Tags

Howto (51) Free Software (35) Powershell (33) Windows Server (23) AD (16) Hyper-V (16) Exchange (13) Office (13) Group Policy (10) Windows Server 2012 (9) Scripts (7) Symantec BE (5) Windows 8 (5) Cisco (4) TMG (4) Terminal Server (4) Cluster (3) HP (3) RDS (3) UAG (3) Citrix (2) DC (2) DNS (2) IE10 (2) OpenID (2) PKI (2) SCVMM (2) Windows Live (2) iLO (2) Backup (1) DPM (1) Fileserver (1) IE (1) SQL; DPM (1) Security (1) Sharepoint (1) Switch (1) VMWare (1) Veeam (1)

maandag 31 oktober 2011

Cisco Basics (Commands)

Cisco IOS heeft een drietal operation modes:
  • Disabled mode
  • Enabled mode
  • Configuration mode
In Disabled mode kun je gebruik maken van een beperkt aantal commando's en wordt voornamelijk gebruikt voor het monitoren van de router.

In Enabled mode kun je de configuratie bekijken en wijzigen. Je kunt vanuit hier de Configuration mode ingaan.

De Configuration mode wordt gebruikt om de runtime configuration bij te werken.
Je kunt een lijst van commando's opvragen door "?" in de prompt te typen.
  
Voor extra informatie betreffende een bepaald commando op te vragen typ je het commando in gevolgd door een "?".

Converteer VMDK naar VHD

Afgelopen week moest ik een aantal virtuele servers verplaatsen van een VMWare ESX host naar een Hyper-V host.

Je kunt natuurlijk Microsoft System Center Virtual Machine Manager (SCVMM) installeren om deze klus te klaren. Echter is dat wat omslachtig als je maar twee servers hoeft over te zetten.

Het alternatief is dat je WinImage download en hiervoor gebruikt. Dit is een fantastisch simpel programma, waarbij je tevens de mogelijkheid hebt om van fixed size over te zetten naar Dynamically Expanding.

Je kunt het programma 30 dagen gratis gebruiken (meer dan lang genoeg om deze servers over te zetten Knipogende emoticon), mocht je het willen aanschaffen dan kan dat voor maar een euro of 23.

http://www.winimage.com/winimage.htm

Screenshots:

image

image

vrijdag 28 oktober 2011

OpenID

OpenID is een gedecentraliseerd authenticatiemechanisme om Single Sign-on op het internet mogelijk te maken. Als iemand gebruik maakt van OpenID, dan hoeft die persoon voor het inloggen op een website geen gebruikersnaam en wachtwoord te onthouden, maar volstaat het om met de openID-identiteit in te loggen. De OpenID identiteit is feitelijk een URL. Als iemand de unieke eigenaar is van die URL, dan kan die URL als digitale identiteit worden gebruikt.

Bekijk deze presentatie voor meer informatie:

Wat extra informatie:

woensdag 26 oktober 2011

Show Desktop icon

Ben je op je server of werkstation het ShowDesktop icoontje kwijt?
Maak deze dan opnieuw aan:

Maak een tekstbestand aan met de naam "ShowDesktop.scf" open deze en plaats daar onderstaande code in:

[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop


Sla het bestand op en je hebt weer een ShowDesktop icoontje :).

Bron:
http://support.microsoft.com/kb/190355

Visio stencils

Het kan zijn dat de standaard bij Visio meegeleverde shapes niet afdoende zijn om een goede  netwerktekening te maken van je omgeving.

Je kunt echter extra stencils downloaden en deze plaatsen in de map:

"C:\Users\username\Documents\Mijn shapes"

Hierdoor krijg je extra shapes tot je beschikking.

Een mooie verzameling van extra shapes kun je downloaden van:

http://www.jonathancusson.com/visio-stencils/

update:
Toen ik een visio tekening wilde maken van een nieuw Active Directory ontwerp viel het mij op dat er geen fatsoenlijke stencils hiervoor beschikbaar zijn.

Nu herinner ik mij een programma van Microsoft dat het netwerk kan afscannen en de AD in Visio kan weergeven en dat deze wellicht een stencil zou mee installeren om deze daarvoor te gebruiken.

De installatie van de ADTD is in onderstaande directory:

"C:\Program Files\Microsoft Active Directory Topology Diagrammer"

Daarin staat inderdaad een "Active Directory.vss". Precies wat ik nodig had :).

Je kunt Microsoft Active Directory Topology Diagrammer downloaden van:

http://www.microsoft.com/download/en/details.aspx?DisplayLang=en&id=13380

Extra stencils:

http://www.visiocafe.com

http://www.cisco.com/en/US/products/hw/prod_cat_visios.html

http://nag.ru/projects/visio

zaterdag 15 oktober 2011

Skydrive

Met Skydrive kun je beschikken over 25GB aan online storage.

Het is mogelijk om de storage via je Explorer te benaderen en deze als network mapping toe te voegen.

\\cid.docs.live.net\cid\^.Documents

De  cid in bovenstaande link moet je op beide plekken vervangen door het hexadecimale equivalent daarvan (bestaande uit 16 karakters)

Het wordt dan iets als:

\\5C23B38A9191EC22.docs.live.net\5C23B38A9191EC22\^.Documents

Je kunt je cid in de url terugvinden als je inlogd op http://home.live.com en vervolgens op Skydrive klikt.

Mocht je gebruik maken van Office 2010 dan heb je de mogelijkheid om rechstreeks documenten op te slaan naar je Skydrive.

In bijvoorbeeld Word klik je alsvolgend op:
  • Bestand
  • Opslaan en verzenden
  • Opslaan naar web

Let op:
Maak geen wachtwoord langer dan 16 karakters aan. Bij het aanmaken van het wachtwoord stopt het na 16 karakters maar je krijgt geen waarschuwing als je erover heen zit. Mocht je een langer wachtwoord in gedachte hebben gehad en dat blind hebben ingetypt dan lijkt het alsof er geen probleem is. Je hebt dan ook geen problemen zolang je de webinterface gebruikt, deze zorgt er namelijk voor dat je toch niet meer dan 16 karakters kunt intypen.
Je kunt echter wel meer dan 16 karakters intypen als je gebruik maakt van bovengenoemde drivemapping of van de mogelijkheid om via Office documenten naar het web op te slaan.


Met Live Mesh kun je vervolgens bestanden of mappen met je Skydrive synchroniseren.
Microsoft stelt 5GB van je Skydrive ter beschikking voor deze service.
Je kunt met Live Mesh of met Skydrive de mappen echter niet encrypten. De Amerikaanse overheid  zou dankzij de Patriot Act toegang kunnen hebben tot jou bestanden zonder dat je dat zou weten. Wil je dit niet dan kun je bepaalde mappen van Skydrive maar beter encrypten door bijvoorbeeld gebruik te maken van Gladinet ipv live Mesh om je bestanden met Skydrive te synchroniseren.

Skydrive changelog:
https://skydrive.live.com/P.mvc#!/view.aspx/SkyDrive%20Changelog?cid=20f065afc1acdb2e&sc=documents

Meer info op oa:

vrijdag 14 oktober 2011

Bloggen met Windows Live Writer

 

Ik ben aan het testen om te kijken of het makkelijker / beter bloggen is met Windows Live Writer.
Dit is het eerste bericht.

Tevens zal ik een printscreen maken en in dit blog plaatsen:

image

Ook heb je de mogelijkheid om diverse plug-ins te installeren zoals Twitter notify die ervoor kan zorgen dat een tinyurl van het blog getweet wordt als je het bericht published.

 

image

donderdag 13 oktober 2011

Hyper-V making Template Virtual Machines

Voer onderstaande stappen uit om een Windows Server 2008 (R2) of Windows 7 Virtual Machine Template aan te maken:
  1. Installeer een nieuwe VM op basis van een van genoemde OS-en
  2. Voer alle patches en updates uit zodat je template up-to-date is
  3. Installeer eventueel programma's die je in je Template wilt meenemen
  4. Defragmenteer nu je schijven (mijn c-schijf was voor 14% gefragmenteerd na installatie van alleen het OS en de Windows updates)
  5. Sluit de VM af en kopieer deze
    • Doe dit voor je gaat syspreppen zodat je later de Template nog kunt bijwerken
  6. Start de VM weer op en voer een OOBE uit met Sysprep
    • C:\WINDOWS\SYSTEM32\SYSPREP\SYSPREP.EXE
    • Generalize vinkje zetten zodat er een nieuwe SSID wordt aangemaakt
    • Kies voor de Shutdown optie
  7. Kopieer de Template voor alle nieuwe VM's die je wilt uitrollen
    • Advies is om de gesysprepte template Read-Only te maken zodat deze beveiligd is tegen opstarten en waardoor deze onbruikbaar wordt
Maak nieuwe VMs aan op basis van de Template:
  1. Creƫer een nieuwe VM dmv de wizard
  2. Kies nu alleen voor de optie "Use an existing virtual hard disk" en selecteer de vhd die je eerder (puntje 6) gekopieerd en hernoemd hebt.

Bron:
http://sondreb.com/blog/post/hyper-v-making-template-virtual-machines.aspx

Antivirus and Hyper-V (or: Why can’t I start my virtual machine?)

A little while ago our support team put together this KB article in response to a problem that a lot of people have been reporting. Basically, what is happening is that users are having problems starting virtual machines after they install antivirus software in the management operating system.
The root cause of the problem is that a number of these programs monitor file access in a way that interferes with Hyper-V’s attempts to open virtual machine files. If you see this problem – you have two options:
  1. Don’t install antivirus. Now – before you choke on your coffee or get your pitch-forks - listen to me for a moment. If you are running a server core configuration, or a full server configuration, and you have nothing running in the management operating system other than Hyper-V, and you do not have people logging in and browsing the web in the management partition, etc… Then you do not really need to have antivirus software installed as there is limited risk of a virus.
  2. Install antivirus and set up the following exclusions (most antivirus programs allow you to exclude specific directories, files and processes from scanning to help deal with issues such as these):
    • Default virtual machine configuration directory (Normally this is C:\ProgramData\Microsoft\Windows\Hyper-V)
    • Custom virtual machine configuration directories
    • Default virtual hard disk directory (Normally this is C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks)
    • Custom virtual hard disk directories
    • Snapshot directories
    • Vmms.exe
    • Vmwp.exe
Then everything should be just fine.
 
Bron:

SysAid IT (free helpdesk software)

SysAid Free Edition is a light and fully-functional help desk software solution that supports up to two administrators, 100 assets, and 100 end users. SysAid Free Edition gives you the core modules and features you need to automate your help desk processes, handle service requests more efficiently, control your assets, and print reports on the state of your help desk. Accomplish everything you need to do in your day-to-day tasks in fewer clicks!

Ideal for smaller organizations, SysAid Free Edition is an out-of-the-box help desk solution that’s quick to implement and incredibly easy to use. It’s intuitive for both administrators and end users and makes IT help desk management simpler, faster, and more efficient.

Free Edition Is For IT Departments That Need To:
  • Support up to two administrators, 100 assets, and 100 end users
  • Automate handling of service calls to reduce response time
  • Get a detailed inventory and view of installed software and hardware configurations
  • Remote control your assets via a secure web connection
  • Analyze your system to identify bottlenecks and boost your help desk performance
  • Stay informed about your help desk with automatic notifications and alerts
  • Communicate with your end users via integrated online chat

Install Windows 2003 Small Business Server on Hyper-V

I tried to install Windows 2003 Small Business Server on Hyper-V and I got into a visious circle.

I can't complete the installation because there is no network adapter available. To install the network adapter I need to install the Integration Services and thus SP2, but to install SP2 I need a network adapter!?!

Solved it (march 26,2010):
Installed a virtual nic (dummy nic): http://www.ntkernel.com/w&p.php?id=32
Downloaded the driver and put it in an ISO file (together with SP1 and SP2) so I could mount it to the Windows 2003 Small Business Server and install it.

Windows 2k8r2 edition RDS limitations

Windows 2k8r2 Standard = limited to 250 Remote Desktop Services Gateway Connections

Zie voor het W2K8R2 comparison overzicht:

Daarin staan een aantal limitations waaronder:


Ƙ  RDS Gateway > unlimited connections
Ƙ  RD Session Host (Terminal Server) > meer geheugen en sockets is meer users per server
o   Meer users per server is minder servers is minder beheer ;)

dinsdag 11 oktober 2011

Generate Exchange Environment Reports using Powershell

Wat een groot gemis was met de komst van Exchange 2007 was het feit dat je in de GUI niet meer te zien kreeg hoe groot een bepaalde mailbox was. Om dat toch te kunnen monitoren heb ik een batchfile geschreven die gescheduled stond en die vervolgens  een bepaald powershell script uitvoerde.

Het is niet geweldig gedocumenteerd maar hier de batch en het powershell script:

@echo off
h:
cd\
cd psscripts
ren mailboxinfo.html mailboxinfo1.html
C:\WINDOWS\system32\windowspowershell\v1.0\powershell.exe -PSConsoleFile "C:\Program Files\Microsoft\Exchange Server\bin\exshell.psc1" -noexit -command ". 'h:\psscripts\mailboxreport.ps1'"
exit
start iexplore "h:\psscripts\mailboxinfo.html"
exit



# S.Salfischberger 09-03-2009
# Hiermee genereer je een rapport per Exchange database

# in HTML formaat van de mailboxen groter dan 200MB en
# dat wordt dan verstuurd naar het aangegeven email adres.

function OutputHTML
{
param([string]$Naam, [string]$Database)
$BodyStyle = Get-Content -Path "$Locatie\salfischbergerit.css"
$BodyStyle = ""
$BodyStyle += "$Naam Mailbox Report"
#$BodyStyle = $BodyStyle + ""

$MBXOutput = Get-MailboxStatistics -Database "$MailServer\$Database" |where {$_.TotalItemSize –gt 200MB} | sort TotalItemSize -descending | ConvertTo-HTML DisplayName,ItemCount,@{label="Mailbox grootte (MB)";expression={$_.TotalItemSize.Value.ToMB()}} -Title "Mailbox Overview" -Head $BodyStyle$MBXOutput = $MBXOutput -replace "","
$Naam mailbox rapportage $($now) "
$MBXOutput = $MBXOutput -replace "","Weergave: mailboxen > 200MB"
$MBXOutput | Out-File $Locatie\MBReportDB_$Naam.html

$global:att += new-object Net.Mail.Attachment("$Locatie\MBReportDB_$Naam.html")
$msg.Attachments.Add($global:att[$global:att.length - 1])
}


$Now=Get-Date
$global:att = @()

$msg = new-object Net.Mail.MailMessage
$smtp = new-object Net.Mail.SmtpClient($MailServer)
$msg.Body = "..."


####### AANPASBAAR #######
$MailServer = "EX01"
$msg.From = s.salfischberger@.nl
$msg.To.Add(
s.salfischberger@.nl)
$msg.Subject = "Mailbox Report"

$Locatie = "H:\PSScripts"
OutputHTML "Spam" "Spam Database"
OutputHTML "Mailbox1" "Mailbox1 Database"
OutputHTML "Mailbox2" "Mailbox2 Database"

####### AANPASBAAR #######

$smtp.Send($msg)
for($x = 0; $x -lt $global:att.length; $x++) {
 $global:att[$x].Dispose()

}



Met de komst van Exchange 2010 kwam ik erachter dat bovenstaand script niet meer werkt. Met een paar kleine aanpassingen kun je het echter zo weer werkend krijgen.

Ik heb ondertussen ook een prachtig ander script gevonden dat een overzicht geeft van je Exchange omgeving:





Zie onderstaand blog:

http://www.stevieg.org/2011/06/exchange-environment-report/

maandag 10 oktober 2011

Could not establish trust relationship for the SSL/TLS secure channel

Heb je meldingen als:
“The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel” of kun je gewoonweg niet kunnen surfen naar bepaalde sites die een SHA256 certificaat hebben, hieronder dan de oplossing:

SHA (Secure Hash Algorithm) een bepaald algoritme dat een concrete invulling geeft voor een hashfunctie. Het nog veel gebruikte SHA-1 is ontwikkeld door de Amerikaanse overheid en maakt een Message Digest van 160 bits aan. De Advanced Encryption Standard en SHA-2 (256 bits) zijn opvolgers hiervan.

Vooral overheids websites zijn nu bezig om alle SHA-1 certificaten te vervangen voor SHA-2 certificaten omdat SHA-1 niet langer meer veilig wordt geacht.

Het probleem komt alleen voor bij oudere windows systemen, denk aan Windows Server 2003.

Hier staat een stuk uitleg over de problemen met het SHA-2 certificaat:

http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx

Oplossing:
Installeer onderstaande hotfix op de windows server 2003, let op dat de server SP2 heeft en anders R2 met SP1.

http://support.microsoft.com/kb/938397

In het stuk uitleg wordt nog een hotfix genoemd, deze is echter niet nodig weet ik uit ervaring, enkel en alleen de KB938397 is voldoende, een herstart is vereist!

Windows Phone vraagt vaak om je credentials voor syncen met Exchange



Het kan voorkomen dat een windows phone vaak prompt om je username/password om te syncen met Exchange, hieronder wordt uitgelegd wat het probleem is:


Open up Forefront TMG Management, Click on “Firewall Policy” in the tree in the left-hand pane and then find your OWA / Activesync rule.

Double-click on your OWA / Activesync Publishing Rule, then click on the Listener Tab, then the Properties Button for the Listener, then click on the Forms Tab, then the Advanced button on the Forms Tab and you will see a Check box call “Apply Session Timeout to Non-Browser Clients”.

Untick this check box, click on OK 3 times, Apply the rule changes and then the Password Prompt on your Windows Mobile phone should have stopped and syncing will resume normally.

As Activesync needs to keep a connection open with the Exchange server, with this setting selected, the connection is dropped and thus the phone thinks it needs to re-authenticate with the server. With the setting not selected, then phone is allowed to keep a connection open with the Exchange server and thus the password prompt doesn’t pop up.

Bron:
http://alanhardisty.wordpress.com/2010/11/05/forefront-threat-management-gateway-and-activesync-password-prompt-issues-on-windows-phones/

An error has occurred for task MyTask. Error message: The following error was reported: 2147944309

Als je een taak aanmaakt op een windows server 2008 x64 machine kan het wel eens zijn dat je deze error krijgt:

An error has occurred for task MyTask. Error message: The following error was reported: 2147944309
Met wat uitzoekwerk kom je erachter dat het account vergrendeld is:

0n2147944309 = 0x80070775
Facility: 8007 = Win32 (it's a "Win32" status code)
Status: 0x775 = 0n1909
Als je onderstaand commando uitvoert krijg je extra informatie betreffende de foutcode:

net helpmsg 1909

The referenced account is currently locked out and may not be logged on to.

De oplossing is vrij simpel, deze error komt omdat je het verkeerde wachtwoord hebt ingegeven om de taak te laten uitvoeren. Je hoeft alleen het juiste wachtwoord in te geven en de desbetreffende te unlocken.

Printserver migratie: van Windows Server 2003 32-bit naar Windows Server 2008 R2 64-bit

Voor een klant moest er een nieuwe printserver ingericht worden op basis van Windows Server 2008 R2 64-bit. De huidige printserver was een Windows Server 2003 R2 32-bit server.

Gezien het feit dat er meer dan 100 printqueues op de oude printserver aanwezig waren en ik geen vertrouwen had in printbrm (nieuwe drivers, vervuiling) heb ik wat scripts gebruikt om de migratie uit te voeren.
Als eerste de poorten aangemaakt, de laatste WHQL Universal drivers van de diverse fabrikanten geinstalleerd en op driver isolation gecontrolleerd, de printers aangemaakt en de printqueues omgezet.


Inhoud
1. Poorten toevoegen:
2. Drivers installeren:
3. Driver isolation:
4. Printers aanmaken:
5. Oude printserver ontmantelen
6. Omzetten van de printer queue:

zondag 9 oktober 2011

CCleaner

Voor het optimaliseren van je Windows PC voer je CCleaner van Piriform uit. Ze hebben een portable versie die je via onderstaande link kunt downloaden.

http://www.piriform.com/ccleaner/download/portable

dinsdag 4 oktober 2011

Openen van Excel bestanden over het netwerk gaat langzaam of helemaal niet

Het openen van Excel bestanden over het netwerk duurt erg lang of gaat zelfs helemaal niet.
Het probleem ontstond na de installatie van (critical-update) Microsoft Office File Validation Add-In

Zie: http://support.microsoft.com/kb/2501584

Microsoft geeft een aantal oplossingen voor dit probleem: http://support.microsoft.com/kb/2570623

Ik heb gekozen om een registry key via een GPO toe te voegen:

REG ADD HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Excel\Security\FileValidation /v EnableOnLoad /t REG_DWORD /f

Zie onderstaand screenshot:

maandag 3 oktober 2011

Networkx

NetWorx is a simple and free, yet powerful tool that helps you objectively evaluate your bandwidth situation. You can use it to collect bandwidth usage data and measure the speed of your Internet or any other network connection. NetWorx can help you identify possible sources of network problems, ensure that you do not exceed the bandwidth limits specified by your ISP, or track down suspicious network activity characteristic of Trojan horses and hacker attacks

http://www.softperfect.com/products/networx/

Hak5 episode:

http://www.youtube.com/watch?v=xXucjpE46O8&feature=player_embedded

Domain Controller en Hyper-V

The Domain Controller Dilemma

Often I have people ask me about the Domain Controller dilemma. The basic problem is this: if you decide to virtualize all of your servers, how do you handle the domain controllers which control the domain used by your Hyper-V servers? There are a couple of options that you can consider here:
  1. Keep the root domain controller on physical hardware
    By keeping the root domain controller on separate physical hardware you can avoid any potential for problems. However you also miss out on the benefits of virtualization for your domain controller (better hardware utilization, hardware mobility, easier backup, etc…).
  2. Keep the Hyper-V servers out of the domainIn small deployments you can consider just leaving the Hyper-V servers as part of a workgroup and then running all domain controllers inside virtual machines. This approach has two problems. First, you lose the security advantages of running in a domain environment and second, it is hard to have multiple administrators in such an environment (as local user accounts need to be created on each Hyper-V server). Also, you cannot use all the functionality of SCVMM in such an environment.
  3. Establish a separate (physical) domain for Hyper-V serversThis approach is a compromise between the first two approaches. Here you virtualize your primary domain controller environment, but setup a secondary (smaller) domain environment for your Hyper-V servers using a physical server. The advantage to this approach is that you get all the benefits of having your Hyper-V servers in a domain – but your primary domain environment benefits from being virtualized. The problem with this approach is that you still have an underutilized server sitting around in your server room / data center.
  4. Run the domain controller on top of Hyper-V anywayThe last option is to just stick the domain controllers in virtual machines and then join the parent Hyper-V environment to the domain in question. Now, while this sounds like a problematic environment it can be done with some careful planning. Here are the following steps to take / things to consider:
    1. You should configure the domain controller virtual machines to always start when the parent starts – whether they were running before or not (this is configurable in the virtual machine settings).
    2. If you have other virtual machines configured to start automatically you may want to configure them to have a delayed start time (say by a minute or two) to allow the domain controllers to start up quickly.
    3. You should configure the domain controller virtual machines to shutdown (and not save state) if the physical computer is shutdown.
    4. You should ensure that you have a way of managing the Hyper-V environment if the domain controller fails to start. This means keeping note of the local administrator account / password and testing that you can use it (either locally or remotely) to access the Hyper-V management console.
So there you have it. I actually use option 4 for the (albeit small) domain environment that I run in my house and have had no issues. A couple of extra points to make here:
  • Points 1-3 of option 4 should apply to *any* time that you virtualize a domain controller – even if it is not being used by the parent partition in question.
  • You should never use saved state / snapshots with domain controllers – as this can be catastrophic.

Mount VHD file onto your filesystem

To mount a VHD file onto your file system, you either ran some very complicated VB (or PowerShell) Script or you used VHDMount.exe that came with Virtual Server. If you’re running Windows 7 (or Windows Server 2008 R2), you can now use Diskpart.

So, from an elevated command prompt, run Diskpart.

Select the VHD in question:

sel vdisk file=”c:\users\daven\desktop\xp professional.vhd”

Then attach it to your system:

attach vdisk

=============================================
Vanuit Hyper-V Manager kun je ook een VHD aan een andere VM koppelen, waardoor je bij de bestanden kunt komen.
==============================================

Extra info: http://blogs.msdn.com/b/7/archive/2009/10/08/diskpart-exe-and-managing-virtual-hard-disks-vhds-in-windows-7.aspx

Password advise (myths)

Ik heb ooit een blog gevonden met daarin een goed verhaal omtrent wachtwoorden. De link van de blog heb ik niet meer, het verhaal nog wel:

With all of our advances in security technology, one aspect remains constant: passwords still play a central role in system security. The difficulty with passwords is that all too often they are the easiest security mechanism to defeat. Although we can use technology and policy to make passwords stronger, we are still fighting the weakest point in any system: the human element.

Ultimately the goal is to get users to choose better passwords. However, it is not always clear how to achieve that goal. The problem is that as creative as humans are, we are way too predictable. If I asked you to make a list of totally random words, inevitably some sort of pattern will emerge in your list. Selecting good passwords requires education. System administrators need to be educated and that education needs to be passed on to end users. This article is meant to bring you closer to understanding passwords in Windows 2000 and XP by addressing common password myths.

Disable8dot3 on Terminal Server Farm

Hieronder een verhaal waarom je 8dot3 moet uitzetten op een Terminal Server Farm (indien mogelijk).

Currenty i’m on the way to deploy a Windows Server 2008 R2 terminal server farm.
One server is already up and running productive and the other is one step before going online. I work a lot of with GPO’s and user roaming profiles, to ensure to have exactly the same configuration on the new server for all users. Also i use control panel restrictions to display only neccessary .CPL’s to the user.

And one special control panel addin, what is shipped with the MS Office suite ML32CFG.CPL (responsilbe for configuring MS Outlook MAPI Profile), i discovered how important it is, to ensure that applications have to be installed in the same order as on the other terminal servers.
Why, you may ask….because, of the 8dot3-names (8.3) and the windows internal file/path handling. In some cases the OS calls an an application it tries to use the 8dot3 path / name.


The control panel addin on the new server was registered successfully during the installation, and i could open it. But if i tried to open the CPL with my test user, what is already using the saved roaming profile, the addin would not open. Also the icon in the control panel window was different against to the other server.

So what happend? With Sysinternals Process Moinitor (PROCMON.EXE) I did a little bit research on both servers, and found out that the 8dot3 name of the MS Office path between both servers is different because i didn’t keep in mind the order, how i installed the applications on the new TS.

Server 1: (C:PROGRA~2\MICROS~1\Office12\MLCFG32.CPL)



Server 2: (C:PROGRA~2\MICROS~2\Office12\MLCFG32.CPL)



To solve the problem, i had no chance uninstall the application what occupies the 8dot3 name, uninstall office and reinstall office and the other application again. After reinstalling MS Office suite, the right 8dot3 name was assigned tho the new installation.



Zie voor extra info ook mijn blog over NTFS Hacks:
http://salfischberger.blogspot.com/2011/10/diverse-tips-hacks-betreft-filesystem.html

Windows Server Performance Team: Performance Tuning Guidelines for Windows Server 2008 R2

http://blogs.technet.com/b/winserverperformance/archive/2009/07/14/performance-tuning-guidelines-for-windows-server-2008-r2-released.aspx

http://msdn.microsoft.com/en-us/windows/hardware/gg463392

Windows Server Performance Team: Increase VMBus buffer sizes to increase network throughput to guest VMs

The Windows Server Performance team have done a really interesting post on how to optimize network performance inside of virtual machines by increasing the size of the VMBus buffers used by our network adapters. They also do a very good job of explaining the causes and implications of performance issues around virtual networking – so go check it out:

http://blogs.technet.com/winserverperformance/archive/2010/02/02/increase-vmbus-buffer-sizes-to-increase-network-throughput-to-guest-vms.aspx

NIC Teaming met Hyper-V

Wil je in Hyper-V gebruik maken van NIC Teaming dan moet zal er gebruik moeten gemaakt worden van de teaming software van HP (of andere OEMs).

(Microsoft is leaving NIC teaming to the OEM’s such as HP, Broadcom, Dell and IBM.This means that getting virtual network redundancy will rely on a Hyper-V friendly version of the HP Network Configuration Utility.)

BELANGRIJK:
Order of installation
To use HP ProLiant Network Teaming Software with Windows Server 2008 with Hyper-V, the software must be installed and enabled in the following order:
1. Install and enable the latest version of Hyper-V from Microsoft.
2. Install and enable the HP ProLiant Network Teaming Software.

NOTE
If the teaming software is installed first, the network adapters may cease passing traffic. The resolution to this issue is to uninstall both the HP teaming software and Hyper-V, reboot the server and then reinstall Hyper-V and the teaming software.

Bron: http://h20000.www2.hp.com/bc/docs/support/SupportManual/c01663264/c01663264.pdf

Installatie Hyper-V op HP ML350G5

Hieronder de stappen:
  • Download de laatste firmware CD van de HP site en gebruik deze om de hardware in de server van de laatste firmware versie te voorzien.
  • Installeer Windows Server 2008 R2 (Standard)
  • Wijzig eventueel de Computernaam en IP-adressen
  • Installeer Powershell
  • Werk Windows bij met de laatste updates
  • Voor het uitvoeren van de setup van de Proliant Support Package (PSP) dient de SNMP service geinstalleerd te worden (serverManagerCMD -i snmp-services), anders kan de HP Insight Management Agent niet geinstalleerd worden.
  • Installeer de laatste HP Proliant Support Package voor Windows Server 2008 R2 via HP Drivers ML350G5 maar installeer geen NIC Teaming Software (zie http://salfischberger.blogspot.com/2011/10/nic-teaming-met-hyper-v.html)
  • Tijdens de installatie van PSP kan de HP Insight Management Agent geconfigureerd worden: Voeg iig de Administrators groep toe aan de Administrators en bij User Acces kies je voor Local Access – Administrator (grant full…..) en bij Trust Mode – Trust All. Vervolgens zet je de SNMP datacollection interval op 10 minuten en enable je de service.
  • De “HP Network Configuration Utility” mag je nog niet installeren (deselect). Installeer deze pas nadat je Hyper-V hebt geinstalleerd. http://h20000.www2.hp.com/bc/docs/support/SupportManual/c01663264/c01663264.pdf.
  • Bij de eigenschappen van de SNMP service voeg je op het tabblad security nog Community Rights “READ ONLY” aan de Community Groep “{mysecPublic148}” en “READ WRITE” aan de Community groep “{mysecPrivate149}” toe. Dit om bij de HP System Management Homepage wat meer informatie te kunnen zien.
  • PSP installeer je alleen op de host server niet op de guest servers
  • Via de RBSU (BIOS) zet je de “No-Execute Memory Protection” en de “Intel(R) Virtualization Technology” op enabled.
  • Nu activeer je de role “Hyper-V”

Backing up Virtual Machines using Windows Server Backup in Server 2008 R2

Hieronder een blogpost van hoe je VMs in Windows 2008R2 kunt backuppen mbv Windows Server Backup.

Even een puntje van aandacht: Indien je VMs hiermee wilt backuppen dan kan dat alleen maar door het hele volume te backuppen. Je kunt niet alleen de vhd file backuppen.

Ook als je een VM wilt restoren, kan dat alleen maar door het hele volume te restoren.
Persoonlijk nog niet getest maar dat ga ik zeker doen.

http://mindre.net/post/Backing-up-Virtual-Machines-using-Windows-Server-Backup-in-Server-2008-R2.aspx

of:

http://www.virtualizationadmin.com/articles-tutorials/microsoft-hyper-v-articles/backup-recovery/installing-configuring-windows-server-backup-hyper-v.html

of bekijk onderstaande video:

http://technet.microsoft.com/en-us/windowsserver/dd775213.aspx

RECOVERY:
Om een individuele VM te restoren moet je de volgende commando’s uitvoeren:

In CMD:
Voer het commando: “wbadmin get versions” uit om te kijken welke backups aanwezig zijn.
Voer vervolgens het commando: “wbadmin get items -version:10/09/2010-10:08″ uit om de items in de backup te bekijken.
Onder het kopje “Application = Hyper-V” zie je GUIDs van de verschillende VMs.
Om te zien welke GUID bij welke VM hoort moet je onderstaand Powershell commando uitvoeren:
get-wmiobject -namespace “root\virtualization” -query “select * from msvm_computersystem” | format-table -property name, elementname

Als je onderstaand Powershell script in een ps1 opslaat en scheduled dan krijg je voortaan ook meldingen per email ofdat je backup gelukt is of niet.

===============================
$maxHours = 24
$email = “your@mail.net
$smtpServer = “stmp.mail.net”
$sendSuccess = $true
## Script ————————————————————
Add-Pssnapin Windows.serverbackup
$summary = Get-WBSummary
$timeBetween = [DateTime]::Now – $summary.LastSuccessfulBackupTime
$computerName = get-content env:computername
if ($summary -eq $null)
{
$smtp = new-object Net.Mail.SmtpClient($smtpServer)
$smtp.Send($email, $email, “BackupCheck.ps1 failed on $computerName”, “BackupCheck.ps1 failed with unknown error.”)
}
elseif ($timeBetween.TotalHours -gt $maxHours)
{
$smtp = new-object Net.Mail.SmtpClient($smtpServer)
$smtp.Send($email, $email, “Windows Server Backup on $computerName failed”, “Last successfull backup on $computerName was at ” + $summary.LastSuccessfulBackupTime)
}
elseif ($sendSuccess)
{
$smtp = new-object Net.Mail.SmtpClient($smtpServer)
$smtp.Send($email, $email, “Windows Server Backup on $computerName was successfull”, “Last backup on $computerName was successfull at ” + $summary.LastSuccessfulBackupTime)
}
==============================

Mbv de Windows Recovery Environment zou het mogelijk moeten zijn om de gehele server inclusief de VM terug te zetten.

http://technet.microsoft.com/en-us/library/cc766048(WS.10).aspx

Powershell foutmelding Windows Server 2008

Indien je Powershell opstart op een Windows Server 2008 krijg je de volgende foutmelding te zien:

WARNING:
File C:\Windows\system32\WindowsPowerShell\v1.0\Modules\PSDiagnostics\PSDiagnostics.psm1
cannot be loaded because the execution of scripts is disabled on this system.
Please see “get-help about_signing” for more details.

Het probleem is op te lossen door de volgende code in Powershell uit te voeren:

Set-ExecutionPolicy Unrestricted

Group Policy Modeling

Hieronder een link naar een interessant artikel over Group Policies.

http://blogs.technet.com/grouppolicy/archive/2009/08/06/cool-articles-group-policy-modeling-windows-7-server-2008-r2-functionality.aspx

Er staan twee links in bovenstaand artikel:

http://searchwindowsserver.techtarget.com/tip/0,289483,sid68_gci1347416,00.html

en

http://searchwindowsserver.techtarget.com/tip/0,289483,sid68_gci1363466_mem1,00.html?track=NL-468&ad=718481&asrc=EM_NLT_8862218

Hide users from Windows 2008 Server logonscreen

Stel je hebt een Windows 2008 server draaien en je wilt daar iemand rechten op geven, maar je wilt niet dat die namen op het loginscherm te zien zijn. Je moet dan in het register deze namen toevoegen.

Ga naar:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

Als de key UserList nog niet bestaat maak deze dan aan.

In deze key voeg je een DWORD toe met de naam van de gebruiker en geef deze de value 0.

Group Policy Central Store

Ik vind het vreemd waarom MS standaard geen gebruik maakt van de Central Store. Mijn advies is daarom ook om standaard ook bij een single-DC omgeving een Central Store aan te maken.

Het aanmaken van de Central Store is eenvoudig. Je moet na het uitvoeren van dcpromo (die ervoor zorgt dat NTDS.dit en de SYSVOL dir aangemaakt wordt) de mapinhoud verplaatsen.

van

“C:\Windows\PolicyDefinitions”

naar

“%SystemRoot%\SYSVOL\domain\Policies\PolicyDefinitions”

Deze laatste map moet je even handmatig aanmaken anders staan de rechten niet goed.

DFS zorgt er nu voor dat alle DC’s deze templates gebruiken.

Schemamaster

Om de schemamaster snap-in te kunnen gebruiken dient deze eerst geregistreerd te worden.

In CMD met Elevated Rights: regsvr32 schmmgmt.dll

A schema master is one of the five operations master roles in Active Directory. It manages and controls the definition of each object and its associated attributes in the directory. It functions in the forest level in a single master fashion and exists once in a forest. Only one domain controller in a forest is allowed to perform the schema master role. By default, the first domain controller installed in an enterprise acts as the initial schema master.

Werkstations extra beveiligen

Op werkstation draait een service (Group Policy Cient) die ervoor zorgt dat de GPO worden gedownload en door de juiste Client Side Extension (CSEs) worden uitgevoerd.
Indien door een of andere rede lokaal een instelling wordt gewijzigd die eerder door een GPO was ingesteld zal deze gewijzigde instelling blijven staan totdat de desbetreffende GPO wordt aangepast. Standaard voert een CSE alleen acties uit als een GPO gewijzigd is.

Om ervoor te zorgen dat een CSE de GPO instellingen toch uitvoerd ookal is er niets aan gewijzigd kun je een GPO instellen:

“Computer Configuration\Policies\Administrative Templates\System\Group Policy”

Hierin staan de corresponderende CSE configuratie en kun je instellen dat een bepaalde CSE altijd een GPO moet inlezen/uitvoeren.

Loopback processing of Group Policy, explained

Today I want to write a few words about Loopback processing of Group Policy. When you deal with this setting for the first time it may be a little bit confusing. You can find explanations of this policy setting on the internet, but in my case I will try to explain everything in simple words.

As we know group policy has two main configurations, user and computer. Accordingly, the computer policy is applied to the computer despite of the logged user and the user configuration is applied to the user despite of the computer he is logged on.
For example we have a Domain, this Domain has two different organizational units (OU) Green and Red, Green OU contains a Computer account and Red OU contains User account. The Green policy, which has settings “Computer Configuration 2” and “User Configuration 2” is applied to the OU with the computer account. The Red policy, which has settings “Computer Configuration 1” and “User Configuration 1”, is applied to the OU with the User account. If you have a look at the picture below it will become clearer.

If Loopback processing of Group Policy is not enabled and our User logs on to our Computer, the following is true:
As we can see from the picture, the User gets Computer Configuration 2 and User Configuration 1. This is absolutely standard situation, where policies are applied according to the belonging to the OU. User belongs to the Red OU, he gets the Red User configuration 1 accordingly.Now let’s enable the Loopback processing of Group Policy for the Green OU. In this case if the User logs on to the Computer, the policies applied in the following way:

As we can see, now the User is getting User Configuration 2 despite of the fact that he belongs to the Red OU. So, what has happened in this scenario, the User Configuration 1 was replaced with the User Configuration 2, i.e. with the configuration applied to the Computer account.As you have probably noticed, the picture above says “Loopback in replace mode”. I have to mention that the Loopback processing of Group Policy has two different modes, Replace and Merge. It is obvious that Replace mode replaces User Configuration with the one applied to the Computer, whereas Merge mode merges two User Configurations.

In Merge mode, if there is a conflict, for example two policies provide different values for the same configuration setting, the Computer’s policy has more privilege. For example in our scenario, in case of the conflict the User Configuration 2 would be enforced.
In the real work environment Loopback processing of Group Policy is usually used on Terminal Servers. For example you have users with enabled folder redirection settings, but you do not want these folder redirection to work when the users log on to the Terminal Server, in this case we enable Loopback processing of Group Policy in the Policy linked to the Terminal Server’s Computer account and do not enable the folder redirection settings. In this case, once the User logged on to the Terminal Server his folder redirection policy will not be applied.

Eventid 67 op UAG

Op de UAG van een klant hadden we een hoop events met event ID 67.
Dit schijnt te komen door een verkeerde UAG rule.
Event op UAG:



Op de MX01 staat het bestand owasl.xap (en niet owasi.xap):


owasi.xap moet worden gewijzigd naar owasl.xap



Zie laatste post van Christopher Comarato (2-8-2011):

http://social.technet.microsoft.com/Forums/en-US/forefrontedgeiag/thread/9074b01d-26e3-4b12-81d2-ec3bc3d0542a/

The reason this event is still being logged is because both the KB article (http://support.microsoft.com/kb/2444842) as well as the update that fixes this in UAG both contain the same error with regards to ExchangePub2010_Rule42.

Both modify the URL set with a new ExchangePub2010_Rule42 that includes the following URL:
/owa(/[a-z0-9._-]+@[a-z0-9.-]+)?/[0-9.]+/clientbin/owasi.xap This is incorrect!

When you look at the file in mixed case it looks like this might be the file name; however, the actual file on the CAS server is OWASL.xap, not OWASI.xap.

To resolve this error you should change this rule in the UAG rule set to use the following URL: /owa(/[a-z0-9._-]+@[a-z0-9.-]+)?/[0-9.]+/clientbin/owasl.xap I would recommend that Microsoft fix this in a future update to UAG.

Met welke DC maak je contact?

Je kunt dit testen door het volgende commando uit te voeren:

echo %logonserver%

of nog beter met meer info betreffende de dc:

nltest /dsgetdc:

/force zorgt ervoor dat er geen cached informatie getoond wordt.

H:\>nltest /dsgetdc:reskit /force
DC: \\server1
Address: \\172.16.132.197
Dom Guid: ca21b03b-6dd3-11d1-8a7d-b8dfb156871f
Dom Name: reskit
Forest Name: reskit.com
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE

zondag 2 oktober 2011

Enabling Network Level Authentication on Windows XP Service Pack 3 for access to Server 2008 via Remote Desktop

Enabling Network Level Authentication on Windows XP Service Pack 3 for access to Server 2008 via Remote Desktop

Solution: When connecting to a Windows 2008 Server using remote desktop from a Windows XP client running service pack 2 or earlier, you get the following error message:

The remote computer requires Network Level Authentication, which your computer does not support.

To enable NLA in XP machines; first install XP SP3, then edit the registry settings on the XP client machine to allow NLA

• Configure Network Level Authentication
1. Click Start, click Run, type regedit, and then press ENTER.
2. In the navigation pane, locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. In the details pane, right-click Security Packages, and then click Modify.
4. In the Value data box, type tspkg. Leave any data that is specific to other SSPs, and then click OK.
5. In the navigation pane, locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
6. In the details pane, right-click SecurityProviders, and then click Modify.
7. In the Value data box, type credssp.dll. Leave any data that is specific to other SSPs, and then click OK.
8. Exit Registry Editor.
9. Restart the computer.

zaterdag 1 oktober 2011

Symantec BE Agents pushen naar TMG


Probleem:
Het probleem zit in het feit dat BE gebruik maakt van port 10000 en die poort wordt ook door wininit.exe gebruikt op een TMG server.
Dit komt doordat wininit.exe de eerst dynamische poort pakt die vrij is. Normaal begint de dynamische port range vanaf 49152 (tot 65535) en pakt wininit.exe deze port, echter begint de dynamische port range na de installatie van TMG vanaf 10000.

Even geverifieerd:

Op de TMG:

C:\>netsh interface ipv4 show dynamicportrange tcp

Protocol tcp Dynamic Port Range
---------------------------------
Start Port      : 10000
Number of Ports : 55535

Op een andere server geeft:

C:\>netsh interface ipv4 show dynamicportrange tcp
      
Protocol tcp Dynamic Port Range
---------------------------------
Start Port      : 49152
Number of Ports : 16384


Solution 1 (is getest en werkt):
Dynamische port range op TMG aanpassen:

netsh interface ipv4 set dynamicportrange tcp startport=10010 numberofports=55525

Solution 2:
Je kunt ook de port aanpassen in BE echter moet je die verandering volgens mij dan weer op alle servers doorvoeren.



Solution 3:
Een andere optie is volgens mij om een andere port voor RAWS toe te wijzen op de TMG zelf.
Dit kan in het c:\windows\system32\drivers\etc\services bestand een entry toe te voegen:

ndmp 9000/tcp #Network Data Management Protocol


Referenties:

en


Backup van dfsroot met Symantec Backup Exec

Om een dfsroot met Backup Exec te backuppen dien je een vinkje te zetten bij “enable selection for user shares”:


Diverse Tips / Hacks betreft filesystem

NTFS Hacks (werken bijna ook allemaal op Windows 7/2008):

Een van de hacks (disable8dot3) wordt in twijfel genomen:

Waarom je op een TS toch disable8dot3 beter kunt uitschakelen als je geen 16 bits applicaties meer hebt draaien:
(de rede waarom schijnbaar identieke Terminal Servers toch anders reageren)

Snelste manier om grote bestanden (SQL databases bijvb) over het netwerk te kopiƫren: Gebruik eseutil!
(vanaf Windows 2008 R2 schijnbaar ook xcopy /j een optie)

TMG Active / Passive access

Een ftp sessie opzetten mbv de command prompt kan een probleem zijn als je achter een TMG zit.
Dit is nl. active ftp verkeer en geen passive. TMG 2010 heeft een nieuwe optie die nog niet in ISA zat: nl. het onderscheidt tussen active en passive FTP access.
Standaard staat Active Access uit op de TMG. Je kunt active access inschakelen door “Allow active FTP access” in te schakelen bij de properties van de FTP Access Filter.

Zie: