AD und Dienste

Problem:
Wenn man einige Fotos in einem Ordner unter Windows 7 hat, dann kann es passieren, dass die Vorschau ein anderes Bild zeigt, als das Bild wirklich ist.

Lösung:
Hierzu gibt es eine quick&dirty-Lösung und auch die Möglichkeit das ganze per GPO abzuschalten:

Quick'n'Ditry Schnelllösung
Diese sieht so aus, dass man einfach den Ordner löscht, in dem die Vorschau-Datenbank liegt.
Diesen findet man unter:

C:\Users\Benutzername\AppData\Local\Microsoft\Windows\Explorer

Wobei Benutzername für den Namen des Windowsbenutzers steht und individuell angepaßt werden muß.

GPO-Lösung
Hier kann man per Gruppenrichtlinie das Cachen der Voransicht generell abschalten und umgeht somit diesen Fehler.
Leider verliert man damit auch in kleines Stück Systemleistung, da die Voransicht dann immer in Realtime erstellt werden muß!
Die Einstellung findet man unter:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten/Windows-Explorer

Zwischenspeicherung von Bildern in Miniaturansicht deaktivieren = Aktivieren
Zwischenspeicherung von Miniaturansichten in versteckten "thumbs.db"-Dateien deaktivieren = Aktivieren

Problem
Man möchte den FQDN eines einzelnen externen Hosts auf eine interne IP-Adresse verweisen lassen um z.B. sein OWA sowohl intern als auch extern unter der gleichen URL zur Verfügung zu stellen.

Lösung
Folgende Vorgehensweise beschreibt die einrichtung der Lösung auf einen Micorosft DNS-Server:

1. neue primäre, AD-integrierte DNS-Zone namens "mail.hmcs.com" erstellen


2. keine dynamischen Updates erlauben" und auf alle DNS-Server der Domäne replizieren lassen


3. In der Zone eine Host (A) Eintrag erstellen und nur die IP-Adresse eintragen - keinen Namen!!


4. FERTIG!!!

Hier noch ein paar Screenshots von meiner Testumgebung zur besseren Erklärung:


Zone bereits erstellt - Host-Eintrag vorbereitet

Ansicht der vollständigen Konfiguration nach HOST-Eintrag

Problem:
Beim Durchführen des ADPREP-Befehls kommt es zu folgender Fehlermeldung:

Adprep konnte kein Replikat für Partition DC=ForestDnsZones,DC=Root-Domäne erreichen.
ADPREP hat einen LDAP-Fehler festgestellt.
Fehlercode: 0x0. Erweiterter Server-Fehlercode: 0x0, Server-Fehlermeldung:(null).

und

Adprep konnte kein Replikat für Partition DC=DomainDnsZones,DC=Domäne,DC=de erreichen.
ADPREP hat einen LDAP-Fehler festgestellt.
Fehlercode: 0x0. Erweiterter Server-Fehlercode: 0x0, Server-Fehlermeldung:(null).

der Fehler kann aber auch beim ausführen des Befehls DCDIAG auffallen, der sich wie folgt äußert:

Starting test: NCSecDesc
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt
keine Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=DomainDnsZones,DC=Domäne,DC=TLD
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt
keine Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=ForestDnsZones,DC=Domäne,DC=TLD
.................. DCON01 hat den Test NCSecDesc nicht bestanden.

Lösung:
Beim Verschieben und Neuerstellen der FSMO-Rollen auf einem anderen Server werden die Anwendungspartitionen ForestDnsZones und DomainDnsZone nicht angepaßt. Dadurch wird der neue Infrastructuremaster nicht in diese Partitionen übernommen und es kommt zu den Fehlermeldungen.
Da Microsoft weder einen Hinweis noch einen Protokoll-Eintrag zur Verfügung stellt, muß man hier manuell auf die Änderung durchführen, bzw. ein von Microsoft veröffentlichtes Skript verwenden.
Hier das Skript, dass bei mir zum erfolgreichen Umzug des "RoleOwners" für beide Partitionen geführt hat:

-------fixfsmo.vbs------------------
const ADS_NAME_INITTYPE_GC = 3
const ADS_NAME_TYPE_1779 = 1
const ADS_NAME_TYPE_CANONICAL = 2

set inArgs = WScript.Arguments

if (inArgs.Count = 1) then
' Assume the command line argument is the NDNC (in DN form) to use.
NdncDN = inArgs(0)
Else
Wscript.StdOut.Write "usage: cscript fixfsmo.vbs NdncDN"
End if

if (NdncDN <> "") then

' Convert the DN form of the NDNC into DNS dotted form.
Set objTranslator = CreateObject("NameTranslate")
objTranslator.Init ADS_NAME_INITTYPE_GC, ""
objTranslator.Set ADS_NAME_TYPE_1779, NdncDN
strDomainDNS = objTranslator.Get(ADS_NAME_TYPE_CANONICAL)
strDomainDNS = Left(strDomainDNS, len(strDomainDNS)-1)

Wscript.Echo "DNS name: " & strDomainDNS

' Find a domain controller that hosts this NDNC and that is online.
set objRootDSE = GetObject("LDAP://" & strDomainDNS & "/RootDSE")
strDnsHostName = objRootDSE.Get("dnsHostName")
strDsServiceName = objRootDSE.Get("dsServiceName")
Wscript.Echo "Using DC " & strDnsHostName

' Get the current infrastructure fsmo.
strInfraDN = "CN=Infrastructure," & NdncDN
set objInfra = GetObject("LDAP://" & strInfraDN)
Wscript.Echo "infra fsmo is " & objInfra.fsmoroleowner

' If the current fsmo holder is deleted, set the fsmo holder to this domain controller.

if (InStr(objInfra.fsmoroleowner, "\0ADEL:") > 0) then

' Set the fsmo holder to this domain controller.
objInfra.Put "fSMORoleOwner", strDsServiceName
objInfra.SetInfo

' Read the fsmo holder back.
set objInfra = GetObject("LDAP://" & strInfraDN)
Wscript.Echo "infra fsmo changed to:" & objInfra.fsmoroleowner

End if

End if

gestartet wird das ganze dann wie folgt (Anpassung des Domänennames ist nötig - hier als Beispiel: contoso.com):

cscript fixfsmo.vbs DC=DomainDnsZones,DC=contoso,DC=com

Quellen für weitere Informationen bzw. manuellen Umzug der Rolle:
smtp25.blogspot.com: Replicating Directory Changes in Filtered Set access rights for the naming context
dikmenoglu.de: DCDIAG: NCSecDesc Fehler
dikmenoglu.de: Die Infrastrukturmaster der Anwendungsverzeichnispartitionen
Microsoft KB949257: Error message when you run the "Adprep /rodcprep" command in Windows Server 2008: "Adprep could not contact a replica for partition DC=DomainDnsZones,DC=Contoso,DC=com"

Problem:
Selbsterstellte, importierte ADM-Datei wird nicht im GPO-Editor angezeigt. Kategorie ist sichtbar, aber die Richtlinie nicht.

Lösung:
Nach dem Import einer Richtlinie ist i.d.R. nur der „Ordner-Name“ auf der linken Seite der Baum-Struktur zu sehen. Die Ansicht muss noch angepasst werden.

Windows 2000:
Ansicht -> „Haken“ entfernen bei => Nur Richtlinien anzeigen

Windows XP/2003:
Ansicht -> Filterung -> „Haken“ entfernen bei => Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen

Quelle: gruppenrichtlinien.de - ADM-Vorlagen

Problem:
Sie können sich nicht mehr an Ihrer Domäne anmelden. Die DNS-Zonen werden nicht mehr angezeigt.
In der Ereignisanzeige überschlagen sich die Meldungen wie folgt:

1869 - Active Directory has located a global catalog in the following site....
1655 - Active Directory attempted to communicate with the following global catalog and the attempts were unsuccessful... Additional Data Error value: 5 Access is denied.
1126 - Active Directory was unable to establish a connection with the global catalog.... Additional Data Error value:
8430 The directory service encountered an internal failure. / Internal ID: 3200c89

Es ist keine DNS-Auflösung möglich hier fallen vorallem folgende Events beim Starten des DNS-Servers auf:

Ereigniskennung 4000
Beschreibung: Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Informationen vom Verzeichnis für diese Zone konfiguriert und kann die Zone ohne es nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.
-und-
Ereignis-ID 4013
Der DNS-Server konnte das Active Directory nicht öffnen. Dieser DNS-Server wurde für die Verwendung von Verzeichnisdienstinformationen konfiguriert und kann ohne Zugriff zu dem Verzeichnis nicht fehlerfrei ausgeführt werden. Der DNS-Server wird so lange angehalten, bis das Verzeichnis gestartet wird. Sollte der Server gestartet worden sein und das Ereignis ist nicht protokolliert worden, so wird der Server angehalten, bis das Verzeichnis gestartet wird.

Lösung:
Das Problem ist, dass die DNS-Zonen nicht mehr aus der ActiveDirectory-Datenbank ausgelesen werden können, da der gesicherte Kanal zwischen AD und DNS nicht mehr funktioniert. Sollte die Kommunikation zwischen den beiden Diensten einige Zeit nicht stattfinden, dann können sie nicht mehr aufeinander zugreifen. Man muß diesen Kanal bzw. das Passwort neu initialisieren. Hierzu gibt es den Befehl "NLTEST", der bei den Support Tools integreiert ist.

1.) Support Tools für die entsprechende Serverversion herunterladen und installieren
2.) Folgenden Befehl ausführen:

nltest /sc_change_pwd:domain.name

wobei domain.name der FQDN der Domäne ist (z.B.: test.local)

Es ist KEIN Neustart des Servers nötig. Danach ist der DNS-Dienst wieder verfügbar. Bitte noch Dateireplikation und Verzeichnisreplikation überprüfen und ggf. die Dienste neu starten.

Quelle: eggheadcafe.com: Active Directory DNS broken, NTDS Global Catalog error 1126

Download Support Tools Server 2003: Microsoft: Windows Server 2003 Service Pack 2 32-bit Support Tools

Download Support Tools Server 2000: Microsoft: Windows 2000 Service Pack 4 Support Tools

Problem:
Beim Zugriff von einem Windows Server 2008 auf eine NAS-Freigabe wird folgender Fehler angezeigt:

Netzwerkpfad nicht gefunden
0x80070035

Lösung:
Das Problem hängt mit der NTLM-Authentifizierungseben bei Windows 2008 zusammen. Hier sind die Einstellungen einfach strenger als in den früheren Windows-Versionen. Man muß hier die Gruppenrichtlinien des einzelnen Servers/Clients anpassen.

1.) START - AUSFÜHREN - GPEDIT.MSC
2.) Computereinstellungen - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen
3.) Hier dne Punkt "Netzwerksicherheit:LAN-Manager-Authentifizierungsebene"
4.) Diesen Punkt ändern auf "NM- und NTLM-Antworten senden"
5.) Gruppenrichtlinien-Editor schließen
6.) START - AUSFÜHREN - GPUPDATE

Danach ist der Zugriff möglich!

Quelle: Making Windows 7 PC's compatible with older Buffalo NAS products

Problem:
Es wird folgende Fehlermeldung angezeigt, wenn ein Clientcomputer eine Freigabe (z.B. Logon-Skript) auf einem Dateiserver über den Alias-Namen (DNS CNAME) zu öffnen versucht:

Systemfehler 52 ist aufgetreten.
Ein doppelter Name ist in dem Netzwerk vorhanden.

Lösung:
1.) Erstellen Sie den CNAME-Eintrag für den Dateiserver auf dem entsprechenden DNS-Server, wenn der CNAME-Eintrag nicht bereits vorhanden ist.
2.) Wenden Sie auf dem Dateiserver die folgende Registrierungsänderung an.Starten Sie den Registrierungseditor (Regedt32.exe).
3.) Suchen Sie den folgenden Registrierungsschlüssel und klicken Sie darauf

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

4.) Klicken Sie in dem Menü "Bearbeiten" auf "Wert hinzufügen", und fügen Sie dann den folgenden Registrierungswert hinzu:

Wertname: DisableStrictNameChecking
Datentyp: REG_DWORD
Basis: Dezimal
Wert: 1

5.) Beenden Sie den Registrierungseditor und starten Sie den Dateiserver neu

Quelle: Microsoft KB Artikel-ID: 281308

Problem
Nach einem Restore eines DCs aus einem Snapshot oder ähnlichen Wiederherstellungsvorgängen wird im Eventlog folgender Eintrag protokolliert:

Ereignistyp: Fehler
Ereignis Quelle: NTDS Allgemein
Ereigniskategorie: Steuerung
Ereignis-ID: 2103
Beschreibung: Die Active Directory-Datenbank wurde anhand eines Verfahrens nicht unterstützte Wiederherstellung wiederhergestellt. Active Directory können Benutzer anmelden, während das Problem weiterhin besteht. Als Ergebnis wurde der Netlogon-Dienst angehalten. Benutzer Aktion Siehe vorherige Ereignisprotokolle Einzelheiten. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com.

Wenn man eine manuelle Replikation unter AD Standort und Dienste durchführt erhält man die Fehlermeldung:

Der Quellserver nimmt keine Replikationsanforderung entgegen

Lösung
Durch die "unspupportete" Wiederherstellung der AD Datenbank wird diese als "not writeable" gesetzt und es ist keine Replikation möglich. Mit folgendem Workaround kann man die Replikation wieder ans laufen bekommen...

• HKLM\System\CurrentControlSet\Services\NTDS\Parameters
?“Dsa Not Writable” von 4 auf 0 setzen
?REG_DWORD “Ignore USN Rollback” anlegen und auf 0 setzen (Damit wird ein erneutes Auftreten des Fehlers unterdrückt)

• Server neu starten (NetLogon sollte nun laufen)

• Replikation wieder aktivieren:
?repadmin /options “Servername” -DISABLE_OUTBOUND_REPL
?repadmin /options “Servername” -DISABLE_INBOUND_REPL

Quellen:
How to resolve ActiveDirectory_DomainService event 2103 USN Rollback
Hyper-V, ADS-Controller und angewendete Snapshots [Update]

WSUS 3.0 Migration von Windows Server 2003 auf Windows Server 2008 (R2)

Auf dem alten Server
1.) WSUS API Samples and Tools downloaden: WSUS API Samples and Tools (Sie finden die Installationsdatei auch am Ende des Artikels)
2.) In den Ordner C:\Program Files\Update Services 3.0 API Samples and Tools\WsusMigrate\WsusMigrationExport wechseln
3.) Ausführen von wsusmigrationexport.exe settings.xml
4.) Die MSDE Instanz stoppen, Update Dienst stoppen
5.) WSUS Verzeichnisse sichern (z.B.: NTBACKUP)
Achtung: Nur Windows Server 2008 unterstuetzt das separat herunterzuladende Windows NT Restore Utility (NTBACKUP read only). Windows Server 2008 R2 unterstuetzt das nicht mehr

Auf dem neuen Server
1.) WSUS 3.0 SP2 ueber den Servermanager installieren (Rolle hinzufügen) (inkl. WMDE)
2.) Erstkonfigurationsassistent nicht ausführen
3.) WSUS Dienst und MSDE Dienst stoppen
4.) WSUS Verzeichnisse zurückkopieren (inkl. WSUS DB)
5.) In den Ordner C:\Program Files\Update Services 3.0 API Samples and Tools\WsusMigrate\WsusMigrationImport wechseln
6.) Ausführen von wsusmigrationimport.exe settings.xml All None

Danach ist die alte WSUS Konfiguration inkl. aller Updates verfügbar!

ACHTUNG: Anschliessend in den GPO-Einstellungen noch den Pfad zum WSUS Server anpassen!