DistributedCOM, Ereignis 10016

Tritt im Anwendungsprotokoll der DCOM-Fehler mit Ereignis-ID 10016 auf, sind die Berechtigungen eine Komponentendienstes anzupassen.

Fehlermeldung:

Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-21-2883827508-2762346613-2019996408-1141) für Benutzer domain\user
von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Activation (Lokal) für die COM-Serveranwendung mit
CLSID {000C101C-0000-4195-C000-0704BD730D5F}
und
APPID {000C101C-1D9F-0000-C000-0C57A7F29BA1}
gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Über die Suchfunktion der Registry kann ermittelt werden, welcher Dienst hinter den beiden genannten CLSID und APPID steckt.

> Ausführen > regedit > Bearbeiten > Suchen: {APPID}

Anschließend in die Verwaltungskonsole der Komponentendienste wechseln (> Ausführen > comexp.msc)

> Komponentendienste > Computer > Arbeitsplatz > DCOM-Konfiguration
> Eigenschaften des Komponentendienstes öffnen
> Reiter “Sicherheit”
> Start- und Aktivierungsberechtigungen > Bearbeiten


> Hinzufügen > Benutzer hinzufügen, dem laut Fehlermeldung die Berechtigungen fehlen

HINWEIS: Sollten die Menüpunkte unterhalb des Reiters “Sicherheit” ausgegraut sein, ist zuvor ein weiterer Schritt in der Registry vorzunehmen:

> In der Registry wechseln zu HKEY_CLASSES_ROOT\AppID\{CLSID der Komponente}
> Kontextmenü des Objekts > Berechtigungen
> Erweitert > Besitzer “Ändern” > aktuellen Benutzer hinterlegen
> Derzeitigen Benutzer bzw. entsprechende Administratoren-Gruppe berechtigen (Vollzugriff)

Anschließend können die Sicherheitseinstellungen des Komponentendienstes bearbeitet werden.

Read More

Externe Zeitquelle auf Domain Controller einrichten

Der Domain Controller, der die FSMO-Rolle des PDC-Emulators hält, wird innerhalb der Domäne als Zeitquelle publiziert. Dieser DC sollte wiederum mit einer externen Zeitquelle abgeglichen werden (im Beispiel mit den 3 Atomuhren der Physikalisch-Technischen Bundesanstalt). Diese Befehle müssen der Reihe nach auf der CMD ausgeführt werden:

     w32tm /config /syncfromflags:manual /manualpeerlist:”ptbtime1.ptb.de, ptbtime2.ptb.de, ptbtime3.ptb.de”

     w32tm /config /reliable:YES /update

     w32tm /resync

Anschließend sollten die Events 37 und 143 im Systemlog protokolliert werden. Schlägt die Synchronisation mit den externen Quellen fehl, sollte auf entsprechende Firewallregeln geprüft werden (NTP).

Read More

Adobe Reader Update per Gruppenrichtlinie deaktivieren

Zum Deaktivieren der Adobe Reader Updatefunktion, lässt sich ein entsprechender Registry-Key verteilen:

1) >Computerkonfiguration >Einstellungen >Windows Einstellungen >Registrierung
2) >Neu >Registrierungselement
3) Aktion: Aktualisieren
4) Struktur: HKEY_LOCAL_MACHINE
5) Schlüsselpfad: SOFTWARE\Adobe\Adobe ARM\1.0\ARM
6) Name: iCheckReader
7) Werttyp: REG_DWORD
8 ) Wertdaten: 00000000
9) Basis: Hexadezimal

Read More

Java Update per Gruppenrichtlinie verhindern

Java prüft nach der Installation standarmäßig nach verfügbaren Updates. Hierzu wird die jusched.exe im Autostart ausgeführt:

Jusched.exe triggert im 2. Schritt das Update-Programm jucheck.exe an. Das Ausführen der juckeck.exe erfordert administrative Berechtigungen. Reguläre Wdindows 7 Benutzer können ein entsprechendes Popup-Fenster lediglich beenden.

Um Benutzern dieses nervige Popup zu ersparen, kann per Gruppenrichtlinie das Ausführen der jusched.exe verhindert werden:

1) >Computerkonfiguration >Richtlinien >Windows Einstellungen >Sicherheitseinstellungen >Richtlinien für Softwareeinschränkung  >Neue Richtlinien für Softwareeinschränkung erstellen >Zusätzliche Regeln
2) Neue Pfadregel erstellen
3) Pfad: C:\Program Files\Common Files\Java\Java Update\jusched.exe
4) Sicherheitsstufe: Nicht erlaubt
5) mit OK bestätigen
6) die per Default erstellten Regeln (%HKEY_LOCAL_MACHINE…) löschen

Trotz Ausführungsverhinderung der jusched.exe lässt sich aus der JAVA-Verwaltungskonsole (Systemsteuerung > Java >Reiter “Update”) manuell nach Java-Updates suchen.

Soll die Suche nach Java-Updates komplett verhindert werden, sollte zusätzlich eine Pfadregel mit dem Pfad “C:\Program Files\Common Files\Java\Java Update\jucheck.exe” erstellt werden.

Read More

Active Directory – per PowerShell “Objekt vor zufälligem Löschen schützen”

Seit Windows Server 2008 lassen sich AD-Objekte vor versehentlichem Löschen schützen. Hierzu muss in den Objekteigenschaften > Reiter Objekt der Haken “Objekt vor zufälligem Löschen schützen” gesetzt werden (zuvor >Ansicht >Erweiterte Features aktivieren).

Zum Aktivieren des Features für mehrere Objekte sollte (seit 2008 R2) die PowerShell genutzt werden.

1) Das AD-Modul aktiveren:
Import-Module ActiveDirectory

2) Einzelnes Objekt auswählen und Löschschutz aktivieren (Beispiel: der Container “Computers”)

Get-ADobject -Identity “CN=Computers,DC=DOMAIN,DC=TLD” | Set-ADobject -ProtectedFromAccidentalDeletion $true

3) OU samt beinhaltender Objekte auswählen und Löschschutz aktiveren (Beispiel: OU “SCCM-Users”)

Get-ADobject -Filter * -SearchBase “OU=SCCM-Users,DC=DOMAIN,DC=TLD” | Set-adobject -ProtectedFromAccidentalDeletion $true

4) Objekte der gesamten Domäne auswählen und Löschschutz aktivieren

Get-ADobject -Filter * -SearchBase “DC=DOMAIN,DC=TLD” | Set-adobject -ProtectedFromAccidentalDeletion $true

Read More

SCCM 2012 Logs mit cmtrace auslesen

SCCM 2012 bietet eine Fülle an Logdateien, die über das mitgelieferte Tool cmtrace  in Echtzeit mitgelesen werden können. Der Vorteil des Tools: es hebt Fehlermeldung rot hervor.

cmtrace ist zu finden unter: \SCCM-Installationspfad\tools

Read More

SCCM 2012 Download der Prerequisites in Offlineordner

SCCM 2012 erfordert zur Installation den Download aktueller Prerequisites (z.B. SQL Server Express, etc.). Sollte der SCCM-Server während der Installation über keine Internetverbindung verfügen, kann der Download auf einem internetfähigen System angestoßen werden:

- CMD als Administrator ausführen
- in Installationsmedium wechseln
- \SMSSETUP\BIN\X64
- setupdl.exe ausführen und im neuen Fenster den Downloadpfad festlegen

Während der SCCM-Installation kann auf das Download-Verzeichnis verwiesen werden.

Read More

MS SQL Express – verbinden ohne Angabe des Instanznamens

Während der Installation einer MS SQL Express 2008 Instanz wird standardmäßig der Instanzname SQLExpress vergeben. Zur Verbindung mit der Instanz muss daher “localhost\SQLExpress” bzw. “Hostname\SQLExpress” angegeben werden.

Soll während der Anmeldung auf die Angabe des Instanznamens verzichtet werden, muss diese während der Installation umbenannt werden in MSSQLServer. Anschließend ist die Instanz über “localhost” bzw. “Hostname” erreichbar.

Read More

Exchange 2010 #554 5.2.0 STOREDRV.Deliver.Exception

Beim Versenden von Emails an einen Emailaktivierten Öffentlichen Ordner kommt u.U. postwendend eine Unzustellbarkeitsbenachrichtigung (NDR) an den Absender mit folgender Meldung zurück:

554 5.2.0 STOREDRV.Deliver.Exception:ObjectNotFoundException; Failed to process message due to a permanent exception with message The Active Directory user wasn’t found. ObjectNotFoundException: The Active Directory user wasn’t found.

Das Problem tritt in Umgebungen auf in denen von Exchange 2003 auf Exchange 2010 migriert, und alle alten Exchange Server bereits aus der Infrastruktur entfernt wurden. Nach Abschluss der Migration bleiben Elemente der “Ersten Administrativen Gruppe” im Active Directory bestehen. So auch der Container “CN=Servers”, welcher allerdings keine Objekte mehr enthält.

Zur Behebung des Problems, muss der Servers-Container aus dem Active Directory entfernt werden:

- ADSI-Editor öffnen
- Verbindung herstellen > Bekannten Namenskontext auswählen: “Konfiguration”
- Konfiguration > CN=Configuration,DC=domain,DC=TLD > CN=Services > CN=Microsoft Exchange > CN=Organisationsname > CN=Administrative Groups > CN=Erste Administrative Gruppe
- Der Container CN=Servers sollte leer sein
- Den leeren Container CN=Servers per Rechtsklick auswählen > Löschen

Quelle:
Technet – Exchange Server Blog

Read More

Exchange 2010 Ereignis-ID 9320, 9325 und 9327

Während der Erzeugung des Offlineadressbuchs kommt es u.U. zu folgenden Warnungen:

Protokollname: Anwendung
Quelle: MSExchangeSA
Ereignis-ID: 9327
Ebene: Warnung
Beschreibung: Es wurden einige Einträge in der Offlineadressliste „\Globale Adressliste“ von OALGen ausgelassen. Um festzustellen, welche Einträge betroffen sind, muss die Ereignisprotokollierung für den Offlineadress-Generator mindestens auf „Mittel“ festgelegt sein.
   – \Standard-Offlineadressbuch

Protokollname: Anwendung
Quelle: MSExchangeSA
Ereignis-ID: 9320
Ebene: Warnung
Beschreibung: OABGen konnte keine vollständige Detailinformationen für einige Einträge in der Offlineadressliste der Adressliste „\Globale Adressliste“ generieren. Die Ereignisprotokollierung für den Offlineadresslisten-Generator muss mindestens auf „Mittel“ festgelegt werden, damit die betroffenen Einträge angezeigt werden.

Nichts leichter als das. In der Exchange-Verwaltungskonsole (EMC):

- Serverkonfiguration
- Server auswählen
- Kontextmenü des Servers > Diagnoseprotokolleigenschaften verwalten…

- Dienst „MSExchangeSA“ > OAL Generator auswählen
- Protokollierung auf Medium setzen

- Konfigurieren

Anschließend in die Exchange Verwaltungsshell (EMS) wechseln und über folgenden Powershell-Befehl eine erneute Generierung des Offlineadressbuchs anstoßen:

Get-OfflineAddressBook | Update-OfflineAddressBook

Im Eventlog findet sich nun Ereignis 9325 wieder:

Protokollname: Anwendung
Quelle: MSExchangeSA
Ereignis-ID: 9325
Ebene: Fehler
Beschreibung: OABGen hat den Benutzereintrag „<Benutzername>“ in Adressliste „\Globale Adressliste“ ausgelassen, weil die SMTP-Adresse ” ungültig ist.
   – \Standard-Offlineadressbuch

Per „Active Directory-Benutzer und –Computer“ oder ADSI-Editor die folgenden Attribute des genannten Benutzers auf Richtigkeit prüfen:

 -          proxyAddress  (Antwortadresse muss mit „SMTP:“ beginnen – alle anderen Adressen mit „smtp:“)

-          mail   (Antwortadresse)

-          showInAddressBook

-          msExchHomeServerName
Handelt es um einen Postfach-aktivierten Benutzer müssen alle 4 Attribute gefüllt sein. Sollte der Benutzer über kein Postfach verfügen, sind u.U. die Attribute „showInAddressBook“ und „msExchHomeServerName“ gefüllt und müssen geleert werden.

Quellen:
Technet Event 9325
Technet Event 9327

Read More