McAfee und Windows Server 2012R2 Deduplication

Es gibt ein bekanntes Problem bei der Zusammenarbeit von McAfee VirusScan Enterprise (VSE) 8.8 und höher mit der Datendeduplizierung von Windows Server 2012R2.

XP Clients die auf File Shares zugreifen, die auf einem deduplizierten Windows Server 2012R2 Volume liegen laufen in Fehlermeldungen. Die häufigste Meldung dabei lautet:

The Request is not supported.

Ich habe diesen Fehler gesehen bei PDFs, Worddateien, Exceldateien und auch bei Executables. Der genaue Wortlaut variiert dabei leicht.

Ursache für dieses Problem ist ein Registry Eintrag der von der Installation von McAfee VirusScan Enterprise gesetzt wird. Eine Deinstallation von McAfee entfernt diesen Registry Key nicht!

Man muss ihn daher selbst deaktivieren.

Dabei muss man den Key enableecp unter HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ auf 0x0 setzen. Anschließend ist ein Reboot des Servers oder ein Restart des Server Service notwendig mit Hilfe von NET STOP SERVER && NET START SERVER.

Danach ist der Fehler weg.

Es gibt einen KB Artikel von Microsoft dazu und auch von McAfee:

http://support.microsoft.com/kb/2817216

https://kc.mcafee.com/corporate/index?page=content&id=KB77623

Nach Umstieg auf 2012R2 Domänencontroller gibt es sporadische Logonprobleme der Computerkonten (Kerberos)

Momentan wird ja fleissig migriert von Windows Server 2003 auf Windows Server 2012R2, da ja der Support in einem Jahr ausläuft.  Leider gibt es in Server 2012R2 einen Bug, der sich in einem Mixed Environment nach dem Hochstufen eines 2012R2 zum Domänencontroller oder in einem reinem 2012R2 Environment der vorher 2003er Domänencontroller enthielt, zeigt.

Dabei wird das Event 4 auf dem Domänencontroller geloggt:

Event ID: 4
Source: Kerberos
Type: Error
„The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server servername/domänenname. This indicates that the password used to encrypt the Kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (domänenname), and the client realm. Please contact your system administrator.“

Das Ganze passiert sowohl mit Clientmaschinen als auch mit Servern. Meist findet sich im Eventlog des betroffenen Computers eine enstprechende Meldung dass das Passwort für das Computerkonto geändert wurde. Das ist auch gleichzeitig die Ursache warum die Logons failen.

Die Ursache dafür liegt in den verwendeten Verschlüsselungsalgorithmen. Wenn man ein Passwort im AD setzt, dann wird dieses verschlüsselt und der dabei entstehende Hash im AD gespeichert. Da Windows Server verschiedene Algorithmen unterstützt wird dabei für jeden Algorithmus der entsprechende Hash gespeichert. Windows Server 2003 unterstützt DES und RC4. Also wird in einem reinen 2003er Environment für ein Computerkontopasswort zwei Hashs gespeichert. Wenn sich der Computer nun authentifizieren will, dann verhandeln Computer und DC einen Verschlüsselungsalgorithmus aus und vergleichen dann den Hash gegen die im AD gespeicherte Version. Stimmen beide überein, ist die Authentifizierung erfolgreich. Das ist jetzt natürlich ein bisschen vereinfacht dargestellt. Es passiert schon noch ein bisschen mehr drum herum, aber die vereinfachte Darstellung reicht um das Problem zu verstehen.

Mit Windows Server 2008 wurde zusätzlich AES als Algorithmus eingeführt. Ab diesem Zeitpunkt konnte dann – sofern ein 2008er DC natürlich im Environment steht – für jedes Passwort 3 Hashs gespeichert werden: DES, RC4 & AES. So konnte gegen einen 2008er DC mit einem „besseren“ Algorithmus authentifiziert werden als gegen einen 2003er. Der 2008er erkannte auch automatisch wenn noch kein AES Hash gespeichert war, dass er dann DES benutzen musste.

Und genau das ist das Problem im 2012R2. Aus irgendeinem Grund erkennt der 2012R2 DC sporadisch nicht wenn für einen Account kein AES Hash gespeichert ist und versucht trotzdem die Authentifizierung damit. Dabei wird dann ein generierter AES Hash gegen einen nicht im AD vorhandenen verglichen und natürlich schlägt die Authentifizierung fehl.

Glücklicherweise hat Microsoft einen Hotfix dafür bereit gestellt und Ende August auch für die Öffentlichkeit bereitgestellt:
http://support.microsoft.com/kb/2989971/en-us

KB2919355 wird wie so oft in letzter Zeit als installiert vorausgesetzt bevor man den Hotfix installieren kann.

Cluster Validation Report meckert über fehlenden Proxy

Ein Kunde von mir hat Cluster Aware Updating konfiguriert auf seinem Hyper-V Cluster und wollte wissen was es mit der folgenden Warnung auf sich hat:

The proxy server setting on each failover cluster node should be set to a local proxy server.

One or more failover cluster nodes have an incorrect proxy server configuration. If a local proxy server is in use, the proxy server setting on each node must be configured properly for the cluster to access Microsoft Update or Windows Update.

In seiner Umgebung besteht direkte Verbindung ins Internet. Daher kann diese Warnung ignoriert werden, wie im Best Practices Guide für Cluster Aware Updating dokumentiert.

Diese Meldung dient dazu, den Administrator auf diese Tatsache hinzuweisen, da in größeren Umgebungen in aller Regel immer ein Proxy vorhanden ist und Cluster Aware Updating ansonsten den Proxy nicht ermitteln kann.

CU2 für SCCM 2012R2

Wer mit ständigen Abstürzen des SMS Executive Dienstes in seinem Environment zu kämpfen hat, darf sich freuen. Das CU2 für System Center Configuration Manager 2012R2 ist erschienen und fixt dieses Problem.

Darüber hinaus löst es eine Reihe anderer Probleme. Allerdings warnt Microsoft ausdrücklich vor der Installation dieses CU wenn man KEINES der beschriebenen Probleme hat.

Also bitte dieses Update nicht einfach so approven und installieren.
Vorher sorgfältigst den KB Artikel lesen hier.

Windows Server Backup Konsole fehlt unter Windows Server 2012 (R2)

Folgendes Problem ist mir jetzt schon das zweite Mal untergekommen:
Wir haben einen Server mit Windows Server 2012 oder 2012 R2 und das Feature Windows Server Backup ist installiert. Man kann auch wunderbar auf der Kommandozeile wbadmin etc. benutzen. Aber es fehlt die graphische Oberfläche dazu, die wbadmin.msc

Offensichtlich scheint das ein Bug zu sein. Welche Voraussetzungen zusammenkommen müssen, damit der Bug erscheint ist mir zum jetzigen Zeitpunkt leider noch nicht klar.

Allerdings habe ich einen Workaround gefunden, der bisher immer geholfen hat:

Man installiert das Feature Network Load Balancing. Nach Abschluss der Installation ist die wbadmin.msc plötzlich da und auch Windows Server Backup erscheint unter Tools im Server Manager.

Third Party Certificate Signing Request mit einer Windows Enterprise CA signen

Die GUI kann nicht alles. Und so stolpert man hin und wieder über Dinge, die man über die gute alte (bzw. neue gute Powershell) Kommandozeile machen muss. Dazu gehören Certificate Signing Requests in einem solchen Format, dass man sie nicht im Browser copy/paste einfügen kann um sie zu verarbeiten. Denn dort lassen sich nur base-64-encoded CMC oder PKCS #10 Formate verarbeiten.

Stattdessen benutzt man certreq.exe . Diesem Kommando muss man allerdings einen wichtigen Parameter mitgeben, da man sonst in folgenden Fehler reinläuft:
The request contains no certificate template information. 0x80094801

Klingt eigentlich logisch. Schließlich kann jemand externes nicht wissen was für Zertifikatsvorlagen wir im Unternehmen nutzen und kann daher nicht diese Information im Request mitgeben. Also müssen wir certreq mit dieser Information füttern:

certreq -attrib "CertificateTemplate:WebServer" C:\temp\request.csr

Danach kommt ein Popup zum Auswählen der CA und der Speichern Unter Dialog für das signed Certificate.

Achtung:
Wenn ihr im Unternehmen eigene Zertifikatsvorlagen benutzt, die Leerzeichen enthalten, dann werden Ihr folgende Fehlermeldung bekommen:

The requested certificate template is not supported by this CA. 0x80094800
Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Certificate Services policy: Firma Eigenstrick Web Server Vorlage

Das liegt daran, dass certreq mit dem friendly name und den Leerzeichen nichts anfangen kann. Also im Attribut daher schön die Leerzeichen weglassen:

certreq -attrib "CertificateTemplate:FirmaEigenstrickWebServerVorlage" C:\temp\request.csr

Und schon funktioniert es einwandfrei.

SCSM – Service Requests bleiben im Status New und ändern nicht den Status

Nach einem Datenbankproblem hatte ich heute bei einem Kunden das Problem, dass Service Requests ihren Status nicht änderten wenn man sie einem Analytiker zugewiesen hatte.

Service Requests ohne hinterlegte Aktivitäten ändern ihren Status normalerweise automatisch auf Übermittelt. Beim Kunden blieben diese auf dem Status Neu hängen. Ebenso wurden keine E-Mails verschickt.

Das Problem ließ sich schnell lokalisieren. Durch das Datenbankproblem hatten sich offenbar ungültige Daten in den Cache eingenistet. Diesen musste ich einfach nur löschen, dann liefen die Workflows wieder.

Das lässt sich folgendermaßen tun:

1. Auf den Management Server einloggen und die SCSM Dienste stoppen (System Center Management , System Center Data Access Service, System Center Management Configuration)

2. Unter C:\Program Files\Microsoft System Center 2012\Service Manager\ den Ordner „Health Service State“ löschen.

3. Dienste wieder starten.

Ein bisschen Geduld und schon laufen die Workflows wieder.

R2 am Horizont – Was gibt es neues?

In einem Monat ist es soweit und die neue Windows Server Version erscheint zeitgleich mit der neuen System Center 2012 R2. Zeit sich ein bisschen näher damit zu befassen und die wichtigsten Neuerungen zu begutachten. Ich werde nur die aus meiner Sicht wichtigsten Neuerungen kurz erwähnen, da bei manchen Dinge es einfach viele kleine Neuerungen gibt:

Windows Server 2012 R2:
Hier alle Neuerungen aufzuführen ist ein wenig übertrieben, daher nur die wichtigsten Neuerungen. Am meisten geschraubt hat MS am Hyper-V. Die Verbindung zu VMs ist verbessert worden, das Thema copy/paste geht jetzt auch mit Bildern und sogar Dateien. VHDx (virtuelle Festplatten) lassen sich jetzt auch im laufenden Betrieb verkleinern und vergrößern. Ebenso lassen sich virtuelle Platten unter VMs sharen. Die Live-Migration zwischen Hosts ist deutlich schneller geworden und es gibt eine neue VM Generation in Hyper-V. Diese neuen VMs emulieren nicht mehr die Hardware sondern nutzen UEFI.
Daneben gibt es Neuerungen im den üblichen Bereichen AD, DNS, DHCP, DFS, Failover Clustering, IPAM & Powershell.

System Center 2012 R2
Data Protection Manager:

  • Windows Azure Backup: Mit der neuen Version lässt sich das Backup in die Cloud verlagern. In Deutschland ist das wohl eher uninteressant, da die meisten Kunden ihre Backups nicht in die Cloud verlagern möchten und/oder gesetzliche, aktienrechtliche etc. Pflichten haben die es erfordern das Backup im Haus zu behalten. Aber für kleinere Unternehmen ist das sicherlich sehr interessant, da man nun sein Backup jederzeit verfügbar in der Cloud hat.
  • SQL Server Cluster Support: Die neue Version unterstützt nun auch clustered SQL Server Nodes. Damit wird die DPM DB nun auch hochverfügbar im Cluster.
  • Virtualized Deployment: DPM kann jetzt voll virtuell aufgesetzt werden und .vhd Dateien als Storage Pool benutzen.
  • Linux VM Backup: DPM unterstützt nun dann auch das file-consistent Backup von virtuellen Linux Maschinen. Application-Consistency ist leider nicht gegeben. Aber das dürfte meist ohnehin separat gesichert werden. Und wer Linux im Einsatz hat wird sicherlich auch nicht vermissen, dass Linux VMs nicht in die Cloud (Azure) gesichert werden können.

Configuration Manager

  • Enrollment Wizard für Mac Computer
  • Mobile Enrollment mit SCCM für Android und iOS Devices mit Hilfe einer App (Google Play/Appstore). Sicherlich interessant für kleinere Unternehmen die nicht in eine große MDM (Mobile Device Management) Lösung investieren können oder auch nicht unterhalten können.
  • Neuorganisation von Maintenance Windows. Jetzt können für Windows Updates und Software Updates unterschiedlichen Wartungsfenster definiert werden.

Operations Manager

  • Fabric Monitoring Dashboard: Bessere Zusammenarbeit mit SCVMM & Ansicht der Health einer Private Cloud
  • Microsoft Monitoring Agent: sammelt jetzt auch Application Traces. Kann zusammen mit Agent oder auch standalone benutzt werden.
  • Unterstützung für ipV6
  • System Center Advisor. Testergebnisse & Alerts laufen jetzt auch in den Operations Manager

Virtual Machine Manager

  • Live-Cloning von VMs
  • Unterstützung für neue VM2 auf Basis von UEFI
  • Virtual Fibre Channel
  • Shared VHDX Support
  • Verbesserungen bei Live-Migration, Replication & Recovery

 

Warning: Matching Processor Architecture Boot Image (0) not found

Ich hatte bei einem SCCM Distribution Point im Ausland bei einem Kunden heute das Problem, dass beim PXE Boot zum Installieren eines neuen Client Devices nichts vorangeht. Ein Blick in die SMSPXE.LOG unter \SMS_DP$\sms\logs\ lieferte die Warnung:

Warning: Matching Processor Architecture Boot Image (0) not found

Es stellte sich heraus, dass kein x86 Boot Image auf dem Distribution Point war. Der Kunde brauchte in dieser Niederlassung ausschließlich x64 Images und entschied sich bewusst keine x86 Images dahin zu replizieren.

Leider mag SCCM 2012 das gar nicht. Wenn kein x86 Image gefunden wird, geht es nicht weiter.

Also immer darauf achten, dass für beide Architekturen ein Image auf dem Distribution Point vorhanden ist.

KB2775511 verursacht Probleme in der SCOM Umgebung

Wie Microsoft berichtet sollte man Abstand davon nehmen das KB2775511 in seiner Umgebung via Windows Update oder manuell zu installieren.

Alle Systeme auf denen dieses KB installiert wird laufen möglicherweise in einen Deadlock. Das führt dazu, dass der gemanagte Server oder Gerät grau wird oder als nicht überwacht angezeigt wird.

Die Deinstallation von KB2775511 behebt dieses Problem.

Also Vorsicht bei der Freigabe von Updates !