In meinem "Group Policy Troubleshooting Guide" zeige ich euch die bekanntesten Fehler im Umgang mit Gruppenrichtlinien. Ihr lernt, wie ihr diese Fehler vermeiden könnt und mit welchen Tools sich die korrekte Abarbeitung der Richtlinien überprüfen lässt.

Teil 3:  Der letzte Teil des GPO-Troubleshooting-Guides behandelt das Thema "GPO Performance."

• Welche Timeouts können beim Abarbeiten von Policies auftreten?
• Wie lassen sich erhöhte Laufzeiten von Policies erkennen?
• Welche CSEs können erhöhte Laufzeiten verursachen?
• Wie wirkt sich das Policy- und AD Design auf die Laufzeit der GPOs aus?
• Wie wirkt sich Group Policy Loopback auf die Laufzeit der GPOs aus?
• Wie wirkt sich die Anzahl der GPOs auf die Laufzeit aus?

Hier der Link zur Übersicht des Guides
Hier der Link zu Teil 1
Hier der Link zu Teil 2
Hier der Link zu Teil 3

Bei Symantec ist vor wenigen Tagen ein strategisch orientiertes Whitepaper zum Thema Datensicherung in virtualisierten Umgebungen erschienen. Die Autoren sind Thomas Maurer (MVP Virtual Machine), Mahmoud Magdy (Microsoft MVP for Exchange Server) und Mikko Nykyri (VMware vExpert).

Das Whitepaper trägt den Titel “Virtual Machine Backup and Recovery: Five Critical Decisions” und lässt sich hier herunterladen:

http://www.symantec.com/connect/sites/default/files/21283144_GA_WP_VMBackupandRecoveryFiveCriticalDecisions_0113[1].pdf

Cisco wird in Kürze mit seinem Nexus 1000V eine der ersten (und für einige Zeit eine der komplexesten) Erweiterungen für die neue virtuelle Switch-Schnittstelle in Hyper-V veröffentlichen. Mit dem Produkt wird es möglich sein, anspruchsvolle Netzwerkkonzepte für virtuelle Maschinen einzurichten. Der Clou: Die virtuellen Cisco-Switches reihen sich nahtlos in eine vorhandene Cisco-Infrastruktur ein.

Daniel Neumann hat sich in zwei Blog-Artikeln mit der Einrichtung der Technik befasst:

[Cisco Nexus 1000V Beta für Hyper-V – Erste Schritte Teil 1 › Daniel's Tech Blog]
http://www.danielstechblog.de/cisco-nexus-1000v-fr-hyper-v-erste-schritte-teil-1/

[Cisco Nexus 1000V Beta für Hyper-V – Erste Schritte Teil 2 › Daniel's Tech Blog]
http://www.danielstechblog.de/cisco-nexus-1000v-beta-fr-hyper-v-erste-schritte-teil-2/

Das Produkt selbst ist derzeit in einer öffentlichen Beta-Phase, an der man sich bei Interesse noch beteiligen kann.

[Public Beta of Nexus 1000V virtual switch for Microsoft Hyper-V is Now Available]
http://blogs.cisco.com/datacenter/public-beta-of-nexus-1000v-virtual-switch-for-microsoft-hyper-v-is-now-available/

In wenigen Wochen erscheint “Microsoft Hyper-V und System Center: Das Handbuch für Administratoren” bei Galileo Press. Das Buch habe ich gemeinsam mit drei anderen Autoren in den letzten Monaten geschrieben: Nicholas Dille, Marc Grote und Jan Kappen. Wir sind alle vier lebhaft in der Windows-Community aktiv und befassen uns dort nicht nur mit Hyper-V, sondern auch mit Themen wie Exchange, Remotedesktop, Sicherheit oder Active Directory.

Mit unserem Buch wollten wir ein Best-Practice-Werk schreiben, das nicht nur die technischen Fakten und trockene Anleitungen auflistet, sondern ein paar Schritte weitergeht. Wir haben dort Praxiserfahrungen und Tipps und Tricks aus unseren eigenen Projekten sowie aus der Hyper-V-Community eingebracht. Wir wollen, dass der Leser Hyper-V unter Windows Server 2012 strategisch einsetzen kann und auch den Blick über den sprichwörtlichen Tellerrand wagt.

… weiterlesen

Microsoft hat vor wenigen Tagen die “Prüfung in zwei Schritten” (im Original: “Two-Step Verification”) für die Single-Sign-On-Infrastruktur “Microsoft-Konto” (im Original: “Microsoft Account”) eingeführt. Diese Konten waren vorher als “Live-ID” und noch früher als “Microsoft Passport” bekannt und stellen eine zentralen Anmeldetechnik in aktuellen Windows-Versionen und -Applikationen dar.

Mit der jetzt eingeführten Option wird es für Angreifer schwerer, ein Microsoft-Konto mit Hilfe eines geknackten, erratenen oder ausgespähten Kennworts zu übernehmen. Durch die “Prüfung in zwei Schritten” erfordert die Anmeldung neben dem Kennwort auch noch einen Sicherheitscode, der immer nur kurze Zeit gültig ist. Das ähnelt bekannten Token-Lösungen mit “Einmal-Kennwörtern”. Solche Codes kann man sich bei Bedarf zusenden lassen, oder man erzeugt sie mit einer “Authentifikator-App” auf einem Smartphone (nützlich, wenn man gerade nicht online ist). Solche Apps gibt es für alle Smartphone-Plattformen, es muss keine Spezial-App von Microsoft sein.

Damit das Ganze handhabbar bleibt, fordert das Microsoft-Konto nur dann einen zusätzlichen Sicherheitscode an, wenn man sich von einem “neuen” Gerät aus anmeldet. Das eigene Notebook, das eigene Smartphone usw. sind nach der ersten Anmeldung “vertrauenswürdig” und fordern keinen Extra-Code an.

Wir empfehlen sehr, diese zusätzliche Sicherheitsoption zu aktivieren. Die Einrichtung dauert nur wenige Minuten, die Authentifikator-Apps sind kostenlos (ebenso die Benachrichtigungen per Mail usw.). Näheres findet sich auf den folgenden Seiten:

[Microsoft Account: Enable Two-Step Verification | Roger Halbheer on Security]
http://www.halbheer.ch/security/2013/04/19/microsoft-account-enable-two-step-verification/

[Prüfung in zwei Schritten: Häufig gestellte Fragen - Microsoft Windows]
http://windows.microsoft.com/de-DE/windows/two-step-verification-faq

Update: Es gibt ein paar Geräte und Applikationen, die mit dem neuen Sicherheitscode nicht klarkommen. Dazu zählen beispielsweise manche Mail-Apps auf Smartphones (unglücklicherweise auch die von Windows Phone …). Für solche Apps kann man über die Sicherheitseinstellungen seines Microsoft-Kontos eigene App-Kennwörter erzeugen. Damit nehmen diese Apps dann auch wieder ihre Arbeit auf.

Active Directory speichert das Anmeldedatum eines Benutzers (bzw. eines Computers) in einem etwas eigenwilligen Format. Dieses gibt die Anzahl der 100-Nanosekunden-Intervalle an, die seit dem 1. Januar 1601 vergangen sind. Dies ergibt dann Werte wie 130104058290831818 (die technisch noch dazu in mehreren Einträgen hinterlegt sind, aber das führt an dieser Stelle zu weit).

Viele Anzeige-Werkzeuge konvertieren diese Einträge wieder in lesbare Daten. Nicht so csvde.exe, ein Dienstprogramm, das seit Windows 2000 in den Adminwerkzeugen für das AD enthalten ist. Hier bekommt man einfach den Wert im obigen Format zurück. Möchte man nun etwa in einer Excel-Übersicht ein lesbares Datum daraus machen, geht das folgendermaßen.

… weiterlesen

Die Gruppenrichtlinien-Erweiterung "Internet Explorer-Wartung" (IEM = Internet Explorer Maintenance) ist ein Relikt aus alten Zeiten. Leider war diese CSE nie für ihre Zuverlässigkeit bekannt.

Mit dem Erscheinen von Windows 8 und Server 2012 wird diese Erweiterung nun offiziell nicht mehr unterstützt. Konfiguriert man unter
Windows 8 (oder Server 2012) eine Gruppenrichtlinie, so versucht man vergebens, diese Einstellung zu finden.

Installiert man den Internet Explorer 10 auf einem Client, der mit den Einstellungen dieser CSE jedoch noch umgehen kann (z.B. Windows 7, Server 2008 R2), so verliert man dort ebenfalls die Option eine Gruppenrichtlinie zu bearbeiten, die Internet Explorer-Wartungs-Einstellungen enthält. Gleiches gilt für die Erzeugung neuer Richtlinien, die IEM-Einstellungen enthalten sollen.

Mehr dazu erfahrt ihr in meinem aktuellen Beitrag.

http://matthiaswolf.blogspot.de/2013/04/internet-explorer-10-goodbye-my-friend.html

VMware hat gestern einen Knowledge-Base-Artikel veröffentlicht, demzufolge es Probleme bei der administrativen Anmeldung an eine vSphere-Farm gibt, die auf vSphere 5.1 Update 1 aktualisiert wurde. Das Problem tritt offenbar nur in komplexeren Umgebungen auf und betrifft den vCenter-Server.

Anscheinend arbeitet das Single Sign-on über Active-Directory-Konten in der neuen Fassung fehlerhaft. Das macht sich bemerkbar, wenn das verwendete Konto in “zu vielen” Gruppen Mitglied ist. Offenbar hat vSphere hier ein Problem mit der Token-Größe.

Natürlich arbeitet VMware an einer Lösung. Einstweilen sollten Administratoren komplexer Umgebungen das Update 1 auf dem vCenter-Server noch nicht einspielen.

[VMware KB: Cannot log in to vCenter Server using the domain username/password credentials via the vSphere Web Client/vSphere Client after upgrading to vCenter Server 5.1 Update 1]
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2050941

Dieser Artikel erschien zuerst auf gruppenrichtlinien.de.

Gruppenrichtlinien und Deployment liegen thematisch ganz eng bei einander. Ich stolpere oft über den KMS (Key Management Service) zur Aktivierung vom Betriebssystem und Office.
Vor allem stolpere ich, weil mir lange Zeit nicht klar war, dass das VAMT (Volume Activation Management Tool) das unnötigste und sinnloseste Werkzeug ist, das man für den KMS einsetzen kann.

… weiterlesen

Da unsere alte NetApp keinen Support mehr hatte, beschafften wir ein neues Modell. Nun stand ich vor der Herausforderung, den Clusterdatenträger des Fileserver-Clusters zu ersetzen. Schnell fand ich eine sehr gute bebilderte Anleitung von Jeff Hughes in einem Blog im TechNet:

http://blogs.technet.com/b/askcore/archive/2011/08/26/replacing-a-shared-disk-on-a-2008-failover-cluster.aspx

Was mich allerdings störte, war die Tatsache, dass ich auf diesem Weg nach der "Reparatur" des Clusterdatanträgers einen leeren Speicher habe, den ich dann mit dem Inhalt des alten Datenträgers füllen muss. Bei einem Fileserver, auf dem Home, Profile und Ablagen beheimatet sind, sind schnell mal 2 TB Platz belegt, eine Kopie mit Robocopy beispielweise dauert auf diesem Weg mehrere Stunden.

So entschied ich mich für einen anderen Weg.

… weiterlesen