August 7

Domain Controller offline entfernen

Die richtige Vorgehensweise um einen Domain Controller zu entfernen, ist diesen mit DCPROMO zu depromieren. Allerdings gibt es immer wieder Situationen, in welchen dies nicht möglich ist und man den DC von Hand offline entfernen muss. Dazu sind mehrere manuelle Schritte nötig:

 

Active Dirctory Users and Computers > Domain Controllers

Den betroffenen Domain Controller auswählen und löschen, im folgenden Dialog muss dann noch die Warnung quittiert werden.

Wenn der DC ein Global Catalog war kommt noch ein zusätzlicher Hinweis, welcher bestätigt werden muss.

Sollte die Meldung „Access is denied“ erscheinen ist vermutlich die Option „Protect object from accidental deletation“ an dem Objekt gesetzt. Diese ist mindestens an drei Stellen zu kontrollieren und ggf. zu entfernen:

  • Active Directory Users and Computers > Server Properties > Object
  • Active Directory Users and Computers > Server Properties > General > NTDS Settings > Object
  • Active Directory Sites and Services > Site > Servers > Server Properties > Object

Im Anschluss kann der Server im ADUC gelöscht werden.

Danach kann man das Server Objekt im Active Directory Sites and Services ebenfalls entfernen. Sollte der ausgefallene Domain Controller eine der FSMO-Rollen inne gehabt werden, muss diese einem anderen Server zugewiesen werden > NTDSUtil > roles > connections > connect to server %domaincontroller% > seize %fsmo-rolle%

Februar 6

Win10 GP-Pack von Mark Heitbrink

Mark Heitbrink bzw. gruppenrichtlinien.de hat ein neues GPO Paket erstellt:

gp-pack PaT – Privacy and Telemetry

welches er für 89 Euro vertreibt.

 

Das GP Pack beinhaltet unter anderem 70 Policies welche 250 Registry Keys setzen sowie ein eigenes ADM Template und Scripte für Windows 10. Damit können 40 Apps im Hintergrund deaktiviert/deinstalliert werden, man kann die Windows 10 Telemetrieübermittlung deaktivieren und es beinhaltet Vorlagen für ein minimalistisches Startmenü.

Alles in allem kann man sich das auch einzeln im Internet zusammensammeln, ich für meinen Teil werde mir das gp-pack bestellen (und dann berichten). :-)

Oktober 31

Quick & Dirty: Net.Tcp Listener Adapter service – “Error 1068: The dependency service or group failed to start.”

Ok kleines Problemchen nach dem Inplace Upgrade: Der Net.Tcp Listener Adapter Service will nicht mehr starten.

Ursache: Der Dienst Net.Tcp Port Sharing Service ist als Abhängigkeit defininiert jedoch der Default nach den Ugrade deaktiviert.

Lösung: Net.Tcp Port Sharing Service auf Starttyp "Automatic" umstellenn, Net.Tcp Listener Adapter Serive neu starten. Erledigt.

Oktober 31

Upgrade Win2008R2 Active Directory nach Win2012R2

Nun endlich ist es soweit, das Active Directory Upgrade von 2008 R2 auf 2012 R2 steht an. Nach einigem Abwägen habe ich mich für ein Inplace Upgrade entschieden da all meine Domain Controller bereits auf Windows Server 2008 R2 installiert sind. Zuerst habe ich den Domain und Forest Functional Level überprüft, bei mir war dieser bereits auf Windows Server 2008 R2:

Domain Functional Level Forest Functional Level

Danach habe ich überprüft, ob der Server eine FSMO Rolle hat. Beim ersten Domain Controller dies der Schmema Master und Domain Naming Master welche ich mit ntdsutil.exe auf einen anderen DC übertragen habe. Laut Technet sollte das Inplace Upgrade auch mit FSMO Rollen auf dem Server funktionieren habe ich aber nicht getestet.

ntdstil rolesVerschieben der Rollen geht dann entsprechend mit Transfer Schema Master, Transfer Naming Master, usw.

 

So Vorbereitet ging es los, SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-3_MLF_X19-53588.ISO mounten und setup.exe ausführen. Das Pre-Requirement Check hat dann gleich die ersten "Probleme" festgestellt: Festplattenplatz auf C: (Datenträger vergrößern), Server ist im Reboot Pending State (Neustart benötig) und es fehlt das adprep /forestprep. Siehe http://go.microsoft.com/fwlink/?LinkId=113955

WindowsSetup

Domänen Gesamtstrukturschema vorbereiten

Auf der Windows Server 2012 R2 CD befindet sich das adprep Tool im Ordner \support\adprep. Mit adprep /forestprep wird das Schmema auf die aktuelle Version 69 aktualisiert, mit adprep /rodcprep wird doe Gesamtstruktur für Read Only Domain Controllers (RODC) vorbereitet. Abschliessend noch mit adprep /domainprep alles aktualisieren.

 

VMware ESX Stolperfalle

Mein Win2008R2 Server lief ursprünglich auf einem VMware ESX 4.x Server. VMware 4 unterstützt kein WinPE4 und damit kein Windows 8 bzw. 2012 weshalb das Setup bei ersten Reboot mit einem Bluescreen abgestürzt ist:

bluescreen

Die Lösung ist simpel, ein einfaches Hardware Upgrade der Virtuellen Maschine auf Version 10 löst das Problem. Dazu muss das Guestsystem natürlich auf einem ESX 5 Server ausgeführt werden.

 

Cleanup

Das Inplace Upgrade ist ansonsten sauber durchgelaufen, lediglich die fixe IP Adresse musste ich von Hand erneut zuweisen. Selbst der Virenscanner wurde übernommen. Das verbleibende Windows.Old Verzeichnis kann über das Disk Cleanup Tool entfernt werden – dazu muss man jedoch das Desktop Experience Feature nachinstallieren.

August 8

Active Directory Wiederherstellung (vollständig)

Backups sind wichtig, ich denke das ist klar. Doch hin und wieder sollte man auch mal eine Wiederherstellung testen und dokumentieren weil das beste Backup nützt nichts (oder wenig) wenn es korrupt ist…

Ich ziehe mehrere Domain Server täglich per Wbadmin.exe ab. Die System State Sicherung beinhaltet auch die Actice Directory Datenbank sowie das SYSVOL Verzeichnis. Während der Windows Server Sicherung deaktiviere ich den Virenscanner denn dieser hatte in der Vergangenheit immer wieder mal das Backup korrumpiert.

 

Nun stand also ein weiterer Wiederherstellungstest an. Szenario "Worst Case", d.h. kompletter Ausfall des Actice Directory Forest. Getetstet habe ich das in einem isolierten Netzwerk.

 

Schritt 1: Server von einem Windows Medium booten (in meinem Fall Server 2008 R2) und Computerreparatur auswählen.

Schritt 2: Auf den Backup Pfad verweisen und den Server vollständig wiederherstellen (alle lokalen Festplatten formatieren)

 

Nach dem Recovery konnte ich mich an dem Server anmelden, jedoch startete das DNS und somit auch das ADS nicht. Der DNS-Server gab einen Fehler mit der Event ID 4013 aus. Im Endeffekt bedeutet dies, dass er auf die initiale Replikation wartet – was in einem isolierten Netzwerk nicht passieren kann.

Die Lösung ist ein Registry-Key welcher manuell gesetzt werden muss:

HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Repl Perform Initial Synchronizations" = DWORD:00000000

Nach einem Neustart wird dann keine inititale Replikation durchgeführt. Nachdem der DNS-Server läuft sollte der Key gelöscht werden oder auf DWORD:00000001 umgestellt werden.

 

 

Was dann noch fehlt, ist die Übername der FSMO Rollen auf den neuen Server. Dies wird mit NTDSUtil erledigt:

08-08-2014 08-23-32

Dies muss für alle 5 FSMO Rollen durchgeführt werden.

 

Danach sollte das ADS wieder sauber laufen, ggf. muss der Server noch zum Globalen Katalog gemacht werden.

Februar 21

Tools: Active Directory True Last Logon

Heute, eine kleine Tool Empfehlung: Active Directory True Last Logon von dovestones software.

True-Last-Logon-3-Main-Screen-cropped1

True Last Logon ist DAS Tool meiner Wahl, wenn es um Exporte und Suchen im ADS geht:

  • Herausfinden des letzten Anmeldedatums (über alle Domain Controller hinweg)
  • User Account Status (enabled/disabled, expire date, lockout)
  • Automatische Reports inkl. Email Versand
  • Export u.a. nach CSV und Excel
  • Massenbearbeitung: Verschieben, Sperren, Löschen, …

Das Tool läuft ohne Schema Anpassungen und ohne eine Serverkomponente.

 

Ich setze damit z.B. monatliche Auswertungen um (User mit gesetzten Ablaufdatum, ohne Anmeldung in einem bestimmten Zeitraum) und nutze es auch, wenn ich über verschiedene OU’s hinweg einen schnellen und schicken Export benötige (hier stehen alle AD Attribute zur Auswahl).

August 15

Windows Server 2008 Domain Controller failed to start (BSOD)

Einer meiner Windows Server 2008 R2 Domain Controller war morgens nicht mehr im Netzwerk erreichbar. Bei einem Blick auf die Konsole sah ich, dass er im System Recovery stand. Also erstmal den automatischen Neustart deaktivieren, Reboot und die BSOD (Bluescreen Of Death) Meldung lesen:

STOP: c00002e2 Directory Services could not start because of the following error:
A device attached to the System is not functioning.

Neustart und Boot in den Directory Services Restore Mode.

Zuerst warf ich einen Blick ins DISKPART und stellte fest dass da ja was nicht stimmen kann… Meine Boot Partition hat den Laufwerksbuchstaben D: und die System Reserved hat auf einmal den Buchstaben C: …

AD Recovery - DISKPART

 

mit DISKPART lässt sich das wieder hinbiegen:

select volume 1
remove letter=c
select volume 2
assign letter=c

 

Um die AD Datenbank zu überrpüfen wollte ich mich danach mit NTDSUTIL aufschalten, bekam aber gleich einen Fehler der Jet Datenbank:

ad_recovery_2

 

Wie bei so vielem ist der erste Schritt ein Backup. Dazu einfach die NTDS.DIT wegkopieren, um danach mit dem ESENTUTL (Extensible Storage Engine Utilities) einen Integrität Check durchzuführen:

md c:\backup
copy c:\windows\ntds\ntds.dit c:\backup
esentutl /g c:\windows\ntds\ntds.dit

sollte eine Reparatur nötig sein, kann diese aucj mit ESENTUTL durchgeführt werden

esentutl /p c:\windows\ntds\ntds.dit

ad_recovery_3

Im Anschluss verschiebt man noch idealerweise die LOG Dateien ins den Backup Ordner (move c:\windows\ntds\*.log c:\backup).

 

Nun sollte man sich mit NTDSUTIL verbinden können:

ntdsutil
activate instance ntds
-> files
-> info

 

Last but not least bietet sich noch eine sematische Datenbank Analyse an:

ad_recovery_4

 

 

Dann Reboot und prüfen, ob sich der Server sauber repliziert.