Archiv des Autors: weed

Internet Explorer Warnung „Die Sicherheitseinstellungsstufe ist ein Risiko für den Computer.“

Veröffentlicht am von 2 Kommentare ↓

Auf frisch installierten Windows 8 und vor allem Windows Server 2012 Maschinen erschreckt den findigen Administrator der es erst einmal geschafft hat den „geschützten Modus“ des Internet Explorer zu verlassen (um zum Beispiel einen anderen Browser herunterzuladen) diese Warnungsmeldung:

 Die Sicherheitseinstellungsstufe ist ein Risiko für den Computer.

ie10-warnungNatürlich lässt sich die Warnung und die unfreiwillige Startseite „about:SecurityRisk“ weder wegklicken noch per GPO deaktivieren. Selbstverständlich erst recht nicht auf Terminalservern, wo kämen wir denn hin wenn am Ende tatsächlich jemand den Internet Explorer wirklich zum Websurfen verwenden würde? Das sucht Microsoft ganz offensichtlich mit allen Mitteln zu verhindern. ARGH.

Lösung: Einen offiziellen GPO-Eintrag gibt es (noch) nicht (…). Dafür reicht für den IE8/9/10 unter Windows 7/2008R2/8/2012 aber ein kleiner Eintrag in die Registry:

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSecurity]
"DisableSecuritySettingsCheck"=dword:00000001

Dieser lässt sich natürlich auch (als Quick-Fix) per Logonscript verteilen:

reg add "HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSecurity" /V "DisableSecuritySettingsCheck" /D 1 /T REG_DWORD

Bitte liebes Microsoft, gebt und Admins doch weigstens die Möglichkeit, den IE vernünftig zu verwenden. Angesichts der langen Historie von Sicherheitslücken im IE ist zwar nachvollziehbar das JavaScript ganz furchtbar gefährlich für den IE ist, aber ohne IE ist das Web nunmal heute unbrauchbar. Auch für Benutzer. Lasst uns Admins doch wenigstens die Sicherheitseinstellungen anpassen.

Vmware converter: Die IP-Adresse der virtuellen Zielmaschine, die den Converter-Hilffsserver ausführt, kann nicht ermittelt werden

Veröffentlicht am von Keine Kommentare ↓

vmware-converter-schlug-fehlUnter umständen schlägt die Konvertierung von frischen physikalischen Servern bei 1% mit dieser unfreundlichen Fehlermeldung fehl:

Fehler: Die IP-Adresse der virtuellen Zielmaschine, die den Converter-Hilffsserver ausführt, kann nicht ermittelt werden.

Grund war bei mir eine „gestörte“ Netzwerkkommunikation zwischen der Converter-Ausführenden Maschine und dem ESX-System. Noch genauer war das hier ein router-Isolationsmodus, bei dem der (vermeintliche) Switch das Ethernet nicht sauber bridged, sondern nur IP zulässt.

Der Fehler lässt sich abe auch prinzipiell mit jeder Firewall zwischen Converter und ESX reproduzieren. Also immer prüfen:

  • Windows Firewall aus
  • Firewall vor dem ESX-Managementnetwork aus
  • Layer 2 Durchgangskontrolle 🙂

Für den Fall, das es keinen DHCP im physikalischen LAN an dem converter-Zielnetz (des neuen Gastes) gibt, muss die Adresse für die Converter-Hilfsmaschine sowiso manuell unter „erweitert“ eingegeben werden.

 

Vmware vSphere Aufgabe „Festplattenbereich zuordnen“ (Englisch: „Map Disk Region“) häuft sich

Veröffentlicht am von Keine Kommentare ↓

Manchmal erscheint im Aufgabenbereich des vSphere Cients eine ganze Liste an „Festplattenbreich zuordnen“ Aufgaben. Ab und an sogar beinahe im Sekundentakt. In der englischen Version des vSphere Clients heisst die Meldung „Map Disk Region“. Der Effekt tritt gehäuft auf, wenn eine Datensicherung über die VCB-Schnittstelle gemacht wird, vor allem (natürlich) bei Drittanbieter-Backup-Software.

Tipp: Der vSphere-Client ist immer Multilingual. Die englische Version lässt sich auch auf einem Deutschen Windows jederzeit durch Anhängen des Parameters „-locale en_US“ starten. In vielen Fällen die englische Beschreibung eindeutiger und das googeln nach Fehlern bringt mehr Ergebnisse.

 

Englisch:

 

Deutsch:

 

 

Lösung: Dieser Eintrag ist an sich erst einmal rein informell und hat keinen Einfluss auf Performance oder den Systemstatus. Die Ursache ist (meist) eine stark fragmentierte VMDK; jeder „Zuordnen“-Eintrag stammt aus dem Blockzugriff auf ein Dateifragment auf ein gelocktes virtuelles Volumen. In den meisten Fällen ist ein sehr großer (oder viele kleine) Snapshot(s) des Volumens die Ursache.

Fast immer hilft:

  1. Backup-Software aussetzen (damit kein Volumen-Locking mehr passiert)
  2. Alle Snapshots des Gastes entfernen

Wenn das noch nicht hilft, ist es schlimmstenfalls notwendig das (und alle anderen fragmentierten) Volumen von dem Datastore auf einen anderen zu verschieben und zurückzuschieben.

Es gibt mittlerweile auch einen öffentlichen VMware KB-Artikel dazu.

Windows Server 2012 lässt sich nicht aktivieren („DNS-Server ist nicht verfügbar“)

Veröffentlicht am von Keine Kommentare ↓

windows-2012-ist-aktiviertEine interessante Eigenheit zeigt der Windows Server 2012 nach einem In-Place Upgrade von Windows Server 2008R2. Nach dem ansonsten erfolgreichen Upgrade lässt sich die Produktaktivierung des neuen Serversystems nicht erfolgreich abschliessen. Der Assistent gibt dazu nur den überaus nicht-hilfreichen Hinweis auf einen Netzwerk- oder KMS-Fehler fehler aus (Für den es zumindest die MSKB hält):

Aktivierungsfehler: Code 0x8007232b
Der DNS-Name ist nicht vorhanden.

Interessanterweise hast der Fehler nichts mit DNS zu tun, sondern mit dem Productkey. Dieser muss auf das passende Server 2012-Pendant aktualisiert werden:

slui 0x03

Der Product Key lässt sich zum Glück recht schnell ändern. Danach klappt auch die Internetaktivierung wieder.

<rant>Microoosooooft! Wenn wir schon unter dieser umständlichen Aktivierung leiden müssen, gebt doch BITTE wenigstens korrekte, nachvollziehbare und debugbare Fehlermeldungen aus!</rant>

Wie finde ich an der Kommandozeile meine SID und/oder die SIDs von Gruppen heraus?

Veröffentlicht am von Keine Kommentare ↓

command_whoami

Der Grund für diesen kurzen Beitrag ist eine verlorene Wette. Ich wurde gefragt, was der kürzeste Weg sein, um seine SID und am besten noch die SIDs alle Windows-Gruppen in denen der aktuelle Benutzer Mitglied ist, herauszufinden.

Meine spontane Antwort:

wmic useraccount get name,sid | find /i "%username%"

Kürzer, schneller, Übersichtlicher:

whoami /user /groups

Das Tool „whoami“ ist überhaupt recht spannend wie ich somit lernen durfte. Neben /USER und /GROUPS gibt es unter anderem noch:

  • /UPN – Zeigt den UPN des aktuellen Benutzer an
  • /FDQDN – Zeigt den vollständigen LDAP-Pfad des aktuellen Benutzers an
  • /FO – Das Ausgabeformat für die Informationen (TABLE,LIST oder CSV)