RemoteDesktop Dienste (RDS) verwalten unter SBS 2011 Standard/Essentials sowie 2012 Essentials

Posted by O.Sommer

Microsoft hat unter der Nummer 2472211 einen KB Artikel veröffentlicht, der aufzeigt wie man unter Small Business Server Std und Essentials 2011 und Windows Server Essentials 2012 die Remote Desktop Verwaltungskonsole installieren kann.
Die o.g. Server installieren und konfigurieren von sich aus den Remote Desktop Gateway Dienst mittels der Internetzugangsassistenten. Manchmal kann es aber notwendig sein die Konsole zu benutzen, diese wird aber standardmäßig nicht installiert.
Der folgende Artikel geht auf die Besonderheiten ein und erklärt wie man die Konsole korrekt installiert:

How to Manage the Remote Desktop Gateway Service in SBS 2011 Standard , SBS 2011 Essentials and Windows Server 2012 Essentials
http://support.microsoft.com/kb/2472211

Nicht explizit in dem Artikel aufgeführt aber meiner Ansicht nach genauso bzw. zumindest genauso betroffen und zu verfahren ist auch der Windows Server Essentials 2012 R2.

SBS 2011 Remote Web App (RWA) Fehler mit IE11 unter Windows 8.1?

Posted by O.Sommer

Unter Windows 8.1 mit dem Internet Explorer 11 sieht man nachdem man sich auf dem Small Business Server 2011 am RWA angemeldet hat für den Bruchteil einer Sekunde den RWA wird dann aber auf eine 404 Fehlermeldung  weitergeleitet:

Serverfehler

404 - Datei oder Verzeichnis wurde nicht gefunden.

Die gesuchte Ressource wurde möglicherweise entfernt oder umbenannt, oder sie steht vorübergehend nicht zur Verfügung.

image

Dieses Problem basiert auf einem serverseitigen Problem des RWA kann aber derzeit clientseitig relativ einfach umgangen werden:

Dazu muss die RWA Adresse (URL) in die liste der Websites der Kompatibilitätsansicht hinzufügen.
Hierzu im IE11 auf das kleine Zahnrad Symbol oben rechts in der Ecke klicken:

image

oder über ggf. ALT zum Einblenden des Menüs im IE11 und dann Extras, sowie (in beiden Fällen) “Einstellungen der Kompatibilitätsansicht” auswählen:

image

Danach funktioniert dann auch die RWA Seite wieder:

image

Dieser Workaround ist, wie heute nach Diskussion mit uns MVPs im Technet Forum publiziert, aktuell auch der von der Product Group empfohlene Weg das Problem bis zu einer serverseitigen Lösung durch ein zukünftiges Update zu umgehen:

Remote Web Access website does not work correctly on Internet Explorer 11

http://social.technet.microsoft.com/Forums/en-US/38b33b43-c5c4-4632-9c69-2b9b8c35eca9/remote-web-access-website-does-not-work-correctly-on-internet-explorer-11?forum=smallbusinessserver2011essentials

Vegas? SMB Konferenz hat noch bis Freitag EarlyBird

Posted by O.Sommer

Themen der Konferenz:

  • Microsoft killed Small Business Server a few weeks ago in early July 2012
  • SMB Nation Fall – the 10th annual – is committed to looking forward and protecting your paycheck
  • Don’t be yesterday’s “missing travel agent” with this shift in technology.
    You will discover new opportunities such as on-prem hybrid, mobility and even cloud.
  • If you want to stay in denial – God bless you. But you can transfer and not be part of the predicted 60% SMB channel contraction.
  • It’s up to you – attend the 10th annual SMB Nation and embrace life after SBS

Dates

  • Conference: October 12-14, 2012
  • Pre-Day: October 11, 2012
  • Post-Day: October 15, 2012 BIKE RIDE!

Location: Rio Hotel and Conference Center. Las Vegas
Sign-up: fall.smbnation.com
More information: 1-888-SMBNAT1

220x300SMB Nation

Die Konferenz hat üblicherweise etwas über 500 Teilnehmer, ist also noch relativ überschaubar was sich sehr positiv auf das Kommunikations-Klima auswirkt.

SBS2008 nach Ausfall in derselben Domäne neu installieren - Besonderheit Exchange

Posted by t.brinkmann

Folgendes Szenario: Es existiert ein SBS2008 der für Exchange / WSUS genutzt wird, weitere Server (DC, Terminalserver, SQL, File, Kommserver, Branchenanwendungen etc) mehrere Dutzend Computer- sowie Benutzerkonten im AD, aufwendig gesetzte NTFS-Berechtigungen etc.

Der SBS wird nicht (wie von MS vorgesehen) über die Windows-Server Sicherung gesichert, es existiert lediglich eine Sicherung des Exchange. Wenn der SBS2008 ausfällt sind einige Schritte notwendig um diesen wieder erfolgreich in die Domäne zu integrieren. Ohne einige Vorarbeiten wird die Migration des neuen SBS2008 nicht erfolgreich verlaufen (u.a. Reste vom Exchange im AD, keine FSMO-Rollen etc.)

Die Schritte sind im Groben:

  • FSMO Rollen per NTDSUTIL auf verbliebenem DC neu anlegen.
  • DNS bereinigen (alle Verweise und NS Einträge des SBS2008 entfernen)
  • SBS-spezifische GPO und WMI-Filter löschen.
  • Neuen TEMP-Server (z.Bsp. 2008R2 Trial) mit dem alten Namen des SBS2008 aufsetzen und in Domäne aufnehmen.
  • TEMP-Server in die Gruppe der Exchange-Admins und der Domänen-Admins aufnehmen.
  • Exchange 2007 Trial auf diesem Server installieren (mit der Option “setup.exe /m:recoverserver” – sollte das Setup wird Fehlern abbrechen wird wahrscheinlich die Exchange-Verwaltungsshell trotzdem installiert.) Mit der Shell können unter anderem verwaiste OWA-Objekte aus dem AD gelöscht  werden.
  • Wenn die Exchange Installation fehlerhaft abgeschlossen wurde und ein weiteres Setup nicht möglich ist muss der TEMP-Server erneut mit dem alten Computernamen des SBS2008 installiert und in die Domäne gehoben werden. Das Exchange 2007-Setup wieder mit /m:recoverserver starten. Das Setup MUSS fehlerfrei durchgeführt werden.
  • Als nächstes Exchange 2007 DEINSTALLIEREN – Die Deinstallation ist die einzige Möglichkeit die Exchange-Einträge sauber aus dem AD zu entfernen (einzige von MS empfohlene Methode– bei Eingriffen mit ADSIEDIT besteht die Gefahr dass Exchange NICHT installiert werden kann. Die Deinstallation muss fehlerfrei und komplett abgeschlossen werden.)
  • TEMP-Server aus Domäne entfernen.
  • SBS2008 Antwortdatei für eine Migration erstellen (selber Computername und IP wie ausgefallener SBS).
  • SBS2008 im Migrationsmodus installieren.
  • Benutzerrollen neu zuweisen.
  • Zertifikate etc. einlesen.
  • Microsoft-Updates installieren.
  • SBS-BPA / Exchange BPA / dcdiag etc. ausführen.
  • Sichtung der Ereignisprotokolle auf Fehler (besonders DNS, Dateireplikation, Verzeichnisdienst).
  • DNS prüfen (NS-Einträge, _msdcs ,etc.).
  • Gruppenrichtlinien prüfen (Berechtigungen auf verwaiste SID’s etc.).
  • Neues Outlookprofil an allen Clients erstellen.

Die Exchange Organisation bekommt standardmäßig den Namen “FIRST ORGANIZATION”, wenn die Organisation vorher anders hieß, und eine alte edb-Datei wiederhergestellt werden muss bleibt nur der Weg:

  • Neuen Temp-Server aufsetzen (nicht in das SBS-Netzwerk)
  • dcpromo ausführen, neue Domäne erstellen
  • Exchange 2007 installieren, Organisationsname passend wählen
  • Vorhandene EDB-Mailboxdatei (z.Bsp aus Backup, oder aus Dateisystem des defekten SBS) mounten
  • Benutzerpostfächer anlegen
  • Postfächer wiederherstellen
  • Postfächer exportieren
  • Postfächer auf SBS wieder importieren

Einen 100% Erfolgsgarant kann es bei den ganzen Schritten nicht geben, allerdings wird deutlich dass es sehr aufwändig ist einen ausgefallenen SBS wieder als neuen SBS in die Ursprungs-Domäne “zurückzumigrieren”. Alternativ kann natürlich die gesamte Domäne neu aufgesetzt werden…………

All diese Schritte kann man sich durch die Nutzung der integrierten Windows-Sicherung und einer USB-Festplatte sparen, und eine USB-Festplatte lässt sich in jedem SBS-Projekt unterbringen.

Ist mein Microsoft Produkt noch supported?

Posted by O.Sommer

Die Frage kann man sehr einfach auf der folgenden Website beantworten:

http://support.microsoft.com/lifecycle/

Dort stellt man z.B. fest, dass Windows Server 2008 und damit auch SBS 2008 noch bis Juli 2013, also nur noch knapp ein Jahr lang, von Microsoft unterstützt werden wird und ab dann sogenannte Calls (Supportanfragen an MS) nur noch für Kunden mit Extended Supportvertrag (hat das irgendein SBS Kunde jemals gehabt??) angenommen werden.
Oder anderes gesagt Kunden ohne extended Supportvertrag (also vermutlich alle!) können ab Juli 2013 im Problemfalle keine Anfragen mehr an Microsoft stellen.
Was das ganz genau heißt kann man ebenfalls auf der obigen Website nachlesen.

Unerwartete Serverneustarts

Posted by t.lehmann

Nach einer Migration eines virtuellen SBS 2008 auf einen physikalischen SBS 2011 zeigte der neue Server am ersten Produktivtag seltsames Verhalten:
Er startete alle 60-90 Minuten neu und verweigerte nach einigen, nicht allen dieser Neustarts Benutzeranmeldungen mit dem Hinweis, der RPC Server sei nicht verfügbar.
Antivieren und andere Drittanbieter Software konnte als Ursache ausgeschlossen werden, die relevanten Einträge im Ereignislog waren nicht mehr vorhanden und gegen Betriebsschluss hörten die Neustarts auch auf.
Am nächsten Morgen, pünktlich zum Betriebsbeginn des Kunden, startete der Server wieder in unregelmäßigen Abständen neu.

Diesmal führte der Blick ins Ereignislog zu folgenden Einträgen:

svchost crash

Der Absturz der SVCHOST.EXE führt unter anderem zum beenden des RPC Dienstes, dies wiederum führt zum Neustart des Servers:

shutdown event

Mithilfe des TechSupports von Microsoft könnten wir das Verhalten mit folgenden Hotfixes beheben:

http://support.microsoft.com/kb/2510636
http://support.microsoft.com/kb/2401588
http://support.microsoft.com/kb/2637692
http://support.microsoft.com/kb/2582203

SBS Migrationsproblem: ADSI Edit - Exchange Mail Enabled Public Folders

Posted by o.sommer

Robert strikes again:
Um ein bekanntes Problem mit emailaktivierten öffentlichen Ordnern während einer Migration von SBS 2003 nach SBS2011 zu lösen, hat der englische SBS MVP Kollege Robert Pearman ein Powershellscript veröffentlicht, welches dieses Problem lösen kann:

ADSI Edit - Exchange Mail Enabled Public Folders
http://gallery.technet.microsoft.com/ADSI-Edit-Exchange-Mail-da735c16

Wie man einzelne Exchange 2010 Emails/Postfächer in SBS2011 wiederherstellt

Posted by o.sommer

Robert Pearman, SBS MVP Kollege der uns auch als Sprecher auf der UK SMB Roadshow begleitete, hat als Reaktion auf eine Teilnehmerfrage in Edinburgh, einen sehr feinen HowTo Blog über das Thema veröffentlicht, den ich, obwohl er englisch sprachig ist, hier referenzieren möchte:

SBS 2011 Standard : Exchange 2010 Single Message Restore
http://titlerequired.com/2011/11/29/sbs-2011-standard-exchange-2010-single-message-restore/

extrem kritischer RDP Patch

Posted by o.sommer

Der am letzten Patchday erschienene Fix für das Problem bei bestimmten RDP Konfigurationen ist deshalb extrem kritisch, da es sich um eine Lücke handelt deren Voraussetzungen zur Ausnutzung sehr wahrscheinlich der Konfiguration der meisten im Betrieb befindlichen Server entspricht.

Sollte der Server via Port 3389/TCP erreichbar sein und “Authentifizierung auf Netzwerkebene” (network level authentication (NLA)) nicht aktiviert sein, dann lässt sich diese Lücke (bisher theoretisch) ausnutzen.
Dabei ist es nicht unbedingt sicher, wenn der Server nicht über den RDP Port 3389 zum Internet veröffentlicht wurde, sondern nur intern erreichbar ist, da sehr einfach Malware vorstellbar ist, die über einen internen Client Angriffe auf RDP Server durchführt!

Mit diesen Einstellungen ist ein Server potenziell gefährdet:

image

 

Ein Ausschluss der Gefahr ist (zumindest für Versionen ab 2008) denkbar einfach und sollte zusätzlich zum Patch konfiguriert werden:

image

ACHTUNG:
Damit werden Windows Versionen XP/2003 oder älter vom RDP Zugriff auf diesen Server ausgeschlossen, aber das ist zumindest bei den meisten unserer Kunden kein Problem mehr, da XP Rechner idR nicht mehr in relevanter Anzahl vorhanden sind, und wenn dann keinen RDP Zugriff benötigen
.

Unter SBS kann eine vorhandene Gruppenrichtlinie angepasst werden, um die notwendigen Einstellungen für alle SBS Client Computer zentral durchzuführen:

image

Pfad für Einstellungen:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit

Der Wert ist auf “Aktiviert” zu setzen um die Sicherheitslücke auszuschließen.

 

Sicherheitsupdate für Windows Server 2008 x64 Edition (KB2647170)
Updatetyp: Wichtig
Es wurde eine Sicherheitslücke entdeckt, durch die ein nicht authentifizierter Remoteangreifer verursachen kann, dass ein System nicht mehr reagiert. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen. Nach der Installation dieses Updates müssen Sie das System gegebenenfalls neu starten.

Weitere Informationen:
http://go.microsoft.com/fwlink/?LinkId=235401

 

Einige Links zum Thema und das Statement von Yunsun Wee:

“Proof-of-Concept Code available for MS12-020 - MSRC - Site Home - 
TechNet Blogs:
 
On March 15, we became aware of public proof-of-concept code that 
results in denial of service for the issue addressed by MS12-020 
we released Tuesday.
 
We continue to watch the threat landscape and we are not aware of public 
proof-of-concept code that results in remote code execution.
 
We recommend customers deploy MS12-020 as soon as possible, as this 
security update protects against attempts to exploit CVE-2012-0002. 
Additionally we have offered a one-click Fix It 
to help mitigate risk for those customers who need time to test the 
update before deploying it.
 
The details of the proof-of-concept code appear to match the 
vulnerability information shared with Microsoft Active Protections 
Program (MAPP) partners. Microsoft is actively investigating the 
disclosure of these details and will take the necessary actions to 
protect customers and ensure that confidential information we share is 
protected pursuant to our contracts and program requirements.
 
Customers who have deployed MS12-020 are protected from attempts to 
exploit CVE-2012-0002.
 
Consistent with the charter of the MAPP program, we released details 
related to the vulnerabilities addressed in MS12-020 to MAPP partners 
under a strict Non-Disclosure Agreement in advance of releasing the 
security bulletin. Security software partners use this type of 
information to build enhanced customer protections that, in many cases, 
provide customers with more time to make optimal deployment decisions 
for their environments. More information about the MAPP program can be 
found here: 
 
Thanks,
Yunsun Wee
Director, Trustworthy Computing”

HP/Microsoft CoffeeCoaching zum Thema “Infrastrukturen für SBS 2011”

Posted by o.sommer

Unser Kollege Oliver Basarke von der HanseVision hat vor einiger Zeit einen ca. 10 Minütigen Webcast zum o.g. Thema bei und für Microsoft aufgenommen.
Unter anderem erklärt er dort auch wie eine Internetanbindung für SBS aussehen sollte. Sehr gelungen sind die Erläuterungen bzgl. DNS, MX und Co., sowie seine Erläuterungen zu POP vs. SMTP:

image

Oliver erwähnt z.B. im Webcast was wir MVPs auch immer wieder empfehlen:
Die Ablösung von POP Mailabholung durch direkte SMTP Zustellung und er erklärt gut wie dieses Auf der Infrastruktur-, auch Netzwerkseite genannt, umgesetzt werden sollte, sowie explizit für alle Zweifler noch einmal, dass der im SBS integrierte POP Connector wegen der prinzipiellen Probleme, die eine POP Abholung für einen Serverbetrieb mit sich bringen, nur für eine möglichst kurze Übergangszeit (Anm. von mir: “von wenigen Tagen, wenn überhaupt”) genutzt werden sollte.

Eingebettetes Video:

Kritik habe ich aber auch: Smiley
Leider empfiehlt er entgegen meiner Empfehlung den Port 80 (http) nicht auf den SBS weiterzuleiten, auch wenn die Einblendung den Port mit aufführt.
Ich bin der Meinung, dass auch Port 80 (http) an den SBS weitergeleitet werden sollte, da man damit den Benutzern das zwanghafte Eintippen von “HTTPS://” ersparen, also deren Produktivität erhöhen und Rückfragen bei der IT vermeiden kann, ohne dabei zusätzliche Sicherheitslücken aufzumachen, da der Webserver ja bereits unter HTTPS erreichbar ist.
Einem potenziellen Angreifer ist es jedenfalls egal ob er eine Sicherheitslücke auf dem Server verschlüsselt über Port 443 oder unverschlüsselt über Port 80 angreift, das Schließen von Port 80 hilft imo also nicht sich vor Angriffen zu schützen.