Kategorie: Server

Exchange 2016: Zugriff auf OWA funktioniert, jedoch keine Anmeldung an mobile Geräte möglich

In einem Falle konnten einige User mit mobilen Geräten auf ihr Postfach zugreifen und andere wiederum nicht.

Somit konnte es kein generelles- oder Firewall Problem sein, sondern musste mit der Benutzerkonfiguration zu tun haben.

Das seltsame war, das auf dem iPhone das Konto eingerichtet werden konnte, doch wenn man das Postfach nutzen wollte, meldete ein Fehler „Senden und Empfangen nicht möglich“.

Ich erhielt auf dem Exchange folgende Meldungen in der Ereignisanzeige:

  • 1031: MSExchange ActiveSync
  • 1053: MSExchange ActiveSync
  • 1107: MSExchange ActiveSync

Natürlich hatten die Benutzer die ActiveSync-Nutzung erlaubt.

Bei Recherchen fand ich dann die Lösung im Web:
Dem Benutzer fehlten Rechte im AD um ActiveSync Container zu erstellen.

Die Lösung ist recht einfach:
Auf dem DC im DSA.msc in den User Eigenschaften auf Sicherheit und dann die Vererbung aktivieren. Nach ein paar Minuten konnten dann die entsprechenden User ihre Mobilgeräte nutzen.

Quelle:

https://forums.slipstick.com/threads/56324-administrator-account-cant-sync-phone-disabled/


ESXI: VM optimieren

Kategorie: ESXI , Server

Bestimmte VMs wie Exchange-, Datenbank- oder Terminalserver benötigen viel Performance.

Hier holt man mit ein paar Anpassungen in den VMs mehr heraus:

VMXNet 3 Netzwerkadapter:

Der VMXNet Adapter ist ein paravirtualisierter Netzwerkadapter, dieser ist performanter als alle anderen virtualisierten Adapter, da er die Befehle direkt an den Netzwerkkontroller durchreicht.

Dieser kann während der Installation schon „eingesteckt“ sein, Treiber werden jedoch erst durch die VMWare Tools installiert.

Hinweis zum Thema Netzwerk: Mittlerweile kann man beliebige MAC Adressen verwenden, und muss nicht mehr wie früher vorgegeben einen bestimmten Teil verwenden – dies ist z.B. Interessant, wenn man einen Server virtualisiert welcher vorher einen Lizenzserverdienst bereitstellt der die MAC Adresse auswertet.

Paravirtualisierung SCSI Adapter:

Paravirtualisierte SCSI Adapter reichen ihre Befehle direkt an den Controller durch und gehen nicht über den Umweg der Virtualisierung.

Am einfachsten geht dies, wenn schon das Windows-Betriebssystem und die VMWare Tools installiert sind. Dann einfach im laufenden System einen solchen Adapter wie folgt hinzufügen:

Verwaltungskonsole > entsprechende VM auswählen > rechte Maustaste > Einstellungen bearbeiten > Anderes Gerät hinzufügen > SCSI-Controller > Beim Controller VMWare Paravirtual auswählen und speichern.

Anschließend in Windows neue Hardware suchen lassen (Win + R > devmgmt.msc) und sicherheitshalber die VM einmal durchstarten. Danach die VM herunterfahren und wieder in den Einstellungen die Festplatte dem neuen Controller zuordnen.

RAM direkt zuweisen:

Der Umweg über die Festplatte ist wesentlich langsamer als der Zugriff direkt auf den Speicher. Bei Servern, die große Speichermengen verwalten (z.B. Exchange oder Datenbank) bietet es sich an, diesen großen Speicher zuzuweisen und dann unter Windows das Auslagern zu deaktivieren (Arbeitsplatz > rechte Maustaste > Erweiterte Systemeinstellungen > Register Erweitert > Abschnitt Leitung Button Einstellungen > Register Erweitert > Virtueller Arbeitsspeicher > Button Ändern > Keine Auslagerungsdatei).

Doch auch der ESXI nutz Festplatten zum Swappen (Auslagern). Dies deaktivieren Sie in dem Sie in der Verwaltungskonsole > entsprechende VM auswählen > rechte Maustaste > Einstellungen bearbeiten > Arbeitsspeicher > Hacken bei „Gesamten Gastarbeitsspeicher reservieren“ setzen.

 


HP Flexnetworks 5130 Switch konfigurieren

Vorbereitungen:

Sie sollten das Serielle Consolen Kabel vorliegen haben und an dem Switch angebunden haben.

Sollte ihr Laptop kein Com Port besitzten, so können Sie einen USB2COM Adapter verwenden, ich habe an meinem Surface Pro einen Digitus Adapter mit Windows 10 verwendet (Achtung: Denn Treiber über Windowsupdates aktualsieren und danach den Rechner neustarten, sonst funktionierte das zuvor nicht bei mir). Nachdem der Adapter einwandfrei ohne Hinweise in Windows eingerichtet ist, sollten Sie im Geräte Manager ebenfalls schauen welcher Comport benutzt wird.

Weiterhin sollten sie z.B. Putty runtergeladen haben.

Beginn:

Verbinden Sie ihr Laptop mit dem Switch und öffnen Sie Putty. Sollten Meldungen kommen, das die automatische Konfiguration fehlgeschlagen ist, dann drücken Sie STRG + C.

Wir konfigurieren nun dem Default VLAN eine IP:

system-view
display vlan 1
interface vlan-interface 1
ip address 192.168.1.99 255.255.255.0
save

Nun aktivieren wir den Webserver und richten diesen ein:

system-view
ip http enable
local-user admin
authorization-attribute user-role network-admin
password simple PASSWORT
save

Nun können wir im Webinterface uns anmelden und das VLAN einrichten:

Dazu im Webbrowser (am besten IE, ich hatte mit FF und Chrome Probleme) anmelden mit der oben angegeben Adresse und Zugangsdaten.

Danach unter Network > VLAN > Oben rechts Plus-Zeichen und dann eine VLAN ID eingeben.

Dann unter Network > Interfaces > Auf das Interface rechts den Pfeil.

Ich habe dort z.B. bei einem Port von Link Type Access auf Hybrid umgestellt (damit der Port mehreren VLANs zugeordnet werden kann) und bei PVID denn Wert gelöscht sowie bei Untagged das Default VLAN 1 hinzugefügt und bei Tagged dann beispielsweise 1003.

Anschließend testen und wenn ok, dann auf Speichern oben klicken.

 


SBS 2011: Console crashed bei Aufruf POP Connector

Der SBS bietet die Möglichkeit POP3 Emailkonten bei einem Provider abzuholen und in dem Exchange zu leiten.

Leider hatte ich jedoch bei einem Kunden das Problem, das immer wieder die SBS Console abstürzte und ich somit nicht in den POP3 Connector kam um das entsprechende Konto einzurichten.

Nach einer kurzen Recherche fand ich jedoch die Lösung, einfach die nicht benötigen Punkte auszublenden und so konnte ich dann den POP3 Connector aufrufen.

Dazu musste man einfach wie folgt vorgehen:

  • Im Explorer folgenden Pfad aufrufen: C:\Program Files\Windows Small Business Server\Bin
  • console.exe.config wegsichern
  • Die Originaldatei bearbeiten wie folgt:
<?xml version="1.0" encoding="utf-8" ?>
 <configuration>
 <configSections>
 <section name="wssg.external" type="Microsoft.WindowsServerSolutions.Configuration.ExternalConfigurationSection, WssgCommon"/>
 <section name="GettingStartedListExtension" type="Microsoft.WindowsServerSolutions.Console.Shared.ExtendedTasksConfigSectionHandler, Console"/>
 <section name="SafeModeSettings" type="Microsoft.WindowsServerSolutions.Console.Shared.SafeModeSettingsSectionHandler, Console" />
 </configSections>

<runtime>
 <generatePublisherEvidence enabled="false"/>
 </runtime>

<!-- The following demonstrates how to add extended group tasks to homepage
 <GettingStartedListExtension groupCaption="Extended Group Test">
 <task name="Launch MSN" path="http://www.msn.com" description="Click here to launch MSN" />
 <task name="Start Notepad" path="notepad.exe" description="Click here to start Notepad" />
 </GettingStartedListExtension>
 -->
 <startup useLegacyV2RuntimeActivationPolicy="true" />
 <!-- Settings to disable pages from loading in safe mode -->
 <SafeModeSettings safeMode="true">
 <HomePage enabled="false"/>
 <UsersPage enabled="false"/>
 <UserRolesPage enabled="false"/>
 <GroupsPage enabled="false"/>
 <NetworkPage enabled="true"/>
 <BackupPage enabled="false"/>
 <ServerStoragePage enabled="false"/>
 <ComputerPage enabled="false"/>
 <DevicePage enabled="true"/>
 <SharingPage enabled="false"/>
 <WebsitesPage enabled="false"/>
 <UpdatesPage enabled="false"/>
 <LicensingPage enabled="false"/>
 <LicenseHistoriesPage enabled="false"/>
 <ReportPage enabled="false"/>
 <SecurityPage enabled="false"/>
 </SafeModeSettings>

<wssg.external fileName=".\logging.config"/>
 </configuration>
  • Console.exe mit Parameter /safe aufrufen.
  • Nach der Konfiguration natürlich wieder die alte Datei zurückspielen.

Denn Download der Mails kann man anschließend starten mit dem Programm Pop3Connector.exe – dort im Fenster einfach d klicken.

Weitere Informationen: https://www.petri.com/forums/forum/server-operating-systems/sbs-2000-2003-2008-2011/66312-manually-editing-pop3-connector-settings


ESXI: Shutdown mit USV mit kostenlosem ESXI

Kategorie: Diverse , ESXI , Server , Support

Eine interessante Lösung wie man mit der kostenlosen ESXI Version die VMs und einen Host herunterfahren kann, habe ich auf der Seite Struband.net gefunden.

Hier der Link: https://struband.net/esxi-durch-usv-herunterfahren-lassen/

Sollte die Seite nicht mehr Online sein, so könnt ihr auch hier alternativ die PDF herunterladen.

Bevorzugt jedoch bitte die Onlineversion, da ihr sicherlich noch weitere Interessante Themen auf der Seite findet.

Danke.


Programme im abgesicherten Modus deinstallieren

Im abgesicherten Modus ist normalerweise keine (De-)Installation möglich. Beim versuch den Windows Installier Dienst zu starten kommt der Hinweis, das dies im abgesicherten Modus nicht möglich ist.

Um den Dienst auch im abgesicherten Modus zu ermöglichen, bedarf es eines Registry-Eintrags.

  • Gehen Sie auf Start > Ausführen > Regedit > Enter
  • Gehen Sie nach HKLM\System\CurrentControllSet\Control\SafeBoot\Minimal
  • Erstellen Sie einen Schlüssel mit dem Namen MSIServer
  • Denn Eintrag Standard auf der rechten Seite fügen Sie den Wert Service zu
  • Starten Sie nun den Windows Installer Service (Start > Ausführen > Services.msc)
  • Nun können Sie Software de-(installieren)

 


HP DL 380 Gen 9 startet Windows vor Server 2012 nicht (Rote Stop Meldung)

Nach einer erfolgreichen recovery auf neuer Hardware startete der neue HP Server nicht mehr mit Windows 2008R2 bzw. Small Business Server 2011 nicht mit einer Stop Meldung in Roter Schrift nach dem Bios (RIP Address out of Range).

Nach einer kurzen Recherche im Web, war das Problem schnell gefunden.

Im Bios (bzw. UEFI) musste nur der UEFI Optimized Boot auf disabled gestellt werden.

Danach startetet der Server auch ohne Probleme.


ESXI 6.5 (Free) mit öffentlichen Zertifikat ausstatten

Da der ESXI nun mit einem Webinterface ausgestattet ist, welches mittlerweile gut unter OSX funktioniert, möchte ich gerne komfortabler und sicherer auf das Webinterface zugreifen.

Dazu möchte ich gerne den Server mit einem gültigen öffentlichen 3 Jahres Zertifikat von Comodo ausstatten, welches ich auf meinem Exchange Server verwende. Dieses habe ich für ca. 15€ für insgesamt 3 Jahre über https://www.ssls.com bezogen.

Das ganze gestaltete sich jedoch schwieriger als ich dachte und ich war froh darüber, das ich Support vom VMWare-Forum bekommen hatte – hier besonderen Dank an ~thc, irix und mbreidenbach.

Vorbereitend benutzte ich einen Windowsrechner, wo ich OpenSSL 32 Bit installierte und mir dort einen Key und ein CSR erstellte, welches ich zertifizieren ließ und anschließend auf dem ESXI Host an die entsprechende Stelle brachte.

Dazu ging ich wie folgt auf dem Windowsrechner vor:

  • In das Verzeichnis C:\OpenSSL\bin wechseln
  • Die openssl.cfg weg sichern und den Inhalt ersetzen wie hier (Rot durch eigene Werte ersetzen):
[ req ]
default_bits = 2048
default_keyfile = rui.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS:esxi, IP:192.168.99.1, DNS:esxi.leibling.de

[ req_distinguished_name ]
countryName = DE
stateOrProvinceName = Northrhine-Westfalia
localityName = Koeln
0.organizationName = Familie Leibling
organizationalUnitName = EDV
commonName = esxi.leibling.de
  • Den folgenden Befehl starten: openssl req -nodes -new -newkey rsa:4096 -sha512 -keyout rui.key -out rui.csr -config openssl.cfg
  • Die rui.key benötigen wir später, aus dem rui.csr erstellen wir beim Zertifizieren einen Zertifikatsantrag.
  • Wenig später sollte das fertige Zertifikat per Email zugesendet werden.
  • Die Zipdatei Entpacken wir und wechseln auf der Befehlszeile in das Verzeichnis und geben dort folgenden Befehl ein (alles in einer Zeile, sollte euer Browser hier mehrere Zeilen erstellen, bitte diese zusammenführen): cat esxi_domain_de.crt COMODORSADomainValidationSecureServerCA.crt
    COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > combined.crt
  • Bei mir war nun das Problem, das dieses Zertifikat im PKCS7-Format war und nicht wie benötigt im pem-Format (konnte man in der ersten Zeile erkennen wenn man die Datei in einem Texteditor öffnete) – die Lösung hier sollte sein, das man die combined.crt in das Verzeichnis C:\OpenSSL\bin kopiert und den folgenden Befehl eingibt – sollte die Datei schon im pem-Format gewesen sein, muss sie nur noch in rui.crt umbenannt werden. Der Befehl für die Konvertierung lautet: openssl pkcs7 -in combined.crt -print_certs -out rui.crt
  • Nun schalten Sie auf dem ESXI SSH ein und erstellen Sie in einem Datastore einen Ordner ZERTIFIKATE. Laden Sie nun die Datei rui.crt und rui.key in den Ordner.
  • Gehen Sie mit SSH auf den ESXI (z.B. unter Windows mit Putty oder unter OSX direkt im Terminal mit ssh ipadresse -lroot und verbinden sich zum ESXI.
  • Gehen Sie in das Verzeichnis /etc/vmware/ssl und benennen Sie die Datei rui.crt und key.key um (z.B. mv rui.crt rui.crt.save und mv rui.key rui.key.save).
  • Kopieren sie nun die neuen Dateien an den Ort (cp /vmfs/Volumes/datastorename/ZERTIFIKATE/rui.* ./ – beachten Sie bitte, das Linux Groß- und Kleinschreibung unterscheidet).
  • Starten Sie den Webdienst neu (/etc/init.d/rhttpproxy restart).

Achtung: Sollten Sie eine Fehlermeldung erhalten, welche anzeigt das die Seite nicht geöffnet werden kann – sollten Sie unbedingt wieder die neuen Dateien umbenennen in z.B. rui.crt.new bzw. rui.key.new und die gesicherten *.save Dateien wieder zurück nennen und starten Sie den Dienst neu.

Ich hatte dies im ersten Durchgang nicht so getan und musste dummerweise den gesamten ESXI auf Werkseinstellungen zurücksetzen – zwar bleiben die VM’s dabei erhalten, jedoch war einer der Datastore der unter ESXI 6.0 erstellt war nicht mehr im Zugriff (diesen konnte ich auch nicht mit der Webgui wieder bekannt machen, sondern musste auf den VMWare Client zurückgreifen) und alle andern Informationen wie Netze, Autostartkonfigurationen, Lizenzen usw. waren weg. Zusätzlich waren keine VMs mehr registriert.

Übrigen läßt sich mit einem iPad wunderbar die Webgui bedienen – inklusive der VMs 😉 :

Links:


SBS 2011 Exchange, AD und DNS funktionieren nicht mehr, Fehler: Zugriff verweigert

Ich hatte dass Problem bei einem Kunden, das nach einem Neustart der Exchange Server nicht mehr startete.

Bei der Fehlersuche fand ich heraus, das das auch kein Zugriff auf DNS Management Konsole mehr möglich war, ich bekam die Fehlermeldung „Zugriff verweigert“ und in der Ereignissanzeige fand ich mehrere Meldungen, die Anmeldeprobleme bestätigten.

Weiterhin seltsam war, das der Server nicht mehr einem „Domänennetzwerk“ zugeordnet war, sondern nur noch einem Öffentlichen Netzwerk – man konnte zwar diesen in einem „Arbeitsplatznetzwerk“ zuordnen, jedoch nicht mehr einem Domänennetzwerk.

Neustarts halfen nichts und dauerten ewig (ca. 40 Minuten bis die GUI komplett geladen war).

Recherchen zeigten, das wohl intern die „interdomain trustrelationship“ beschädigt war.

Nach einem Neustart habe ich dann den folgende Befehlt eingeben:

nltest /sc_change_pwd:domainname.local

Als Antwort erhielt ich folgende Meldung:

Kennzeichen: 0
Verbindung Status = 0 0x0 NERR_Success
Der Befehl wurde ausgeführt.

Danach habe ich denn Server neugestartet und siehe da, wie von Zauberhand war das Problem behoben.

Der Server startete wieder schneller, Exchange funktionierte, der Zugriff auf die DNS Management Konsole war ohne Probleme möglich und in den Netzwerkeinstellungen war der Server wieder einem Domänennetzwerk zugeordnet.

Quelle: https://davidatkin.com/blog/server-2008-r2-sbs2011-dns-access-denied-network-unauthenticated/


Windowsupdate Probleme beheben

Bei vielen System kommt es nach einiger Zeit zu dem Problem, das Windowsupdate nicht mehr richtig zu funktionieren scheint und Mittunter mehrere Stunden oder manchmal gar Tage bis es anfängt upzudaten.

Dies kann auch bei frisch installierten Systemen passieren.

Grund ist wie mittlerweile Windowsupdate funktioniert, das System wird genau geprüft was genötigt wird und dann so umgebaut, das es sich für Windowsupdates vorbereitet.

Dies läßt sich jedoch auch schneller bewerkstelligen.

Dazu kann man einfach den letzten „Servicing Stack“ downloaden und danach dann das letzte „Rollup“.

Diese Dateien finden Sie im Microsoft Update Catalog unter https://www.catalog.update.micrsoft.com.

Die Dateien sind wie folgt:

Windows 7:
Servicing Stack: KB 3177467
Juli 2016 Rollup: KB3172605

Windows 8:
Auf Windows 8.1 updaten!

Windows 8.1:
Servicing Stack: KB3173424
Juli 2016 Rollup: KB3172614

Windows 10:
Installieren sie das letzte Build!

Sollten Probleme mit Windows 10 bestehen, kann es sein das man die Updates neu aufbauen muss:

net stop wuauserv
net stop bits
ren %systemroot%\SoftwareDistribution %systemroot%\SoftwareDistribution.bak
net start bits
net start wuauserv

Sollte das auch nicht helfen, dann kann man noch den MS Troubleshooter testen (latestwu.diag-cab).

– Dieser Artikel beruht auf Informationen aus der CT 03/2017 –