Neues vom Michl

 

Microsoft

In Windows Netzwerken mit Active Directory ist es wichtig eine korrekte Uhrzeit einzustellen. Per Default synchronisieren sich alle Domain Controller mit dem Server, auf dem die PDC Rolle aktiv ist. Der PDC Server wiederum kann mit einer externen Zeitquelle synchronisiert werden. Geeignet hierzu sind z.B. die Server des NTP Projektes.

Um die Zeitserver zu konfigurieren muss in einer Eingabeaufforderung (als Administrator gestartet) folgender Befehl eingegeben werden

1
w32tm /config /manualpeerlist:“0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org“ /syncfromflags:manual /reliable:yes /update

Hilfreich hierzu ist auch ein entsprechender KB Artikel von Microsoft.

Bei der Einrichtung eines SBS 2008 oder 2011 Servers werden automatisch Zertifikate (Selfsigned) fĂĽr Exchange Server angelegt. Laufen diese Zertifikate ab, so erhalten die Clients beim Start von Outlook eine Fehlermeldung. 

Das Sicherteitszertifikat ist abgelaufen oder noch nicht gĂĽltig.

Als Lösung kommt nur eine Verlängerung der Zertifikaten in Frage (für diese Anleitung werden selbstsignierte Zertifikate verwendet)

SBS Serverzertifikat verlängern

Auf dem SBS Server kann das Zertifikat im IIS unter “Serverzertifikate” verlängert werden.

image

Jedes Zertifikat mit rechter Maustaste anklicken und den Punkt “Erneuern…” auswählen. Anschließend die entsprechende Aktion auswählen. Als Server muss der SBS Server selbst ausgewählt werden.

image

Ein Windows Terminal Server stellt einem Client beim Verbinden eine temporäre Zugriffslizenz aus. Diese läuft nach 90 Tagen ab und wird entweder in eine fest zugewiesene (Geräte-)Lizenz umgewandelt oder der Client kann keine Verbindung zum TS herstellen.

Diese Umwandlung funktioniert nicht immer problemlos. Es gibt aber einen einfachen Trick, die temporäre Lizenz zu löschen. Bei der nächsten Anmeldung wird eine neue temporäre Lizenz vom Server angefordert und vergeben. Notwendig hierzu ist das Löschen des Eintrages LICENSExxx in folgenden Registryeintrag

1
HKLM\Software\Microsoft\MSLicensing\Store\LICENSExxx

Dieser Schritt muss auf dem betroffenen Client durchgefĂĽhrt werden.

Um Windows 7 in einer VMware View Umgebung als virtuellen Desktop zu betreiben sind einige Anpassungen notwendig. VMware hat hierzu den VMware View Optimization Guide for Windows 7 erstellt. Viele Tipps sind bereits enthalten, einiges mehr an Tipps lässt sich mit Google finden.

Ich habe unter Winodows 7 Template fĂĽr View erstellen eine Zusammenfassung der wichtigsten Einstellungen und Tipps hinterlegt.

FĂĽr jede Art von Kritik bin ich natĂĽrlich sehr dankbar.

Synchronisierung der Uhrzeit mit einem Microsoft AD Domaincontroller unter ESXi

Ein ESX(i) Server kann standardmäßig keine Zeitsynchronisation mit einem Mircosoft Windows 2003 Server oder höher durchführen.

Konfiguration Windows NTP Server

Zuerst sollte ein Domain Controller als Zeitserver konfiguriert werden. Wie das funktioniert habe ich in einem frĂĽheren Beitrag beschrieben.

Konfiguration ESX / ESXi NTP und Likewise Client

Mit Hilfe des vSphere Clients wird auf dem ESXi Server der NTP Client aktiviert und ein NTP Server (AD Domain Controller) eingetragen.

  • NTP-Client muss aktiviert sein
  • unter NTP-Einstellungen die IP / Name des Server hinterlegen

esxi_ntp

Damit ist die Konfiguration aber noch nicht abgeschlossen. Weitere Einstellungen mĂĽssen per CLI vorgenommen werden. Dies kann entweder per Shell oder ssh durchgefĂĽhrt werden.

In die Datei /etc/ntp.conf uns folgender Eintrag vorgenommen werden

1
tos maxdist 30

Um Anpassungen in /etc/likewise/lsassd.conf durchführen zu können muss diese erst schreibbar gemacht werden

1
chmod +w /etc/likewise/lsassd.conf

In dieser Konfigurationsdatei folgenden Parameter wie folgt aktivieren

1
sync-system-time = no

Unter ESXi Ă„nderungen speichern lassen (notwendig um die Einstellung nach einem Reboot zu behalten

1
/sbin/auto-backup.sh

Neustart der Dienste durchfĂĽhren

1
2
/etc/init.d/lsassd restart
/etc/init.d/ntpd restart

Unter normalen Umständen nimmt sich der Exchange Dienst den RAM der zur Verfügung steht um eine optimale Leistung des Exchange Servers zu garantieren. Dies ist eigentlich keine schlechte Idee, kann aber unter Umständen zu Problemen führen. Vor allem beim – noch verfügbaren – SBS Server, der viele Dienste auf einer Maschine zur Verfügung stellt, ist dies u.U. kontraproduktiv. Der Exchangeserver kann bei der RAM Nutzung limitiert werden. Allerdings sollte dann das IO Verhalten beobachtet werden.

RAM Limitierung konfigurieren

1. ADSI-Editor starten

2. Konfiguration als Namenskontext auswählen und verbinden

image

3. Folgenden Schlüssel auswählen

Configuration -> CN=Services -> CN=Microsoft Exchange -> CN=(Organisationsname) -> CN=Administrative Groups > CN=(Name der administrativen Gruppe) -> CN=Servers -> CN=(Servername) –> InformationStore

Eigenschaften des InformationStore öffnen (rechte Maustaste)

4. Einträge anpassen

Der Exchange Server 2010 rechnet immer in 32KB Blöcken. Die Anzahl der Blöcke muss eingetragen werden.

1
msExchESEParamCacheSizeMax Wert – Anzahl Blöcke
1
msExchESEParamCacheSizeMin Wert – Anzahl Blöcke
1GB 32768
4GB 131072
10GB 327680

image

5. Exchange Informationsspeicherdienst neu starten

Konfiguration eines neuen Connectors unter Serverkonfiguration – Hub Transport

image

 

Lokale Netzwerkeinstellungen des Servers

image

 

IP Adressen eintragen, die den Exchange Server als Relay verwenden dĂĽrfen

image

 

Um ohne Authentifizierung Mails zu versenden

image

 

Weiter mit der Exchange Konsole 

Berechtigung des Users Anonymous zum Versenden von Mails erteilen

Englische Installation :

1
Get-ReceiveConnector “External Relay” | Add-ADPermission –User “NT AUTHORITY\ANONYMOUS LOGON” –ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

Deutsche Installation :

1
Get-ReceiveConnector “External Relay” | Add-ADPermission –User “NT-AUTORITÄT\ANONYMOUS-Anmeldung” –ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

ACHTUNG : Bei unsachgemäßer Anwendung besteht die Möglichkeit, ein Open Relay aufzumachen und der Server wird von Spammern verwendet. Anwendung nur für erfahrene Benutzer

Vorhandene Passwörter mit Boot Disk / USB Boot zurücksetzen

Auch wenn zu diesem Thema bereits sehr viele Artikel existieren, möchte ich trotzdem einen Weg zum Zurücksetzen eines Passwortes unter Windows aufzeigen. Auf Basis des Offline NT Password & Registry Editor kann eine bootfähige CD bzw. USB Stick erstellt werden.

Unterstützt werden alle gängigen Windows Betriebssysteme für den Desktop sowie die Servervarianten. Jeweils als 32 und 64 Bit Version.

Um das Passwort zurĂĽckzusetzen ist Zugriff auf die Console des Servers / PCs erforderlich. Nach dem Boot erscheint folgendes Fenster

image

Die erkannte Windows Partition (1) muss anschlieĂźend gemountet werden um Zugriff auf die lokale Userdatenbank zu erhalten.

image

Anschließend muss noch der Pfad zur Registrierung bestätigt werden. Als nächstes wird die Option zum Zurücksetzen / Löschen der Passwörter ausgewählt.

image

Ab hier werden Ă„nderungen in die lokale Userdatenbank geschrieben. VORSICHT !!!

image

Während der nächsten Schritte kann ein Passwort geändert / gelöscht, ein User zur Gruppe Administratoren hinzugefĂĽgt oder auch entsperrt werden. Nach dem nächsten Reboot kann das neue Passwort verwendet werden. 

Konfiguration eines Zeitservers in einer Active Directory Domain

In einer AD Domain sollte der Domain Controller mit der PDC Rolle auch als autorisierender Zeitserver eingerichtet werden. DafĂĽr mĂĽssen einige Einträge in der Registrierung vorgenommen werden. Dies muss  nur auf einem Server durchgefĂĽhrt werden. Alle anderen Server / Clients holen sich automatisch die Zeit vom PDC DC. Microsoft hat hierzu einen KB Artikel veröffentlicht.

1
2
3
4
5
6
7
8
9
10
11
12
13
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NTP"
"NtpServer"="0.de.pool.ntp.org,0x1 1.de.pool.ntp.org,0x1 2.de.pool.ntp.org,0x1 3.de.pool.ntp.org,0x1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"AnnounceFlags"=dword:00000005
"MaxNegPhaseCorrection"=dword:00000e10
"MaxPosPhaseCorrection"=dword:00000e10
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
"SpecialPollInterval"=dword:00000384

Beschreibung der Optionen

Servertyp auf NTP ändern und Quell NTP Server eintragen – WICHTIG ,0x1 anhängen, ansonsten werden die Einstellungen nicht aktiv

1
2
3
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NTP"
"NtpServer"="0.de.pool.ntp.org,0x1 1.de.pool.ntp.org,0x1 2.de.pool.ntp.org,0x1 3.de.pool.ntp.org,0x1"

Als autorisierenden Zeitserver einstellen und Zeitkorrektur in Sekunden konfigurieren

1
2
3
4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"AnnounceFlags"=dword:00000005
"MaxNegPhaseCorrection"=dword:00000e10
"MaxPosPhaseCorrection"=dword:00000e10

Dieses Beispiel funktioniert unter

  • Windows 2003 Server
  • Windows Server 2008
  • Windows Server 2008 R2

Beispielkonfiguration (REG File) herunterladen

RegFile ausführen und Einträge zur Registry hinzufügen. Anschließend noch den Windows-Zeitgeber Dienst neu starten. In der Ereignisanzeige sollten nun Meldungen (W32Time) erscheinen, die den Abgleich mit einem externen Zeitserver bestätigen. Alle Clients holen sich nun ab sofort die Zeit vom PDC DC (dauert u.U. ein wenig – kann aber mit einem Dienstneustart erzwungen werden)

Fehler beim HinzufĂĽgen einer Buffalo Terrastation zu einem bestehenden AD

Eine Buffalo Terrastation bringt die Meldung

Beitritt zur ActiveDirectory- Domäne fehlgeschlagen!
Bitte prüfen Sie die ActiveDirectory- Domäneneinstellungen, Administratornamen und Passwort

beim Hinzufügen zu einer Active Directory Domain. In meinem Fall unter Windows Server 2008 R2. Die Lösung ist einfach – wenn auch nicht unbedingt wünschenswert. Das verwendete Passwort darf leider keine Sonderzeichen haben. Also einen User für die NAS anlegen und ein Passwort ohne Sonderzeichen vergeben.