1. SSL Zertifikat über MMC normal importieren (mit Private Key)
   1. HashWert von MMC auslesen
      1. Beispiel: 428b73e7d5e863b438fb547b133f3bda7a9daa1b

2. CMD starten und mit netsh http show sslcert
   1. IP Port Beispiel: 0.0.0:443 &
   2. Anwendungs-ID {f955c070-e044-456c-ac00-e9e4275b3f04}

auslesen.

3. Via Nethshell das Cert der Anwendung zuweisen
   1. <netsh http add sslcert ipport=0.0.0.0:443 certhash= 428b73e7d5e863b438fb547b133f3bda7a9daa1b appid={f955c070-e044-456c-ac00-e9e4275b3f04}>

Wenn die Zerts erneuert werden müssen, die Zuweisungen zuerst löschen:

delete sslcert ipport=1.1.1.1:443

Domain Naming – eine mögliche, zeitgerechte Lösung

Bei jedem Aufbau einer AD Domain muss man sich die Frage stellen, wie die Domain jetzt heissen soll. Diese Frage ist gar nicht so einfach zu beantworten. Nimmt man jetzt eine Public Domain oder soll sie auf .local enden? Selbst die Microsoft Evangelisten sind sich da nicht immer einig.

immer wieder gut mit Fsutil.exe

syntax to create a file:
(length is in bytes)

For example, to create a dummy file test.txt, with size as 50MB :

fsutil file createnew test.txt 52428800

Falls man mal das Datenträgerquorum eines Hyper-V 2012 R2 Clusters zügeln muss, dann geht dies ganz einfach und ohne downtime.

Einfach das gewünschte Volume per ISCSI oder SAS erstellen (normalerweise nimmt der Clustermanager einfach das Kleinste) und bei allen Nodes anbinden. Dann den Printscreens folgen:

Rechte Maustaste auf den Cluster, “Weitere Aktionen” => ” Quorumeinstellungen konfigurieren”.

“Erweiterte Quorumkonfiguration” und anschliessend auf “weiter”.

Mein Quorum gilt für alle Nodes, darum “Alle Knoten” wählen und auf “weiter”.

“Datenträgerzeugen konfigurieren ” und “weiter”.

Neuen Speicherzeugen wählen und “weiter. Danach ist das neue Quorum aktiv und das alte kann gelöscht werden.

Möchte man einen Exchange PoweShell Output terminiert ausführen und per Email senden, dann geht dies mit folgendem Script. Im Script habe ich gerade noch den Output in HTML formatiert und mit einer Table verpasst. In diesem Falle war es ein Get-MessagetrackingLog Output über einen ganzen Tag.

[code language=”powershell”]
$smtpServer = “mail.it-leaks.ch”
# SMTP Relay Server
$smtpFrom = “DailyReport@it-leaks.ch”
# SMTP Absender
$smtpTo = “spicedham@inter.net”
# Absender
$messageSubject = “Daily Report”
# Subject

$style = “< style>BODY{font-family: Arial; font-size: 10pt;}”
$style = $style + “TABLE{border: 1px solid black; border-collapse: collapse;}”
$style = $style + “TH{border: 1px solid black; background: #dddddd; padding: 5px; }”
$style = $style + “TD{border: 1px solid black; padding: 5px; }”
$style = $style + “< /style>”
# Style auf Arial setzen und Table einbauen

$message = New-Object System.Net.Mail.MailMessage $smtpfrom, $smtpto
$message.Subject = $messageSubject
$message.IsBodyHTML = $true
# Nachricht zusammenfügen und als HTML deklarieren

$message.Body = get-messagetrackinglog -Start (Get-Date).AddHours(-24) -Sender “out@it-leaks.ch” -EventID “SEND” | select {$_.Recipients},{$_.MessageSubject},{$_.TimeStamp} | ConvertTo-Html -Head $style
# Message Content aus Exchange PowerShell generieren

$smtp = New-Object Net.Mail.SmtpClient($smtpServer)
$smtp.Send($message)
# Message senden
[/code]

Damit das Script via Windows Scheduler täglich ausführen kann, habe ich es in einem CMD Wrapper verpackt, welcher das Script via Exchange PowerShell ausführt.

[code language=”powershell”]
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -command “. ‘c:\Program Files\Microsoft\Exchange Server\V14\bin\RemoteExchange.ps1’; Connect-ExchangeServer -auto; D:\DailyScripts\SendEmailwAttachHTML.ps1”
exit
[/code]

Anschliessend kann das CMD File via Windows Scheduler geplant werden.

Ich hatte das Problem, dass sich die User via Outlook Webapp (published via ADFS & WAP) nicht formularbasiert anmelden konnten. EAS und Konsorten funktionierten einwandfrei.

Nach dem Login auf dem neuen ADFS Page, passierte einfach nichts…

Auf dem WAP Server sieht man, dass ein Kerberos Ticket angefordert wird, der ADFS Server aber kein Ticket zurücksenden kann. Die Logs auf dem WAP Server zeigten folgendes:

EVENT ID 12027, Username and Password wrong (0x8007052e).

Auf dem ADFS Server sieht man folgendes:

<364:

Encountered error during federation passive request.
Additional Data
Protocol Name:
Relying Party:
Exception details:
Microsoft.IdentityServer.Web.InvalidScopeException: 06a7aa66-3aad-e311-80c1-005056983900

 at Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.ValidateSignInContext(MSISHttpSignInRequestContext msisContext, WrappedHttpListenerRequest request)

 at Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.CreateProtocolContext(WrappedHttpListenerRequest request)

 at Microsoft.IdentityServer.Web.PassiveProtocolListener.GetProtocolHandler(WrappedHttpListenerRequest request, ProtocolContext& protocolContext, PassiveProtocolHandler& protocolHandler)

 at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
>

Das Problem lag daran, dass der WAP-Server keine Berechtigung hatte Kerberos-Sicherheitstokens anzufordern. 

Nachdem ich den WAP Server in die Gruppe <Windows Authorization Access Group>
hinzugefügt hatte, funktionierte es nach dem Reboot einwandfrei.

 

Windows Authorization Access Group

In the user account in Active Directory there is a computed token. This is a computed version of the same security token that is created when a user logs in. You only need to add users to this group for special software that requires this access

Ich habe immer wieder bemerkt, dass bei einer frischen Installationen eines Server 2012 R2 die Windows Updates nicht ordnungsgemäß funktionieren.

Es kommt immer folgende Meldung:

Folgendes schafft Abhilfe:
<netsh winhttp reset proxy> im CMD eingeben und dann ging es wieder.

Komische Sache..habe ich weder WSUS noch einen Proxy im Einsatz.

Ich habe schon bei diversen Kunden gemerkt, dass das Exchange ECP via OWA Mühe macht. D.h. entweder sehr langsam ist oder es zu Fehlermeldungen kommt. Im Eventlog findet man dann z.B. folgende Meldung:

<Aktueller Benutzer: ‘xxxxxxx.local/Users/Administrator’
Fehler bei der Anforderung von URL ‘https://mail.xxxxx.xx/ecp/Organize/AutomaticReplies.svc/SetObject?msExchEcpCanary=jX7IezeITEe5GzuUM8y10yv_osiu_9EIMIuX3FJGE2bkEJV_5URacRu8E9WfkkX_CkUwR1jXnFA.’:

System.Reflection.TargetInvocationException: Ein Aufrufziel hat einen Ausnahmefehler verursacht. —> System.TypeLoadException: Der Typ “System.ServiceModel.Activation.HttpHandler” in der Assembly “System.ServiceModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089” konnte nicht geladen werden.
>

Anscheinend hat hier der System.ServiceModel.Activation.HttpHandler” im IIS  ein Problem mit der .Net Version 4.0. Nach dem Umstellen im IIS auf die Version 2 und einem IIS reset, waren die Meldungen weg….

Ein CSV Volume auf einem HV 2012 R2 zu erweitern geht ganz einfach und ohne downtime.

Nachdem das Volume auf dem Storage Device erweitert wurde einfach im Failover Manager den Besitzerknoten des Datenträgers aufindig machen….

auf den entsprechenden Knoten einloggen und dort die Computerverwaltung starten.

<compmgmt.msc>

Der freie Speicher  sollte jetzt ersichtlich sein und kann wie bei einem normalen Server mittels Rechtsklick => “Volume erweitern” erweitert werden.

….seit dem August 2014 lässt sich bei einem frisch gepatchted Windows Server 2012 R2 auf einmal das .Net 3.5 Feature nicht mehr installieren.

Es kann folgende Meldung kommen:

<The request to add or remove features on the specified server failed. The source files could not be downloaded. Use the “source” option to specify the location of the files that are required to restore the feature. Error: 0x800F0906>

Auch das hinzufügen der optionalen Source nützt nicht.

Google führte mich auf einen TechNet Blog mit folgendem Statement:

So why are we getting these errors despite supplying the source?

We released a security update in August 2014 that updates .Net components. The security updates are as follows:

KB2966828: MS14-046: Description of the security update for the .NET Framework 3.5 on Windows 8.1 and Windows Server 2012 R2: August 12, 2014

KB2966827: MS14-046: MS14-046: Description of the security update for the .NET Framework 3.5 on Windows 8 and Windows Server 2012: August 12, 2014

If either of these updates are installed, you will run into the above issue if your server does not have access to the Internet to pull the updated components.

How do we resolve this?

Since this customer’s servers do not have internet access, in their case, they did the following:

1) Uninstalled the security update

2) Installed .Net Framework 3.5 (which installed without error)

3) Reinstalled the update

==================================================================================

**UPDATE**

A fixit package just released for this issue. Please install the update in the following article to correct this issue:

http://support2.microsoft.com/kb/3005628

==================================================================================

Take a look at the following TechNet article for .Net Framework 3.5 deployment considerations:

http://technet.microsoft.com/en-us/library/dn482066.aspx

Here’s a link to the official Knowledge Base article on this issue:

https://support.microsoft.com/kb/3002547

How do you keep from running into this in the future?

I personally recommend that you proactively enable .Net Framework 3.5 on the server images and templates in your environment to prevent having to troubleshoot or take additional steps such as this going forward.