Jedes mal wenn es neue ADMX-Dateien einzuspielen gilt, treten Fehler auf. Microsoft macht wirklich jedes mal Fehler und es fängt langsam extrem an zu nerven! Microsoft muss ja damit rechnen, dass man ein bereits vorhanden Policy Store, mit den neuen Dateien updatet und nicht von 0 anfängt. Die meisten haben weitere Policys von anderen Produkten (z.B. Office, Lync, Skype for Business, usw.) oder selbst erstellte Policys, in Ihrem Store.
Fehlermeldung
Diesmal ist eine Verknüpfung in der Datei SearchOCR.admx vorhanden, welche auf die Datei SearchOCR.adml verweist, die in dieser aber nicht mehr zu finden ist. Dadurch kann die Übersetzung nicht gefunden werden und ein Fehler wird ausgeworfen.
Resource '$(string.Win7Only)' referenced in attribute displayName could not be found. File ...\PolicyDefinitions\SearchOCR.admx, line 12, column 69
Die in der Eigenschaft "$(string.Win7Only)" aufgeführte Ressource displayName konnte nicht gefunden werden. Datei ...\PolicyDefinitions\SearchOCR.admx, Zeile 12, Spalte 69
Problembehebung
In der Datei SearchOCR.amdl (je nachdem welche Sprache Ihr nutzt vermutlich im Unterordner de-DE) nach Zeile 26 folgende Zeile hinzufügen:
<string id="Win7Only">Microsoft Windows 7 oder später</string>
Alternativ könnte man die Datei SearchOCR.admx auch löschen, dann verliert man aber auch die Einstellungen, die man durch diese Datei treffen könnte.
Oft taucht im Eventlog ein Schannel Fehler auf, der alle zwei Minuten ein Ereignis generiert. Dieser Fehler kann ignoriert werden, stört aber vor allem beim Lesen des Eventlogs.
Fehldermeldung:
Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 10. Der Windows-SChannel-Fehlerstatus lautet: 1203.
Fehlermeldung deaktivieren
Glücklicherweise lässt sich dieser Fehler ganz einfach deaktivieren: Regedit starten und folgendes anpassen:
Jetzt muss noch das Feature HTTP-Aktivierung im Servermanager unter .NET-Framework 4.5-Funktionen -> WCF-Dienste hinzugefügt werden.
SSL in Vernwendung
Wenn SSL im Einsatz ist, muss noch eine Konfigurationsdatei angepasst werden. Als erstes muss die Konfigurationsdatei die bearbeitet werden soll, beschreibbar gemacht werden. Dazu wird der Besitzer geändert:
<service
name="Microsoft.UpdateServices.Internal.Client"
behaviorConfiguration="ClientWebServiceBehaviour">
<!--
If using SSL, change the bindingConfiguration to "SSL".
Configuration is Defined below in <bindings>...</bindings> section
-->
<!--
These 4 endpoint bindings are required for supporting both http and https
-->
<endpoint address=""
binding="basicHttpBinding"
bindingConfiguration="SSL"
contract="Microsoft.UpdateServices.Internal.IClientWebService" />
<endpoint address="secured"
binding="basicHttpBinding"
bindingConfiguration="SSL"
contract="Microsoft.UpdateServices.Internal.IClientWebService" />
<endpoint address=""
binding="basicHttpBinding"
bindingConfiguration="ClientWebServiceBinding"
contract="Microsoft.UpdateServices.Internal.IClientWebService" />
<endpoint address="secured"
binding="basicHttpBinding"
bindingConfiguration="ClientWebServiceBinding"
contract="Microsoft.UpdateServices.Internal.IClientWebService" />
</service>
Das Ganze ist hier nochmal in einem Editor zu sehen:
Jetzt muss noch ganz unten im Dokumente, eine Zeile ersetzt werden, bzw. der Parameter multipleSiteBindingsEnabled=“true“ ergänzt werden:
Mit dem Update von Windows 10 auf die Version 1511 gibt es nun auch neue Gruppenrichtlinien, die in den zentralen Gruppenrichtlinien Store installiert werden müssen.
Nach der Installation befinden sich die installierten Gruppenrichtlinien unter „C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Version 1511“. Diese müssen jetzt noch in die Policy Definitions kopiert werden.
Unter dem Pfad „\\domain.local\SYSVOL\domain.local\Policies“ befindet sich der zentrale Gruppenrichtlinien Store. In diesen Pfad muss der Order „PolicyDefinition“ aus dem Pfad „C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Version 1511“ rein kopiert werden.
Nach dem Start Gruppenrichtlinienverwaltungs Konsole und dem Bearbeiten einer Gruppenrichtlinie, erscheint folgende Fehlermeldung: Namespace „Microsoft.Policies.WindowsStore“ is already defined as the target namespace for another file in the store.
Der Fehler kommt daher, dass zwei ADMX-Dateien, auf die gleiche Datei referenzieren. Dazu einfach die Datei „WinStoreUI.admx“ im Ordner „\\domain.local\SYSVOL\domain.local\Policies\PolicyDefinitions“ löschen, da diese veraltet ist.
Wir benutzen die Windows Server-Sicherung für einige Server und erhalten seit einiger Zeit folgende Fehler:
Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
. Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {43345aa3-73b8-48e1-a759-2d3bc4a4a55b}
Wenn man sich diesen Fehler in der Ereignisanzeige in der Detailansicht anschaut, sieht man folgendes:
Daran ist ersichtlich, dass der Benutzer NT-AUTORITÄT\Netzwerkdienst keinen Zugriff auf ein Objekt hat. Deswegen müssen diese Rechte angepasst werden. Dies geschieht in dem Fall in der Komponentendienste mmc. Die Eigenschaften vom Computer-Objekt müssen aufgerifen werden:
Nun muss im Reiter COM-Sicherheit, unter Zugriffsberechtigungen auf Standard bearbeiten geklickt werden:
Nun muss der Benutzer Netzwerkdienst hinzugefügt werden und mit den Berechtigungen Lokaler Zugriff auf Zulassen ausgestattet werden:
Die Benutzerkontensteurung kann in den Gruppenrichtlinien ziemlich genau konfiguriert und natürlich auch deaktiviert werden. In manchen Umgebungen macht dies Sinn, da Anwendungen sonst nicht kompatibel sind oder Benutzer nicht genervt werden sollen.
Benutzerkontensteuerung deaktivieren
Die nachfolgenden Einstellungen kommen dem Level 1 der Benutzerkontensteuerung gleich (Niemals benachrichtigen, wenn Programme versuchen Software zu installieren oder Einstellungen am Computer vornehmen), die man auch manuell konfigurieren kann:
Im Gruppenrichtlinienverwaltungs-Editor findens ich diese Einstellungen unter der Computerkonfiguration unter Richtlinien in den Windowseinstellungen unter den Sicherheitseinstellungen in der Lokalen Richtlinie in den Sicherheitsoptionen:
Im Detail müssen folgende Einstellungen getätigt werden:
Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto: Deaktiviert
Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen: Deaktiviert
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern: Aktiviert
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicherem Desktop wechseln: Deaktiviert
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren: Aktiviert
Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind: Nicht definiert
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind: Deaktiviert
Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern: Deaktiviert
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus: Erhöhte Rechte ohne Eingabeaufforderung
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: Eingabeaufforderung zu Anmeldeinformationen
Die Datenbank des WSUS-Servers sollte regelmäßig von nicht mehr benötigten Updates und Computern bereinigt werden. Diese Funktionen lassen sich beispielsweise aus der Windows Server Update Services MMC Konsole starten. Eine automatische regelmäßige Bereinigung lässt sich aber am besten über die Power Shell einrichten.
Power Shell – Invoke-WsusServerCleanup
Microsoft stellt und ein CMDlet für die WSUS-Server Bereinigung zur Verfügung:
Mit der Windows Server Aufgabeplanung kann man Aktionen nach einem Zeitplan ausführen lassen. In unserem Fall werden wir ein Power Shell Script wöchentlich automatisch ausführen lassen.
WSUS-Server Cleanup Script
Das eigentlich Script führt letztendlich nur das Power Shell CMDlet Invoke-WsusServerCleanup aus. Parallel dazu wird noch unter C:\WSUS\ eine Log-Datei angelegt und das Ergebnis des Aufrufes per E-Mail an die Administratoren gesendet. Das eigentlich Script wird in diesem Beispiel unter C:\WSUS\WSUS_Cleanup.ps1 gespeichert.
In der Aufgabenplanung kann man nun eine neue einfache Aufhaben anlegen.
Als nächstes muss der Zeitplan und die Aktion definiert werden:
Nun wird der eigentliche Power Shell Script Aufruf konfiguriert. Dabei wird die Power Shell gestartet (ich habe den vollständigen Pfad hinterlegt, weil es sonst manchmal zu Problemen kommen kann) und das eigentliche Script wird per Argument (Parameter) übergeben. Der Pfad zur Power Shell ist übrigens bei allen Versionen gleich. Power Shell Aufruf:
Mit der Powershell kann man sehr einfach, auf Grundlage des Active Directorys, eine Adressliste des Unternehmens generieren. Im folgendem Beispiel werden die Spalten Name, Abteilung, Telefonnummer, Mobiltelefonnummer und E-Mail Adresse ausgelesen, die Mitarbeiter nach Namen sortiert und anschließend als CSV exportiert.
Mit Windows Server 2008 R2 wurden ADMX-Templates eingeführt. Diese Templates erweitern die Gruppenrichtlinien um neue Einstellungen, Produkte oder Vesionen.
Der Gruppenrichtlinien Central Story liegt auf den Domain Controllern im Vewrzeichnis „\FQDN\SYSVOL\FQDN\Policies“. Nach der Installation von Windows Server 2012 sind hier noch keine ADMX-Templates vorhanden. Diese müssen erstmal erstellt werden. Diese können entweder durch die oben aufgeführten ADMX-Templates installiert werden oder aus der jeweiligen Installation kompiert werden.
Die ADMX-Templates von Windows Server 2012/Windows 8 liegen beispielsweise im ordner „C:\Windows\PPolicyDefinitions\“ und können von hier aus in den Central Store kopiert werden.
Gruppenrichtlinien im Central Store aktualisieren
Neue ADMX-Template sollten immer auf dem Basisdomänencontroller installiert werden. Dieser syncronisiert diese dann an alle anderen Domänencontroller. Im Gruppenrichtlinien Central Store liegen alle GPO´s. In dieses Verzeichnis müssen die neuen Templates auch kopiert werden.
\FQDN\SYSVOL\FQDN\Policies
Gruppenrichtlinien – Client
Die Domänen Computer aktualisieren die Gruppenrichtlinien alle 90 Minuten. Dies kann auch manuell durchgeführt werden.
Gruppenrichtlinien – Client aktualisieren
Mit folgendem Befehl kann man ein Update der Gruppenrichtlinien auf dem Client erzwingen.
Einen Windows Server 2008 R2 Standard kann man nachträglich zu Enterprise Version umrüsten. Zu beachten ist, dass man nur auf höhere Lizenzen upgraden kann. Ein Wechsel von Enterprise auf Standard ist daher nicht möglich.
Außerdem zu beachten: Es wird nicht nur die Lizenz bzw. der Product-Key geändert, sondern viele Änderungen am System vorgenommen. Daher ist ein später Upgrade auf einem produktiven Server nicht unbedingt die beste Lösung.
