vmware „Diese virtuelle Maschine konnte nicht von vSphere HA geschützt werden …“

Problem

Nach dem anlegen einer neuen virtuellen Maschine jammer der vSphere[Web]Client herum:

Diese virtuelle Maschine konnte nicht von vSphere HA geschützt werden und daher ist
es möglich, dass HA nicht versucht, sie nach einem Ausfall neu zu starten.

 

Lösung

Es gibt mehrere Ursachen für diesen Fehler. In der Regel stehen diese im Logfile des Fault Domain Manager (FDM), auf dem vCenter unter /var/log/fdm.log. Unter vSphere 5.5U1+ und 6.0+ haben wir häufiger diesen Fehler im Log:

error fdm[PID] [Originator@PID sub=Cluster] stat(/vmfs/volumes/DS-ID/.vSphere-HA/FDM-GUID-NAME) failed with Permission denied

Es scheint so, als ob sich der FDM manches mal nicht ganz sicher ist, wo er den DS-Heartbeat ablegen soll. Und manchmal wir der HB umgelegt, aber der alte Ordner nicht gelöscht. Ist der Ordner noch da, verweigert der FDM den Dienst mit dem oben genannten Fehler.

  1. vSphere HA ausschalten
  2. Den Ordner „.vSphere-HA“ auf den angegebenen Datastore löschen
  3. vSphere Ha wieder einschalten.

Alternativ kann man auch alle unbenutzten .vSphere-HA Ordner löschen (da ist nichts wichtige drin):

rm -rf /vmfs/volumes/*/.vSphere-HA

 

Windows EventID: 36888 – Quelle: Schannel – Warnung 10 – Fehlerstatus: 1203

Problem

Seit „einer Weile“ tauchen im Ereignisprotokoll ständig diese Meldungen auf:

Quelle: Schannel

Ereignis-ID: 36888

Ebene: Fehler

Es wurde eine schwerwiegende Warnug generiert: 10. Der interne Fehlerstatus lautet 1203.

Lösung

Das passiert gerne auf Maschinen mit installierten IIS oder Apps mit ausgehenden TLS-Verbindungen. Der Status 10 bedeutet: „TLS1_ALERT_UNEXPECTED_MESSAGE (10)“. Man kann das nachstellen, indem man ein nicht-TLS-Verbindung auf einen TLS-Port öffnet, z.B. mit http://SERVER:443/foo.

Das ist in aller Regel nicht schlimm und nervt nur. Die Verbindung wird auf jeden Fall beendet.

Man kann die Protokollierung des Fehlers in der Cryptoapi einfach deaktivieren, dann ist der Eintrag weg. Den Wert von „EventLogging“ in HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL einfach von „1“ auf „0“ umstellen.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
"EventLogging"=dword:00000000

Video-Streaming mit dem SQUID Proxy blockieren

Problem

In einem Netzwerk mit Squid Proxy-Server sollen Video-Streamingdienste blockiert werden. Die Herausforderung liegt hierbei in der Diensterkennung; wenn man in den ACLs nur Domain- oder Hostnamen verwendet, gibt es immer wieder findige Zeitgenossen die ihre Videodienste unter neuen Namen finden.

Außerdem ist die Liste an Porn-Websites im Internet vermutlich größer als Anzahl Wörter in der Wikipedia.

Diese ACL-Liste funktioniert natürlich sowohl unter Linux, als auch im SquidNT unter Windows.

Lösung

Mime-Typen und Dateiendungen nutzen. Nach langem testen und anpassen hat sich bei uns dieses Regelset für die squid.conf bewärt:

acl mediastream rep_mime_type ^application/vnd.ms.wms-hdr.asfv1
acl mediastream rep_mime_type ^application/x-fcs
acl mediastream rep_mime_type ^application/x-mms-framed
acl mediastream rep_mime_type video/flv video/x-flv
acl mediastream rep_mime_type -i ^video/
acl mediastream rep_mime_type -i ^video\/
acl mediastream rep_mime_type ^video/x-ms-asf
acl mediastream rep_mime_type ms-hdr
acl mediastream rep_mime_type x-fcs
acl mediastream rep_mime_type ^audio/mpeg
acl mediastream rep_mime_type ^audio/x-scpls
acl mediastream rep_mime_type ^video/x-flv
acl mediastream rep_mime_type ^video/mpeg4
acl mediastreamurl urlpath_regex \.flv(\?.*)?$
acl mediastreamurl urlpath_regex -i \.(avi|mp4|mov|m4v|mkv|flv)(\?.*)?$
acl mediastreamurl urlpath_regex -i \.(mpg|mpeg|avi|mov|flv|wmv|mkv|rmvb)(\?.*)?$

# Vorsich hiermit! Das blockiert Flash.
# acl mediastream rep_mime_type ^application/x-shockwave-flash

Danach reicht es, dise ACLs wie http_access Regel auszusperren:

http_access deny mediastream
http_reply_access deny mediastreamurl

Windows Server 2003 RDP funktioniert nicht „Der RPC Server steht nicht zur Verfügung“

Problem

Es soll „da draußen“ noch einige Windows Server 2003 Altlasten geben. Nachdem solche Maschinen jahrelang herumgeschleppt, konvertiert und verschoben wurden, wollen die Windows-Server manchmal nicht  mehr so recht. Das ist uns heute auch passiert.

Bei dieser Maschine scheiterte jeder RDP (oder „Terminalsitzungs“-) Anemldeversuch mit der Fehlermeldung „Der RPC-Server steht nicht zur Verfügung“.

Lösung

Da diese Maschine nicht mehr lange leben wird, hilft der altbekannte RDP-Quick-Fix. Achtung, das löst das eigentlich Problem nicht (das meisten tiefer liegt), aber behebt dieses Symptom zuverlässig.

Einfach einen DWORD-Wert „IgnoreRegUserConfigErrors“ im Schlüssel „HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server“ erstellen, diesem den Wert „1“ verpassen, fertig. Die anmeldung tut es sofort wieder.

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

"IgnoreRegUserConfigErrors"=dword:00000001

SQL Server Management Studio „Das Ausfuerungstimeout ist abgelaufen“

Problem

Beim dem Versuch eine relativ große Tabelle im SQL Server Management Studio zu bearbeiten tritt der Fehler „Das Timeout ist abgelaufen.“ auf. Das gibt für Opetrationen wie auflisten, Index hinzufügen, Schlüssel ändern und ähnliches.

Die ganze Fehlermeldung lautet:

– Die Tabelle kann nicht geändert werden.
Das Timeout ist abgelaufen. Das Zeitlimit wurde überschritten, bevor der Vorgang beendet wurde, oder der Server antwortet nicht.

Lösung

Das Verhalten tritt aufgrund der Einstellung für Transaktionstimeouts für den Tabellen-Designer und den Datenbank-Designer in SQL Server Management Studio auf. Zum Glück ist das im Feld „Transaktionstimeout“ konfiguriertbar. Das Default ist mit 30Sekunden auch recht knapp bemessen. Man kann den Haken auch rausnehmen, dann wir das Remote-Timeout (Default: 10 Minuten) genommen. Eklrärung der anderen Optionen: https://msdn.microsoft.com/de-de/library/ms188490.aspx

Extras > optionen > Designer > Tabellen- und Datenbankdesigner

Windows Store-Apps gehen nicht auf, Ereignis 5973 im Eventlog

Problem

Auf einem Windows 8/8.1/10 öffnen sich nicht (mehr) alle Windows Store Apps. Zudem wird (in etwa) dieser Fehler im Eventlog („Anwendung“) protokolliert:

Quelle: Microsoft-Windows-Power-Shell  (Oder unter Windows 10: Apps)
Ereignis-ID: 5973
Aufgabenkategorie: (5973)
Ebene: Fehler
Beschreibung
Fehler bei der Aktivierung der app AppID : Diese Anwendung unterstützt den angegebenen Vertrag nicht oder ist nicht installiert.
Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Lösung

Spontanes Herunterfahren kann den Appcache in C:\Users\ < Benutzername > \AppData\Local\Packages beschädigen. Meistens hilft es, ein neues Benutzerkonto zu estellen und alle Daten zu migrieren. Den doofen Appcache kann man (unseres Wissens nach) leider nicht leeren ohne ihn zu zerstören.

  1. Neues Benutzerkonto (1) anlegen
  2. Neues Benutzerkonto (2) anlegen
  3. Windows NEU STARTEN (!) und mit (1) anmelden.
  4. Windows NEU STARTEN (!) und mit (2) anmelden.
  5. Alle Dateien aus dem alten (kaputten) Profilverzeichnis in das neue (1) kopieren (ausser NTUser.*)
  6. Neu starten und mit (1) anmelden und testen.

Meistens klappt dann schon wieder alles. Eventuell fehlen ein paar Einstellungen und Registry-Kram, aber die apps klappen wieder.