Blog

Befehlszeilenreferenz A-Z

Link zur aktuellen Befehlszeilenreferenz für Windows Vista – 7 & Windows Server 2003 – 2008 R2:

http://technet.microsoft.com/de-de/library/cc772390%28v=ws.10%29.aspx

Stand: 20. März 2012

Read More

Zertifikatregistrierung

Wird die automatische Zertifikatregistrierung innerhalb der Domäne per Gruppenrichtlinien verwaltet, erhalten Benutzer unter Umständen nach Starten des Rechners folgende Meldung:

Sie haben Zertifikate, die bald ungültig werden oder bereits ungültig sind. Klicken Sie hier um diese Zertifikate anzusehen und um zu entscheiden, welche Aktion durchgeführt werden soll.


Durch Klicken auf diese Blase öffnet sich ein Fenster, welches die vermeintlich abgelaufenen Zertifikate auflistet. Allzu viele Optionen bietet dieses Fenster nicht – man kann lediglich die Benachrichtigung für das jeweilige Zertifikat (bzw. für alle Zertifikate) deaktivieren. Der eigentliche, entscheidende Schritt, nämlich das Zertifikat zu erneuern, wird hierüber nicht angeboten. Die Erneuerung muss entweder manuell über die MMC, oder besser (per Gruppenrichtlinie gesteuert) automatisch erfolgen.


Wird die Erneuerung per Gruppenrichtlinie gesteuert, gibt es zwei mögliche Gründe für diese Meldung:

1) Der Rechner kann die Zertifizierungsstelle nicht erreichen und somit das Zertifikat nicht erneuern.
2) Die Ablaufbenachrichtigung erfolgt zu früh (das Zertifikat ist noch länger gültig, der User wird dennoch benachrichtigt).

Für Punkt 1) kann es mehrere Ursachen geben (Server ist heruntergefahren; Firewall blockiert Traffic zwischen Rechner und Server; Rechner oder Benutzer haben nicht [mehr] die entsprechenden Berechtigungen das Zertifikat zu erneuern;…) auf die ich hier nicht eingehen möchte. Stattdessen möchte ich die Ablaufbenachrichtigung genauer betrachten.

Innerhalb der Gruppenrichtlinie (Benutzerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel) kann die Ablaufbenachrichtigung in den Eigenschaften des Objekts “Zerfitikatdienstclient – Automatische Registrierung” konfiguriert werden. Diese wird in Prozent-Schritten definiert und ist standardmäßig auf 10% eingestellt.


Diese 10% sagen aus, dass der Benutzer über das Auslaufen des Zertifikats benachrichtigt wird, sobald das Zertifikat 90% seiner Gültigsdauer erreicht hat. Beispiel: Gültigkeitsdauer des Zertifikats = 100 Tage | nach 90 Tagen wird der Benutzer benachrichtigt. Um diese Benachrichtigung zu umgehen, muss die Zertifikatseerneuerung vorher, sprich innerhalb der ersten 90 Tage, stattfinden.

Read More

Gelöschte AD-Objekte | tombstoneLifetime

Die Tombstone-Lifetime einer Gesamtstruktur definiert wie lange gelöschte AD-Objekte in der AD-Datenbank vorgehalten werden, bevor sie endgültig gelöscht werden. Während dieser Zeit wird ein Tombstone-Objekt des gelöschten Objekts im Container “Gelöschte Objekte” erstellt. Das Attribut “isDeleted” des AD-Objekt wurde zuvor auf “true” gesetzt.

Wurde ein AD-Objekt als isDeleted=true markiert, wurden vor Windows Server 2008 R2 alle Attribute des Objekts entfernt, bis auf folgende: GUID, SID, SIDHistory und der DN. Bei einem Restore des Objekts konnten daher nur diese 4 Attribute wiederhergestellt werden. In Windows Server 2008 R2 werden sämtliche Attribute in das Tombstone-Objekt übernommen. Das AD-Objekt kann demnach vollständig (auch inkl. Gruppenzugehörigkeiten) wiederhergestellt werden. Dies erfordert allerdings eine vorherige Aktivierung des AD-Papierkorbs!

Die Tombstone-Lifetime bestimmen und anpassen:

ADSIEdit
1) Per ADSIEdit mit der Konfigurations-Partition verbinden
2) Wechseln zu
CN=Configuration,DC=contoso,DC=com
CN=Services
CN=Windows NT
CN=Directory Service
Eigenschaften
3) Attribut = tombstoneLifetime
4) ggf. über “Bearbeiten” den gesetzten Wert anpassen

CMD / PowerShell (Active Directory-Modul)
CMD – TSL bestimmen: dsquery * “cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=contoso,dc=com” –scope base –attr tombstonelifetime

Zum Vergrößern anklicken.

PowerShell – TSL anpassen: Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=contoso,DC=com” –Replace:@{“tombstoneLifetime” = 365}   (im Beispiel wird die Aufbewahrungszeit auf 365 Tage festgelegt)

Zum Vergrößern anklicken.

Die Standard-Aufbewahrungszeit für gelöschte AD-Objekte in einer 2008 R2-Gesamtstruktur liegt bei 180 Tagen.

Quellen
http://technet.microsoft.com/en-us/library/cc784932%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd392260%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd379542%28v=ws.10%29.aspx

Read More

Sie wurden mit einem temporären Profil angemeldet

Nach dem Löschen eines User-Profils unter Windows 7 oder Windows Server 2008 R2 kommt es nach erneuter Anmeldung des Benutzers zu folgender Meldung:


Änderungen, die am Profil vorgenommen werden, gehen durch Abmelden des Users verloren.

Temporäre Profile sind sowohl unter C:\Users…

…als auch in der Registry (durch die Endung .bak) zu erkennen.

Damit sich ein User nicht länger mit einem temporären, sondern einem dauerhaften Profil anmelden kann, ist das temporäre Profil in der Registry unter folgendem Pfad zu löschen:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\SID.bak

Read More

WDS | PXE-E55: ProxyDHCP service did not reply to request on port 4011

Wird ein Rechner per Netzwerkboot (PXE) gestartet, kommt es mitunter zu dieser Fehlermeldung. Im Internet finden sich viele Einträge, wonach das Problem auftritt, wenn WDS- und DHCP-Server auf ein und der selben Maschine betrieben werden.

Ein anderer Grund kann daran liegen, dass der zu beschickende Rechner bereits in der Vergangenheit vom WDS-Server mit einem Image betankt wurde. WDS speichert in einer internen Datenbank alle Rechner, die sich bereits in der Vergangenheit bei ihm gemeldet haben und entweder durch den Administrator a) abgelehnt oder b) freigegeben und benannt wurden.

Sämtliche Rechner, die der WDS-Server in dieser Datenbank führt, lassen sich per WDSUTIL vollständig abrufen bzw. löschen:

– Liste bekannter Rechner abrufen –

Abgelehnte Rechner:
wdsutil /get-autoadddevices /devicetype:rejecteddevices
Freigegebene Rechner:
wdsutil /get-autoadddevices /devicetype:approveddevices

– Liste bekannter Rechner löschen –

Abgelehnte Rechner:
wdsutil /delete-autoadddevices /devicetype:rejecteddevices
Freigegebene Rechner:
wdsutil /delete-autoadddevices /devicetype:approveddevices

Anschließend startet der PXE-Client wieder sauber ins Boot-Image.

Read More

MDT 2010 | FAILURE (Err): 429: CreateObject(Microsoft.BDD.Utility)

Per CMD lassen sich aus einer bestehenden Windows-Installation heraus Task Sequences des MDT starten (z.B. cscript Z:\DeploymentShare$\Scripts\Litetouch.vbs). Kommt es hierbei zu folgender Fehlermeldung, muss die CMD als Administrator ausgeführt werden; auch wenn man bereits als Administrator am System angemeldet ist!

FAILURE (Err): 429: CreateObject(Microsoft.BDD.Utility) – ActiveX component can’t create object

Read More

Outlook 2010 | Anpassen des Nachrichtenformats für einzelne Kontakte

In Outlook lässt sich recht einfach das Nachrichtenformat (Rich-Text, Nur-Text, HTML) für eine einzelne Email oder gar für sämtliche Nachrichten anpassen. Die Einstellung für einzelne Kontakte hält sich jedoch etwas versteckt:

1) Outlook-Kontakt öffnen
2) Doppelklick auf die Emailadresse
3) Klick auf “Weitere Optionen für die Interaktion mit dieser Person anzeigen” (rechts)

Zum Vergrößern anklicken.

4) Outlook-Eigenschaften
5) Unter “Internetformat” auswählen: “Nur-Text senden” oder “Im Outlook-Rich-Text-Format senden”

Zum Vergrößern anklicken.

Ist “Outlook wählt das optimale Sendeformat” ausgewählt, entscheidet sich Outlook in der Regel für HTML.

Quelle

Read More

Outlook | Abwesenheitsmitteilung nach jeder Email

Wird in Outlook der Abwesenheitsassistent (in Outlook 2010: Automatische Antworten) aktiviert, informiert Exchange jeden Absender nur ein einziges Mal über die Abwesenheit des Empfängers. Solange bis der Abwesenheitsassistent deaktiviert und wieder aktiviert wird.
Sollen Absender stattdessen nach jeder gesendeten Email darüber benachrichtigt werden, dass man derzeit außer Haus ist, muss hierfür eine reguläre Outlook-Regel eingerichtet werden – ein AutoReply:

1) Regel-Assistent öffnen (Erweiterte Optionen)
2) Bedingungen definieren (z.B. Absenderadresse muss “domain.tld” enthalten)
3) Aktion auswählen: “diese vom Server mit einer Nachricht beantworten”


4) Klick auf das blau unterlegte “eine Nachricht” um
5) die gewünschte Abwesenheitsnachricht zu definieren (Emailfenster öffnet sich. Nur füllen: Betreff und Text)


6) Speichern & Schließen
7) Ggf. noch Ausnahmen festlegen
8 ) Fertig stellen

Vorsicht: Sollte der Absender ebenfalls einen AutoReply eingerichtet haben, kann es u.U. zu einer Schleifenbildung und somit einem hohen Maß an Mailaufkommen auf beiden Seiten führen. Das Risiko ist vor allem bei Verteilergruppen besonders hoch, da hierbei “an Alle” geantwortet wird (vorausgesetzt die Bedingung unter Punkt 2 ist zu weitläufig gefasst und schränkt die Regel nicht nur auf eine einzelne Adresse ein).

Read More

TMG | FTP Fehler Code 502 / Status 12015

Beim Zugriff über den TMG (als Proxy) auf einen FTP-Server kommt es zur Fehlermeldung 502. In der TMG-Protokollierung wird der FTP-Traffic mit Status 12015 geblockt.

Um auf den FTP-Server zugreifen zu können, muss Benutzer & Kennwort bereits in der URL mitgegeben werden:

 ftp://Benutzer:geheimesPasswort@ftpserver.com

 

Quelle

Read More

Outlook 2010 | Keines Ihrer E-Mail-Konten kann Nachrichten an diesen Empfänger senden.

Nach dem Versenden einer Email wird vom eigenen Emailserver folgende Unzustellbarkeitsnachricht zugesandt:

Ihre Nachricht hat einige oder alle Empfänger nicht erreicht.
Betreff: ‘Subject
Gesendet am: ‘Datum
Folgende(r) Empfänger kann/können nicht erreicht werden: email@empfänger.de am ‘Datum’ ‘Uhrzeit’
Keines Ihrer E-Mail-Konten kann Nachrichten an diesen Empfänger senden.

Hier hilft es den Cache-Modus in Outlook zu deaktivieren und nach einem Outlook-Neustart zu aktivieren:

> Datei > Informationen > Kontoeinstellungen > Kontoeinstellungen > Konto auswählen > Ändern  > Weitere Einstellungen… > Erweitert > Haken “Exchange-Cache-Modus verwenden” entfernen

Read More