August 29 2017

In-Console Update SCCM 1702 -> 1707 breaks OSD

Nach dem In-Console Update des ConfigMgr 1702 auf 1706 funktionierten bei mir die PXE Task Sequenzen nicht mehr. Fehlermeldung:

Failed to Run Task Sequence

There are no task sequences available for this computer

 

Nach längerer Suche fand ich einen SCCM Bug, welcher eigentlich schon in 1702 behoben sein sollte, siehe KB4019926

 

Die Ursache ist so banal wie auch fatal: Die GUID des Objektes „x64 Unknown Computer (x64 Unknown Computer)“ wurde von einem anderen Client verwendet. Das kann, laut KB, wohl vorkommen wenn man mal den „Zurück“ Button während einer Task Sequence verwendet hat. Interessanterweise trat der Fehler bei mir Wochenlang nicht unter 1702 sondern erst nach dem Upgrade auf 1706 auf….

 

Lösung:

In der SQL erstmal die GUID der zwei Unknown Computer Objekte suchen:

select ItemKey, Name0,SMS_Unique_Identifier0 from UnknownSystem_DISC

Bei mir war das Objekt schon zum löschen markiert (Decommissioned=1) aber eben noch in der Datenbank vorhanden. Anstatt auf den Purge Prozess zu waren entschloss ich mich die zwei Unknown Objekte neu anzulegen:

 

Dazu brauchen wir die ItemKeys der zwei Objekte

select * from UnknownSystems

danach können beide aus der Datenbank gelöscht werden:

delete from UnknownSystem_DISC where ItemKey in (%ITEMKEY%)

 

Anschliessend muss man in der Registry auf dem Primary Site Server folgenden Key ändern:

HKLM\Software\Microsoft\SMS\Components\SMS_Discovery_Data_Manager
CreatedUnknownDDR: Von 0 auf 1 ändern

danach den SMS Executive Dienst durchstarten.

 

In Folge werden dann die zwei Objekte mit neuer GUID angelegt. Nachdem ich dann meine Task Sequenzen neu deployed hatte funktionierte alles wieder wie gehabt.

 

 

Vielen Dank an syswow64

August 23 2017

Windows 10 Suche findet keine Apps mehr

Seit dem Windows 10 Creators Update (1703) finden meine Windows 10 Rechner keine Anwendungen mehr über das Startmenü. Tippe ich beispielsweise „KeePass“ in die Windows Suche wird zwar eine Datei gefunden, jedoch nicht die Anwendung. Im Startmenü selbst ist KeePass vorhanden.

Nach längerer Suche und ändern der Cortana/Suche Einstellungen konnte ich die Ursache schlussendlich finden -> Die Ausführung von Hintergrund-Apps muss erlaubt werden:

Diese Einstellung ist noch auf 1610 Zeiten so in meiner Win10-GPO drin weshalb ich hier vorerst auch keinen Verdacht hatte. Zu finden ist diese Computereinstellung unter den Administrativen Templates -> Windows Components -> App Privacy

Nach einem Reboot funktioniert dann auch die Suche wie gehabt, selbst wenn man in den Einstellungen alle Apps auf „aus“ stellt solang der oberste Schalter aktiv bleibt.

Toll gemacht, Microsoft! #slowclap #facepalm

August 7 2017

Domain Controller offline entfernen

Die richtige Vorgehensweise um einen Domain Controller zu entfernen, ist diesen mit DCPROMO zu depromieren. Allerdings gibt es immer wieder Situationen, in welchen dies nicht möglich ist und man den DC von Hand offline entfernen muss. Dazu sind mehrere manuelle Schritte nötig:

 

Active Dirctory Users and Computers > Domain Controllers

Den betroffenen Domain Controller auswählen und löschen, im folgenden Dialog muss dann noch die Warnung quittiert werden.

Wenn der DC ein Global Catalog war kommt noch ein zusätzlicher Hinweis, welcher bestätigt werden muss.

Sollte die Meldung „Access is denied“ erscheinen ist vermutlich die Option „Protect object from accidental deletation“ an dem Objekt gesetzt. Diese ist mindestens an drei Stellen zu kontrollieren und ggf. zu entfernen:

  • Active Directory Users and Computers > Server Properties > Object
  • Active Directory Users and Computers > Server Properties > General > NTDS Settings > Object
  • Active Directory Sites and Services > Site > Servers > Server Properties > Object

Im Anschluss kann der Server im ADUC gelöscht werden.

Danach kann man das Server Objekt im Active Directory Sites and Services ebenfalls entfernen. Sollte der ausgefallene Domain Controller eine der FSMO-Rollen inne gehabt werden, muss diese einem anderen Server zugewiesen werden > NTDSUtil > roles > connections > connect to server %domaincontroller% > seize %fsmo-rolle%

März 20 2017

Windows Server Patching mit PoshPAIG

Jeden Monat das selbe… Es gibt neue Windows Server Updates und diese sollten zeitnah auf allen Servern eingespielt werden. Mit WSUS und Gruppenrichtlinien kann man das vollständig automatisieren was aber nicht in jeder Umgebung gewünscht ist.

Sich auf jeden Server per RDP aufschalten und die Updates von Hand zu installieren ist jedoch auch müssig.

Unterstützen kann hier das PowerShell Patch/Audit Utility (PoshPAIG) von Boe Prox:

Mit PoshPAIG kann man eine Liste von Servern automatisiert auf folgende Optionen hin abprüfen:

  • Audit Patches
  • Install Patches
  • Check Pending Reboot
  • Ping Sweep
  • Services Check
  • Reboot Systems

Zusätzlich kann man sich noch eine handvoll CSV Reports erstellen lassen.

 

Alles in allem eine feine Sache für alle, die den Patchvorgang nicht vollständig durch automatisieren möchten.

Februar 6 2017

Win10 GP-Pack von Mark Heitbrink

Mark Heitbrink bzw. gruppenrichtlinien.de hat ein neues GPO Paket erstellt:

gp-pack PaT – Privacy and Telemetry

welches er für 89 Euro vertreibt.

 

Das GP Pack beinhaltet unter anderem 70 Policies welche 250 Registry Keys setzen sowie ein eigenes ADM Template und Scripte für Windows 10. Damit können 40 Apps im Hintergrund deaktiviert/deinstalliert werden, man kann die Windows 10 Telemetrieübermittlung deaktivieren und es beinhaltet Vorlagen für ein minimalistisches Startmenü.

Alles in allem kann man sich das auch einzeln im Internet zusammensammeln, ich für meinen Teil werde mir das gp-pack bestellen (und dann berichten). :-)

Januar 27 2017

Update for System Center Endpoint Protection 2012 Client – 4.10.209.0 (KB3209361)

Microsoft hat das Update KB3209361 vom September 2016 am 24.01.2017 neu veröffentlicht. Wer es also, wie ich, in einer Update Gruppe freigegeben hat wird feststellen, dass dieses Update mit einem roten X gekennzeichnet ist und sich nicht mehr herunterladen/installieren lässt…

Einfach aus der Verteilung nehmen, neu herunterladen und neu deployen…

Januar 18 2017

OSD HP ZBook 17 G3

Wir setzen bislang das HP ZBook 17 G2 ein weshalb ich sehr optimistisch an das Thema Treiber für das G3 heran ging, Business as Usual… Sollte man meinen…

 

Treiber heruntergeladen, Package erstellt, erster Test und dann festgestellt dass sich der CCM Agent nicht installiert und das Gerät nach dem ersten Reboot (nach „Setup Windows and ConfigMgr“) hängen bleibt. Da alle Treiber sauber installiert wurden und das Gerät sogar den Domain Join schaffte, schloss ich ein Treiberproblem aus.

Selbst das smsts.log gab nicht viel her, ein Indiz war lediglich die Zeile
The action (Setup Windows and Configuration Manager) requested a retry

 

Nach viel Try & Error fand ich heraus, dass es an der Konfiguration von SSD (per MSATA) und HDD (per SATA) liegt. Wird die HDD ausgesteckt läuft die Task Sequence sauber durch. Dies ist insofern komisch weil die ZBook 17 G2 Geräte bei uns die selbe Konfiguration aufweisen und es hier zu keinen Schwierigkeiten kommt.

 

Eine endgültige Lösung habe ich leider noch nicht, allerdings einen Workaround:

Direkt nach dem Start in WinPE deaktiviere ich die SATA Ports per Script und starte den Rechner nochmals neu. Danach folgt das reguläre OSD und als letzten Schritt aktiviere ich die SATA Ports wieder vor dem finalen Neustart.

Inhalt der BCU_zbook17g3_sata_on.cmd:

pushd %~dp0
„%~dp0BiosConfigUtility64.exe“ /set:“%~dp0zbook17g3_sata_on.REPSET“
popd

 

Zum HP BiosConfigurationUtility schreibe ich vielleicht mal noch etwas mehr, dieser Beitrag ist erstmal eine Kurzinfo…

Wenn jemand das selbe oder ähnliche Probleme hat würde ich mich über einen Kommentar freuen.

Januar 18 2017

Windows ADK Versionsnummern

Aktuelle Windows 10 ADK Versionsnummern:

  • ADK for Windows 10 1607 -> 10.1.14393.0
  • ADK for Windows 10 1511 -> 10.1.10586.0
  • ADK for Windows 10 RTM  -> 10.0.26624.0
  • ADK for Windows 10 -> 10.0.10240.0

Nur falls ich das mal wieder suche muss… ;-)

Quelle: http://renshollanders.nl/2016/12/download-windows-adk-the-numerous-versions-of-microsoft-windows-adk-assessment-and-planning-toolkit-and-where-to-find-them/