Dienstart "Exchange Systemaufsicht" und Fehler 9157 bzw. 9188

Beim fehlerhaften Versuch den Dienst "Exchange Systemaufsicht" zu starten, kann es folgenden Fehler geben:
"MSExchangeSA Warnung Allgemein  9157 Nicht zutreffend SERVERNAME "Die Microsoft Exchange-Systemaufsicht verfügt nicht über ausreichende Rechte, um die Exchange-Konfigurationsobjekte in Active Directory zu lesen. Warten Sie auf den Abschluss der Replikation, und stellen Sie dann sicher, dass das Computerkonto Mitglied der Sicherheitsgruppe ""Exchange Domain Servers"" ist. "

Mögliche Ursache: Die Konten "Exchange Domain Servers" und "Exchange Enterprise Servers" sind nicht mehr in der Standardgruppe "Users".

Abhilfe: Verschieben der Konten "Exchange Domain Servers" und "Exchange Enterprise Servers" zurück in die Standardgruppe "Users" verschieben. Dienst starten, fertig. :-)

Interessanterweise gibt es zwar Protokolleinträge ("MSExchangeSA Fehler Allgemein  9188 Nicht zutreffend SERVERNAME "Die Microsoft Exchange-Systemaufsicht konnte die Mitgliedschaft von Gruppe 'cn=Exchange Domain Servers,cn=Users,dc=DCNAME,dc=local' nicht lesen. Fehlercode '80072030'. "), wenn man die beiden Konten verschiebt; die Wirkung (Dienst kann nicht gestartet werden) tritt scheinbar aber erst nach einem Neustart des Servers auf.

(Danke an Christian und Felix für den Hinweis auf

http://blogcastrepository.com/blogs/noel-davies_uk_ltd/pages/event-id-9157-microsoft-exchange-server-computer-system-attendant-does-not-have-sufficient-rights.aspx

und

http://support.microsoft.com/kb/297295/en-us)

Exchange: Desaster "Ausfall einziger DC" und nun?

Szenario:
Aufgrund eines Defektes im Kondenswasserablauf hat eine Klimaanlage im Serverschrank, diesen, beziehungsweise die darin befindlichen Server unter Wasser gesetzt und damit auch den leider einzigen DC.
Eine Reparatur durch Austausch der Teile oder ein Umbau des Raid-Systems in einen anderen Server waren nicht möglich, daher musste der Notfallplan greifen:

• Am Anfang klar, muß ein anderer Server her; hier wurde gleich ein neuer Server bestellt (der alt sollte dieses Jahr sowieso abgelöst werden; nun eben auf Zwang). ;-)
• Dann habe ich den MX-Eintrag auf einen anderen Mailserver (Mailserver des Providers im Internet) legen lassen, damit wenigstens POP-Abruf durch die Clients möglich war und wenigstens ein Notbetrieb weiterlaufen konnte.
• Danach kam die Sicherung des noch laufenden (aber nicht mehr erreichbaren) Mailservers; einmal als fullbackup (ntbackup) und einmal nur die Datenbanken; danach wurde der Mailserver runter gefahren und nicht mehr angefasst.

Der Versuch das vorhandene Backup des defekten Servers in eine VirtualMachine einzuspielen war nicht erfolgreich; sobald der Systemstate zurückgespielt war, gab's nur Bluescreen und sämtliche Behebungsversuche (Treiber, Reparaturinstallation, etc.) blieben erfolglos.

• Also neuen Server aufgesetzt (gleiche Domain, anderer Servername; der Name dürfte aber egal sein).
• Daten (nur Daten, kein Systemstate!) zurückgesichert, Benutzer und Gruppen eingerichtet, Verzeichnis-Berechtigungen angepasst usw.
• Danach den Exchange-Server (gleicher Name!) neu mit Windows und Exchange installiert.
• Nach der Exchange Installation (Standardeinrichtung) der Versuch, die Datenbanken aus der Sicherung unterzuschieben; war nicht erfolgreich, da die Exchange Org vorher anders hieß…; klasse... :-(
• Also Exchange wieder deinstalliert und mit /removeorg das AD "sauber" gemacht, neu gestartet, alte Restverzeichnisse gelöscht und Exchange neu installiert, diesmal natürlich mit richtiger Org (der stand beim ersten Start im Eventlog) installiert.
• Dann wieder die gesicherte Datenbank untergeschoben und gemountet; Bereitstellung war ok. Sowohl Informationsspeicher als auch Postfachspeicher konnte bereitgestellt werden.
• Ich sah danach im Systemmanager zwar schon alle Postfächer, konnte die aber nicht wieder verbinden, weil sie angeblich schon verbunden waren.
  Das "Geheimnis" war der CleanUpAgent, der einmal gestartet werden musste (danke Walter Steinsdorfer); nach einer Ansichtaktualisierung hatten die Postfächer brav ihr "rotes Kreuz" und ich konnte sie mit den alten-neuen AD Benutzern wieder verbinden.
• Exchange konnte dann zu Ende konfiguriert (SMTP, IMF, Relaytest, etc.) werden.
• Der MX konnte durch den Provider wieder umgestellt werden, Telnet-Test nach kurzer Zeit (DNS Umstellung beziehungsweise Aktualisierung abwarten) erfolgreich; klappt rein und raus. Zugriff und Verteilung auf Postfächer ebenso.
• Dann noch flugs die Clients auf die alte-neue Domain umgestellt, lokale Einstellungen wieder angepasst und siehe da; alles ist schön.
• Datensicherung (inkl. Systemstate ;-)) auf Server und Mailserver eingerichtet.

Als Letztes kommt die Dokumentation der Aktion und vor allem des jetzigen Zustandes anhand der gemachten Aufzeichnungen; fertig. ;-)

Man sollte sich bei der ganzen Aktion bewußt sein, daß konzentriertes Arbeiten und am einfachsten eine mitgeschriebene Dokumentation der durchgeführten Schritte notwendig oder zumindest sehr hilfreich ist. Ebenso sollte man ausreichend Zeit einplanen.

Dann kann auch so ein "Desaster" ohne jeglichen Datenverlust.

Ein großes "Danke" auch hier an Frank Carius (http://www.msxfaq.de) für seine hilfreichen Tipps in microsoft.public.de.exchange und auf seiner Webseite und besonders an Walter Steinsdorfer (http://msmvps.com/blogs/wstein/default.aspx) für seine telefonische Unterstützung und ein kurzes "Draufgucken" und "drauf stupsen".

Windows: Treiber auflisten

Das Heraussuchen von Treiberinformationen über den Gerätemanager ist eine äußerst umständliche Beschäftigung. Zudem können Sie sich nie sicher sein, ob Sie auch alle Treiber gefunden haben.
Eine übersichtliche Liste aller installierten Treiber gibt der Befehl "driverquery" aus
Ab Windows 2000 können Sie sich mit dem Befehl driverquery alle auf dem Rechner vorhandenen Treiber anzeigen lassen. Dabei ermöglichen diverse Parameter, den Befehl nach Ihren Wünschen zu gestalten.
Mit dem Zusatz "/s" und der Angabe der IP-Adresse eines Remote- Computers ist die Auflistung auch für einen entfernten Rechner kein Problem."/v" liefert detaillierte Angaben über jeden installierten Treiber.
Wer die Zusammenstellung später noch verwenden möchte, kann die Ergebnisse mit "/fo" und der Angabe eines entsprechenden Dateinamens exportieren.
Der Befehl
driverquery /s 192.168.115.55 /v /fo csv > alldrivers.csv
gibt somit eine detaillierte Liste aller auf dem Gerät mit der obigen IP-Adresse vorhandenen Treiber aus und speichert diese in der genannten CSV-Datei, die Sie zur weiteren Verwendung beispielsweise mit Excel bearbeiten können.

gefunden auf http://www.it-administrator.de/themen/server_client/52219.html

Windows: Passwort zu einfach?

Viele User machen es sich bei der Vergabe neuer Passwörter zu einfach.
Wer verhindern will, dass durch den User geänderte Windows-Passwörter nur aus einem Wort bestehen, kann mit einem kleinen Trick in der Registry dafür sorgen, dass wenigstens eine Zahl enthalten sein muss.

Dazu benutzt man regedit die Registrierungsdatenbank und gehen zur Position "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System". Dort erstellen Sie einen REG_SZ-Wert mit Namen "AlphanumPwds" und dem Wert "1". Will der Nutzer nun bei der Eingabe eines neuen Windows-Passwortes ausschließlich mit Buchstaben arbeiten, akzeptiert Windows dies nicht mehr und nimmt nur noch diejenigen Kombinationen entgegen, die zumindest eine numerische Ziffer enthalten.

(Tipp gefunden auf http://www.it-administrator.de/)

Noch besser als dieser Tipp ist jedoch, seine Benutzer auf die Notwendigkeit sicherer Passwörter zu schulen... ;-)

Windows Server 2003: Shutdown ohne Angabe eines Grundes

Wenn ein Windows Server 2003 heruntergefahren werden soll, beispielsweise bei Installationsarbeiten, so muss ein Grund angegeben werden, um den Server herunterfahren zu können. Ohne Angabe eines Grundes wird der OK-Button nicht aktiv.
Ihre Eingabe wird als Ereignis im Systemprotokoll protokolliert.

Muss der Server mehrmals heruntergefahren werden, kann diese Einstellung schnell nerven.
Man kann jedoch die Abfrage des „Shutdown Event Tracker“ deaktivieren. Die dafür notwendige Einstellung nehmen Sie in den Gruppenrichtlinien vor:
1. Über „Start“ und „Ausführen“ „gpedit.msc“ eingeben und mit OK bestätigen.
2. Im linken Fenster den Zweig „Richtlinien für lokaler Computer“ öffnen und auf Ebene:„Computerkonfiguration“, „Administrative Vorlagen“, „System“ wechseln.
3. Auf der rechten Seite die Einstellung „Ereignisprotokollierung für Herunterfahren anzeigen“ doppelt anklicken und die Einstellung „Nicht konfiguriert“ auf „Deaktiviert“ setzen
4. Bestätigen Sie die Änderung mit „OK“, gpedit.msc schliessen und ab sofort kann der Server ohne Angabe von Gründen heruntergefahren werden.

Windows: Tools von Microsoft - AutoRuns

Dieses Dienstprogramm ist im Vergleich zu allen anderen Startüberwachungsprogrammen mit den derzeit umfassendsten Informationen zu den Autostartpfaden ausgestattet. AutoRuns zeigt, welche Programme für die Ausführung beim Starten des Systems oder bei der Benutzeranmeldung konfiguriert sind, wobei die Einträge in der Reihenfolge aufgeführt sind, in der sie in Windows verarbeitet werden.

Zu diesen Programmen gehören die Anwendungen im Startordner sowie in den Registrierungsschlüsseln „Run“, „RunOnce“ und anderen Schlüsseln.

Sie können AutoRuns so konfigurieren, dass auch andere Pfade berücksichtigt werden, beispielsweise Explorer-Shellerweiterungen, Symbolleisten, Browserhilfsobjekte, Winlogon-Benachrichtigungen, Autostartdienste und vieles mehr. AutoRuns geht weit über die Möglichkeiten des Dienstprogramms MSConfig in Windows ME und Windows XP hinaus.

Mit der Option Hide Signed Microsoft Entries in AutoRuns können Sie sich auf Autostartabbilder von Drittanbietern konzentrieren, die in Ihr System integriert wurden. Darüber hinaus ist es auch möglich, die Autostartabbilder für andere auf dem System konfigurierte Benutzer zu betrachten. Das Downloadpaket enthält außerdem das Befehlszeilenprogramm Autorunsc, mit der die Daten im CSV-Format ausgegeben werden können.

Sie werden sich wundern, wie viele ausführbare Dateien automatisch gestartet werden!

(AutoRuns) ist unter Windows 2000 SP4 Rollup 1 oder höher funktionsfähig.

Gefunden auf http://technet.microsoft.com/de-de/sysinternals/bb963902.aspx

Windows: Tools von Microsoft - AD Explorer

Active Directory Explorer (AD Explorer) ist ein erweiterter Active Directory (AD) Betrachter und Editor. Mit AD Explorer kann man einfach durch das Active Directory navigieren, bevorzugte Sprungmarken anzeigen, Objekteigenschaften sehen und #ndern, Berechtigungen anpassen und das AD sichern und wieder einspielen.

Ebenso kann man Snaphots seines AD machen und diese offline betrachten, prüfen und vergleichen (wenn man zwei Snapshots hat), als ob es online wäre.

Hier gibt es den AD Explorer

Windows: Tools von Microsoft - BGInfo

Microsoft stellt viele Tools zur Verfügung, die oft (zu) wenig Beachtung finden.
Viele dieser Werkzeuge erleichtern Administratoren oder Supportern jedoch erheblich das Leben.
So zum Beispiel BGInfo. welches auf dem Desktop-Hintergrund Maschinendaten einblenden kann.
BGInfo hilft Admins großer Installationen, beim Fernzugriff den Überblick zu behalten.
Das Tool erzeugt auf jedem Server oder Client einen individuellen Desktop-Hintergrund, der Informationen wie Maschinenname, Betriebssystemversion oder die Domäne anzeigt. Da das Tool keinen Prozess startet, sondern normalerweise einmalig beim Hochfahren des Servers das Hintergrundbild erzeugt, bleibt sein Einsatz ohne Folgen für die Performance. Formatierung und angezeigte Informationen kann man anpassen. Für sehr lang laufende Rechner kann BGInfo das Bild automatisch auffrischen und die Daten in eine Access-Datenbank schreiben.

"Kaspersky for Windows Server" unter Windows 2000

Heute beim Kunden:
Kaspersky ausgerollt; alle Clients und natürlich auch der Fileserver sollten damit bestückt werden.
Clients funktionierten ganz gut, bloss der Fileserver (Windows 2000, SP4, DC) spielt nicht mit; die Installation verlief noch reibungslos, der danach vorzunehmende Neustart allerdings lief nicht sauber durch; es erschein nur der Hintergrund des Dekstop, aber keine Anmeldung und auch sonst kein Tastendruck waren möglich. Ich bin ja manchmal ein sehr geduldiger Mensch, aber nach einer Stunde Untätigkeit war ich es leid; also schnell eine Mail an den Kaspersky Support geschrieben und innerhalb einer halben Stunde die folgende Lösung (die auch funktionierte) erhalten:
Man starte den Server im abgesicherten Modus, melde sich als Administrator an, rufe regedit (oder regetd32) auf und ändere im Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Klif
den Wert für Start auf "2". Speichern, schliessen, Neustart.
Bei Windows 98SE und ME ist der Schlüssel übrigens unter: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\KLIF
zu finden.

Dadurch wird der Kaspersky erst NACH allen anderen Haupttreibern geladen und der Server arbeitet wieder einwandfrei. (Möglichkeiten: "1" = Boot, "2" = Automatic, "3" = Demand; der Standard ist "1")

Wieder etwas dazu gelernt und vor allem ein herzlichen Danke schön an Nino Hock von Kaspersky, der den Tipp so schnell parat hatte.

Windows: Windows-Server aus der Ferne neustarten

Um einen Windows Server aus der Ferne neu zu starten, nutzen Sie das Shutdown-Kommando. Öffnen Sie auf einem Client eine neue Konsole („Start“ -> „Ausführen“ -> „cmd.exe“) und geben Sie folgendes Kommando ein: "shutdown /r /m file://servername/"
Mehr Informationen zum Befehl erhält man mit "shutdown /?"

Windows: Gelöschte Active-Directory-Objekte wieder herstellen

Beim Windows Server 2003 werden gelöschte Objekte aus dem Active Directory per default 60 Tage in einem speziellen „Deleted Objects-Container“ gespeichert. Bei Neuinstallationen (nicht Update!) mit dem Service Pack 1 ist diese Grenze, die sogenannte Tombstone-Lebensdauer, auf 180 Tage erweitert.Mit dem frei erhältlichen Tool „AdRestore“ aus dem Paket von „Sysinternals“ erhalten Sie eine Liste der gelöschten Objekte, die diese Grenze noch nicht erreicht haben. Sie können sie mit dem Parameter -r wiederherstellen. Allerdings sind die meisten Attribute mit der Löschung unwiederbringlich verloren gegangen. Bei wiederhergestellten Benutzern fehlen z.B. Adressinformationen, Namen, Gruppenmitgliedschaften und die meisten anderen Attribute. Wollen Sie die Objekte komplett wiederherstellen, kommen Sie um eine autoritative Wiederherstellung Ihrer Sicherung nicht herum.