WSUS Server – Probleme mit dem Update KB3159706

Nach der Installation des Updates KB3159706  startet der WSUS-Server Dienst nicht mehr und es ist auch keine Verbindung mit der MMC möglich.

Im Eventlog erscheint folgende Fehlermeldung mit der Ereignis-ID 507: Update Services konnte nicht initialisiert werden und wurde angehalten.

wsus-fehler-2

Problemlösung

Kommandozeile als Administrator starten und folgenden Befehl ausführen:

"C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing

wsus-fehler-10

Jetzt muss noch das Feature HTTP-Aktivierung im Servermanager unter .NET-Framework 4.5-Funktionen -> WCF-Dienste hinzugefügt werden.

wsus-fehler-4

SSL in Vernwendung

Wenn SSL im Einsatz ist, muss noch eine Konfigurationsdatei angepasst werden. Als erstes muss die Konfigurationsdatei die bearbeitet werden soll, beschreibbar gemacht werden. Dazu wird der Besitzer geändert:

takeown /f "C:\Program Files\Update Services\WebServices\ClientWebService\Web.config" /a
icacls "C:\Program Files\Update Services\WebServices\ClientWebService\Web.config" /grant administrators:f
            <service
                name="Microsoft.UpdateServices.Internal.Client"
                behaviorConfiguration="ClientWebServiceBehaviour">
                <!-- 
                  If using SSL, change the bindingConfiguration to "SSL".
                  Configuration is Defined below in <bindings>...</bindings> section
                -->
               <!-- 
                  These 4 endpoint bindings are required for supporting both http and https
                -->
                <endpoint address=""
                        binding="basicHttpBinding"
                        bindingConfiguration="SSL"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
                <endpoint address="secured"
                        binding="basicHttpBinding"
                        bindingConfiguration="SSL"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
                <endpoint address=""
                        binding="basicHttpBinding"
                        bindingConfiguration="ClientWebServiceBinding"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
                <endpoint address="secured"
                        binding="basicHttpBinding" 
                        bindingConfiguration="ClientWebServiceBinding"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
            </service>

Das Ganze ist hier nochmal in einem Editor zu sehen:

wsus-fehler-6

Jetzt muss noch ganz unten im Dokumente, eine Zeile ersetzt werden, bzw. der Parameter multipleSiteBindingsEnabled=“true“ ergänzt werden:

<serviceHostingEnvironment aspNetCompatibilityEnabled="true"/>

Durch die Zeile ersetzen, bzw. Parameter hinzufügen:

<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
von Manuel M. 12. Oktober 2016 @ 12:40

Gruppenrichtlinien – Aktualisierung für Windows 10 Update 1511

Mit dem Update von Windows 10 auf die Version 1511 gibt es nun auch neue Gruppenrichtlinien, die in den zentralen Gruppenrichtlinien Store installiert werden müssen.

Download: Windows10_Version_1511_ADMX.msi

  1. Nach der Installation befinden sich die installierten Gruppenrichtlinien unter „C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Version 1511“. Diese müssen jetzt noch in die Policy Definitions kopiert werden.
  2. Unter dem Pfad „\\domain.local\SYSVOL\domain.local\Policies“ befindet sich der zentrale Gruppenrichtlinien Store. In diesen Pfad muss der Order „PolicyDefinition“ aus dem Pfad „C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Version 1511“ rein kopiert werden.
  3. Nach dem Start Gruppenrichtlinienverwaltungs Konsole und dem Bearbeiten einer Gruppenrichtlinie, erscheint folgende Fehlermeldung: Namespace „Microsoft.Policies.WindowsStore“ is already defined as the target namespace for another file in the store.windows 10 1511 fehler
  4. Der Fehler kommt daher, dass zwei ADMX-Dateien, auf die gleiche Datei referenzieren. Dazu einfach die Datei „WinStoreUI.admx“ im Ordner „\\domain.local\SYSVOL\domain.local\Policies\PolicyDefinitions“ löschen, da diese veraltet ist.

 

von Manuel M. 11. Oktober 2016 @ 15:31

VSS Fehler Ereignis-ID 8194 IVssWriterCallback Zugriff verweigert

Wir benutzen die Windows Server-Sicherung für einige Server und erhalten seit einiger Zeit folgende Fehler:

Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
. Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.

Vorgang:
Generatordaten werden gesammelt

Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {43345aa3-73b8-48e1-a759-2d3bc4a4a55b}

Eventlog 1

Wenn man sich diesen Fehler in der Ereignisanzeige in der Detailansicht anschaut, sieht man folgendes:


0000: 2D 20 43 6F 64 65 3A 20 - Code:
0008: 57 52 54 57 52 54 49 43 WRTWRTIC
0010: 30 30 30 30 31 33 30 30 00001300
0018: 2D 20 43 61 6C 6C 3A 20 - Call:
0020: 57 52 54 57 52 54 49 43 WRTWRTIC
0028: 30 30 30 30 31 32 35 34 00001254
0030: 2D 20 50 49 44 3A 20 20 - PID:
0038: 30 30 30 30 31 33 35 32 00001352
0040: 2D 20 54 49 44 3A 20 20 - TID:
0048: 30 30 30 30 33 30 35 36 00003056
0050: 2D 20 43 4D 44 3A 20 20 - CMD:
0058: 43 3A 5C 57 69 6E 64 6F C:\Windo
0060: 77 73 5C 73 79 73 74 65 ws\syste
0068: 6D 33 32 5C 73 76 63 68 m32\svch
0070: 6F 73 74 2E 65 78 65 20 ost.exe
0078: 2D 6B 20 4E 65 74 77 6F -k Netwo
0080: 72 6B 53 65 72 76 69 63 rkServic
0088: 65 20 20 20 20 20 20 20 e
0090: 2D 20 55 73 65 72 3A 20 - User:
0098: 4E 61 6D 65 3A 20 4E 54 Name: NT
00a0: 2D 41 55 54 4F 52 49 54 -AUTORIT
00a8: C4 54 5C 4E 65 74 7A 77 ÄT\Netzw
00b0: 65 72 6B 64 69 65 6E 73 erkdiens
00b8: 74 2C 20 53 49 44 3A 53 t, SID:S
00c0: 2D 31 2D 35 2D 32 30 20 -1-5-20

Eventlog 2

Daran ist ersichtlich, dass der Benutzer NT-AUTORITÄT\Netzwerkdienst keinen Zugriff auf ein Objekt hat. Deswegen müssen diese Rechte angepasst werden. Dies geschieht in dem Fall in der Komponentendienste mmc. Die Eigenschaften vom Computer-Objekt müssen aufgerifen werden:

DCOM 1

Nun muss im Reiter COM-Sicherheit, unter Zugriffsberechtigungen auf Standard bearbeiten geklickt werden:

DCOM 2

Nun muss der Benutzer Netzwerkdienst hinzugefügt werden und mit den Berechtigungen Lokaler Zugriff auf Zulassen ausgestattet werden:

DCOM 3

von Manuel M. 6. September 2016 @ 10:29

Albis XXL Server und Client Installation und Datenübernahme von alten Server

Vor kurzem musste ich einen Albis XXL Server (Albiswin) wegen eines Hardwaredefektes durch einen neuen Server ersetzen. Theoretisch hätte man ein Image des alten Server machen können und dieses dann wieder auf dem neuen Server einspielen können (man muss die WIndows Installation vorher durch Standard-Treiber ersetzen, damit der neue Server auch bootet), aber die Installation war sehr alt und auch nicht ganz fehlerfrei. Daher habe ich mich für eine komplette Neuinstallation mit Datenübernahme entschieden.

Eine Neuinstallation kann nicht mit der Albis Update DVD durchgeführt werden, die quartalsweise versendet wird. Allerdings kann die Installations DVD bei Albis kostenlos angefordert werden. Diese Albis Installations DVD beinhaltet auch das ifap Praxiscenter. DMP-Assist kann wiederum einfach von den Update DVD´s installiert werden, die zusammen mit den Albis Update DVD´s quartalsweise versendet werden.

Alle Anwendungen sollten in einem gemeinsamen Ordner installiert werden, der nachher freigegeben werden muss, da dieser als Netzlaufwerk auf dem Client eingebunden wird. So können die Clients alle Programme von einem Netzlaufwerk ausführen und auch ggf. nötige Updates installieren.

Installationspfade der Anwendungen:

  • C:\Server\Albiswin – Albis XXL Server
  • C:\Server\DMP-Assist- DMP-Assist
  • C:\Server\Albiswin\ifapDB – ifap praxisCenter

Albis XXL Server Installation (Albiswin)

Die Installation für Server / Clients wird mit einem Parameter von der Albis Demo-DVD gestartet. Wenn man die Installation ohne diesen Parameter startet, wird ausschließlich eine Demo installiert. Dazu auf „Start -> Ausführen“ oder unter Windows 10, einfach auf das Suchfeld klicken und folgenden Befehl eingeben (je nach Laufwerksbuchstabe kann der Pfad varieren):

E:\aowinst\setup.de /INSTVSP

Albiswin Installation Parameter

Nun muss der Installationstyp gewählt werden. Da in unserem Fall der Server installiert wird, muss „6. Client-Server Installation des Server“ bestätigt werden. Man könnte auch meinen das die ersten Punkte zutreffen, diese sind aber nur noch aus der Historie geblieben.

Albis XXL Installation 2

Als nächstes muss der Installations-Ordner definiert werde. Ich habe mich, wie schon oben beschrieben, für den Pfad „C:\Server\Albiswin“ entschieden. Der ganze Ordner „C:\Server“ muss dann auch später im Netzwerk freigegeben werden, damit  der Ordner dann auf den Clients als Netzlaufwerk eingebunden werden kann.

Albis XXL Installation 4

Im nächstem Schritt wird dann nur noch der Albis XXL Datenbankname definiert. Ich habe hier einfach den gleichen Namen wie der Computername gewählt.

Albis XXL Installation 5

Leider wird das ifap Praxiscenter einfach ohne weitere Nachfrage unter „C:\ifapdb“ installiert, was zu späteren Problemen führt. Wie diese vermieden werden können, wird im nächstem Punkt erklärt.

Albis XXL Installation 6

ifap praxisCenter

Während der Installation wird auch automatisch das ifap praxisCenter installiert. Leider werden die Daten in ein falsches Verzeichnis installiert. Daher mus das ifap Praxiscenter nochmal deinstalliert und dann unter den richtigen Pfad neu installiert werden, sonst können die Clients später nicht auf die Daten zugreifen und Update ausführen. Die erneute Installation kann direkt von der Albis XXL DVD gestartet werden. Das Setup liegt unter „F:\aowinst\ipC

ifap Praxiscenter Installation 1

Die erneute Installation muss dann unter Albiswin in unserem lokalen Freigabe-Ordner installiert werden: C:\Server\Albiswin\ifapDB

ifap Praxiscenter Installation 5

Weitere Bilder der ifap praxisCenter Installation

DMP-Assist

Die DMP-Assist Installation erfolgt durch die Update DVD´s, die jedes Quartal versenden werden. Von dieser DVD kann dann einfach die Installation gestartet werden. Optimalerweise sollte die Installation im freigegebenen Ordner durchgeführt werden. In unserem Fall wäre das „C:\Server\DMP-Assist„.

DMP-Assist Datenübernahme

Die Übernahme der Datenbanken ist sehr einfach. Dazu muss zuvor der DMP-Datenbankdienst beendet werden.

DMP Assis 1

Jetzt kann der Datenbank Ordner in den neuen Installations-Pfad kopiert werden. In unserem Fall wäre das „C:\Server\DMP-Assist\addon„. Den alten „addon“ Ordner habe ich einfach umbenannt, um ihn ggf. nochmal wiederherstellen zu können.

DMP Assis 3

Wenn der „addon“ Ordner vom alten Server in den neuen Installations-Pfad kopiert wurde, kann die DMP-Datenbank wieder gestartet werden.

Installation freigeben

Nach erfolgreicher Installation muss nun alles freigegeben werden. Ich habe den ganzen Ordner „C:\Server“ freigegeben. Dieser muss dann auf den Clients als Netzlaufwerk mit dem Buchstaben „F:\“ eingebunden werden.

Lizenzen

Nach erfolgreicher Installation können die Lizenzen vom alten Server importiert werden. Hierbei handelt es sich nur um Dateien, die in den Installationspfad kopiert werden müssen. Ich habe folgende Dateien aus dem alten Installationsverzeichnis, in das neue Verzeichnis eingefügt: „C:\Server\Albiswin

Albiswin Lizenzen

Datenübernahme

Die Datenübernahme ist sehr einfach. Es müssen eigentich nur die Datenbanken und der Brief-Ordner übernommen werden.

Datenbanken

Sämtliche Datenbanken liegen im Albis Installations-Ordner: C:\Server\Albiswin\DB“ Dieser ganze Ordner muss vom alten Server auf den neuen kopiert werden.

  1. Dienst „CodeBase-Server Albis“ muss beendet werden, damit der Ordner angepasst werden kann
  2. Nun kann der Ordner „C:\Server\Albiswin\DB“ unbenannt werden (z.B. in „_DB Order-Neuinstallation“)
  3. Jetzt kann der ganze Ordner „DB“ vom alten Server auf den neuen Server in den Ordner „C:\Server\Albiswin\“ kopiert werden
  4. Anschließend kann der Dienst „CodeBase-Server Albis“ wieder gestartet werden

Albiswin Codebase Server

Nun sollte die Datenbank erfolgreich geladen worden sein und Albis XXL kann das erste Mal auf dem neuen Server gestartet werden.

Briefe

Der Brief-Ordner muss von alten Server auf den neuen Server kopiert werden. Hierzu einfach den ganzen Ordner in den neuen Installationspfad einfügen: „C:\Server\albiswin\Briefe“ Albis sollte natürlich dabei nicht laufen.

von Manuel M. 29. November 2015 @ 18:29

Windows 10 Gruppenrichtlinien – Fehlermeldungen nach Installation

In meiner Testumgebung sind gleich zwei Fehler aufgetreten, die durch die neuen Administrativen Templates hervorgerufen werden. Anscheinend haben die Entwicklerteam versäumt miteinander zu sprechen 😉

Fehler 1: Microsoft-Windows-Geolocation-WLPAdm.admx

Nach der Installation der Administrativen Templates, erscheint beim Aufruf einer Gruppenrichtlinie im Gruppenrichtlinienverwaltungs-Editor, ein Fehler. Die Datei Microsoft-Windows-Geolocation-WLPAdm.admx verwendet den gleichen Namespace wie die alte Datei LocationProviderAdm.admx. Also einfach die alte Datei entfernen. (Danke an D. Zunkel)

Fehler 2: $(string.SUPPORTED_Vista_through_Win7)

Der folgende Fehler kann ebenfalls im Gruppenrichtlinienverwaltungs-Editor auftreten: Die in der Eigenschaft „$(string.SUPPORTED_Vista_through_Win7)“ aufgeführte Ressource displayName konnte nicht gefunden werden.

In der Datei PreviousVersions.admx wird auf einen String verwiesen (dient zur Übersetzung), den es aber in der Übersetzungsdatei gar nicht gibt. Um das Problem zu lösen, muss in der Datei PreviousVersions.adml im Unterverzeichnis „de-DE“ muss zwischen den Zeilen 56 und 57 folgende Zeile eingefügt werden:

<string id="SUPPORTED_Vista_through_Win7">Windows Vista durch Windows 7 unterstützt</string>
von Manuel M. 24. August 2015 @ 23:49

Windows 10 – Remote Server Verwaltungstools installieren

Die Remote Server Verwaltungstools sind am 19.08.2015 in englischer Sprache erschienen (Download: https://www.microsoft.com/en-us/download/details.aspx?id=45520. Die Installation erfordert aber das Englische Language Pack, sonst läuft die Installation zwar durch, es passiert aber nichts.

Language Pack installieren

Als erstes muss das Englische (United States) Language Pack installiert werden. Dies wird unter „Einstellungen“ getan:

Windows 10 LP 1

Zeit und Sprache:

Windows 10 LP 2

Region und Sprache -> Sprache hinzufügen

Windows 10 LP 3

Englisch

Windows 10 LP 4

Englisch (United States)

Windows 10 LP 5

Nun ist das Englische Language Pack heruntergeladen und isntalliert. Danach kann die Installation des Updates durchgeführt werden.

Remote Server Administration Tools installieren (WindowsTH-KB2693643-x64)

Nun können die RSAT installiert werden. Die installation geschieht wie gewohnt bei Windows Updates und erfordert keine weitere manuelle Eingriffe.

Features hinzufügen

Die einzelnen Komponenten können nun über „Programme und Features“ installiert bzw. verwaltet werden:

Windows 10 RSAT 1

Windows Komponenten verwalten

Windows 10 RSAT 2

Jetzt können die Komponenten verwaltet werden

Windows 10 RSAT 3

Fertig

Windows 10 RSAT 4

von Manuel M. 24. August 2015 @ 22:01

Benutzerkontensteuerung per Gruppenrichtlinie deaktiveren

Die Benutzerkontensteurung kann in den Gruppenrichtlinien ziemlich genau konfiguriert und natürlich auch deaktiviert werden. In manchen Umgebungen macht dies Sinn, da Anwendungen sonst nicht kompatibel sind oder Benutzer nicht genervt werden sollen.

Benutzerkontensteuerung deaktivieren

Die nachfolgenden Einstellungen kommen dem Level 1 der Benutzerkontensteuerung gleich (Niemals benachrichtigen, wenn Programme versuchen Software zu installieren oder Einstellungen am Computer vornehmen), die man auch manuell konfigurieren kann:

Benutzerkontensteuerung per GPO deaktivieren 1

Im Gruppenrichtlinienverwaltungs-Editor findens ich diese Einstellungen unter der Computerkonfiguration unter Richtlinien in den Windowseinstellungen unter den Sicherheitseinstellungen in der Lokalen Richtlinie in den Sicherheitsoptionen:

Benutzerkontensteuerung per GPO deaktivieren 2

Im Detail müssen folgende Einstellungen getätigt werden:

  • Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto: Deaktiviert
  • Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen: Deaktiviert
  • Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern: Aktiviert
  • Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicherem Desktop wechseln: Deaktiviert
  • Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren: Aktiviert
  • Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind: Nicht definiert
  • Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind: Deaktiviert
  • Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern: Deaktiviert
  • Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus: Erhöhte Rechte ohne Eingabeaufforderung
  • Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: Eingabeaufforderung zu Anmeldeinformationen
von Manuel M. 24. August 2015 @ 18:43

Windows Server 2012 – WSUS Server Cleanup

Die Datenbank des WSUS-Servers sollte regelmäßig von nicht mehr benötigten Updates und Computern bereinigt werden. Diese Funktionen lassen sich beispielsweise aus der Windows Server Update Services MMC Konsole starten. Eine automatische regelmäßige Bereinigung lässt sich aber am besten über die Power Shell einrichten.

Power Shell – Invoke-WsusServerCleanup

Microsoft stellt und ein CMDlet für die WSUS-Server Bereinigung zur Verfügung:

Invoke-WsusServerCleanup [-CleanupObsoleteComputers] [-CleanupObsoleteUpdates] [-CleanupUnneededContentFiles] [-CompressUpdates] [-DeclineExpiredUpdates] [-DeclineSupersededUpdates] [-InformationAction <System.Management.Automation.ActionPreference> {SilentlyContinue | Stop | Continue | Inquire | Ignore | Suspend} ] [-InformationVariable <System.String> ] [-UpdateServer <IUpdateServer> ] [-Confirm] [-WhatIf] [ <CommonParameters>]

Parameter

  • -CleanupObsoleteComputers: Computer bereinigen
  • -CleanupObsoleteUpdates: Nicht mehr benötigte Updates bereinigen
  • -CleanupUnneededContentFiles: Nicht benötigte Dateien bereinigen
  • -CompressUpdates: Nicht mehr benötigte Revisionen der Updates bereinigen
  • -DeclineExpiredUpdates: Abgelaufende Updates bereinigen
  • -DeclineSupersededUpdate: Ersatzte Update bereinigen

WSUS-Server bereinigen

Der folgende Power Shell Befehl kombiniert sämtliche Bereinigungsmöglichkeiten:

Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Windows Server 2012 - WSUS Server Cleaup 1

Regelmäßige WSUS Bereinigung

Mit der Windows Server Aufgabeplanung kann man Aktionen nach einem Zeitplan ausführen lassen. In unserem Fall werden wir ein Power Shell Script wöchentlich automatisch ausführen lassen.

WSUS-Server Cleanup Script

Das eigentlich Script führt letztendlich nur das Power Shell CMDlet Invoke-WsusServerCleanup aus. Parallel dazu wird noch unter C:\WSUS\ eine Log-Datei angelegt und das Ergebnis des Aufrufes per E-Mail an die Administratoren gesendet. Das eigentlich Script wird in diesem Beispiel unter C:\WSUS\WSUS_Cleanup.ps1 gespeichert.

$AktuellesDatum = Get-Date -format ddMMyyyy-HH-mm
$Log = "C:\WSUS-$AktuellesDatum.log"

Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates | Out-File $Log

$SMTPServer = "192.168.100.16"
$Absender = "m.m@valentin-berlin.local"
$Empfaenger = "m.m@valentin-berlin.local"
$Betreff = "$AktuellesDatum - WSUS Cleanup Script"
$ContentLog = Get-Content $Log | Out-String
Send-MailMessage -SmtpServer $SMTPServer -From $Absender -To $Empfaenger -subject $Betreff -body $ContentLog -Encoding Unicode

Aufgaben hinzufügen

In der Aufgabenplanung kann man nun eine neue einfache Aufhaben anlegen.

Windows Server 2012 - WSUS Server Cleaup 2

Als nächstes muss der Zeitplan und die Aktion definiert werden:

Nun wird der eigentliche Power Shell Script Aufruf konfiguriert. Dabei wird die Power Shell gestartet (ich habe den vollständigen Pfad hinterlegt, weil es sonst manchmal zu Problemen kommen kann) und das eigentliche Script wird per Argument (Parameter) übergeben. Der Pfad zur Power Shell ist übrigens bei allen Versionen gleich.
Power Shell Aufruf:

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe

Power Shell Arugemente (Parameter):

-noninteractive -command "&{C:\WSUS\WSUS_Cleanup.ps1}"

Windows Server 2012 - WSUS Server Cleaup 6

Status E-Mail

Bei jedem Durchlauf wird eine E-Mail mit dem Status verschickt. Das Ganze kann dann folgerdermaßen aussehen:

Windows Server 2012 - WSUS Server Cleaup 8

von Manuel M. 10. August 2015 @ 19:06

Windows 10 – Remote Power Shell Zugriff auf Domain Controller (Remoteserver Verwaltungstools Ersatz)

Da es bisher noch keine Remoteserver Verwaltungstools für Windows 10 RTM gibt, kann man zumindest gewisse Aufgaben mit der Power Shell machen. So kann man beispielsweise Befehle auf den Domain Controller ausführen oder auch weitere Server mit der lokalen Power Shell administrieren.

Interessante Beiträge zu dem Thema

Power Shell – Verbindung zum Domain Controller herstellen

Zuerst muss eine PSSession zu einem Domain Controller aufgebaut werden. Falls der ausführende Benutzer kein Domänen-Administrator ist, muss mit „-Credential (Get-Credential)“ die Authentifizierung angefordert werden:

$session = New-PSSession -ComputerName vmhost -Credential (Get-Credential)

Windows 10 Powershell RSAT 1

Wenn auf dem Domain Controller Power Shell 2.0 installiert ist, muss folgendes Befehl abgesetzt werden. Bei Power Shell 3.0 / 4.0 ist dies nicht mehr nötig.

Invoke-Command -Session $session {Import-Module -Name ActiveDirectory}

Windows 10 Powershell RSAT 2

Nun kann die PSSession importiert und das AD Modul geladen:

Import-PSSession -Session $session -Module ActiveDirectory

Windows 10 Powershell RSAT 3

Bei mir scheiterte der Befehl, da die Power Shell Excecution-Policy noch nicht konfiguriert war. Damit der Befehl verarbeitet werden kann, muss ein neues Power Shell Fenster als Administrator geöffnet werden, mit dem mann dann die Excecution-Policy konfigurieren kann, sonst erscheint folgender Fehler:

Windows 10 Powershell RSAT 4

Power Shell Excecution-Policy auf RemoteSigned konfigurieren:

Set-ExecutionPolicy RemoteSigned

Windows 10 Powershell RSAT 5

Nun kann der eben fehlerhafte Befel erfolgreich ausgeführt werden:

Import-PSSession -Session $session -Module ActiveDirectory

Windows 10 Powershell RSAT 6

Ergebnis

Nun kann man in der lokalen Power Shell sämtliche Active Directory CMDlets ausführen. Beispielsweise kann man Benutzer oder Computer anlegen, bearbeiten und löschen. Im Prinzip kann man sämtliche Konfigurationen (und noch viele mehr) mit der Power Shell erledigen, die man sonst mit der Active Directory Verwaltungskomsole per GUI vornimmt.

Windows 10 Powershell RSAT 7

Natürlich kann man auch andere Windows Server auf diesem Weg lokal verwalten und Konfigurationen vornehmen.

von Manuel M. 6. August 2015 @ 07:45

Windows Server 2012 – Remote Power Shell Zugriff per Gruppenrichtlinie aktivieren

Der Remote Power Shell Zugriff auf andere Computer / Server hat viele Vorteile. Man kann z.B. von einem Computer aus, alle anderen Computer / Server per Power Shell verwalten.

Remote Power Shell zugriff aktivieren

Der Power Shell Rempte Zugriff, die Windows Remote Verwaltung und die dazugehörigen Firewall-Richtlinien müssen konfiguriert werden.

Dienst Windows-Remoteverwaltung automatisch starten

Damit der Remote Power Shell Zugriff überhaupt funktionierne kann, muss der Dienst „Windows-Remoteverwaltung (WS-Verwaltung)“ automatisch gestartet werden. Dieser kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Systemdienste“ konfiguriert werden.

Remoteshellzugriff zulasse

In der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteshell“ gibt es den Punkt „Remoteshellzugriff zulassen“. Dieser muss aktiviert werden.

Remoteverwaltung über WnRM zulassen

Nun muss in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteverwaltung -> WinRM-Dienst“ der Punkt „Remoteverwaltung über WnRM zulassen“ konfiguriert werden. Hier können einzelne IPV4 oder IPV6 Adressen berechtigt werden. Alternativ kann man mit einem „*“ alle IP-Adressen zulassen.

Hier kann man jetzt z.B. noch HTTP / HTTPS aktivieren oder verschiedene Authentifizierungsmethoden konfigurieren. Dies ist aber keine Voraussetzung.

Windows Firewall

Abschließend muss nur noch die Windows Firewall dahingehend geöffnet werden. Hier gibt es aber schone ine Vorgefertige Richtlinie, dir nur noch aktiviert werden muss. Diese kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiteter Sicherheit -> Windows-Firewall mit erweiteter Sicherheit“ aktiviert werden. Es muss dafür Ein- und Ausgehende Regeln geben. Die Richtilinie die aktivert werden muss heißt „Windows-Remoteverwaltung“.

von Manuel M. 5. August 2015 @ 18:12
  • RSS
  • manuel m. on E-Mail
  • manuel m. on Faceboo
  • manuel m. on Google+