Exchange 2280: „Die Modul DLL C:\Program Files\Microsoft\Exchange Server\V14\Bin\kerbauth.dll konnte nicht geladen werden“

Problem

Nach der Deinstallation von Exchange 2010 starten IIS-Sites auf dem Server nicht mehr richtig, es werden 503-Fehler ausgegeben, Application Pools werden direkt nach dem Starten wieder beendet und im Anwendungs-Ereignisprotokoll werden sehr viele dieser Fehler protokolliert:

Log Name: Application
Source: Microsoft-Windows-IIS-W3SVC-WP
Event ID: 2280
Task Category: None
Level: Error
Keywords: Classic
Description:
The Module DLL C:\Program Files\Microsoft\Exchange Server\V14\Bin\kerbauth.dll failed to load. The data is the error.

Lösung

Das Exchange-Setup fügt eine eigene Modul-DLL für Kerberos-Authentifizierungen in die IIS-Konfiguration ein, entfernt diesen Eintrag be der Deinstallation aber nicht.

In der IIS-Metabasis: C:\Windows\System32\inetsrv\config\ApplicationHost.config die zugehörige Zeile entfernen, IISReset, fertig:

<add name="kerbauth" image="C:\Program Files\Microsoft\Exchange Server\V14\Bin\kerbauth.dll" />

Windows 10 Computer „Sperren“ verbieten (aka „Niemals sperren“)

Problem

Ein Computer soll niemals automatisch gesperrt werden und sich auch nicht sperren lassen. Zum Beispiel ein Auskunfsrechner im Foyer oder ein Messe/Kiosk-PC.

Lösung

Es gibt eine GPO dafür, die sowohl den Link „Sperren“ aus dem Strg+Alt+Entf Bildschirm entfernt als auch Win+L deaktiviert. Nichtsdestotrotz sollte man vielleicht auch gleich das Bildschirmtimeout und die Energieoptionen anpassen. Außerdem ist bei öffentlichen Computern die „Kennwort ändern“ Option auch nicht immer hilfreich.

Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System > „STRG+ALT+ENTF Optionen“ > Abmeldung entfernen

Es geht natürlich auch direkt in der Registry:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableLockWorkstation"=dword:00000001

Festlegen von Google als Edge Standardsuchmaschine in einer Gruppenrichlinie (GPO)

Problem

Edge sucht immer mit Bing. Wenn man etwas in die Edge Adressleiste eingibt, wenn man die rechte Maustatste drückt … immer wird in Bing gesucht. Edge ist total verbingt.

Fun-Fact: Wenn man in Bing nach „bing“ sucht, bekommt man eine Anleitung, wie man die Startseite ändert. Wenn sogar die Microsoft-KI das kapiert hat …

Lösung

Mit dem Update 1703 hat Microsoft es nun endlich ermöglich, auch wirklich brauchbare Suchmaschienen in Edge zu verwenden. Dazu setzt Microsoft auf eine Browsersteuerung durch das Opensearch 1.1 Framework.

Man braucht also:

  1. Eine opensearch.xml Datei mit passendem Inhalt
  2. Einen Webserver (der via SSL erreichbar ist)
  3. Die Anpassung der Gruppenrichlinie (GPO)

OpenSearch.XML Möglichkeit 1 – Google

Google’s OpenSearch XML URL: https://www.google.com/searchdomaincheck?format=opensearch

DuckDuckGo’s OpenSearch XML URL: https://duckduckgo.com/opensearch.xml

Ecosia (Google-Frontend mit Waldorf-Bio-Touch) XML URL: https://www.ecosia.org/opensearch.xml

Für das kleine Netz von nebenan wird das auch schon reichen. Vielleicht möchte man aber nicht, das Google jedesmal weiss wann Edge geöffnet wurde. Ist ja auch ein bisschen peinlich.

OpenSearch.XML Möglichkeit 2 – Selberhosten

In der Unternehmens IT findet sich sicher ein Intranet-Webserver mit gültigem Zertifikat. Dier benötigt nur das korrekte XML-Template mit den passenden Werten darin.

<?xml version="1.0" encoding="UTF-8"?>
   <OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/">
   <ShortName>Google</ShortName>
   <Description>Googlen</Description>
   <Url method="get" type="text/html" template="https://www.google.de/search?q={searchTerms}"/>
</OpenSearchDescription>

(Download dieser OpenSearch XML mit Google-Query)

Anpassung der Gruppenrichlinie

Die nagelneue (1703/1709 ADMX-Updates hier) Edge-Gruppenrichlinie ist zu finden unter:

Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Windows Komponennten > Microsoft Edge > Standartdsuchmaschine festlegen

Gruppenrichtlinie (GPO) für Windows 10: Automatische Zeitumstellung („Automatisch an Sommerzeit anpassen“)

Problem

Windows 10 stellt die Sommerzeit/Winterzeit auf einigen Computern nicht automatisch um. Der Schalter „Automatisch an Sommerzeit anpassen“ für die Zeitumstellung ist im Werkszustand nicht gesetzt. Stichwort DST – DaylightSavingTime.

Es gibt tatsächlich Computerhersteller auf dieser Welt, die ihre Windows 10 OEM-Images so manipuliert haben, das Windows die Sommerzeit/Winterzeit Zeitumstellung nicht mehr automatisch durchführt. Was ein Unfug – wem hilft das? Über den Unsinn der blöden Zeitumstellung an sich brauchen Admins normalerweise nicht streiten, aber sowas macht unseren Job echt unnötig umständlicher.

Lösung

Es gibt glücklicherweise mittlerweile Group Policy Preferences, mit denen man Registry-Settings komfortabel setzen kann.

Die beiden notwendigen Schlüssel lauten:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation]
"DaylightBias"=dword:ffffffc4
"DynamicDaylightTimeDisabled"=dword:00000000

Diese lassen sich auch mittels Gruppenrichlinie (GPO) verbreiten:

Computerkonfiguration > Einstellungen > Registrierung > Neu > Registrierungselement

In Office 365 die „Alternative E-Mail Adresse“ oder Handynummer von Benutzern anzeigen/auflisten

Problem

Ein Benutzer möchte sein Office 365 Kennwort zurücksetzen, kann sich aber nicht mehr an seine alternative (zweite) E-Mail Adresse oder seine dafür gespeichterte Handynummer erinnern. Das soll tatsächlich vorkommen …

Lösung

An der Office 365 Powershell kann man der Admin die Alternate-Details „seiner“ Benutzer auflisten …

Get-MsolUser -UserPrincipalName [email protected] | fl aternate*

… und natürlich auch ändern:

Set-MsolUser -UserPrincipalName [email protected] -AlternateEmailAddresses [email protected]
Set-MsolUser -UserPrincipalName [email protected] -AlternateMobilePhones 017355555555

 

 

Office 365 Benutzern erlauben, ihre Kennwörter selbst zurückzusetzen

Als Office 365-Administrator kann man seinen Benutzern erlauben, den Link „Konto wieder aktivieren“ (aka ‚Kennwort vergessen‘ oder ‚Sie können nicht auf ihr Konto zugreifen‘) zu verwenden. Deren Kennwörter müssen dann nicht mehr vom Admin zurückgesetzt werden sondern Benutzer können das selber erledigen. Der Trend geht sowiso zum „Kennwort selber zurücksetzen„.

In der Office 365-Testversion funktioniert das allerdings nicht, weil da noch kein AzureAD enthalten ist. Jedes Business-Abonnoment enthält den Zugang zum Office 365 Azure AD. Zweite Ausnahme: Wenn man ein lokales Active Directory via Federation Trust (ADFS) verwendet, ist „Azure AD Premium“ erforderlich.

Zulassen, dass Benutzer ihre eigenen Kennwörter in Office 365 zurücksetzen:

  1. Den Office 365 Administrator („Admin Center“) öffnen
  2. Links unter „Einstellungen“  auf „Sicherheit und Datenschutz“ klicken
  3. Dann rechts in der Box „Lassen Sie Ihre Benutzer ihre eigenen Kennwörter zurücksetzen“ auf das „Azure AD Admin Center“ klicken
  4. In dem in einem neuen Tab öffnenden „Azure Activ Directory Admin Center“ links auf „Benutzer“
  5. Rechts auf „Zurücksetzen des Kennwortes“
  6. In der neuen spalte rechts kann man nun die Einstellung auswählen. Alle, Nur bestimmte oder Keiner.
  7. Dann oben „Speichern“ auswählen und nach ein paar Minuten ist die Einstellung aktiv
  8. Unter „Authentifizierungsmethoden“ kann man nun auch hinzufügen, wie den Benutzer das erlaubt sein soll (E-Mail, Handy, Bürotelefon, Sicehrheitsfrage)

azure-ad-admin-center

 

In Office 365 mit der Powershell die Benutzerkontaktdaten wie Straße oder Ort Massenhaft ändern

Problem

Es sollen viele oder gleich alle Office 365 Benutzer geändert werden. Wegen eines Umzuges stimmt der Ort nicht mehr, wegen eines verdammten CSV-Ascii-Importfehlers stimmen Sonderzeichen nicht oder es hat sich eine andere Eigenschaft bei vielen Benutzern geändert die nun auf einmal angepasst werden soll.

Lösung

Zuerst muss man sich mit der „Windows Azure Active Directory-Modul für Windows PowerShell“ Powershell mit dem Office365 verbinden:

PS C:\> Connect-MsolService
    • Eigenschaften aller Benutzer sofort ändern (hier: ‚Straße‘)
      PS C:\> Get-MsolUser | Set-MsolUser -Street "Neue Strasse 815"
    • Eigenschaften der Benutzer ändern, die noch die alte Straße eingetragen haben
      PS C:\> Get-MsolUser | ? { $_.StreetAddress -eq 'Alte Adresse' } | Set-MsolUser -StreetAddress 'Neue Adresse'
    • Eigenschaften von nur zwei Benutzern ändern
      PS C:\> Get-MsolUser | ? { $_.UserPrincipalName -eq '[email protected]' -Or $_.UserPrincipalName -eq '[email protected]' } | Set-MsolUser