Workshop – Server Virtualization with Windows Server Hyper-V and System Center bei der Fa. Netz-Weise

Hallo Leutz,

vom 28.07. – 01.08.2014 darf ich fuer die Firma Netz-Weise in Hannover einen Workshop zum Thema Server Virtualization mit Windows Server Hyper-V und System Center halten. Angelehnt ist der Workshop an den MOC Kurs 20409, wir werden in dem Workshop aber sehr viel praxisrelevante Themen einbringen und eine echte Hyper-V Virtualisierungsumgebung mit den aktuellen System Center Produkten einrichten.

Wer also Interesse an diesem Workshop hat, meldet sich bei der Firma Netz-Weise (http://www.netz-weise.de).

Ich bin sicher, dass wir viel Spass und Erfolge in dem Workshop haben und ich mein Wissen aus Hyper-V und System Center Produkten einbringen kann.

Gruss Marc

System Center 2012 R2 Endpoint Protection Client Installation schlaegt fehl

Hallo Leutz,

bei einem Kunden schlaegt die Installation der System Center 2012 R2 Endpoint Protection auf diversen Windows Server 2003 R2 SP2 fehl.
Aktuelle SCEP Client Version ist 4.5.216.0.
Der CCM Client wird korrekt installiert und kommuniziert mit dem CCM Server, aber der SCEP-Client wird nicht automatisch installiert. Eine manuelle SCEP-Client Installation schlaegt mit dem Error Code 0x80070645 fehl.
Wie man das Problem loesen kann, steht in folgenden Bilderbuch:  http://www.it-training-grote.de/download/SCEPInstall-Error.pdf

Gruss Marc

 

Austausch eines selbstsignierten Remote Desktop Connection Zertifikats in Windows Server 2012 R2

Hallo Leutz,

Windows Server 2012 R2 verwendet fuer die Remote Desktop Connection ein selbst signiertes Zertifikat.
Anders als bei Windows Server 2008 R2 gibt es die MMC TSCONFIG.MSC in Windows Server 2012 / R2 nicht mehr.
Wie also das Zertifikat auf einem Server austauschen, ohne ueber den Server Manager ein Remote Desktop Services Deployment durch zu fuehren?
Die Loesung heisst per WMIC oder Powershell das alte Zertifikat und den Thumbprint zu ermitteln, ein neues Zertifikat anzufordern, mit privaten Schluessel zu exportieren und anschliessend per WMIC wieder an die RDS-Dienste zu binden.

Wie das geht, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/RDS-2012R2-SelfSignedCertificate.pdf

Gruss Marc

Implementierung Offline Root CA mit Issuing Online Enterprise Root CA und Windows Server 2012 R2

Hallo Leutz,

bei einem Kunden habe ich in den letzten Wochen und heute final die Online Enterprise Root CA dekommissioniert und eine zweistufige CA Hierarchie mit einer Offline Root CA und einer Online Enterprise Issuing CA auf Basis Windows Server 2012 R2 implementiert, um unter anderen der baldigen Abschaltung des Support fuer SHA1 seitens Microsoft nachzukommen: http://www.it-training-grote.de/blog/?p=6254

Die neue CA wurde mit CNG (SHA256 Hashalgorithmus) implementiert.
Durchgefuehrte Schritte:
Installation Offline Standalone Root CA
Installation Online Enterprise Issuing CA
Einrichtung der Schluesselarchivierung
Einbindung von Common PKI (Rollentrennung)
Ausstellen von neuen Zertifikaten fuer alle Server
Dekommissionierung der alten Online Enterprise CA

Dabei ist folgendes Bilderbuch entstanden: http://www.it-training-grote.de/download/OfflineRoot-EnterpriseOnline-CA.pdf

Gruss Marc

Windows Azure Hyper-V Recovery Manager

Hallo Leutz,

seit einiger Zeit nutze ich Windows Azure u. a. fuer Demonstrationen und Workshops zum Thema System Center 2012 R2 Virtual Machine Manager und der Windows Azure Hyper-V Recovery Manager Integration.
Gestern Abend wollte ich in Windows Azure den Hyper-V-Wiederherstellungs-Manager-Tresor loeschen und fuer eine andere Windows Azure Subscription neu erstellen.
Dazu habe ich den Datentresor in Windows Azure geloescht und fuer die neue Subscription einen neuen Datentresor erstellt.
Anschliessend habe ich auf dem SCVMM 2012 R2 Server ein neues Zertifkat erstellt und dieses in den Windows Azure Datentresor hochgeladen.
Bei dem anschliessenden Versuch den Windows Azure Hyper-V Recovery Manager Provider neu zu registrieren, erschien die Fehlermeldung, dass bereits ein Recovery Manager Tresor existiert und ein Zertifikat ebenfalls vorhanden ist. Angezeigt wurde der Tresor der alten Windows Azure Subscription. Deinstallation und Neuinstallation des Providers half nicht. Die Loesung des Problems war letztlich in der Registry des SCVMM-Server einige Schluessel zu bereinigen.
Die Loesung des Problems steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/HV-RecoverManager-Azure.pdf

Gruss Marc

 

System Center 2012 R2 Configuration Manager – Management Point (MP) Installation schlaegt fehl

Hallo Leutz,

Bei einem Kunden migriere ich zur Zeit eine Forefront Endpoint Protection 2010 Installation mit SCCM 2007 auf SCCM/SCEP 2012 R2. Die SCCM Installation ist erfolgreich, „lediglich“ die Installation des Management Point (MP) meldet im CCM Komponentenstatus den Fehler das der SMS_MP_CONTROL_MANAGER den MP nicht installieren kann (MP.MSI). Durch Analyse der CCM Logdateien MPSETUP.LOG und MPMSI.LOG habe ich festgestellt, dass das CCM Setup Probleme hat, den CCM Namespace im WMI zu registrieren, bzw. vorhandene CCM Eintraege im Repository nicht geloescht werden koennen.
Ursache war, dass auf dem neuen CCM-Server durch die existierende Forefront Endpoint Protection 2010 (SCCM 2007), bereits ein CCM-Client installiert wurde, welcher den CCM-Namespace im WMI angelegt hat.
Wie man den Fehler analysieren und beheben kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/SCCM2012-R2-MP-Error.pdf

Gruss Marc

Exchange 2010 zu Exchange 2013 Migration – Offline Adress Buch (OAB) Probleme

Hallo Leutz,

bei einem Kunden bin ich gerade in der finalen Phase der Migration der Exchange Server 2010 auf Exchange Server 2013. In der letzten Phase muss dass Offline Adressbuch fuer die neuen Exchange 2013 Server zugewiesen werden (bis zu diesem Zeitpunkt wurden die OAB von Exchange 2010 verwendet) und die alten OAB vor der Exchange Server 2010 Dekommissonierung geloescht werden. Da die OAB nicht von Exchange 2010 zu Exchange Server 2013 verschoben werden koennen, muessen neue OAB erstellt werden.
Bei der Erstellung der neuen OAB per Exchange Management Shell (GUI ist nicht mehr moeglich), kam die Fehlermeldung ManagementObjectNotFoundException. Die neuen OAB wurden jedoch in der Active Directory Konfigurations Partition erstellt. Die Anzeige der OAB mit der Exchange Management Shell zeigte nur die Exchange 2010 OAB an. Nach einiger Recherche habe ich festgestellt, dass die Berechtigungen fuer die Exchange Sichereitsgruppen im Container CN=Offline Adress Lists der Active Directory Konfigurations Partition nicht korrekt waren, bzw. die Vererbung der Berechtigungen auf dieser Ebene deaktiviert war. Nach Bereinigung der Berechtigungen liessen sich neue OAB mit der Exchange Management Shell anlegen und den neuen Exchange 2013 Datenbanken zuweisen.
Ein weiteres Problem bestand noch darin, dass das von Exchange Server 2013 angelegte OAB Standard-Offlineadressbuch (Ex2013) ein Problem hatte, weil es noch fuer OABGEN 2 und 4 eingerichtet war. Das Problem konnte geloest werden, indem mit ADSIEDIT in den Eigenschaften des OAB der Wert des Attributs doOABVersion von 6 auf 4 gesetzt wurde.
Weitere Details, Fehlermeldungen und Loesungsansaetze stehen in diesem Bilderbuch:
http://www.it-training-grote.de/download/Mig-2010-2013-OAB-Probleme.pdf

Gruss Marc

PKI: CA Datenbank bereinigen…

…Hallo Allerseits,

wenn die Datenbank einer Microsoft CA im Laufe der Jahre auf eine ansehnliche Größe angewachsen ist, gibt es einige Ideen diese zu bereinigen. Unter anderem einen tollen Artikel dazu liefert das Ask the Directory Services Team unter http://blogs.technet.com/b/askds/archive/2010/08/31/the-case-of-the-enormous-ca-database.aspx.

Für ein aktuelles Kundenszenario hatten wir die Aufgabe die abgelaufenen Zertifikate aus der CA-Datenbank zu löschen. Da wir hier von einer CA reden, die in den letzten 5 Jahren ca. 170000 Zertifikate ausgestellt hat, ist das manuelle Löschen eher eine Strafarbeit.

Lösen konnten wir diese Aufgabe durch ein nettes Tool, welches mein Kollege Thomas Froitzheim programmiert hat. Am Beispiel unserer hausinternen (deutlich kleineren) CA liefert CertDbClean.exe folgende Ergebnisse:

image

Nach getaner Arbeit:

image

Ein finaler Scan meldet dann im Anschluss:

image

Insofern: Ihr wollt auf einfachem Wege die abgelaufenen Zertifikate aus der CA-Datenbank löschen? Wir haben die Lösung!

Smiley

Gruß und bis dahin,

Karsten Hentrup aka Jens Mander…

|<-|

Windows Server 2012 und R2 – Core Parking – Energiesparplan

Hallo Leutz,

seit Windows Server 2008 R2 gibt es das Core Park Feature, um eine CPU in den Idle Mode zu setzen. Mit Windows Server 2012 hat Microsoft die Core Parking Policy geaendert (KB: http://support.microsoft.com/kb/2814791). Auszug: “Currently by default, Windows Server 2012 disables core parking for Intel based processors to maximize energy efficiency and CPU performance”.

Bei einem Kunden habe ich heute festgestellt, dass sowohl auf den physikalischen Hyper-V Servern als auch in den virtuellen Maschinen das Core Parking Feature aktiv ist. lt. den Windows Server 2012 / R2 Performance Tuning Guidelines (http://msdn.microsoft.com/en-us/library/windows/hardware/dn529134) kann die Funktion des Core Parking mit den Powerplan Einstellungen modifiziert werden. Standardmaessig wird der Energiesparplan “Ausbalanciert” verwendet. Wenn man diesen auf “Hoechstleistung” umstellt, ist das Core Parking auch desaktiviert. Die Energiesparplaene kann man auch per Gruppenrichtlinie steuern. Wenn Sie also das Core Parking Feature desaktivieren wollen, erstellen Sie eine Gruppenrichtlinie mit entsprechenden Einstellungen und wenden diese auf die Server an.
Diese und weitere Informationen stehen in folgendem Bilderbuch: http://www.it-training-grote.de/download/CPU-CoreParking-WS2012.pdf

Gruss Marc