Vegas? SMB Konferenz hat noch bis Freitag EarlyBird

Posted by O.Sommer

Themen der Konferenz:

  • Microsoft killed Small Business Server a few weeks ago in early July 2012
  • SMB Nation Fall – the 10th annual – is committed to looking forward and protecting your paycheck
  • Don’t be yesterday’s “missing travel agent” with this shift in technology.
    You will discover new opportunities such as on-prem hybrid, mobility and even cloud.
  • If you want to stay in denial – God bless you. But you can transfer and not be part of the predicted 60% SMB channel contraction.
  • It’s up to you – attend the 10th annual SMB Nation and embrace life after SBS

Dates

  • Conference: October 12-14, 2012
  • Pre-Day: October 11, 2012
  • Post-Day: October 15, 2012 BIKE RIDE!

Location: Rio Hotel and Conference Center. Las Vegas
Sign-up: fall.smbnation.com
More information: 1-888-SMBNAT1

220x300SMB Nation

Die Konferenz hat üblicherweise etwas über 500 Teilnehmer, ist also noch relativ überschaubar was sich sehr positiv auf das Kommunikations-Klima auswirkt.

Ist mein Microsoft Produkt noch supported?

Posted by O.Sommer

Die Frage kann man sehr einfach auf der folgenden Website beantworten:

http://support.microsoft.com/lifecycle/

Dort stellt man z.B. fest, dass Windows Server 2008 und damit auch SBS 2008 noch bis Juli 2013, also nur noch knapp ein Jahr lang, von Microsoft unterstützt werden wird und ab dann sogenannte Calls (Supportanfragen an MS) nur noch für Kunden mit Extended Supportvertrag (hat das irgendein SBS Kunde jemals gehabt??) angenommen werden.
Oder anderes gesagt Kunden ohne extended Supportvertrag (also vermutlich alle!) können ab Juli 2013 im Problemfalle keine Anfragen mehr an Microsoft stellen.
Was das ganz genau heißt kann man ebenfalls auf der obigen Website nachlesen.

Unerwartete Serverneustarts

Posted by t.lehmann

Nach einer Migration eines virtuellen SBS 2008 auf einen physikalischen SBS 2011 zeigte der neue Server am ersten Produktivtag seltsames Verhalten:
Er startete alle 60-90 Minuten neu und verweigerte nach einigen, nicht allen dieser Neustarts Benutzeranmeldungen mit dem Hinweis, der RPC Server sei nicht verfügbar.
Antivieren und andere Drittanbieter Software konnte als Ursache ausgeschlossen werden, die relevanten Einträge im Ereignislog waren nicht mehr vorhanden und gegen Betriebsschluss hörten die Neustarts auch auf.
Am nächsten Morgen, pünktlich zum Betriebsbeginn des Kunden, startete der Server wieder in unregelmäßigen Abständen neu.

Diesmal führte der Blick ins Ereignislog zu folgenden Einträgen:

svchost crash

Der Absturz der SVCHOST.EXE führt unter anderem zum beenden des RPC Dienstes, dies wiederum führt zum Neustart des Servers:

shutdown event

Mithilfe des TechSupports von Microsoft könnten wir das Verhalten mit folgenden Hotfixes beheben:

http://support.microsoft.com/kb/2510636
http://support.microsoft.com/kb/2401588
http://support.microsoft.com/kb/2637692
http://support.microsoft.com/kb/2582203

langsamer Active Directory (AD DS) Login von XP und Windows 2003

Posted by O.Sommer

Gerade habe ich einem Fall abgeschlossen bei dem ein Kunde extrem lange Anmeldezeiten von Windows XP Clients und Windows 2003 Servern moniert hat.
Lokale Anmeldungen an den betroffenen Clients (also mit lokalem, nicht-AD DS Konto) waren so schnell wie gewünscht.
Die Anmeldung hat zwischen 20 und 60 Minuten gedauert und war damit wesentlich länger als die typische, recht häufig anzutreffende Anmeldeverzögerung von ca. 5 Minuten, welche, den meisten inzwischen sicherlich bekannt, auf fehlerhafte DNS Server oder noch häufiger auf falsch an AD DS Clients eingetragene, meist öffentliche (Provider) DNS Server zurückzuführen ist.

Während der, wegen der langen Anmeldungen, langwierigen Fehlersuche (standardmäßig verdächtigt man wie oben gesagt bei langen Anmeldezeiten im AD DS ja DNS, DNS oder DNS als Grund) fand ich ich auf den betroffenen Client im Eventlog folgende Events im System Ereignisprotokoll:

LsaSrv 40960
Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server LDAP/…. festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.
(0xc000005e)".

Kerberos 10
Das Kerberos-Subsystem kann die Tickets vom Domänencontroller mit dem UDP-Netzwerkprotokoll nicht abrufen. Häufige Ursache hierfür sind Netzwerkprobleme. Wenden Sie sich an den Systemadministrator

oder auf englisch:

Kerberos 10
The kerberos subsystem is having problems fetching tickets from your domain contoller using the UDP network protocol. This is typically due to network problems. Please contact your systems administrator.

Da ich kaum deutsche Suchergebnisse zum Kerberos 10 Fehler gefunden habe, hier kurz die Lösung die bei diesem Kunden zum Erfolg geführt hat:

Wie in http://support.microsoft.com/kb/244474 beschrieben war tatsächlich, wie wir nachträglich festgestellt haben, durch eine Firewall die Kommunikation zwischen den XP/2003 Clients und den Domänen Controllern (DC) über den UDP Port 88 nicht erlaubt/verboten/deaktiviert. Eigentlich sollte bei dem Kunden der Port planmäßig erlaubt sein.

Dazu gibt es zwei Lösungsmöglichkeiten:

  1. Port 88 UDP erlauben (trivial aber funktioniert!) Smiley
  2. wie im obigen KB Artikel http://support.microsoft.com/kb/244474 beschrieben den MaxPacketSize Wert wie folgt in der Registrierung der XP/2003 Clients erstellen (ist standardmäßig nicht vorhanden):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
DWORD MaxPacketSize = 1

Besonders Lösung 2 eignet sich um zu Überprüfen ob evtl. der UDP Port 88 geschlossen ist, da man die Kommunikation mit den DC auf TCP umstellt und man eine mögliche TCP Verbindung zum DC recht einfach mittels dem folgendem Befehl in einer Eingabeaufforderung überprüfen kann:

start telnet [NAMEoderIPdesDC] 88

Bei UDP ist eine solche Prüfung nicht so einfach möglich, da UDP Pakete verbindungslos übermittelt werden und geöffnete UDP Ports somit nicht via telnet oder ähnlichem überprüfbar sind.

Anmerkungen:
Windows Vista, Windwos 7, 2008 und 2008 R2 benutzen standardmäßig den TCP Port 88 statt UDP/88, deshalb haben die entsprechenden Clients des Netzwerkes kein Problem wenn UDP/88 geblockt wird.

SBS Migrationsproblem: ADSI Edit - Exchange Mail Enabled Public Folders

Posted by o.sommer

Robert strikes again:
Um ein bekanntes Problem mit emailaktivierten öffentlichen Ordnern während einer Migration von SBS 2003 nach SBS2011 zu lösen, hat der englische SBS MVP Kollege Robert Pearman ein Powershellscript veröffentlicht, welches dieses Problem lösen kann:

ADSI Edit - Exchange Mail Enabled Public Folders
http://gallery.technet.microsoft.com/ADSI-Edit-Exchange-Mail-da735c16

/3GB und Domänencontroller? Exchange 200x auf DC installieren? Oder: Warum dauert das Herunterfahren meines Exchange 2003 oder 2007 Server ca. 20 Minuten?

Posted by o.sommer

Antworten auf alle diese Fragen gibt der TechNet Artikel:

Optimieren der Active Directory-Integration
http://technet.microsoft.com/de-de/library/bb123771(v=exchg.65).aspx

BTW: Bei Exchange 2010 wurde das Shutdown Problem gelöst, so dass SBS 2011 nun schnell herunterfährt auch wenn man vorher nicht die Exchange Dienste beendet hat.

extrem kritischer RDP Patch

Posted by o.sommer

Der am letzten Patchday erschienene Fix für das Problem bei bestimmten RDP Konfigurationen ist deshalb extrem kritisch, da es sich um eine Lücke handelt deren Voraussetzungen zur Ausnutzung sehr wahrscheinlich der Konfiguration der meisten im Betrieb befindlichen Server entspricht.

Sollte der Server via Port 3389/TCP erreichbar sein und “Authentifizierung auf Netzwerkebene” (network level authentication (NLA)) nicht aktiviert sein, dann lässt sich diese Lücke (bisher theoretisch) ausnutzen.
Dabei ist es nicht unbedingt sicher, wenn der Server nicht über den RDP Port 3389 zum Internet veröffentlicht wurde, sondern nur intern erreichbar ist, da sehr einfach Malware vorstellbar ist, die über einen internen Client Angriffe auf RDP Server durchführt!

Mit diesen Einstellungen ist ein Server potenziell gefährdet:

image

 

Ein Ausschluss der Gefahr ist (zumindest für Versionen ab 2008) denkbar einfach und sollte zusätzlich zum Patch konfiguriert werden:

image

ACHTUNG:
Damit werden Windows Versionen XP/2003 oder älter vom RDP Zugriff auf diesen Server ausgeschlossen, aber das ist zumindest bei den meisten unserer Kunden kein Problem mehr, da XP Rechner idR nicht mehr in relevanter Anzahl vorhanden sind, und wenn dann keinen RDP Zugriff benötigen
.

Unter SBS kann eine vorhandene Gruppenrichtlinie angepasst werden, um die notwendigen Einstellungen für alle SBS Client Computer zentral durchzuführen:

image

Pfad für Einstellungen:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit

Der Wert ist auf “Aktiviert” zu setzen um die Sicherheitslücke auszuschließen.

 

Sicherheitsupdate für Windows Server 2008 x64 Edition (KB2647170)
Updatetyp: Wichtig
Es wurde eine Sicherheitslücke entdeckt, durch die ein nicht authentifizierter Remoteangreifer verursachen kann, dass ein System nicht mehr reagiert. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen. Nach der Installation dieses Updates müssen Sie das System gegebenenfalls neu starten.

Weitere Informationen:
http://go.microsoft.com/fwlink/?LinkId=235401

 

Einige Links zum Thema und das Statement von Yunsun Wee:

“Proof-of-Concept Code available for MS12-020 - MSRC - Site Home - 
TechNet Blogs:
 
On March 15, we became aware of public proof-of-concept code that 
results in denial of service for the issue addressed by MS12-020 
we released Tuesday.
 
We continue to watch the threat landscape and we are not aware of public 
proof-of-concept code that results in remote code execution.
 
We recommend customers deploy MS12-020 as soon as possible, as this 
security update protects against attempts to exploit CVE-2012-0002. 
Additionally we have offered a one-click Fix It 
to help mitigate risk for those customers who need time to test the 
update before deploying it.
 
The details of the proof-of-concept code appear to match the 
vulnerability information shared with Microsoft Active Protections 
Program (MAPP) partners. Microsoft is actively investigating the 
disclosure of these details and will take the necessary actions to 
protect customers and ensure that confidential information we share is 
protected pursuant to our contracts and program requirements.
 
Customers who have deployed MS12-020 are protected from attempts to 
exploit CVE-2012-0002.
 
Consistent with the charter of the MAPP program, we released details 
related to the vulnerabilities addressed in MS12-020 to MAPP partners 
under a strict Non-Disclosure Agreement in advance of releasing the 
security bulletin. Security software partners use this type of 
information to build enhanced customer protections that, in many cases, 
provide customers with more time to make optimal deployment decisions 
for their environments. More information about the MAPP program can be 
found here: 
 
Thanks,
Yunsun Wee
Director, Trustworthy Computing”

Outlook über VPN: Probleme und die Lösung RPC over HTTPs

Posted by o.sommer

Gerade habe ich mal wieder die Frage gestellt bekommen, warum Outlook über VPN wie ich in meinen Vorträgen immer sage “eine schlechte Idee ist”:

Frage:
”wir haben uns in … zur Technet getroffen.
Hier gab es einen Tipp bezgl. der Anbindung von Outlook 2007 auf einem Notebook welches mit einem Client VPN mit der Zentrale verbunden ist.
Hier gibt es immer wieder Übertragungs Probleme ( eMails können empfangen aber nicht gesendet werden usw. ).
Dein Tipp war dies besser mit rpc over https zu realisieren.
Kannst du mir kurz erläutern warum das mit der VPN Lösung nicht der empfohlene Weg ist ?”

Antwort:
”weil Outlook bei VPN denkt, es hätte die Bandbreite einer typischen LAN Verbindung, also mindestens 10Mbit mit niedriger Latenzzeit kleiner als wenige ms zur Verfügung.

Da dies bei VPN regelmäßig nicht der Fall ist verliert Outlook die nicht auf niedrigere Raten optimierte RPC Verbindung immer wieder und meldet entsprechende Fehler und Probleme.

RPC over HTTPs hingegen ist für unzuverlässige Verbindungen mit schwankenden und großen Datenpaket Latenzzeiten optimiert.”

(to be continued")

Windows Small Business Server Migration Portal

Posted by t.brinkmann

Microsoft hat das Windows Small Business Server Migration Portal in Leben gerufen. In diesem Portal finden sich Infos zur Migration von Windows Small Business Servern in fast allen möglichen Konstellationen. Weiterhin sind dort Links zu den verschiedenen SBS Best Practices Analyzers (BPA), sowie zu Community-Foren zu finden. Letztendlich wird auf diesem Portal zu vielen bereits erschienenen Dokumenten verwiesen, so dass alle benötigten Informationen an einer Stelle zu finden sind.

Wie findet man den Zeitpunkt des letzten Neustarts?

Posted by o.sommer

In einer Eingabeaufforderung (CMD.EXE) den folgenden Befehl eingeben:
net statistics server | find "since"

image