WSUS: Deinstallation Microsoft-Patch per WSUS

Geschrieben von Ralf Entner am
wir hatten ja letztes Jahr einen Outlook-Patch, der uns viel Kummer bereitet hat!
Damals haben wir uns manuell auf die Deinstallations-Runde gemacht, hätten das aber leichter haben können.
Ich bin heute wieder darüber gestolpert, als ich den WSUS für Stadelhofen vorbereitet habe.

Man kann ein Update anklicken und für eine Gruppe gezielt „Zur Entfernung genehmigen“.
Hier mal ein Beispiel:



So einfach hätte die Welt sein können! ?
…das nächste Mal wissen wir es und das nächste Mal kommt bestimmt…Danke Microsoft! ?

DNS Server (Windows 2008 R2) Backup

Geschrieben von Christopher Pope am
Um ein Backup eines DNS Servers der unter Windows 2008 R2 (sollte bei anderen Systemen ähnlich sein) läuft, muss man erstmal unterscheiden um welche Art DNS Server es sich handelt. Ist die Zone die gesichert werden soll nicht im Active Directory (AD) integriert reicht hier ein kleiner copy Befehl. Für eine AD integrierte Zone muss man das Tool dnscmd verwenden.

Copy Befehl :
robocopy %systemroot%\system32\dns d:\backups\dns /S /ZB /XJ /R:2 /W:3


Backup mit dnscmd :
dnscmd /zoneexport domain.de backup\domain.de.backup

Dieser Befehl erstellt die Datei %systemroot%\system32\dns\backup\domain.de.backup wichtig ist hierbei das die Datei nicht überschrieben wird sollte sie bereits existieren. Wenn man die Sicherung in einem Skript automatisiert ablaufen lassen will sollte man die Datei weg kopieren oder mit Datum ablegen.

Wenn man eine AD integrierte Zone wieder herstellen möchte geht man diesen Weg :

dnscmd /zoneadd domain.de /primary /file domain.de.backup /load

Hier gilt es zu beachten das die Datei %systemroot%\system32\dns\backup\domain.de.backup vorhanden ist. Der Parameter /load bewirkt das die Konfiguration aus der vorhandenen Datei übernommen wird. Vergisst man diesen wird eine neue Zonen Datei erstellt und das Backup File ist leer ...

Um diese Zone nun wieder auf AD integriert zu konvertieren nimmt man diesen Befehl :
dnscmd /zoneresettype domain.de /dsprimary


Quelle : mcpmap.com

Adobe Acrobat Reader: Geschützer Modus (Protected Mode) per Registry oder GPO abschalten

Geschrieben von Ralf Entner am
Problem:
Sie möchten den "Geschützen Modus" im Acrobat Reader abschalten.
Ich hatte Probleme mit manchen Druckertreiber, die mir nur ASCII-Zeichen gedruckt haben, wenn der Modus aktiv war.

Lösung:
Es gibt einen Registry-Key, der die Funktion dauerhaft für diesen Benutzer abschaltet.
Bitte wie folgt vorgehen:

- Regedit öffnen
- Navigieren Sie zu: [HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\1x.0\Privileged]
- Hier legen Sie ein neues DWORD an namens "bProtectedMode"
- Die Werte hierfür können 0 = geschützter Modus AUS und 1 = geschützter Modus EIN sein

Man kann diese Einstellung auch per GPO einfach verteilen, wenn man eine ActiveDirectory hat.
Klappt bei mir ganz gut!

Hinweis: Das x im Registry-Key kann für 10 oder 11 stehen. ich habe diese Einstellung in beiden Versionen verwendet.

Quelle:
faq-o-matic: Terminalserver: Den Protected Mode des Adobe Reader X abschalten

ActiveDirectroy-CA: Umzug auf neuen Server mit neuem Namen

Geschrieben von Ralf Entner am
Problem:
Ich musste meine ActiveDirectory-CA auf einen neuen Server mit neuem Namen umziehen.
Dafür gibt es einige Anleitungen im Netz und ich habe mir eine Anleitung aus diesen gebaut, mit der ich gut gefahren bin.

Lösung:
Grundannahme hier ist der Umzug einer AD-CA von einem Server auf einen neuen, wodurch sich der Computername ändert und der alte Server außer Betrieb geht!

--- AKTIONEN AUF DEM ALTEN SERVER ---

1.) WICHTIG: Vorher Sicherung des alten Servers erstellen!!!
2.) CA-Datenbank und Key sichern


WICHTIG: Export der Konfiguration in einen leeren Ordner
3.) Registry-Key der alten CA sichern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
4.) Templates exportieren mittels Befehl "certutil.exe –catemplates > templates.txt"
5.) CA deinstallieren oder zumindest deaktivieren


--- AKTIONEN AUF DEM NEUEN SERVER ---
1.) Backup-Ordner vom alten Server auf neuen kopieren (z.B. Desktop)
2.) Privaten Key (.P12-Datei im Backup-Ordner) importieren mittels Kennwort
3.) CA-Dienst als Rolle auf neuen Server installieren (Zertifikatsdienst + Webentrollment)
4.) Konfiguration der zuvor gesicherten CA wiederherstellen über CA-Konsole (Sieht aus wie Sicherung)
5.) Backup der Registry einspielen -WICHTIG: Hier müssen folgende Werte angepasst werden:
- CAServer-Eintrag auf neuen Namen ändern
- Eventuelle Pfadänderungen wie DBDirectory, DBTempDirectory anpassen
(Sollten Sie auf dem alten und neuen Server die Standard-Installation durchgeführt haben, dann ist keine Anpassung der Pfade nötig)
6.) Berechtigungen der CDP und AIA Container mittels ADSI-Editor auf neuen Server drehen
- Hierzu ADSI-Editor mit folgender Verbindung starten: CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=local
- Hier die Berechtigungen unter Sicherheit für die einzelnen Einträge unter CDP und AIA auf den neuen Server drehen.

Ich hatte noch einen Fehler in der pkiview.msc stehen, dass eine DeltaCRL-Location fehlerhaft ist. Das ist natürlich richtig, da die Location noch auf den alten Zertifikatsserver per http verweist. Man kann dann einfach eine neue komplette Sperrliste veröffentlichen und dann ist der Fehler auch weg! (Siehe Quellen-Link "How to Publish New Certificate Revocation List...")

FERTIG!

Quellen:
How to Publish New Certificate Revocation List (CRL) from Offline Root CA to Active Directory and Inetpub
Windows Root Zertifizierungsstelle migrieren/umziehen
Zertifizierungsstelle verschieben–neuer Servername

Windows Update: Fehler beim Update Code 8024800A

Geschrieben von Ralf Entner am
Problem:
Die Windows Updates werden nicht installiert und in den Details finden Sie den Fehlercode 8024800A.

Lösung:

1.) Öffnen Sie eine Eingabeaufforderung mit Admin-Rechten

2.) Führen Sie hier der Reihe nach folgende Befehle durch
net stop bits
net stop wuauserv
rd /s /q %windir%\Softwaredistribution
regsvr32 /s atl.dll
regsvr32 /s wucltui.dll
regsvr32 /s wups.dll
regsvr32 /s wuaueng.dll
regsvr32 /s wuapi.dll
regsvr32 /s msxml3.dll
regsvr32 /s mssip32.dll
regsvr32 /s initpki.dll
regsvr32 /s softpub.dll
net start bits
net start wuauserv


Sollte der Fehler dann noch immer bestehen, dann gehen Sie bitte wie folgt vor:

1.) Öffnen Sie eine Eingabeaufforderung mit Admin-Rechten

2.) Führen Sie hier der Reihe nach folgende Befehle durch
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver


3.) Das Windows Update testen und danach die zwei mit .old benannten Ordner löschen.

Nun sollte alles wieder perfekt laufen!!

Quellen:
Microsoft.com: Windows Update Fehler: Code 8024800A
Microsoft.com: Unable to update Code 8024800A. What is the problem?

Trend Micro Office Scan Server updatet keine Clients

Geschrieben von Christopher Pope am
Problem :

Nach dem Update auf SP1 werden die Clients nicht mehr mit Komponentenupdates versorgt. In der Administratorkonsole sind allerdings alle Einstellungen korrekt vorgenommen.
Der Trendmicro Support hat mich auf einen Eintrag in ihrer Knowledge Base hingewiesen der dieses Problem behebt.

Lösung :

Der Grund warum der Server keine Updates ausrollen kann liegt an einem fehlenden MIME Typ. Wenn dieser auf der Site angelegt wird beginnen die Clients mit dem Update.

Den MIME Typ mit diesen Informationen anlegen :

Erweiterung: "."
MIME Typ : "application/octet-stream"

Hier nochmal eine Anleitung für den IIS








Quelle : http://esupport.trendmicro.com/solution/en-us/1058321.aspx



EDIT 03.04.2013 : Nach der Installation des Service Pack 2 für Trendmicro muss diese Einstellung wieder zurück genommen werden da sonst die Website nicht angezeigt werden kann. Es erscheint der Fehler 500.19
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)