailboxes

Am 14.Juli 2015 endet der Support für Windows Server 2003, Zeit also auf Windows Server 2012 R2 zu migrieren.

Im Gegensatz zur Migration von Windows Server 200x zu Windows Server 2008 R2 kann (muss man aber nicht) man ein paar Schritte bei der Vorbereitung einsparen.

Quellserver vorbereiten bzw. Voraussetzung für die Migration

Die Gesamtstruktur als auch die Domäne muss sich im einheitlichen Modus befinden:

• Die MMC „Active Directory-Benutzer und -Computer“ öffnen.
• Rechtsklick auf DOMÄNENNAME und „Domänenfunktionsebene heraufstufen“ anklicken.
• „Windows Server 2003″ auswählen und auf die Schaltfläche „Heraufstufen“ klicken.
• Anschließend die zwei Meldungen jeweils mit einem Klick auf die Schaltfläche „OK“ bestätigen.
• Die MMC „Active Directory-Domänen und -Vertrauensstellungen“ öffnen.
• Rechtsklick auf „Active Directory-Domänen und -Vertrauensstellungen“ in der Baumstruktur und „Gesamtstrukturfunktionsebene heraufstufen“ anklicken.
• Auf die Schaltfläche „Heraufstufen“ klicken.
• Anschließend die zwei Meldungen jeweils mit einem Klick auf die Schaltfläche „OK“ bestätigen.

Bemerkung: Wie eingangs erwähnt kann man sich ein paar Schritte sparen. Bei voran gegangenen Migrationen war es immer notwendig das Active Directory zusätzlich mit „adprep“ (Zu finden auf dem Windows Server 2012 R2-Installtionsmedium unter „LW:\Support\adprep“) vorzubereiten. Dies übernimmt unter Windows Server 2012 R2 der Server-Manager während des Heraufstufens zum Domänencontroller.

Zielserver zu Domänencontroller heraufstufen

Den neuen Server mit Windows Server 2012 R2 installieren, updaten und in die Domäne aufnehmen.

• Über den Server-Manager die Rolle „Active Directory-Domänendienste“ installieren.
• Den Assistenten zum Hochstufen ausführen und den Server als zusätzlichen Domänencontroller zur bestehenden Gesamtstruktur und Domäne hinzufügen.

Sobald der Assistent alle notwendigen Angaben abgefragt hat kann man erkennen das die Gesamtstruktur als auch die Domäne (Stichworte: „adprep /forestprep“ als auch „adprep /domainprep“) vorbereitet werden.

Achtung: Der Server startet automatisch neu!

FSMO-Rollen übertragen

Bevor der oder die alten Domänencontroller außer Betrieb genommen werden, sollten die FSMO-Rollen übernommen werden. Folgende Schritte werden auf dem Zielserver vorgenommen.

RID, PDC, Infrastruktur

Diese drei Rollen können in der MMC „Active Directory-Benutzer und -Computer“ übertragen werden:

• Rechtsklick auf DOMÄNENNAME und „Betriebsmaster…“ anklicken.
• Auf der jeweiligen Registerkarte auf die Schaltfläche „Ändern…“ klicken.

Domänennamen-Master

• Die MMC „Active Directory-Domänen und -Vertrauensstellungen“ öffnen.
• Rechtsklick auf „Active Directory-Domänen und -Vertrauensstellungen“ in der Baumstruktur und „Betriebsmaster…“ anklicken.
• Auf die Schaltfläche „Ändern“ klicken.
• Anschließend die zwei Meldungen jeweils mit einem Klick auf die Schaltfläche „OK“ bestätigen.

Schemamaster

Um den Schemamaster ändern zu können, muss zunächst eine Eingabeaufforderung geöffnet und der Befehl „regsvr32 schmmgmt.dll“ ausgeführt werden. Anschließend muss eine neue MMC erstellt und das Snap-In „Active Directory-Schema“ hinzufügt werden.

• Rechtsklick auf „Active Directory-Schema“ und „Active Directory-Domänencontroller ändern“ anklicken.
• Anschließend den Domänencontroller auswählen, der zukünftig die Rolle ausführen soll.
• Rechtsklick auf „Active Directory-Schema“ und „Betriebsmaster…“ anklicken.
• Auf die Schaltfläche „Ändern“ klicken.

Bemerkung: Alternativ kann man via „ntdsutil“ die FSMO-Rollen verschieben.

In einer Eingabeaufforderung kann mit dem Befehl „netdom query fsmo“ überprüft werden, ob der Zielserver anstelle des Quellservers für die zuvor genannten Rollen verwendet wird.

Quellserver herunterstufen

Auf dem Zielserver unter „Active Directory-Benutzer und -Computer“ – „Domain Controllers“ die Eigenschaften der Windows 2003 Domänencontroller öffnen, auf die Schaltfläche „NTDS-Einstellungen…“ klicken und den Haken bei „Globaler Katalog“ entfernen.

Den alten Domänencontroller (Quellserver) mit dem Befehl „dcpromo“ herunterstufen, aus der Domäne entfernen und außer Betrieb nehmen.

Bemerkung: Bei mehreren Migrationen erhielten wir beim ersten Versuch den Quellserver herunterzustufen die Meldung das „Netlogon“ nicht entfernt werden konnte und in Folge brach der Assistent ab. I.d.R. funktionierte es dann beim zweiten Versuch. Wir vermuten daher „schlechtes Timing“ an dieser Stelle.

„Früher war alles besser“ ist schätzungsweise eine passender Anfang für diesen Beitrag. Hintergrund ist, das ein Kollege sich danach erkundigte, warum eine „Zugriff verweigert“-Meldung auf seinem Windows Server 2012 R2 RDS-Host erscheint, wenn man als Benutzer versucht eine Nachricht an andere Benutzer zu schicken.

Der Hintergrund ist dort folgender, das eine Anwendung Meldungen bzw. Nachrichten an die Benutzer verschicken muss. Unter dem bisherigen Windows Server 2003 hatte das mittels Nachrichtendienst, den es im übrigen seit Windows Vista nicht mehr gibt, und dem Befehl „net send“ immer funktioniert.

„net send“ wurde durch „msg“ ersetzt (siehe dazu Net Send Ersatz) und Mitglieder der Administratoren-Gruppe können nach wie vor erfolgreich Nachrichten zustellen. „Zugriff verweigert“ bedeutet (fast immer) das eine Berechtigung fehlt. Bislang konnte man das unter „Konfiguration des Remotedesktop-Sitzungshosts“ in den Eigenschaften von „RDP-Tcp“ auf der Registerkarte „Sicherheit“ und deren Untermenüs konfigurieren. Easy sozusagen.

Ab Windows Server 2012 fehlt dieser bekannte Dialog. Als Alternative wird das Setzen und Ändern von Berechtigungen mittels WMI genannt. Daran haben wir uns die vergangenen zwei Tage versucht. Dazu sei erwähnt, das wir in Sachen WMI nicht ganz firm sind (man hat’s halt kaum gebraucht), also wurde recherchiert und probiert, leider ohne ein positives Ergebnis. Dennoch nachfolgend die gegangenen Wege und Quellen. Gut möglich, das jemand noch eine Idee oder gar Lösung zu dem Thema hat (falls ja, her damit ;-)).

Rechercheergebnisse und Tests

Allem voran ist zunächst wichtig zu wissen, was es für Berechtigungen gibt, die man ändern könnte. Aufschluss gibt dazu Microsofts TechNet:

ModifyPermissions method of the Win32_TSAccount class

Man ist mit dem Problem nicht alleine, wie folgender Link zeigt. Dort wird mit Windows Server 2012 gearbeitet. Wir haben das dort aufzeigte PowerShell-Skript unter Windows Server 2012 R2 verwendet, aber leider ohne Erfolg:

server fault – windows server 2012 remote desktop – Send messages between standard users

Im Skript selbst wurde „BUILTIN\\Remote Desktop Users“ durch „VORDEFINIERT\\Remotedeskopbenutzer“ ersetzt, um der jeweiligen Sprachversion gerecht zu werden. Alternativ kann man die SID verwenden (siehe weiter unten). Interessant an dieser Stelle war, das wir bei „PermissionsAllowed“ statt „289“ wie im Thread immer nur, ganz gleich ob vorher oder nachher den Wert „433“ erhielten. Mit anderen Worten: Es wurde nichts geändert.

Nicht viel anders sah es mit dem von Configure „Permissions for Remote Desktop Services Connections“ via Policy or Script abgeleiteten Lösungsweg aus:

WMIC.exe /node:localhost /namespace:\\root\cimv2\TerminalServices PATH Win32_TSAccount where "(TerminalName='RDP-Tcp' or TerminalName='Console') and SID='S-1-5-32-555'" CALL ModifyPermissions TRUE,4

Dort haben für lediglich die vier (Shadowing) am Ende durch die sieben (Msg) ersetzt. Zur Sicherheit haben wir’s aber auch mit dem Original-Befehl versucht. Beides ohne Erfolg. Die angegebenen SID entspricht übrigens der lokalen Gruppe „Remotedesktopbenutzer“, diese ist auf allen Windows-Systemen identisch. Statt der SID kann man auch „AccountName=VORDEFINIERT\\Remotedesktopbenutzer“ verwenden.

Versucht man die genannten Lösungswege auf einen Domänen-, lokalen Benutzer oder schlicht einer anderen Gruppe anzuwenden, so erhält man die Meldung „Keine Instanzen“. Fragt man mit dem Beispielsskript von Win32_TSAccount – WMI sample in VBScript ab, so erhält man als Ausgabe alle vordefinierten Gruppen, aber es werden keine anderen Gruppen oder Benutzer, ganz gleich ob lokal oder aus der Domäne, angezeigt.

Weitere Skripte die wir zumindest in Teilen ausprobiert haben sind:

Configure Guest OS for Microsoft VDI (VB Script)

Configure connection security, in the Scripting / Automation forum on BrianMadden.com

Diese sind allerdings schon etwas älter und für andere Windows-Versionen (und Umgebungen) geschrieben worden. So muss z.B. „root\cimv2″ durch „root\cimv2\terminalservices“ ersetzt bzw. ergänzt werden, das kommt dann aber auch wiederum auf den Kontext darauf an.

Der Vollständigkeit halber sei erwähnt, das man auf grafischen Wege mittels „wbemtest“ sich in WMI durchhangeln kann:

Configuring Terminal Services with WMI

Noch „gruseliger“ wird das Thema, wann man am Ende des Beitrags Windows 8.1 / Windows Server 2012 R2 – RDS Shadowing is back! folgendes liest:

„Only an administrator may shadow sessions. The ability to shadow sessions cannot be delegated to users that are not part of the administrators group.“

Negativ fällt auf, das es nur Administratoren möglich ist Sitzungen spiegeln zu können und man könnte das Ganze dann auch im Kontext dieses Beitrags so deuten, das es eben nicht mehr vorgesehen ist, das zu ändern.

Fazit

Kurzum: Schlecht. Es kommt zwangsläufig die Frage auf, was man sich in Redmond dabei gedacht hat, eben solche bislang relativ einfach zu deligierenden Dinge abzuschaffen. Der Fauxpas begann bereits mit Windows Server 2012 als überhaupt kein Spiegeln von Sitzungen mehr möglich war, mit dem R2 kam die Funktion dann glücklicherweise wieder zurück.

Mir persönlich stellt sich die Frage, wie ich mittelfristig den Kunden, die dann irgendwann von Windows Server 2008 R2 auf die zum jeweiligen Zeitpunkt aktuelle Windows Server-Version umsteigen erklären soll, das deren hausinternen Supporter nun administrative Rechte auf den Terminalserver benötigen, um Nachrichten abzusetzen oder Sitzungen spiegeln zu können.

Bleibt zu hoffen, das es (vielleicht) ab Windows Server 2016 wieder aufwärts geht in diesem Bereich.

P.S.: Wie bereits erwähnt ist unklar, ob wir noch etwas übersehen oder gar falsch gemacht haben, Feedback ist auf jeden Fall willkommen.

Nach der Migration eines virtualisierten Windows Server 2003 von VMware ESXi 4.0.0 auf einen Hyper-V Server auf Basis von Windows Server 2012 R2 startete der Datenbankdienst der REINER SCT timeCard Zeiterfassung nicht mehr.

Bei dieser Migration wurden zunächst die VMware Tools deinstalliert, da man diese sonst später nicht mehr (so einfach) los wird, eine Vollsicherung mit Drive Snapshot erstellt und diese Sicherung dann in einer neuen virtuelle Maschine auf dem Hyper-V Host wiederhergestellt.

Windows startete normal, erkannte die geänderte Hardware und fragte nach den Treibern. Nach der Installation der Integrationsdienste und dem konfigurieren der IP-Adresse folgte ein weiterer Neustart. Im Anschluss viel auf das alles läuft mit Ausnahme der Zeiterfassung. Ein Blick in die Diensteliste zeigte, das sowohl der Dienst „MAXDB: Timecoll“ als auch der davon abhängige Dienst „scttcs“ nicht automatisch gestartet wurden. Bei dem Versuch die Datenbank manuell zu starten, wurde diese gleich wieder beendet.

In den Ereignisprotokollen fand sich kein Hinweis. Redseliger war das Protokoll

C:\Programme\sapdb\indep_data\wrk\TIMECOLL\knldiag.err

Dort fanden sich unter anderem folgende Einträge:

...
2015-06-22 21:52:56                               --- Starting GMT 2015-06-22 19:52:56           7.6.06   Build 003-123-202-135
2015-06-22 21:53:00     0x10AC ERR 18865 DCOM     dlapi(LoadLibraryEx) Error:Das angegebene Modul wurde nicht gefunden.

2015-06-22 21:53:00     0x10AC ERR 18258 DCOM-DMP LVC_LoadLibrary - File: C:\Programme\sapdb\7605\pgm\liboms  err: Das angegebene Modul wurde nicht gefun
2015-06-22 21:53:00     0x10AC ERR 51381 MIGRAT   migration failed with error *8505
2015-06-22 21:53:00     0x106C ERR 20125 RTE      Database automatic restart failed
2015-06-22 21:53:01                               ___ Stopping GMT 2015-06-22 19:53:01           7.6.06   Build 003-123-202-135

Sucht man im Netz nach der Fehlermeldung

... C:\Programme\sapdb\7605\pgm\liboms err: Das angegebene Modul wurde nicht gefun ...

Wird man schnell fündig das es verschiedene Gründe geben kann. In diesem Fall fehlte die abhängige Datei

C:\Windows\System32\msvcr71.dll

Offensichtlich hat die Deintallationsroutine der VMware Tools diese ebenfalls entfernt. Nachdem die Datei aus einer vorigen Datensicherung wiederhergestellt war, liesen sich die Dienste starten und die Zeiterfassung funktioniert wieder.

Quelle

SAP SOLVED – Cannot start MaxDB 7.5 anymore…

Bei dem Versuch auf einem Windows Server 2012 R2 die WSUS-Rolle zu installieren, kann es passieren, das die Installation mit der Meldung „Fehler – Der Server muss neu gestartet werden“ scheitert.

Selbst mehrmalige Neustarts ändern nichts an diesem Umstand. Ein Blick in die Ereignisprotokolle fördert folgende Meldung zu Tage:

Protokollname: System
Quelle:        Service Control Manager
Datum:         22.06.2015 13:08:57
Ereignis-ID:   7041
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      srv01.lab.local
Beschreibung:
Der Dienst "MSSQL$MICROSOFT##WID" konnte aufgrund des folgenden Fehlers nicht unter NT SERVICE\MSSQL$MICROSOFT##WID mit dem aktuell konfigurierten Kennwort angemeldet werden: 
Anmeldungsfehler: Dem Benutzer wurde der angeforderte Anmeldungstyp auf diesem Computer nicht zugeteilt.

Dienst: MSSQL$MICROSOFT##WID 
Domäne und Konto: NT SERVICE\MSSQL$MICROSOFT##WID
 
Das Dienstkonto verfügt nicht über das erforderliche Benutzerrecht "Anmeldung als Dienst".
 
Benutzeraktion
 
Teilen Sie dem Dienstkonto "Anmeldung als Dienst" auf diesem Computer zu. Sie können dazu die lokalen Sicherheitseinstellungen (Secpol.msc) verwenden. Stellen Sie sicher, dass dieses Benutzerrecht dem Clusterdienst, auf allen Knoten des Clusters zugewiesen ist, wenn dieser Computer ein Knoten im Cluster ist.
 
Wenn Sie bereits dieses Benutzerrecht dem Dienstkonto zugeteilt haben und es so aussieht, als ob das Benutzerrecht entfernt wurde, dann wenden Sie sich an den Domänenadministrator, um herauszufinden, ob dieses eventuell durch ein Gruppenrichtlinienobjekt, das dem Knoten zugewiesen ist, entfernt wurde.

Kurzum: Es fehlt dem Benutzerkonto ein Recht. Eine kurze Recherche liefert dazu einige Ergebnisse:

WSUS Role failed on Windows server 2012 with error “the operation cannot be completed because the server that you specified requires a restart”

Andere, unter anderem deutschsprachige, Ergebnisse beschreiben das gleiche Vorgehen. Wenn der Server allerdings in deutscher Sprache ist, findet sich kein „NT SERVICE\ALL SERVICES“. Ein Blick ins MCSEboard führt zur passenden Übersetzung:

SBS2003 – neuer DC mit Win2012 – Probleme mit WSUS-Installation

Dem Konto „DIENST“ muss das Recht „Anmelden als Dienst“ gewährt werden. An dieser Stelle darf gerne geschmunzelt werden, was das denn soll, das sich Dienst nicht als Dients anmelden darf.

Soll die WSUS-Rolle auf einen Domänencontroller installiert werden, muss statt der „Default Domain Policy“ die „Default Domain Controllers Policy“ editiert werden. Sobald die Änderung angewandt wurde, lässt sich die Rolle erfolgreich installieren.

Seit langem nutze ich das Plugin Antispam Bee von Sergej Müller. Tolles Ding, leicht zu bedienen und filtert ordentlich, kurzum: Einfach Klasse. Leider wurde die Google-Schnittstelle die für die sprachabhängigen Funktionen des Plugins verwendet wurde kostenpflichtig. Nachlesen kann man die Historie bei Google+ des Authors.

Nachdem aus kostengründen die entsprechenden Funktionen im Plugin entfernt wurden, was ich persönlich durchaus nachvollziehen kann, war zunächst zumindest in diesem Blog nicht allzuviel davon zu spüren.

Aber es kam, wie es kommen musste: Eine zeitlang war zunächst Ruhe. Seit ein paar Tagen häuft sich allerdings der Kommentarspam in englischer Sprache.

In meinem Fall werden die Kommentare moderiert, d.h. Kommentare von Unbekannten werden nicht automatisch zugelassen, sondern bedürfen einer Freigabe. Da sich das Spamaufkommen allerdings häuft, muss man mittlerweile öfters prüfen was ansteht und gelöscht bzw. als Spam markiert werden muss. Lästige Aufgabe, das ist (Yoda lässt grüßen).

Ein aktuelles Beispiel: Seit gestern Abend (22.06.2015 – 19:24 Uhr) bis jetzt (23.06.2015 – 09:28 Uhr) gingen 13 potentiell freizugebene Kommentare ein, alle samt Spam. Das klingt nach nicht viel, zeigt aber auch wie selbst bei einem kleinen Blog mit durchschnittlich knapp unter 2000 Besuchern am Tag sich das auswirken kann. Da die Tendenz steigend ist (sowohl beim Spam als auch bei den Besuchern) steigt damit ebenfalls der Aufwand.

Ich frage mich, wie es bei großen Blogs aussieht, wo hunderte oder tausende Kommentare am Tag eingehen, da wird wohl kaum ein Vollzeitmoderator sitzen (oder doch?!).

Um es ausdrücklich erwähnt zu haben: Antispam Bee leistet nach wie vor sehr gute Dienste, wird verwendet und findet immer noch meine Empfehlung. Was die entfallene Funktionalität betrifft muss ich mir wohl über kurz oder lang eine zusätzliche Lösung suchen.

Zu überlegen wäre einen zusätzlichen Spamschutz á la Captcha o.ä. einzubinden. Ich wollte zwar umständliches Kommentieren vermeiden, aber was soll man machen. Aus diesem Grund wurde jetzt erstmal das Plugin SI CAPTCHA Anti-Spam installiert. Die legitimen Kommentatoren mögen mir das bitte verzeihen und haben (hoffentlich) Verständnis für diesen Schritt.

Update 23.06.2015 – 14:45

Seit der Installation des Captcha-Plugins heute früh gegen 10:25 Uhr kamen bis jetzt drei Spamkommentare durch. Ich bin etwas überrascht, entweder gibt’s irgendwo noch eine Lücke oder es handelt sich um „Human Spam“.

Verwendet man DPD’s DELISprint im Netzwerk und möchte die Daten auf einen neuen Server migrieren, so gibt es nur ein paar Kleingkeiten zu beachten.

Bei einem Kunden war die Ausgangslage die, das von einem Windows Server 2003, auf dem DELISprint auf einer Freigabe liegt, auf einen Windows Server 2012 R2 umgestellt wurde. Server-seitig müssen die Daten umkopiert werden und anschließend sind die Pfade in folgenden Dateien anzupassen:

• DelisPrint.ini
• Data\DelisPrintServ.ini

Im Grunde kann man die Dateien in einem Editor öffnen und mittels „Suchen & Ersetzen“ den alten Servernamen durch den neuen Ersetzen. Vorsicht ist geboten, wenn die Drucker noch nicht migriert wurden, dann nur die Pfade zur Datenbank und Import/Export ändern.

Auf den Arbeitsplätzen müssen die Verknüpfungen angepasst werden. Im Idealfall war es das dann auch schon. Nicht vergessen (und um sicher zu gehen, das nichts durcheinander gerät) die Freigaben auf dem alten Server zu beenden.

Troubleshooting

Stürzt DELISprint direkt nach dem Start noch vor der Benutzeranmeldung ab, so wird vermutlich noch versucht die „MIDAS.DLL“ vom alten Server zu laden. Das Problem lässt sich durch editieren der Registry lösen:

• regedit öffnen
• Über „Bearbeiten – Suchen“, alternativ „STRG+F“ drücken und, nach dem Schlüsselwort „midas.dll“ suchen.
• Den Pfad bei allen Treffern entsprechend aktualisieren.

Sollte nach dieser Änderung das Programm immer noch nicht erfolgreich ausführbar sein, min. den Benutzer ab- und erneut anmelden oder den Computer neu starten.

Bemerkung: Laut Recherche soll es ebenfalls funktionieren, die DLL zunächst zu de-registrieren und sie vom neuen Speicherort aus zu registrieren. In diesem Fall hat das leider nicht funktioniert.

Hinweis: Auf Computern, wo zuvor DELISprint bislang nicht ausgeführt wurde, ist nichts weiter zu beachten, die DLL registriert sich beim ersten Start von selbst.

Zum „Erst-mal-ausprobieren“, für Entwicklungs- und Testumgebungen oder evtl. auch für den Dauerbetrieb kann es sinnvoll sein das Betriebssystem eines Synology NAS zu virtualisieren.

Aktuell liegt Version 5.2 von Synology’s DSM NAS-Firmware vor. Da der Quellcode als open source veröffentlicht wird, kann man damit arbeiten. Mit VirtualBox (Hyper-V und VMware soll ebenfalls funktionieren) und einem Boot-Medium lässt sich DSM leicht installieren. Möglich macht das XPEnology.me, das Anleitungen als auch Installationsdateien zur Verfügung stellt.

Hinweis: Es gibt mehrere Möglichkeiten eine Installation durchzuführen. Anbei wird die imho einfachste beschrieben.

Voraussetzung ist ein Computer mit installierten VirtualBox und einer Internetverbindung, spezielle Anpassungen sind nicht notwendig. Als weiteres benötigt man die aktuelle XPEnoboot-ISO-Datei aus dem Downloads-Bereich von XPEnology.me (Abschnitt „Boot Images“).

• VirtualBox starten.
• Eine neue virtuelle Maschine vom Typ „Linux“ mit „Version: Linux 2.6 / 3.x (64-bit)“ anlegen.
• Min. 256 MB Arbeitsspeicher zuweisen. An dieser Stelle gilt: Viel hilft viel. 512 MB ist ein guter Startpunkt.
• Bei der Größe der virtuellen Festplatte die Angabe vornehmen, die man zuteilen möchte. Für den dauer- oder performance-abhängigen Betrieb ist eine feste Größe empfehlenswert.
• Optional (Empfohlen): Die virtuelle Maschine „Ändern“ und zwei CPUs zuweisen, Soundkarte und, falls nicht benötigt, USB-Controller entfernen. Darüber hinaus das Netzwerk von „NAT“ auf „Netzwerkbrücke“ ändern.
• Entweder in den Einstellungen der virtuellen Maschine oder nach dem Start die zuvor heruntergeladen ISO-Datei „einlegen“.
• Die neue virtuelle Maschine starten und warten bis das diese bis zur Anmeldung gebootet ist.
• Einen Browser außerhalb der virtuellen Maschine öffnen und die IP-Adresse (diese kann man den Boot-Meldungen entnehmen) des virtuellen NAS eingeben:

Alternativ kann man den Synology Assistent (zu finden im Download-Bereich des Herstellers nach Auswahl eines Geräts, das installierte virtuelle NAS entspricht übrigens dem „Gerät“ DS3615xs) installieren und das NAS im Netzwerk suchen lassen um von dort aus fortzufahren (siehe dazu Synology Virtual DiskStation 5.0 with VirtualBox).

Im Browser wird man vom Einrichtungs-Assistent begrüßt:

Ab diesem Punkt den Anweisungen folgen und das (virtuelle) NAS den eigenen Wünschen bzw. Anforderungen entsprechend einrichten.

Hinweis: Nach erfolgter Installation nicht vergessen, die virtuelle CD „auszuwerfen“.

Praktische Anwendungsfälle

Wir nutzen bislang virtuelisierte Synology DSM zum Testen von Erweiterungen, zum Erstellen von Screenshots für Anleitungen oder Dokumentation oder zum Testen von z.B. IP-Kameras in Verbindung mit der Erweiterung „Surveillance Station“. Zur Demonstatation (getreu dem Motto „so sieht die GUI aus“) via Notebok vor Ort beim Kunden ist diese Lösung ebenfalls geeignet.

Denkbar wäre auch ein Einsatz als Überwachungslösung mit zuvor genannter Erweiterung und entsprechenden Kameras. Wenn man ohnehin einen Virtualisierungs-Host da stehen hat, kann man so zusätzliche Hardware einsparen.

Danksagung

Vielen Dank an meinen ehemaligen Arbeitskollegen Danial A. aus G. der mich auf XPEnology aufmerksam gemacht hat.

Für die Fehlermeldung „Das Gerät kann nicht gestartet werden. (Code 10)“ kann es viele Ursachen geben. Den weiteren Text „Das USB-Gerät hat einen ungültigen Seriennummernzeichenfolge-Deskriptor zurückgegeben.“ hatten wir bis dato allerdings noch nicht gesehen.

Ein Kunde brachte seinen neuen PC samt zwei USB-WLAN-Sticks zu uns, da ein Stick überhaupt nicht erkannt werden würde und der andere Stick zwar das WLAN-Netz anzeigt, sich aber nicht verbindet.

Von Windows 8.1 wurden beide Sticks laut Geräte-Manager erkannt, der erste WLAN-Stick lief allerdings nicht mit zuvor genannter Meldung. Der zweite Stick hingegen funktionierte einwandfrei und verband sich auch auf Anhieb mit unserem Werkstatt-WLAN.

Nach kurzer Recherche fand sich zu der Fehlermeldung zunächst im MSDN folgender Beitrag:

New for USB Drivers

Diese und weitere Meldungen gibt es erst seit Windows 8 in Verbindung mit USB 3.0. Im englischen lautet der Text übrigens „The USB device returned an invalid serial number string descriptor.“. Im TechNet findet sich dazu folgender Eintrag:

Some non-compliant USB 3.0 devices may not function when connected to USB 3.0 ports on Windows 8

Der WLAN-Stick ist zwar laut Hersteller USB 3.0-kompatibel, aber scheinbar gibt es in der Kombination mit dem Mainboard bzw. dem dort verbauten USB-Controller Probleme. Microsoft empfiehlt in diesem Fall den USB-Anschluss zu Wechseln bzw. das Gerät in einen USB 2.0-Port zu stecken. Das half in diesem Fall leider nichts, an keinem der sechs Anschlüsse startete der Stick. Ein Test an unserem Werkstatt-Notebook zeigte allerdings, das der Stick an einem anderen Computer einwandfrei funktioniert.

Kurzum: Die zwei Geräte vertragen sich einfach nicht. Da der besagte Stick von uns stammte, nahmen wir diesen zurück. Was den zweiten Stick betraf, so lag das Problem auf Routerseite, dort kam ein älterer Speedport der Telekom zum Einsatz, den der Kunde vom Anbieter gemietet hatte. Nachdem er ein aktuelles Modell erhalten hatte, war auch dieser Fehler behoben.

Bei einer Kundin verhielt sich der PC etwas merkwürdig: So dauerte es ungewöhnlich lange, bis dass das Netzwerksymbol eine erfolgreiche Verbindung anzeigte oder beim Aufruf der „Eigenschaften“-Seite wurde kein Prozessor oder Arbeitsspeicher angezeigt. Ferner dauerte das Starten als auch Herunterfahren relativ lange und insgesamt hatte man den Eindruck, das System sei etwas „zäh“.

Ein kurzer Blick in die Ereignisprotokolle zeigte, das nahezu im Minutentakt der Dienst „Windows-Verwaltungsinstrumentation“ (umgangssprachlich besser bekannt als „wmi“ oder „wmimgmt“) beendet und neu gestartet wurde. Im weiteren Verlauf stellte sich heraus, das diverse Windows Updates nicht erfolgreich installiert werden konnten und somit quasi in einer Endlosschleife steckten.

Nach ein paar Versuchen fand sich die Lösung bei SevenForums:

Windows 7: wmi is corrupt

Zunächst wurde der erste vorgeschlagene Lösungsweg von „centaur78″ versucht, da es sich um ein 32-bit System handelte, entsprechend nur folgende Befehle:

• Den Dienst beenden.
• Den Inhalt von „C:\Windows\system32\wbem“ löschen.
• Den Dienst starten.
• In einer Eingabeaufforderung folgende Befehle ausführen:

cd /d %windir%\system32\wbem
for %i in (*.dll) do RegSvr32 -s %i
for %i in (*.exe) do %i /RegServer

• Den Computer neustarten.

Während der erste „for…“-Befehl erfolgreich durchlief, produzierte der Zweite eine Menge Fehlermeldung. Insgesamt funktionierte diese Lösung leider nicht.

Der zweite Versuch mit

winmgmt /standalonehost
winmgmt /resetrepository

und einem Neustart brachte ebenfalls keine Änderung. Interessant bzw. die Lösung brachte dann der letzte Vorschlag (auf der ersten Seite des genannten Threads):

Der Befehl

winmgmt /verifyrepository

zeigte dass das Repository inkonsistent war. Daraufhin wurden folgende Schritte ausgeführt:

• Den Dienst beenden.
• Den Inhalt von „C:\Windows\system32\wbem\repository“ löschen oder den Ordner umbenennen.
• Den Dienst starten.
• In einer Eingabeaufforderung folgende Befehle ausführen:

cd /d %windir%\system32\wbem
for /f %s in ('dir /b /s *.dll') do regsvr32 /s %s

• Den Dienst starten.

In einer Eingabeaufforderung folgende Befehle ausführen:

cd /d c:\
for /f %s in ('dir /s /b *.mof *.mfl') do mofcomp %s

• Den Computer neustarten.

Der Computer lief nun wieder rund, alle bislang fehlgeschlagenen Updates konnten erfolgreich installiert werden.

Bemerkung: Ich habe hier alle von uns durchprobierten Lösungen dokumentiert, da nicht ausgeschlossen werden kann, das erst die Kombination die Ursache für die Abstürze final behoben hat.

Hinweis: Seitens Microsoft wird mit dem The WMI Diagnosis Utility — Version 2.2 eine weitere Ursachenforschung angeboten, soweit kam es bei uns allerdings nicht.

Auf einem Terminalserver auf Basis von Windows 8.1 Pro und ThinStuff XP/VS Server erschein in unregelmässigen Abständen seit ein paar Tagen die Meldung, das der Computer nicht über genügend Arbeitsspeicher verfüge.

Im Screenshot wird speziell Outlook erwähnt, die gleiche Meldung erschien allerdings auch ohne explizit genannte Anwendung. So manche Anwendung wie z.B. Google Chrome stürzten zudem häufig ab. Auffällig war, das nur 60% des Arbeitsspeichers belegt waren und somit eigentlich genug Ressourcen frei sind. Eine Recherche nach besagter Meldung lieferte mehrere potentiell interessante Treffer:

Chip – Praxistipps – Fehlermeldung “nicht genügend Arbeitsspeicher” vermeiden

Mit der Erkenntnis das es etwas mit dem „desktop heap“ zu tun haben könnte wurde weiter gesucht und folgendes gefunden:

MSDN Blog – Desktop Heap Overview

Für’s Troubleshooting interessant wird es ab dem Abschnitt „Diagnosing the problem“ und dem dort erwähntem Tool Desktop Heap Monitor Version 8.1 (Dheapmon). Bezogen auf den Chip-Artikel ist dann ebenso der Abschnitt „Configuring the size of individual desktop heaps“ empfehlenswert.

Im Zusammenhang mit der erwähnten Fehlermldung sei zudem der MS Support-Artikel Fehlermeldung in Outlook: „Es steht nicht genügend Arbeitsspeicher zum Ausführen dieses Programms. Beenden Sie eine oder mehrere Anwendungen, und wiederholen Sie den Vorgang“ erwähnt.

Die Fehlermeldung ist also keineswegs auf die eingangs erwähnte Kombination beschränkt und gibt es schon recht lange.

Zu einer weiteren Analyse sind wir nicht gekommen, da auffiel, das eine nicht näher genannte Session selbst nach dem Abmelden aller Benutzer (außer dem Administrator) noch bestand und sich deren Prozesse weder beenden noch die Session sich Abmelden lies. Ein Herunterfahren bzw. Neustart des Terminalservers war ebenfalls nicht erfolgreich, so das nur das Abschalten half. Nach dem Neustart scheint wieder alles in Ordnung zu sein.

Möglicherweise kam die Situation dadurch zu stande, das eine neue Anwendung installiert wurde. Diese forderte zwar keinen Neustart an, aber wer weiß schon so genau, das im Hintergrund alles geschieht. Sollte die Meldung nochmal erscheinen, wird weiter analysiert.

Bemerkung: Warum ein Blog-Beitrag, wenn’s ein reset/reboot getan hat? Die Antwort ist relativ einfach: Wie im letzten Satz vor der Bemerkung bereits angesprochen, könnte es ja sein, das die Meldung wieder scheint. Wenn dieser Fall eintritt, gibt es hiermit schon mal einen Ansatzpunkt für weiteres Troubleshooting und mögliche Lösungen. Mal abgesehen davon, das evtl. dieser Beitrag anderen Nutzern hilft.

Bei Kalenderchen handelt es sich um eine kleine, aber feine Kalender- und Terminanwendung für Windows als auch Tablets und Smartphones mit Android-Betriebssystem. Unter Linux soll das Programm via Wine lauffähig sein.

Die Anwendung ist ressourcensparend und leichtgewichtig, kann sowohl auf einem einzelnen PC als auch im Netzwerk eingesetzt werden. Einziger Wermutstropfen: Es gibt nur einen Kalender, wer also mehrere Kalender, z.B. für unterschiedliche Benutzer, verwenden möchte, muss entweder mehrere Kalenderchen-Instanzen ausführen oder eine Alternative suchen. Dafür gibt es als (weiteren) Pluspunkt die Möglichkeit Aufgaben und Notizen zu hinterlegen.

Installation

Es steht eine Installationsdatei als auch ein Zip-Archiv (Portable-Variante) zur Verfügung.

Netzwerkbetrieb

Um Kalenderchen im Netzwerk zu betreiben ist kein ausgewachsener Server notwendig, es genügt ein Netzlaufwerk. Der Speicherort kann ein anderer PC oder ein NAS sein. Es reicht aus, die Portable-Variante herunterzuladen, zu entpacken und den Ordner „Kalenderchen6″ auf den (Quasi-)Server oder das NAS zu kopieren.

Auf den zugreifenden PCs entweder eine Verknüpfung zur „Kalenderchen.exe“ anlegen, alternativ Kalenderchen installieren oder die Portable-Variante entsprechend platzieren und die Datei „datapath.dat“ anpassen. Man kann die Pfade nach einem Start von Kalenderchen in den Einstellungen auf der Registerkarte „Wartung“ ebenso festlegen.

Wichtig: Dem Test nach funktioniert kein UNC-Pfad („\\ip-adresse\freigabe“), es muss ein Laufwerk samt Pfad („Z:\Kalenderchen6″) angegeben werden!

Die (imho) sauberste Lösung besteht darin, auf jedem Arbeitsplatz Kalenderchen zu installieren oder die Portable-Variante zu platzieren und die Pfade anzupassen. Das hat den Vorteil, das über’s Netzwerk nicht alles (Programm und Daten) übertragen werden müssen. In der Voreinstellung gelten für alle Benutzer die gleichen Einstellungen, ändern lässt sich dies durch Editieren der Datei „datapath.dat“. Eine ausführliche Anleitung ist in dieser Datei enthalten.

Achtung: Leider wird die Ansicht der Termine bei der Netzwerknutzung nicht automatisch aktualisiert während Kalenderchen angezeigt wird. Erst wenn man die Anwendung minimiert und wieder maximiert erfolgt ein Update. Das ist ein potentieller Stolperstein, wenn mehrere Benutzer Termine eintragen. So kann es passieren, das ein Zeitpunkt mehrfach belegt wird.

Tipp: Im Download-Bereich finden sich neben den bereits enthaltenen Feiertagen zusätzlich die Feiertage anderer Länder oder die Schulferien.

Historie

Bei einem unserer längsten (oder heisst es ältesten?) Kunden hatten wir Kalenderchen vor Jahren erfolgreich im Einsatz. Dies wurde nur abgelöst, da eine neue Infrastruktur auf Basis von MDaemon Messaging Server und Microsoft Outlook (dies war notwendig, wegen einer Drittanwendung, die MS Office voraussetzte) eingeführt wurde.

Nach langer Zeit kam nun diese Anwendung wieder zur Sprache, da ein Neukunde eine einfache und kostengünstige Lösung suchte, um das Terminbuch in seiner Arztpraxis ablösen zu können. Ferner sollte von verschiedenen Arbeitsplätzen aus Termine eingetragen werden können.

Da kein Microsoft Office, sondern OpenOffice zum Einsatz kommt, wäre SimpleSyn oder (andere) Groupware-Lösungen zu viel des Guten gewesen.

Im G Data Security Blog ist ein lesenswerter Artikel mit dem Titel Zwei große Mythen zur IT-Sicherheit entlarvt erschienen. Die dort genannten Aussagen („…keine Porno- oder Sex-Seiten…“, „…ich habe nichts zu verbergen“) hören wir teils mehrmals wöchentlich.Dabei spielt das wo oder wie man surft nicht unbedingt eine Rolle, worüber man sich einen Schädling einfängt, da die Infektionswege vielfältig sind: Manipulierte Webseiten, präparierte E-Mails, gefälschte Downloads, kompromitierte Werbebanner-Anbieter etc.

Vom Grundsatz her möchte man in der Regel keine Malware (Viren, Würmer, Trojaner, Bot, …) auf dem Computer haben. Sich vermeintlich sicher zu fühlen, wenn man statt dem Marktführer Windows ein Linux, BSD oder Mac verwendet ist dabei trügerisch. Auch für diese Systeme gibt es Schadsoftware, wenn gleich es wesentlich weniger ist als für das Betriebssystem aus Redmond.

Ebenfalls sollte man im Hinterkopf haben, selbst wenn es einen selbst nicht betrifft, kann man dennoch im juristischen Sinne ggf. als Störer gelten. Das geht schneller als man meinen möchte: Z.B. man leidet unwissentlich eine infizierte E-Mail weiter und beim Empfänger tritt ein Schaden ein. Hat man selbst in einem solchen Fall gar keinen Virenscanner installiert, so gilt das als grob fahrlässig.

Hinweis: Ich bin kein Jurist, aber man bekommt im beruflichen Alltag eine Menge mit.

Es geht nicht immer um Daten- oder Identitätsdiebstahl, der eigene Computer könnte zur „Spam-Schleuder“ werden oder für Angriffe gegenüber Dritte verwendet werden. Dies sind ebenso unerwünschte Vorfälle wie wenn das Online Banking kompromitiert wird oder die eigenen Dateien verschlüsselt werden und man erpresst wird.

Selbst mit installierten und aktuellen Virenschutz gibt es keinen 100%-igen Schutz, auch wenn einem dies das Marketing von manchem Hersteller gerne so verkauft. Das heisst allerdings wiederum nicht, das Antiviren-Programme sinnlos wären! Letztlich geht es darum zum einen Risikominimierung zu betreiben und zum anderen sich selbst als auch  andere zu Schützen.

Mehrere Virenscanner auf einem Computer hingegen bringen evtl. mehr Probleme als Schutz. Dazu eine kleine Geschichte aus der eigenen Erfahrung: Vor ein paar Jahren erhielt ich plötzlich unmengen E-Mails von einem Freund, allesamt mit schädlichem Inhalt. Der Verdacht, das der Computer des Freundes mit einer Schadsoftware infiziert ist war schnell gegeben. Auf telefonische Nachfrage bei ihm folgte die Aussage „kann gar nicht sein, ich habe sieben (!) Virenscanner installiert“. Nach einigen guten Zureden durfte ich mir den Computer ansehen und musste feststellen, das die Virenscanner sich zum Teil gegenseitig behinderten. Sei es das die Signaturen jeweils vom anderen Virenscanner als bösartig eingestuft und entsprechend in die Quarantäne verschoben oder gleich gelöscht wurden. So manche Security-Suite behinderte den Download der Signaturen oder Updates, da der jeweilige Stream als verdächtig eingestuft wurde usw.

Man konnte sagen: Die Virenscanner behinderten sich gegenseitig oder stellten sich selbst jeweils ein oder mehrere Bein(e). Jedenfalls wurden erstmal alle Virenscanner deinstalliert, der Computer mit entsprechenden Bootmedien untersucht und bereinigt, anschleißend war der Spukt vorbei. Seitdem läuft nur noch ein Virenscanner.

Bemerkung: Es gibt Virenscanner, die speziell für den Betrieb mit anderen Produkten ausgelegt sind, dadurch lässt sich stress- und problemfrei ein Cross-Check realisieren. Die Kombination beim Freund war allerdings kontraproduktiv.

Was man ebenfalls beachten sollte ist, welche Schutzmodule der Virenscanner bietet. Damit ist gemeint: Werden nur Dateien untersucht oder kann das jeweilige Produkt E-Mail-Protokolle wie POP3, IMAP und SMTP prüfen. Die passende Wahl des Virenscanners ist also von dem jeweiligen Szenario abhängig.

Scheitert nach einem Update des Mac OS X OpenVPN-Clients Tunnelblick oder einer pfSense-Firewall der VPN-Verbindungsaufbau zu einer Securepoint UTM, so kann dies an einem zu kurzem Diffie-Hellman-Schlüssel liegen.

Im OpenVPN-Log einer pfSense sieht das z.B. so aus:

Hintergrund dieses Umstands ist die Logjam-Attacke, die auf zu kurze DH-Schlüssel basiert. Neuere OpenSSL-Versionen, die unter anderen von OpenVPN genutzt werden, verweigern bei zu kurzen Schlüsseln (<= 512 bit) den Verbindungsaufbau. Die Lösung dieses Problems besteht in der Verwendung größerer Schlüssel.

In diesem Fall müssen die Schlüssel auf der Securepoint UTM neu generiert werden. Beschrieben ist dieser Vorgang im Securepoint-Forum unter

Securepoint Support Forum – SSLVPN / DH Key too small

Für Securepoint OS v11 sind folgende Schritte notwendig:

• Einen root-Benutzer anlegen.
• Per ssh mit der UTM verbinden.
• Folgende Befehle ausführen:

sqlite3 /tmp/running.db "update openvpn set openvpn_dh_size = 1024, openvpn_dh_data = '`openssl dhparam 1024`' where openvpn_dh_size < 1024"
spcli system config save
spcli appmgmt config
spcli appmgmt restart application openvpn

In der Regel sollte kein Neustart der UTM notwendig sein. Im Forum findet sich allerdings die Meldung, das zumindest bei einem Anwender erst nach einem Neustart alles funktionierte.

Für v10 findet sich im verlinkten Forum-Beitrag ebenfalls eine entsprechende Beschreibung.

Troubleshooting

Bei einem Kunden der eine Standortvernetzung verwendet, lies sich der OpenVPN-Dienst auf einer pfSense nicht mehr starten bzw. dieser Stürzte sofort ab, nachdem auf der Securepoint UTM der neue DH-Schlüssel erzeugt worden war. Nach einem Neustart der pfSense lief alles wieder wie es sollte.

Bei einem unserer Server kam es während des bislang heissesten Wochenende des Jahres zu einem Temperatur-Alarm. Dabei zeigten sich mehrere Kuriositäten.

Zum einen wunderte man sich, das in einem gekühlten Serverraum überhaupt ein Alarm dieser Art zustande kam und das noch dazu Nachts um ca. 23:30 Uhr. Damit war der Vorfall zum einen jenseits des heissen Tages und zum anderen ebenfalls jenseits des Zeitfensters der Datensicherung bei dieser Maschine.

Seltsam war zudem, das Server-Eye keinen Alarm ausgab, der Temperatur-Alarm war rein akustischer Art und erschien auch nur im Log der RAID-Controller-Software. Eigentlich sollten solche Ereignisse parallel zum RAID-Controller-Log auch noch ins Eventlog von Windows geschrieben werden.

Zum Einsatz kommt in dieser Maschine ein Adaptec 6405 und ein 6405e.

Während der Kommunikation mit dem Support von Server-Eye viel dann auf, das im OCC ein wesentlich geringerer Wert bei der Controller-Temperatur angezeigt wird, als im Web-Interface des maxView Storage Managers. Die Differenz betrug im Mittel 20°C.

Ein Update auf die aktuelle Version der RAID-Controller-Software (msm_windows_x64_v1_08_21375 vom 17.06.2015) behob das Problem. Ein weiterer positiver Nebeneffekt ist, das mit der aktuellen Version auch die Logjam-Thematik erledigt ist.

Troubleshooting

Ein Inplace-Upgrade lief zwar erfolgreich durch, allerdings lies sich anschließend das Web-Interface nicht mehr aufrufen. Eine Deinstallation inkl. Löschen der Konfiguration mit anschließender Neuinstallation der Software löste dieses Problem. Ein Server-Neustart ist im übrigen nicht notwendig.

Nach der Neuinstallation fehlt in der Desktop-Verknüpfung der Port. Per Standard sieht die URL wie folgt aus:

https://localhost:8443/maxview/manager/main.xhtml