WSUS 3.0 Neuinstallation schlägt fehl

Problem :

Die Neuinstallation der WSUS Rolle schlägt fehl. Der Fehler lautet "Das Update konnte nicht gefunden werden ...." (siehe Screenshot)



Lösung :

Da ich in meinem Netz nur einen WSUS Server habe versuchte dieser nach der deinstallation / installation den Update Server zu kontaktieren.
In der GPO ist ein Pfad zum internen Updatedienst angeben. Dieser wird versucht zu kontaktieren.

Da ich die Rolle jedoch deinstalliert habe beißt sich der Hund in den Schwanz da hier ja kein Updatedienst mehr antwortet.

Ich habe für den Zweck der Installation die Einstellung "Internen Pfad für den Microsoft Updatedienst angeben" auf nicht konfiguriert gesetzt.
Auf meinem Updateserver ein gpupdate /force durchgeführt, und dannach die Einstellung in der GPO wieder aktiviert. Die Installation lief sauber durch.

Windows: FTP als Laufwerk mappen FTPUSE - Batchfähig

Problem:
Ich möchte ein FTP-Verzeichnis als Laufwerk mappen und das auch noch in einer Batchdatei ähnlich wie "NET USE", da ich einen Robocopy vom FTP starten möchte!

Lösung:
Nach viel Suche und einigen Tools, die als Programm starten habe ich doch tatsächlich das Gegenstück zu "NET USE" gefunden!
Es heißt FTPUSE und ist Freeware. Zu finden unter folgendem Link:

FtpUse - Map a FTP server as a Local Disk Drive

Es ist für Windows XP bis Server 2012 tauglich.
Der Syntax ist identisch mit dem des "NET USE"-Befehls!
Ich selbst setze es unter Windows Server 2008 R2 und Robocopy problemlos ein!

Windows 7 Update wird nicht installiert Fehler : 80243004

Problem :

Windows 7 Updates lassen sich nicht mehr installieren (ERROR : 0x80243004), und alle (einige) Icons in der Systemtray sind verschwunden.

Lösung :

Unter
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify


die beiden Einträge IconStreams und PastIconsStream löschen danach die explorer.exe beenden und wieder starten.

Es sollten nun wieder alle Icons in der Systray verfügbar sein. Auch der Windows Update Fehler 80243004 lässt sich damit beheben.

ActiveDirectroy-CA: Umzug auf neuen Server mit neuem Namen

Problem:
Ich musste meine ActiveDirectory-CA auf einen neuen Server mit neuem Namen umziehen.
Dafür gibt es einige Anleitungen im Netz und ich habe mir eine Anleitung aus diesen gebaut, mit der ich gut gefahren bin.

Lösung:
Grundannahme hier ist der Umzug einer AD-CA von einem Server auf einen neuen, wodurch sich der Computername ändert und der alte Server außer Betrieb geht!

--- AKTIONEN AUF DEM ALTEN SERVER ---

1.) WICHTIG: Vorher Sicherung des alten Servers erstellen!!!
2.) CA-Datenbank und Key sichern


WICHTIG: Export der Konfiguration in einen leeren Ordner
3.) Registry-Key der alten CA sichern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
4.) Templates exportieren mittels Befehl "certutil.exe –catemplates > templates.txt"
5.) CA deinstallieren oder zumindest deaktivieren


--- AKTIONEN AUF DEM NEUEN SERVER ---
1.) Backup-Ordner vom alten Server auf neuen kopieren (z.B. Desktop)
2.) Privaten Key (.P12-Datei im Backup-Ordner) importieren mittels Kennwort
3.) CA-Dienst als Rolle auf neuen Server installieren (Zertifikatsdienst + Webentrollment)
4.) Konfiguration der zuvor gesicherten CA wiederherstellen über CA-Konsole (Sieht aus wie Sicherung)
5.) Backup der Registry einspielen -WICHTIG: Hier müssen folgende Werte angepasst werden:
- CAServer-Eintrag auf neuen Namen ändern
- Eventuelle Pfadänderungen wie DBDirectory, DBTempDirectory anpassen
(Sollten Sie auf dem alten und neuen Server die Standard-Installation durchgeführt haben, dann ist keine Anpassung der Pfade nötig)
6.) Berechtigungen der CDP und AIA Container mittels ADSI-Editor auf neuen Server drehen
- Hierzu ADSI-Editor mit folgender Verbindung starten: CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=local
- Hier die Berechtigungen unter Sicherheit für die einzelnen Einträge unter CDP und AIA auf den neuen Server drehen.

Ich hatte noch einen Fehler in der pkiview.msc stehen, dass eine DeltaCRL-Location fehlerhaft ist. Das ist natürlich richtig, da die Location noch auf den alten Zertifikatsserver per http verweist. Man kann dann einfach eine neue komplette Sperrliste veröffentlichen und dann ist der Fehler auch weg! (Siehe Quellen-Link "How to Publish New Certificate Revocation List...")

FERTIG!

Quellen:
How to Publish New Certificate Revocation List (CRL) from Offline Root CA to Active Directory and Inetpub
Windows Root Zertifizierungsstelle migrieren/umziehen
Zertifizierungsstelle verschieben–neuer Servername

BackupExec: GRT-Backup-To-Disk Fehler E0000396 '-546 The log file sector size does not match the sector size of the current volumn.

Problem:
Ich habe einen neuen Backupserver mit Windows Server 2008 R2 und BackupExec 2010 R3 SP4 installiert.
Gleich vorweg, da Problem ist auch mit BackupExec 2012 aufgetreten, war als unabhängig von der Version.
Mein gesamtes Backup lief problemlos durch, nur mein Exchange GRT-Backup-To-Disk schlug jedes mal mit dem Fehler E0000396 fehl.
'-546 The log file sector size does not match the sector size of the current volumn.

Die Fehlerscueh verlief wie folgt:

- Ein direktes GRT-Backup-To-Tape lief problemlos durch!
- Mein erster Verdacht war wirklich die Sektorengröße, die aber auf beiden Servern identisch war - also OK, was sich aber später als falsch erweisen sollte!
- Der zweite Verdacht war mein Backup-To-Disk-Ziel, dass ein lokales RAID-10 mit 3 TB umfasste und somit nicht MBR sondern GPT war - aber das war nicht das Problem.
- Nächster Verdacht waren 4k-Sectorsize Festplatten im Server - war nicht der Fall!
- Dann Update auf neue BackupExec Version - gleicher Fehler!!

Nach viel Try&Error, langen Gesprächen und drei Tagen testen fand ich die Lösung!!

Lösung:
Ich habe mir zwei andere Backupserver angeschaut und hier ist mir folgendes aufgefallen:

Du kannst Dir ja mittels „fsutil fsinfo ntfsinfo lw:“ die Laufwerksparameter anzeigen lassen.
Hier ist mir ein Unterschied beim Parameter „Bytes pro physischen Sektor“ aufgefallen:

Mein Backupserver


Mein Exchange-Server



Alter Backupserver



Es muss also mit den "Physical Bytes per Sector" Wertz zu tun haben.
Dann habe ich eine USB-Platte gefunden, die ebenfalls „nicht unterstützt“ bei den Infos anzeigt. Hierauf habe ich dann alle BackupExec-TEMP-Ordner gedreht und siehe da, dass Backup läuft!
Jetzt habe ich nach einer Möglichkeit gesucht, damit meine Platten ebenfalls diese Info nicht mehr anzeigen bzw. auch „nicht unterstützt“ bringen.
Nach längerer Suche bin ich tatsächlich über einen Reg-Key gestolpert, mit dem ich das Verhalten steuern kann. Das muss aber PRO Storage-Treiber eingetragen werden.
Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\\Parameters\Device
Name: EnableQueryAccessAligment
Typ: REG_DWORD
Wert: 0 = Disabled (Bytes per physical sector wird nicht übermittelt) / 1= Enabled (Bytes per physical sector wird angezeigt)

Nachdem ich den Reg-Key auf "0" gesetzt und meine Kiste durchgestartet habe, wurde die Angabe "Bytes per physical sectors" mit "not supported" angezeigt und mein GRT-Backup-To-Disk lief problemlos durch!!

Kleiner Tipp noch am Rande:
Um den Controller Name für den Service zu finden, geht man am besten in den Gerätemanager und öffnet die Eigenschaften des Speichercontrollers. Hier findet man auf dem Reiter "Details" ein DropDownMenü. Hier wählt man "Dienst" aus und sollte so den Namen des Dienstes erfahren.



…und wieder einmal verlässt das IT-Team siegreich das Schlachtfeld!!! ?

Quelle:
Understanding the Impact of Large Sector Media for IT Pros
(Hier Szenario 3)
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)