Microsoft – Seite 64 – ugg.li Schnelle Hilfe für schnelle Admins

Netzlaufwerke von Gruppenrichtlinien werden nach Windows 10 Upgrade nicht mehr verbunden.

Veröffentlicht am Juli 22, 2016 von snacky — 2 Kommentare ↓

Problem:

Nach dem (erfolgreichen) Update von Windows 7 auf Windows 10 werden „plötzlich“ Netzlaufwerke nicht mehr eingebunden, welche per GPO verteilt werden.
In der Ereignisanzeige findet man i.d.R. folgenden Fehler:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\foo.bar\SysVol\foo.bar\Policies\{UID}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.

Ursache ist in diesem Fall meist das UNC-Hardening, welches unter Windows 10 standardmäßig aktiviert ist.

Lösung:

Einfachste Lösung ist eine neue GPO anzulegen, welche das UNC-Hardening für die SYSVOL und ggfs. NETLOGON Freigabe wieder deaktiviert.
Dazu unter „Computerkonfiguration > Administrative Vorlagen > Netzwerk > Netzwerkanbieter “ die Richtlinie für Gehärtete UNC-Pfade aktivieren und folgende Einträge hinzufügen:

Wetname: \\*\SYSVOL
Wert: RequireMutualAuthentication=0, RequireIntegrity=0
(ggfs. für \\*\NETLOGON den selben Wert hinzufügen)

Bei der nächsten Anwendung der Gruppenrichtlinien an den Clients (spätestens nach einem Neustart) wird dann auch die Netzlaufwerke-GPO wieder angewendet und somit die Netzlaufwerke wieder eingebunden.

Programme von Netzlaufwerken crashen nach Upgrade von Windows 7

Veröffentlicht am Juni 28, 2016 von snacky — 2 Kommentare ↓

Problem

Nach dem (erfolgreichen) Update von Windows 7 auf Windows 10 stürzen auf einigen Arbeitsstationen auf einmal Programme ab, die „jahrelang“ völlig stabil liefen. Betroffen sind Prgoramme, die von Netzlaufwerken gestartet werden oder von Netzlaufwerken und UNC-Pfaden DLLs (nach)laden. Betroffen sind Windows 8/8.1 und hauptsächlich Windows 10.

Lösung

Seit Windows 8 werden offene SMB-Sitzungen zu Netzlaufwerke und UNC-Pfaden nach einer gewisser Leerlaufzeit (standardmäßig 15 Minuten) getrennt (autodisconnect und keepconn) um den Fileserver zu entlasten. Bei „moderner“ Software und Programmen die alle benötigten Bestandteile nur einmal laden ist das kein Problem – schwierig wird es bei klassischen Programmen die davon ausgehen, das eine SMB-Sitzung „ewig“ offen bleibt.

Die entsprechenden Werte kann man per Registry (oder via GPO) anpassen:

HKLM\System\CurrentControlSet\services\LanmanWorkstation\Parameters

ein DWORD-Wert „KeepConn“ mit dem Wert „FFFF“ (HEX) Anlegen und zudem unter

HKLM\System\CurrentControlSet\services\LanmanServer\Parameters

ein DWORD „autodisconnect“ mit dem Wert „FFFFFFFF“ (HEX) Anlegen.

Ergänzend: Bei Netzlaufwerken, welche per GPO verteilt werden, kann auch das Ändern der Richtlinie von „Ersetzen“ auf „Aktualisieren“ helfen. Die Einstellung „Element entfernen, wenn es nicht mehr angewendet wird“ ist dann leider nicht mehr möglich, aber Windows behält dann über die Anwdung einer GPO hinweg die Laufwerksverbindung bei.

Exchange 2013 internes Relay nach „RCPT TO:“ sehr langsam

Veröffentlicht am Juni 23, 2016 von weed — Keine Kommentare ↓

Problem

Ein Exchange 2013 Receive Connector reagiert nach dem RCPT-Kommando extrem langsam. so langsam, das verschiedene SMTP-Clients sogar mit einem timeout reagieren. Die Zustellung klappt aber in den meisten Fällen.

Lösung

Der Empfangsconnector umgeht warscheinlich die Anti-Spam Agents nicht. In der Standardeinstellung hat eine Anonyme Verbindung (wie es bei einem Relay meistens der Fall ist) auf einem Connector nicht das Recht, die lokalen Filter zu umgehen. Daher kommt es zu (RBL und Tarpitting) Wartezeiten.

Umgehen der filter für Anonyme Verbindunge erlauben:

[PS] C:\> Get-ReceiveConnector -Identity "SERVER\Connectorname" | Add-ADPermission -user "NT-Autorität\Anonymous-Anmeldung" -ExtendedRights Ms-Exch-Bypass-Anti-Spam

In der Englischen Version eines Active Directory ist die (in UTF-8 geschriebene) „NT-Autorität\Anonymous-Anmeldung“ durch das entsprechende Prinzipal eines EN Active Directory zu ersetzen: „NT AUTHORITY\ANONYMOUS LOGON“.

In einen sehr guten Artikel zu dem Thema Connectoren“ hat der Zach schon vor einer Weile die wichtigen eigenschaften und das Schema zusammengefasst: http://www.the-little-things.net/blog/2014/07/06/exchange-receive-connector-tango-part-1/

(Update) Fehler %%1274″ bei MSI Softwareverteilung via GPO

Veröffentlicht am Juni 22, 2016 von weed — 4 Kommentare ↓

Beim Verteilen von Software Active Directory GPO (Gruppenrichtlinie) tritt der Fehler 1274 auf:

Die Installation der Anwendung ******** der Richtlinie ***** ist fehlgeschlagen. Fehler: %%1274

Das passiert bei kleinen Paketenb, wie dem Flashplayer oder 7Zip, aber auch bei großen wie SAPClient oder Office.

Lösung: In der Regel ist für die betroffenen computer die „Schnelle Anmeldung“ von Windows 7/8/10. Die Einstellung der Richtlinie heisst „Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten“ (oder „Always wait for the network at computer startup and logon“).

Abhilfe schaffte der zusätzlicher Eintrag „Wartezeit für Richtlinienverarbeitung beim Systemstart“ in der Gruppenrichlinie, der für die Anwendung der Software-Einstellung dann etwas zusätzliche Zeit lässt:

Computerkonfiguration->Administrative Vorlagen->System->Gruppenrichtlinien->Wartezeit für Richtlinienverarbeitung beim Systemstart

Die Einstellung funktioniert sehr gut bei Werten zwischen 60 und 120 Sekunden.

Hinweis: Es gibt einige Switches (Extreme Networks, Cisco), die bei aktiviertem STP (Spanning Tree) etwas zusätzliche Zeit nach dem schalten des Links benötigen, um dem Port Zugriff auf das Ethernet zu erlauben. Da hilft die oben genannte Richtline ausgezeichnet weiter (oder man schaltet Spanning Tree ab, aber das will ja niemand).

Windows 7 Offline-Cache leeren (Zurücksetzen)

Veröffentlicht am Juni 17, 2016 von weed — Keine Kommentare ↓

Problem

Windows 7 bietet keine (GUI-)Möglichkeit, den Offline-Cache (CSC) vollständig zu löschen. Das ist insbesondere dann ärgerlich, wenn es Synchronisationsfehler gibt die auf File-Server verweisen, die es nicht mehr gibt. Man erhält im Sync-Center immer weider die selben Synchronisierungsfehler oder „sieht“ auf Dateiservern Dateien und Ordner, die es gar nicht gibt.

Lösung

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Csc\Parameters /v FormatDatabase /t REG_DWORD /d 1 /f

Reboot, fertig

Erklärung

Nach dem setzen des Sychlüssels „FormatDatabase“ (32bit REG_DWORD) in HKLM\SYSTEM\CurrentControlSet\Services\Csc\Parameters auf den Wert „1“ löscht Windows (ohne Rückfragen!) beim starten alle CSC-Offline-Caches.

Mehr Informationen: https://support.microsoft.com/en-us/kb/942974