Windows: FTP als Laufwerk mappen FTPUSE - Batchfähig

Geschrieben von Ralf Entner am
Problem:
Ich möchte ein FTP-Verzeichnis als Laufwerk mappen und das auch noch in einer Batchdatei ähnlich wie "NET USE", da ich einen Robocopy vom FTP starten möchte!

Lösung:
Nach viel Suche und einigen Tools, die als Programm starten habe ich doch tatsächlich das Gegenstück zu "NET USE" gefunden!
Es heißt FTPUSE und ist Freeware. Zu finden unter folgendem Link:

FtpUse - Map a FTP server as a Local Disk Drive

Es ist für Windows XP bis Server 2012 tauglich.
Der Syntax ist identisch mit dem des "NET USE"-Befehls!
Ich selbst setze es unter Windows Server 2008 R2 und Robocopy problemlos ein!

ActiveDirectroy-CA: Umzug auf neuen Server mit neuem Namen

Geschrieben von Ralf Entner am
Problem:
Ich musste meine ActiveDirectory-CA auf einen neuen Server mit neuem Namen umziehen.
Dafür gibt es einige Anleitungen im Netz und ich habe mir eine Anleitung aus diesen gebaut, mit der ich gut gefahren bin.

Lösung:
Grundannahme hier ist der Umzug einer AD-CA von einem Server auf einen neuen, wodurch sich der Computername ändert und der alte Server außer Betrieb geht!

--- AKTIONEN AUF DEM ALTEN SERVER ---

1.) WICHTIG: Vorher Sicherung des alten Servers erstellen!!!
2.) CA-Datenbank und Key sichern


WICHTIG: Export der Konfiguration in einen leeren Ordner
3.) Registry-Key der alten CA sichern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
4.) Templates exportieren mittels Befehl "certutil.exe –catemplates > templates.txt"
5.) CA deinstallieren oder zumindest deaktivieren


--- AKTIONEN AUF DEM NEUEN SERVER ---
1.) Backup-Ordner vom alten Server auf neuen kopieren (z.B. Desktop)
2.) Privaten Key (.P12-Datei im Backup-Ordner) importieren mittels Kennwort
3.) CA-Dienst als Rolle auf neuen Server installieren (Zertifikatsdienst + Webentrollment)
4.) Konfiguration der zuvor gesicherten CA wiederherstellen über CA-Konsole (Sieht aus wie Sicherung)
5.) Backup der Registry einspielen -WICHTIG: Hier müssen folgende Werte angepasst werden:
- CAServer-Eintrag auf neuen Namen ändern
- Eventuelle Pfadänderungen wie DBDirectory, DBTempDirectory anpassen
(Sollten Sie auf dem alten und neuen Server die Standard-Installation durchgeführt haben, dann ist keine Anpassung der Pfade nötig)
6.) Berechtigungen der CDP und AIA Container mittels ADSI-Editor auf neuen Server drehen
- Hierzu ADSI-Editor mit folgender Verbindung starten: CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=local
- Hier die Berechtigungen unter Sicherheit für die einzelnen Einträge unter CDP und AIA auf den neuen Server drehen.

Ich hatte noch einen Fehler in der pkiview.msc stehen, dass eine DeltaCRL-Location fehlerhaft ist. Das ist natürlich richtig, da die Location noch auf den alten Zertifikatsserver per http verweist. Man kann dann einfach eine neue komplette Sperrliste veröffentlichen und dann ist der Fehler auch weg! (Siehe Quellen-Link "How to Publish New Certificate Revocation List...")

FERTIG!

Quellen:
How to Publish New Certificate Revocation List (CRL) from Offline Root CA to Active Directory and Inetpub
Windows Root Zertifizierungsstelle migrieren/umziehen
Zertifizierungsstelle verschieben–neuer Servername

BackupExec: GRT-Backup-To-Disk Fehler E0000396 '-546 The log file sector size does not match the sector size of the current volumn.

Geschrieben von Ralf Entner am
Problem:
Ich habe einen neuen Backupserver mit Windows Server 2008 R2 und BackupExec 2010 R3 SP4 installiert.
Gleich vorweg, da Problem ist auch mit BackupExec 2012 aufgetreten, war als unabhängig von der Version.
Mein gesamtes Backup lief problemlos durch, nur mein Exchange GRT-Backup-To-Disk schlug jedes mal mit dem Fehler E0000396 fehl.
'-546 The log file sector size does not match the sector size of the current volumn.

Die Fehlerscueh verlief wie folgt:

- Ein direktes GRT-Backup-To-Tape lief problemlos durch!
- Mein erster Verdacht war wirklich die Sektorengröße, die aber auf beiden Servern identisch war - also OK, was sich aber später als falsch erweisen sollte!
- Der zweite Verdacht war mein Backup-To-Disk-Ziel, dass ein lokales RAID-10 mit 3 TB umfasste und somit nicht MBR sondern GPT war - aber das war nicht das Problem.
- Nächster Verdacht waren 4k-Sectorsize Festplatten im Server - war nicht der Fall!
- Dann Update auf neue BackupExec Version - gleicher Fehler!!

Nach viel Try&Error, langen Gesprächen und drei Tagen testen fand ich die Lösung!!

Lösung:
Ich habe mir zwei andere Backupserver angeschaut und hier ist mir folgendes aufgefallen:

Du kannst Dir ja mittels „fsutil fsinfo ntfsinfo lw:“ die Laufwerksparameter anzeigen lassen.
Hier ist mir ein Unterschied beim Parameter „Bytes pro physischen Sektor“ aufgefallen:

Mein Backupserver


Mein Exchange-Server


Alter Backupserver


Es muss also mit den "Physical Bytes per Sector" Wertz zu tun haben.
Dann habe ich eine USB-Platte gefunden, die ebenfalls „nicht unterstützt“ bei den Infos anzeigt. Hierauf habe ich dann alle BackupExec-TEMP-Ordner gedreht und siehe da, dass Backup läuft!
Jetzt habe ich nach einer Möglichkeit gesucht, damit meine Platten ebenfalls diese Info nicht mehr anzeigen bzw. auch „nicht unterstützt“ bringen.
Nach längerer Suche bin ich tatsächlich über einen Reg-Key gestolpert, mit dem ich das Verhalten steuern kann. Das muss aber PRO Storage-Treiber eingetragen werden.
Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\\Parameters\Device
Name: EnableQueryAccessAligment
Typ: REG_DWORD
Wert: 0 = Disabled (Bytes per physical sector wird nicht übermittelt) / 1= Enabled (Bytes per physical sector wird angezeigt)

Nachdem ich den Reg-Key auf "0" gesetzt und meine Kiste durchgestartet habe, wurde die Angabe "Bytes per physical sectors" mit "not supported" angezeigt und mein GRT-Backup-To-Disk lief problemlos durch!!

Kleiner Tipp noch am Rande:
Um den Controller Name für den Service zu finden, geht man am besten in den Gerätemanager und öffnet die Eigenschaften des Speichercontrollers. Hier findet man auf dem Reiter "Details" ein DropDownMenü. Hier wählt man "Dienst" aus und sollte so den Namen des Dienstes erfahren.



…und wieder einmal verlässt das IT-Team siegreich das Schlachtfeld!!! ?

Quelle:
Understanding the Impact of Large Sector Media for IT Pros
(Hier Szenario 3)

Brother MFC-7360N unter Windows 8 - wird nicht erkannt

Geschrieben von Ralf Entner am
Problem:
Der Brother MFC-7360N wird unter Windows 8.1 nicht richtig erkannt.
Man sieht nur ein USB-Verbundsgerät mit gelbem Ausrufezeichen.
Die Installationssoftware bleibt bei der Anschluss-Aufforderung stehen.

Lösung:
Hierfür gibt es ein Firmware-Update von Brother, damit der Drucker unter Windows 8.1 ordnungsgemäß erkannt wird.

Download:
BROTHER Firmware Update Tool

Exchange 20xx - Gerätesynchronisation einschränken

Geschrieben von Ralf Entner am
Problem:
Man möchte die Exchange-Synchronisation von Endgeräten auf bestimmte Geräte beschränken

Lösung:
Ab Exchange 2007 ist es möglich über die Powershell nur bestimmte Geräte-IDs für die Synchronisation des Postfachs pro Benutzer festzulegen.
Hier die wichtigsten Befehle dazu:

# Zeigt die aktiven Geräte an und den Punkt "Device-ID"
 Get-ActiveSyncDeviceStatistics -Mailbox user123

# Setzen einer einzelnen DeviceID
 Set-CASMailbox user123 -ActiveSyncAllowedDeviceIDs DeviceID

# Mehrere Geräte setzen
 Set-CASMailbox user123 -ActiveSyncAllowedDeviceIDs {DeviceID1, DeviceID2, DeviceID3}

# Löschen des Eintrags damit wieder alle Geraete erlaubt sind
 Set-CASMailbox user123 -ActiveSyncAllowedDeviceIDs $null


Hinweis:
Sollte der Benutzer es trotzdem mit einem anderen Gerät versuchen, dann erhält er den Hinweis, dass dieses Gerät nicht für die Synchronisation zugelassen ist.
Außerdem wird im Ereignisprotokoll des Exchange-Servers der Eintrag "Blocked Device" angezeigt.

Quelle: msxfaq.de: EAS Absicherung
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)