Fixit: Probleme beim Deinstallieren oder Updaten?

Posted by O.Sommer

Microsoft hat bis vor einigen Jahren ein Tool namens Windows Installer-CleanUp Tool (msicuu2.exe) zur Verfügung gestellt um Probleme beim Deinstallieren von Software (in meinem Fall aktuell den VM Ware Tools die eine fehlende “VMWare Tools64.msi” Installationsdatei mit Fehler 1714 melden) zu beheben.
Dieses Tool wird von MS seit einigen Jahren nicht mehr unterstützt und auch nicht mehr zum Download angeboten, da es damit einige gravierende Probleme gab, die dazu führten das andere Software auf dem betroffenen System nach der Verwendung von msicuu2.exe nicht mehr ordnungsgemäß funktioniert hat.

Daher stellt Microsoft seit einiger Zeit die überarbeitete Fixit Variante des Tools bereit, die man sowohl online als auch für die Verwendung auf Computern ohne Internetzugang verwenden kann:

Fixit: Problem bei Deinstallation/Installation von Software
http://support.microsoft.com/mats/Program_Install_and_Uninstall

Damit kann man  eine Software die sich regulär über Systemsteuerung –> Programme nicht deinstallieren lässt, häufig sauber vom System entfernen.
In meinem Fall mit den VMWare Tools, welche durch eine neuere Version aktualisiert werden sollten, klappte das Update bzw. die Neuinstallation der VMWareTools nach der Anwendung des Fixit einwandfrei.
Bei dieser Prozedur funktionierte sogar die Netzwerkverbindung zur VM bis auf einen kurzen Aussetzer auch nach der Deinstallation der VMWareTools, bei anderen Methoden wurde die Verbindung zur VM nach dem entfernen der Tools unterbrochen.

Ist mein Microsoft Produkt noch supported?

Posted by O.Sommer

Die Frage kann man sehr einfach auf der folgenden Website beantworten:

http://support.microsoft.com/lifecycle/

Dort stellt man z.B. fest, dass Windows Server 2008 und damit auch SBS 2008 noch bis Juli 2013, also nur noch knapp ein Jahr lang, von Microsoft unterstützt werden wird und ab dann sogenannte Calls (Supportanfragen an MS) nur noch für Kunden mit Extended Supportvertrag (hat das irgendein SBS Kunde jemals gehabt??) angenommen werden.
Oder anderes gesagt Kunden ohne extended Supportvertrag (also vermutlich alle!) können ab Juli 2013 im Problemfalle keine Anfragen mehr an Microsoft stellen.
Was das ganz genau heißt kann man ebenfalls auf der obigen Website nachlesen.

langsamer Active Directory (AD DS) Login von XP und Windows 2003

Posted by O.Sommer

Gerade habe ich einem Fall abgeschlossen bei dem ein Kunde extrem lange Anmeldezeiten von Windows XP Clients und Windows 2003 Servern moniert hat.
Lokale Anmeldungen an den betroffenen Clients (also mit lokalem, nicht-AD DS Konto) waren so schnell wie gewünscht.
Die Anmeldung hat zwischen 20 und 60 Minuten gedauert und war damit wesentlich länger als die typische, recht häufig anzutreffende Anmeldeverzögerung von ca. 5 Minuten, welche, den meisten inzwischen sicherlich bekannt, auf fehlerhafte DNS Server oder noch häufiger auf falsch an AD DS Clients eingetragene, meist öffentliche (Provider) DNS Server zurückzuführen ist.

Während der, wegen der langen Anmeldungen, langwierigen Fehlersuche (standardmäßig verdächtigt man wie oben gesagt bei langen Anmeldezeiten im AD DS ja DNS, DNS oder DNS als Grund) fand ich ich auf den betroffenen Client im Eventlog folgende Events im System Ereignisprotokoll:

LsaSrv 40960
Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server LDAP/…. festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.
(0xc000005e)".

Kerberos 10
Das Kerberos-Subsystem kann die Tickets vom Domänencontroller mit dem UDP-Netzwerkprotokoll nicht abrufen. Häufige Ursache hierfür sind Netzwerkprobleme. Wenden Sie sich an den Systemadministrator

oder auf englisch:

Kerberos 10
The kerberos subsystem is having problems fetching tickets from your domain contoller using the UDP network protocol. This is typically due to network problems. Please contact your systems administrator.

Da ich kaum deutsche Suchergebnisse zum Kerberos 10 Fehler gefunden habe, hier kurz die Lösung die bei diesem Kunden zum Erfolg geführt hat:

Wie in http://support.microsoft.com/kb/244474 beschrieben war tatsächlich, wie wir nachträglich festgestellt haben, durch eine Firewall die Kommunikation zwischen den XP/2003 Clients und den Domänen Controllern (DC) über den UDP Port 88 nicht erlaubt/verboten/deaktiviert. Eigentlich sollte bei dem Kunden der Port planmäßig erlaubt sein.

Dazu gibt es zwei Lösungsmöglichkeiten:

  1. Port 88 UDP erlauben (trivial aber funktioniert!) Smiley
  2. wie im obigen KB Artikel http://support.microsoft.com/kb/244474 beschrieben den MaxPacketSize Wert wie folgt in der Registrierung der XP/2003 Clients erstellen (ist standardmäßig nicht vorhanden):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
DWORD MaxPacketSize = 1

Besonders Lösung 2 eignet sich um zu Überprüfen ob evtl. der UDP Port 88 geschlossen ist, da man die Kommunikation mit den DC auf TCP umstellt und man eine mögliche TCP Verbindung zum DC recht einfach mittels dem folgendem Befehl in einer Eingabeaufforderung überprüfen kann:

start telnet [NAMEoderIPdesDC] 88

Bei UDP ist eine solche Prüfung nicht so einfach möglich, da UDP Pakete verbindungslos übermittelt werden und geöffnete UDP Ports somit nicht via telnet oder ähnlichem überprüfbar sind.

Anmerkungen:
Windows Vista, Windwos 7, 2008 und 2008 R2 benutzen standardmäßig den TCP Port 88 statt UDP/88, deshalb haben die entsprechenden Clients des Netzwerkes kein Problem wenn UDP/88 geblockt wird.

SBS Migrationsproblem: ADSI Edit - Exchange Mail Enabled Public Folders

Posted by o.sommer

Robert strikes again:
Um ein bekanntes Problem mit emailaktivierten öffentlichen Ordnern während einer Migration von SBS 2003 nach SBS2011 zu lösen, hat der englische SBS MVP Kollege Robert Pearman ein Powershellscript veröffentlicht, welches dieses Problem lösen kann:

ADSI Edit - Exchange Mail Enabled Public Folders
http://gallery.technet.microsoft.com/ADSI-Edit-Exchange-Mail-da735c16

/3GB und Domänencontroller? Exchange 200x auf DC installieren? Oder: Warum dauert das Herunterfahren meines Exchange 2003 oder 2007 Server ca. 20 Minuten?

Posted by o.sommer

Antworten auf alle diese Fragen gibt der TechNet Artikel:

Optimieren der Active Directory-Integration
http://technet.microsoft.com/de-de/library/bb123771(v=exchg.65).aspx

BTW: Bei Exchange 2010 wurde das Shutdown Problem gelöst, so dass SBS 2011 nun schnell herunterfährt auch wenn man vorher nicht die Exchange Dienste beendet hat.