März 20

Windows Server Patching mit PoshPAIG

Jeden Monat das selbe… Es gibt neue Windows Server Updates und diese sollten zeitnah auf allen Servern eingespielt werden. Mit WSUS und Gruppenrichtlinien kann man das vollständig automatisieren was aber nicht in jeder Umgebung gewünscht ist.

Sich auf jeden Server per RDP aufschalten und die Updates von Hand zu installieren ist jedoch auch müssig.

Unterstützen kann hier das PowerShell Patch/Audit Utility (PoshPAIG) von Boe Prox:

Mit PoshPAIG kann man eine Liste von Servern automatisiert auf folgende Optionen hin abprüfen:

  • Audit Patches
  • Install Patches
  • Check Pending Reboot
  • Ping Sweep
  • Services Check
  • Reboot Systems

Zusätzlich kann man sich noch eine handvoll CSV Reports erstellen lassen.

 

Alles in allem eine feine Sache für alle, die den Patchvorgang nicht vollständig durch automatisieren möchten.

Oktober 31

Upgrade Win2008R2 Active Directory nach Win2012R2

Nun endlich ist es soweit, das Active Directory Upgrade von 2008 R2 auf 2012 R2 steht an. Nach einigem Abwägen habe ich mich für ein Inplace Upgrade entschieden da all meine Domain Controller bereits auf Windows Server 2008 R2 installiert sind. Zuerst habe ich den Domain und Forest Functional Level überprüft, bei mir war dieser bereits auf Windows Server 2008 R2:

Domain Functional Level Forest Functional Level

Danach habe ich überprüft, ob der Server eine FSMO Rolle hat. Beim ersten Domain Controller dies der Schmema Master und Domain Naming Master welche ich mit ntdsutil.exe auf einen anderen DC übertragen habe. Laut Technet sollte das Inplace Upgrade auch mit FSMO Rollen auf dem Server funktionieren habe ich aber nicht getestet.

ntdstil rolesVerschieben der Rollen geht dann entsprechend mit Transfer Schema Master, Transfer Naming Master, usw.

 

So Vorbereitet ging es los, SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-3_MLF_X19-53588.ISO mounten und setup.exe ausführen. Das Pre-Requirement Check hat dann gleich die ersten "Probleme" festgestellt: Festplattenplatz auf C: (Datenträger vergrößern), Server ist im Reboot Pending State (Neustart benötig) und es fehlt das adprep /forestprep. Siehe http://go.microsoft.com/fwlink/?LinkId=113955

WindowsSetup

Domänen Gesamtstrukturschema vorbereiten

Auf der Windows Server 2012 R2 CD befindet sich das adprep Tool im Ordner \support\adprep. Mit adprep /forestprep wird das Schmema auf die aktuelle Version 69 aktualisiert, mit adprep /rodcprep wird doe Gesamtstruktur für Read Only Domain Controllers (RODC) vorbereitet. Abschliessend noch mit adprep /domainprep alles aktualisieren.

 

VMware ESX Stolperfalle

Mein Win2008R2 Server lief ursprünglich auf einem VMware ESX 4.x Server. VMware 4 unterstützt kein WinPE4 und damit kein Windows 8 bzw. 2012 weshalb das Setup bei ersten Reboot mit einem Bluescreen abgestürzt ist:

bluescreen

Die Lösung ist simpel, ein einfaches Hardware Upgrade der Virtuellen Maschine auf Version 10 löst das Problem. Dazu muss das Guestsystem natürlich auf einem ESX 5 Server ausgeführt werden.

 

Cleanup

Das Inplace Upgrade ist ansonsten sauber durchgelaufen, lediglich die fixe IP Adresse musste ich von Hand erneut zuweisen. Selbst der Virenscanner wurde übernommen. Das verbleibende Windows.Old Verzeichnis kann über das Disk Cleanup Tool entfernt werden – dazu muss man jedoch das Desktop Experience Feature nachinstallieren.

Oktober 10

Vererbung bei allen Unterordnern aktivieren

Denn sie wissen nicht, was sie tun… Könnte man meinen.
Gerade stolpere ich wieder über einen File Server wo auf tiefster Ebene noch, scheinbar wahllos, bei Unterordnern die NTFS-ACL Vererbung deaktiviert ist. Ich predige hier ja massiv „keep it simple“ um genau solche Probleme im Vorfeld schon durch ein durchdachtes Berechtigungssystem zu verhindern – das deaktivieren der Vererbung sollte die letzte Lösung für ein Problem sein.

Für die aktuelle Situation hilft das jedoch nicht, ich habe mehrere tausend Ordner mit unklaren NTFS ACEs und die einzige sinnvolle Lösung ist über alle hinweg die Vererbung wieder zu aktivieren und die explizit vergebenen Berechtigungen zu löschen.

Die Lösung (bzw. eine) für dieses Problem liegt in dem Kommandozeilentool icacls.exe.

/inheritance:e|d|r
  e - enables inheritance
  d - disables inheritance and copy the ACEs
  r - remove all inherited ACEs

/t indicates that this operation is performed on all matching files/directories below the directories specified in the name

icacls.exe %folder% /inheritance:e /t

Quellen:

Glossar:

  • ACL – Access Control List
  • ACE – Account Control Entries
September 13

Event ID 8183, VSS

Installiert man auf einem Windows Server 2008 R2 die DHCP Rolle erhält man ggf. nach folgende Fehler vom Volume Shadow Copy Service:

EventID 8193, VSS
Volume Shadow Copy Service error: Unexpected error calling routine RegOpenKeyExW(…), Access is denied.

Wenn man sich nun die Fehler Details genauer anschaut findet man im Bytes Abschnitt einen User, welcher keine Zugriffsrechte auf den VSS-Registry bereich hat. In den meisten Fällen, wie auch in meinem Beispiel dürfte das LOCAL SERVICE sein.

Um den Fehler loszuwerden muss man nur noch diesen User auf den RegKey HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesVSS berechtigen.
September 13

Installation eines Data Protector Agents unter Win Server 2008

Problem: Versucht man auf einem Windows Server 2008 (R2) einen HP Data Protector Agent zu installieren bekommt man folgende Fehlermeldung:

omni1

[Critical] Cannot connect to the SCM (Service Control Manager) on client <clientname>

 

Ursache: Auf dem DataProctor Server von dem aus der Client gepushed werden soll fehlen die Berechtigungen auf dem Zielsystem.

Lösung: Auf dem DataProtector muss dem Omniback INET Service der User hinzugefügt werden, welcher für den Client Push verwendet werden soll. Dieser User muss auch administrativ auf dem Zielsystem berechtigt sein.

Prüfen ob bereits User berechtigt sind:

C:\Program Files\OmniBack\bin\omniinetpassw.exe -list
No users are configured yet.

Einen User berechtigen:

C:\Program Files\OmniBack\bin\omniinetpassw.exe -add <domainname>\<username>
Please enter password:*********
Please retype password:*********
User '<domainname><username>' was successfully added.

Zuletzt muss dieser User dann noch dem Install Service zugewiesen werden:

C:\Program Files\OmniBack\bin\omniinetpassw.exe -inst_srv_user <domainname>\<username>
User '<domainname><username>' is configured to be used by Installation Server.

omni

Dann klappt es auch mit dem Client Push… :-)

 

Quelle: HP Data Protector 6.11 CLI Reference ab Seite 345