RemoteDesktop Dienste (RDS) verwalten unter SBS 2011 Standard/Essentials sowie 2012 Essentials

Posted by O.Sommer

Microsoft hat unter der Nummer 2472211 einen KB Artikel veröffentlicht, der aufzeigt wie man unter Small Business Server Std und Essentials 2011 und Windows Server Essentials 2012 die Remote Desktop Verwaltungskonsole installieren kann.
Die o.g. Server installieren und konfigurieren von sich aus den Remote Desktop Gateway Dienst mittels der Internetzugangsassistenten. Manchmal kann es aber notwendig sein die Konsole zu benutzen, diese wird aber standardmäßig nicht installiert.
Der folgende Artikel geht auf die Besonderheiten ein und erklärt wie man die Konsole korrekt installiert:

How to Manage the Remote Desktop Gateway Service in SBS 2011 Standard , SBS 2011 Essentials and Windows Server 2012 Essentials
http://support.microsoft.com/kb/2472211

Nicht explizit in dem Artikel aufgeführt aber meiner Ansicht nach genauso bzw. zumindest genauso betroffen und zu verfahren ist auch der Windows Server Essentials 2012 R2.

Fixit: Probleme beim Deinstallieren oder Updaten?

Posted by O.Sommer

Microsoft hat bis vor einigen Jahren ein Tool namens Windows Installer-CleanUp Tool (msicuu2.exe) zur Verfügung gestellt um Probleme beim Deinstallieren von Software (in meinem Fall aktuell den VM Ware Tools die eine fehlende “VMWare Tools64.msi” Installationsdatei mit Fehler 1714 melden) zu beheben.
Dieses Tool wird von MS seit einigen Jahren nicht mehr unterstützt und auch nicht mehr zum Download angeboten, da es damit einige gravierende Probleme gab, die dazu führten das andere Software auf dem betroffenen System nach der Verwendung von msicuu2.exe nicht mehr ordnungsgemäß funktioniert hat.

Daher stellt Microsoft seit einiger Zeit die überarbeitete Fixit Variante des Tools bereit, die man sowohl online als auch für die Verwendung auf Computern ohne Internetzugang verwenden kann:

Fixit: Problem bei Deinstallation/Installation von Software
http://support.microsoft.com/mats/Program_Install_and_Uninstall

Damit kann man  eine Software die sich regulär über Systemsteuerung –> Programme nicht deinstallieren lässt, häufig sauber vom System entfernen.
In meinem Fall mit den VMWare Tools, welche durch eine neuere Version aktualisiert werden sollten, klappte das Update bzw. die Neuinstallation der VMWareTools nach der Anwendung des Fixit einwandfrei.
Bei dieser Prozedur funktionierte sogar die Netzwerkverbindung zur VM bis auf einen kurzen Aussetzer auch nach der Deinstallation der VMWareTools, bei anderen Methoden wurde die Verbindung zur VM nach dem entfernen der Tools unterbrochen.

Essentials Rolle funktioniert nur in Single Domain Controller Umgebungen

Posted by O.Sommer

Die seit Server 2012 R2 als Rolle auch in den Standard und Datacenter Versionen verfügbare Rolle “Windows Server Essentials”, welche unter anderem das Client Backup und die Remote Web App 8ehemals Remote Web Arbeitsplatz) mitbringt, ist aktuell nur in umgebungen mit nur einem Domänen Controller zu betreiben!

Es handelt sich anscheinend um eine während der Entwicklung getroffene Entscheidung die im beteiligten Code nicht einfach zu korrigieren ist, es werde aber an einem Hotfix oder Patch oder ähnliches gearbeitet.

Insbesondere haben die Assistenten des Essentials Dashboards massive Probleme mit mehreren DCs und verweigern die Fertigstellung sobald mehrere DCs im AD DS vorhanden sind.

Hier eine aktuelle Aussage des MS Supports dazu:

Unfortunately, Every time the Essentials Services integration is run, it checks for Multiple DC’s and since multiple 
DC’s are blocked for now, the wizard won’t finish. In other words, even if just keep one domain controller and run the
wizards, then promote another DC and try to re-configure any of the integration wizards, it will still fail.
 
I understand that this certainly is not a good option, but let me assure you that work is going on in the attempt to 
fix this behavior. There is no time frame however.
 
The supportability of the integration services with just one DC is documented in : 
http://blogs.technet.com/b/sbs/archive/2013/11/04/services-integration-overview-for-windows-server-2012-r2-essentials-part-1.aspx
 
Snippet:
 
--------------------------------------------------------------------------------------------------------
You should be aware of the following before you deploy Services Integration features:
1.     Windows Azure Active Directory integration will be turned on automatically when you turn on either 
Office 365 or Windows Intune. This is because they both leverage Windows Azure Active Directory as a
common identity platform.
2.     Currently, the Services Integration features, including Windows Azure Active Directory integration, 
Office 365 integration, Windows Intune integration, and on-premises Exchange integration, are only
supported in a single domain controller environment. In addition, the integration wizard must be run
on a domain controller.
--------------------------------------------------------------------------------------------------------
 
Please be assured that we are working on this known issue and are expecting a fix or workaround on same.

Windows Server 2012 Essentials MVA Kurs online

Posted by O.Sommer

Seit einigen Tagen sind nicht nur die Videos

Windows Server Essentials Edition –Microsoft Virtual Academy Germany Videos
http://channel9.msdn.com/Series/Windows-Server-Essentials-Edition-Microsoft-Virtual-Academy-Germany

des vom Team von TrinityComputer.de entwickelten Microsoft Virtual Academy (MVA) Kurses zum Essentials Server online, sondern auch der MVA Kurs an sich:

Microsoft Virtual Academy
Windows Server Essentials Edition
http://www.microsoftvirtualacademy.com/training-courses/windows-server-essentials-edition

image

Windows Server 2012 Essentials connect Assistent Crash

Posted by O.Sommer

Ich hatte einen Computer von Windows 7 nach Windows 8 und dann mit dem Pro Pack upgedatet um das Media Center Feature zu erhalten.
Als ich dann probierte den Windows Server Essentials connect Assistenten auszuführen crashte dieser nur und ich konnte die Maschine nicht dem Client backup hinzufügen.

Im ClientDeploy.log unter C:\ProgramData\Microsoft\Windows Server\Logs findet sich:

[3876] 121107.194235.2285: ClientSetup: LookupAccountSid (computerName = [], sid = [S-1-5-32-544])
[3876] 121107.194235.2285: ClientSetup: NetLocalGroupAddMember (server = [], groupName = [Administrators], sidMember = [S-1-5-21-452769647-1665919795-2316062235-1116])
[3876] 121107.194235.3067: ClientSetup: LookupAccountSid (computerName = [], sid = [S-1-5-32-555])
[3876] 121107.194235.4318: ClientSetup: !!!FATAL!!! Unhandled Exception: System.ComponentModel.Win32Exception (0x80004005): No mapping between account names and security IDs was done at Microsoft.WindowsServerSolutions.ClientSetup.NativeMethods.LookupAccountSid(String computerName, SecurityIdentifier sid)

Troubleshooting mit MS zusammen hat Folgendes ergeben:

Thanks for opening this this bug. The root cause of this bug is sid S-1-5-32-555 is not recognized by local component.  It may happen when run client connector after upgrade a machine with Windows 8 Pro Pack .  We already have a bug to track this issue. And there is a workaround for this issue: Skip domain join during client deployment by adding a registry key.  Please add this key and try again.

reg add "HKLM\SOFTWARE\Microsoft\Windows Server\ClientDeployment" /v SkipDomainJoin /t REG_DWORD /d 1

 

Die Ursache ist schlicht, dass beim Upgrade einige lokale Gruppen nicht erstellt werden, die der connect Assistent erwartet. Dies hat Microsoft im KB Artikel

http://support.microsoft.com/kb/2850661/en-us

zwar nicht explizit für den Essentials beschrieben, aber mit dem Rollup Fix aus KB2855336 behoben:

2855336 Updaterollup für Windows RT, Windows 8 und Windows Server 2012: Juli 2013
http://support.microsoft.com/kb/2855336

DirectAccess für Essentials 2012 via Powershell Skript

Posted by O.Sommer

Die von Microsoft in der Technet unter

http://technet.microsoft.com/en-us/library/jj204618.aspx

und von meinem MVP Kollegen aus England Robert Pearman unter

http://titlerequired.com/2012/10/15/enable-directaccess-on-windows-server-2012-essentials/

bebilderte Anleitung zur Konfiguration von DirectAccess für Essentials 2012 Server hat einen nicht unwesentlichen Nachteil:

Die Anleitungen sind beide für englischsprachige Server.
Insbesondere das in der Theorie nahezu automatisierte Powershellskript am Ende des TechentArtikel zur Konfiguration eines Essentials 2012 funktioniert auf deutschen Systemen nicht und wirft diverse Fehler.

Mit etwas Einsatz kann man aber die richtigen deutschen Namen für Sicherheitsgruppen und Gruppenrichtlinen sowie Firewallregeln herausbekommen und in dem Skript korrigieren.

Damit ist es mir gelungen mit dem Powershellskript, sowie den im TechNet Artikel beschriebenen Vorarbeiten

  • Follow the procedure in Step 3: Prepare a certificate and DNS record for the network location server to enroll a certificate named DirectAccess-NLS.contoso.com (where contoso.com is replaced by your actual internal domain name), and to add a DNS record for the network location server (NLS).
  • Add a security group named DirectAccessClients in Active Directory, and then add client computers for which you want to provide the DirectAccess functionality.

eine funktionierende Essentials 2012 Umgebung mit DirectAccess Zugriff zu konfigurieren:

image

Das von mir (mehrfach) verwendete Skript lautet:

#Add Remote Access role if not installed yet
$ra = Get-WindowsFeature RemoteAccess
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }

#Server may need to restart if you installed RemoteAccess role in the above step

 

#Set the internet domain name to access server, replace contoso.com below with your own domain name
$InternetDomain = "remote.sbsfaq.de"
#Set the SG name which you create for DA clients
$DaSecurityGroup = "DirectAccessClients"
#Set the internal domain name
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name

#Set static IP and DNS settings
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"
$CurrentIP = $NetConfig.IPAddress[0]
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)
$NetConfig.SetDNSServerSearchOrder($CurrentIP)

#Get physical adapter name and the certificate for NLS server
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId
$Certs = dir cert:\LocalMachine\My
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}

#Add regkey to bypass CA cert for IPsec authentication
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000

#Install DirectAccess.
Install-RemoteAccess -NoPrerequisite  -DAInstallType FullInstall  -InternetInterface $Adapter  -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force

#Restart Remote Access Management service
Restart-Service RaMgmtSvc

#Remove the unnecessary IPv6 prefix GPO
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess-Servereinstellungen" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate

#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients
Add-DAClient -SecurityGroupNameList $DaSecurityGroup
Remove-DAClient -SecurityGroupNameList "Domänencomputer"
Set-DAClient -OnlyRemoteComputers Disabled

#Gather DNS64 IP address information
$Remoteaccess = get-remoteaccess
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128
$DNS64IP=$IPInterface[1].IPaddress
$Natconfig = Get-NetNatTransitionConfiguration

# Configure TCP and UDP firewall rules for the DirectAccess server GPO
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess-Servereinstellungen'
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domänennamenserver (TCP eingehend)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domänennamenserver (UDP eingehend)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP

# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain
$Suffix = '.' + $InternalDomain
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP

# Change the DNS64 configuration to listen to IP-HTTPS interface
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface

# Copy the necessary files to NLS site folder
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside'

# Reserve port for NAT64

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("$CurrentIP, 10000-47000")

Restart-Service winnat

 

Ich habe bisher keine negativen Folgen des mehrfachen Durchlaufes des Skriptes gefunden, lege aber trotzdem jedem die üblichen Sicherheitsmaßnahmen nahe (Backup, etc.).

Letztlich habe ich mittels der neuen “Powershell ISE” das Skript dann Abschnittsweise durchlaufen lassen, weil immer noch Fehler auftraten und ich die finden wollte:

image

no Traffic to Internet, though you can ping the gateway

Posted by O.Sommer

Tonight I was facing an interesting problem I did not had before.
I just had reinstalled a Server 2012 Essentials VM and was configuring this for internetaccess to patch and configure it.
Though i had entered a vaild IP and a vaild Gatway I misstyped the Gateway IP to be the same as the local OS IP. In my case 192.168.46.2. Recognizing my error I reopened the IPv4 config dialog and change the IP to 192.168.46.1 which is the gateway IP:

image

Then I tried accessing the internet for Patches and things, but that failed… hmm, well troubleshooting is my job and so.
I went on pinging the gateway IP 192.168.46.1, which succeded, then I ping a FQDN, which failed…hmm, ok went to check for DNS settings, all ok.

So went on an pinged one of the google DNS Server 8.8.8.8 which also failed:

image

Interesting… so how come you get to the gateway IP just fine, but not bejond?
Well that’s usually a matter of the Gateway/Firewall/Router, right?
Ok, so checked the setting of the Gateway multiple times all seemed right… As the Gateway is a TMG I went on to monitor traffic coming from the VM:

image

Ping to the Gateway IP showed up just as expeted and were allowed.

But any other traffic to the internet, e.g. pinging 8.8.8.8 didn’t even show up in the LOG… interesting…

Then I fired a “route print” on the VM and found something interesting, two default gateways:

image

WTH??!! Ok, now that’s not right and might cause the trouble…ie
So I tried to reset the gateway using the IP config dialog, which did not work as it always kept the wrong gateway of 192.168.46.2 in the deafult route.

Ok, so the let’s use “route delete 0.0.0.0” and then reset the correct gateway in IPv4 setting:

image

and after resetting the correct gateway of 192.168.46.1 in IPv4 setings:

image

after this pinging the web and DNS resolutions started to work just fine:

image

Essentials 2012 RWA farblich und mit eigenem Logo anpassen

Posted by M.Hofmann

 

Das Design des Remote Web Arbeitsplatz des Windows Server 2012 Essentials lässt sich über das Dashboard nur begrenzt (Firmenlogo, zentrierter Hintergrund) konfigurieren.

image


Das äußere Erscheinungsbild kann schon mit nur wenigen Kenntnissen von HTML und CSS an das firmeneigene Corporate Design angepasst werden.

Die dafür nötigen, veränderbaren, Quelldateien liegen alle unter dem Pfad:

c:\Program Files\Windows Server\Bin\WebApps\RemoteAccess

Mit ein bisschen Aufwand und Suche könnte man so theoretisch die komplette RWA-Seite umbauen und farblich anpassen.
Um exemplarisch den Hintergrund, sowie das “Windows Server 2012” Logo der Login Seite zu verändern, müssen nur zwei Dateien editiert werden.

c:\Program Files\Windows Server\Bin\WebApps\RemoteAccess\Customization\Product\logo.png

c:\Program Files\Windows Server\Bin\WebApps\RemoteAccess\Css\logon.css

Mit einfachem ersetzen der logo.png durch das firmeneigene Logo, wird das “Windows Server 2012” Logo durch das gewählte ersetzt.
Es empfiehlt sich der Einfachheit halber ein Logo zu wählen, das die gleiche Auflösung hat wie das ursprüngliche Logo. Sollte dies nicht der Fall sein, kann ein verzogenes Logo durch editieren der logon.css korrigiert werden. Dafür muss in der logon.css die Höhe und Breite an die des neuen Logos angeglichen werden.

.product-logo
{
    height: 79px;
    width: 164px;
    padding-left: 120px;
    margin-top: 15px;
}

Um jetzt die Hintergrundfarbe zu verändern, muss in der selben Datei die Background-Color des Bodys durch eine gewünschte Farbe in Hex-Code ausgetauscht werden.

body
{
    font-family: Segoe UI, Tahoma, Arial, Verdana, sans-serif;
    font-size: 0.85em;
    background-color: #FFFFFF;
    line-height: 1.31em;
    margin: 0;
    padding: 0;
    color: #fff;
}


Weiterführend kann man in derselben Datei auch die Position der Anmeldemaske nach seinen Wünschen anpassen.

Zwischenzeitlich kann man sich das veränderte Design auch direkt anschauen. Einfach im Browser die RWA Seite aufrufen. Wichtig dabei ist vorher, z.B. per Shift+F5, den Browser-Cache zu löschen, da ansonsten die Seite unverändert angezeigt wird.

Server Connector Installation nicht möglich, da schon eine andere Softwareinstallation ausgeführt wird.

Posted by A.Gernig

Bei  der Installation der Server Connector Software tritt häufig folgende Fehlermeldung auf:

“Der Computer kann nicht mit dem Server verbunden werden, weil eine andere Softwareinstallation ausgeführt wird …”

Dieser Fehler und die Lösung funktionieren bei folgenden Produkten:

  • Windows Server 2012 Essentials
  • Windows Small Business Server 2011 Essentials
  • Windows Storage Server 2008R2 Essentials
  • Windows Home Server 2011

clip_image002

Meist bringt auch ein Neustart keinen Erfolg.
Durch folgende Schritte kann die Installation erfolgreich durchgeführt werden:

In der Registry unter

„HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

den Eintrag

„PendingFileRenameOperations“

löschen
(WICHTIG: nicht den Inhalt, sondern den kompletten Schlüssel)

Rechner NICHT neustarten

Installation beenden und erneut starten

Fehler beim Installieren von .net 3.5 (2, 3.0) auf Windows 8

Posted by O.Sommer

Bei der  Installation von .net auf meinem Tablet Gerät unter Win8 habe ich zuerst den Standardweg über  Programme und Features hinzufügen, sowie den Download der Redistributable Vollversionen probiert.
Dabei wurde egal was ich versuchte immer ein Download der Komponenten durchgeführt, der mal mehr oder weniger vollständig durchlief, aber immer mit einen der im KB Artikel http://support.microsoft.com/kb/2734782 angesprochenen Fehlercodes und den Abbruch des Setups zur Folge hatte. Am häufigsten war der Fehlercode 0x800F081F.

Eine Recherche förderte z.B folgenden Tipp aus dem Forum zutage:

“habe probleme mit der installation von NET Framwork 3.5 .... als voraussetzung für insta. von LiveEssentials !!

der obige fehlercode erscheint und die insta wird als unvollständig angegeben.

Windows-Taste+X --> Eingabeaufforderung (Administrator)

--> sfc /scannow
--> DISM.exe /Online /Cleanup-image /Scanhealth
--> DISM.exe /Online /Cleanup-image /Restorehealth
Versuch's jetzt nochmal. Deaktiviere zuvor event. zusätzlich installierte Sicherheitssoftware”

Quelle: http://answers.microsoft.com/de-de/windows/forum/windows_8-windows_install/0x800f081f-fehler-code-beim-versuch-net-framework/fcd8f69e-a936-4a8f-a0b4-e30dc2fc2da9

Die o.g. Befehle wurden zwar alle erfolgreich durchgeführt, aber das .net Setup brach anschließend immer noch mit den bekannten Fehlern ab.

Erst ein genaueres Studium des KB Artikels und der Befehl

Dism /online /enable-feature /featurename:NetFx3 /All /Source:D:\sources\sxs /LimitAccess

wobei d: das Laufwerk mit dem Win8 Setup ISO/DVD ist, führten zu erfolgreichen Installation von .net3.5.

(gebloggt vom CeBIT 2013 Stand der MS)