KMS – Freund und Feind zugleich…

Posted on 14. Mai 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [5 Bewertung, Durchschnitt: 4,60]

Key Management Service (KMS) – eine Übersicht

Wer von Windows XP auf Windows 7 migriert (hat), wird schon bemerkt haben, dass die Art der Lizenzierung / Aktivierung (bei XP zu Erinnerung: Campuslizenz mit einem Key, der bereits im geklonten Image bereitgestellt werden kann) rapide geändert wurde.

Grundsätzlich gibt es 2 Möglichkeiten:
Die zentrale Aktivierung via KMS-Server (und daher bessere) und die dezentrale mit Eingabe der MAKs auf den einzelnen Clients inkl. manueller Aktivierung (und daher wesentlich arbeitsintensivere und schlechtere.)

Da mein Credo zu allen Tages- und Nachtzeiten (in Ahnlehnung an die schweizer Kollegen) lautet “Real Men don’t click [more than necessarily]” verzichte ich auf die Besprechung der MAK-Variante völlig und wende mich nun in weiterer Folge der Konfiguration eines KMS-Servers (inkl. aller dabei auftretenden Schwierigkeiten) zu!

Step by Step Anleitung: “Installation eines funktionierenden KMS-Servers”

1.) Windows Server 2008 R2 installieren und manuell mittes des über die MS-ACH erhaltenen MAKs für Windows Server 2008 aktivieren (Start >> Systemsteuerung >> System >> Windows Aktivierung)

2.) KMS aktivieren
eine Command-Shell [= Eingabeaufforderung] als Administrator starten (rechte Maustaste >> “als Administrator ausführen”), dann folgende Befehle in der angeführten Reihenfolge absetzen:

cscript C:\windows\system32\slmgr.vbs /ipk <KMS Key>
cscript C:\windows\system32\slmgr.vbs /ato

Hinweis: nach jedem Befehl öffnet sich eine Meldung, die den Erfolg der Aktion ausgibt

3.) Firewall kontrollieren, ob der KMS auch “einen Passierschein hat”
[Stichwort: eingehende Regeln >> Schlüsselverwaltungdienst (TCP eingehend) >> Zulassen ]

4.) Eintrag am DNS-Server kontrollieren
DNS-Management-Konsole >> Forward-Lookupzonen >> FQDN >> _TCP >> _VLMCS (Eintrag des Servers, der
den KMS-Host darstellt
(Falls dieser Eintrag fehlt:
>> Forward-Lookupzonen >> FQDN >> _TCP >> rechte Maustaste >> weitere neue Einträge >> Dienstidentifizierung (SRV) >>  Dienst: _VLMCS // Protokoll: _tcp // Priorität: 0 // Gewichtung: 0 // Portnummer: 1688 // Host, der diesen Dienst anbietet = FQDN des KMS-Servers // beide Kontrollkästchen bleiben leer // Gültigkeit 0:1:0:0)

5.) KMS kontrollieren
Start / Ausführen:  slmgr.vbs /dli
Es erscheint – nach kurzem Warten – ein Popup mit einigen Daten, unter anderem der Zeile
aktuelle Anzahl: 7 (wobei hier 7 nur ein Beispiel ist…)

Sollten die Clients nicht innerhalb kürzester Zeit die Aktivierung erhalten, dann lohnt sich die weitere Lektüre dieses Artikels garantiert!!!!

Problemfelder bei der Lizenzierung mittels KMS
(Arbeitstitel: der Dreck funktioniert bei mir nicht…):

1.) Der KMS arbeitet erst ab einer durch ihn verwalteten Anzahl von 25 Clients!!!!

PROBLEM:
selbst, wenn man > 200 (z. B. mit WDS) geklonte Clients in Betrieb hat, kann es dennoch sein, dass den Clients die Aktivierung mit folgender Fehlermeldung verwehrt wird:

0xC004F038
Vom Softwarelizenzierungsdienst wurde gemeldet, dass der Computer nicht aktiviert werden konnte. Die vom Schlüsselverwaltungsdienst (Key Management Service, KMS) gemeldete Anzahl reicht nicht aus. Wenden Sie sich an den Systemadministrator.

die Ursache hierfür könnte nun darin liegen, dass wir zwar mehr als 25 Clients verwalten möchten, der KMS-Server aber keinen Unterschied zwischen unseren Clients erkennt…
Mit anderen Worten: für ihn gleichen unsere Clients wie ein Ei dem anderen…
Dies führt uns zu folgendem:

2.) mindestens 25 Clients müssen eine unterschiedliche CMID haben!
damit einhergehend:
3.) What the hell is a CMID?

Jeder Client generiert überlicherweise eine einzigartige Client Machine ID (CMID). Um dies zu gewährleisten, sollten Clients vor deren Klonen auch mit
sysprep /generalize [/oobe /shutdown]
darauf vorbereitet werden.

Sollte das Klonen per Windows Deployment Service (WDS) erfolgen, so ist zwecks Lite- bzw. Zerotouch-Deployment das Hinterlegen einer ImageUnattend.xml unumgänglich!

Sollte nun in dieser ImageUnattend.xml der Eintrag
<SkipRearm>1</SkipRearm>
vorhanden sein, dann werden – auch bei fehlerfrei ausgeführtem SYSPREP – keine neuen CMIDs generiert.

Daher zählt der KMS auch die Anzahl der Anfragen nicht hinauf, und dann wären wir wieder bei Problem Nummer 1: der KMS arbeitet erst aber einer Anzahl von 25 Clients!!!

4.) Zwischenfrage: Welche CMID hat der Client?

Grundsätzlich scheint die CMID auf, wenn man am Client slmgr.vbs /dli ausführt UND der Client bereits aktiviert ist!
Wenn der Client noch nicht aktiviert ist (was auch der Fall sein dürfte, sonst wäre uns die CMID nämlich ziemlich všecko jedno) funktioniert dies aber nicht!

Um bei nicht aktivierten Clients die CMID zwecks Vergleichens zu ermitteln, ist ein Blick in die Ereignisanzeige anzuraten:

Protokollname: Application
Quelle:        Microsoft-Windows-Security-SPP
Datum:         20.02.2012 23:58:24
Ereignis-ID:   12288
Aufgabenkategorie:Keine
Ebene:         Informationen
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      DV101.hak-neusiedl.local
Beschreibung:
Vom Client wurde eine Aktivierungsanforderung an den Computer mit dem Schlüsselverwaltungsdienst gesendet.
Info:
0×00000000, 0×00000000, wicky.hak-neusiedl.local:1688, 586a12e2-5e2f-4c55-a6c0-0152af448ec4, 2012/02/20 22:58, 0, 3, 43200, ae2ee509-1b34-41c0-acb7-6d4650168915, 25

CMID in diesem Fall:586a12e2-5e2f-4c55-a6c0-0152af448ec4

Wenn nun alle geklonten Clients eine idente CMID haben, dann wäre es nun an der Zeit für folgendes:

4.) Holt mich hier raus, ich bin ein Star ;-)

3 Lösungsansätze stehen zur Verfügung (The Good, The Bad, The Ugly)

LÖSUNG – Variante 1
>> mindestens 25 Clients neu zu klonen:
(The UGLY!)

die richtige Vorgehensweise dabei:
Client vorbereiten mit
sysprep /generalize /oobe /shutdown
+
in der ImageUnattend.xml
<SkipRearm>0</SkipRearm>

Nachteil dieser Variante: Arbeitsintensiv, im laufenden Betrieb nicht machbar!

LÖSUNG – Variante 2
>> mindestens 25 Clients manuell mit neuen CMIDs versehen:
(The BAD)

Wenn slmgr.vbs /rearm am Client ausgeführt wird, so wird eine neue CMID generiert.
Btw: Dies kann auf jedem Client bis zu 3 mal wiederholt werden, die aktuell verbleibende Anzahl kann am Client mit slmgr.vbs /dlv abgelesen werden!

Da mindestens 25 Clients mit unterschiedlicher CMID zu einem funktionierenden KMS führen würde, könnten wir jetzt kurzerhand zu 25 Clients laufen, dort slmgr.vbs /rearm eingeben, jeden Client neu starten und der KMS läuft jetzt endlich!

Doch halte inne und bedenke:
Real Men don’t click (and – of course -  don’t run around)

LÖSUNG – Variante 3
>> mindestens 25 Clients per Startscript mit neuen CMIDs versehen:
(The GOOD!!!!)

Hier ein Script, das – per Gruppenrichtlinie als Starskript – für Dich die Arbeit erledigt:

'############## Edi Pfisterer -- 11/5/2012 -- REARM_IT ##############

on Error resume next
logdatei = "c:\rearm.txt"
Set fs = CreateObject("Scripting.FileSystemObject")
If NOT fs.FileExists (logdatei) then

'############################ just rearm it, baby ############################'

Set WshShell = WScript.CreateObject("WScript.Shell")
WSHShell.Run("wscript ""c:\windows\system32\slmgr.vbs"" /rearm ")

'##########################   LOGDATEI schreiben, die anzeigt,
ob REARM schon einmal gelaufen ist ########################

    Set a = fs.CreateTextFile(logdatei, True)
    a.WriteLine("rearmed wurde am " & now())
    a.Close
END IF

Funktionsweise:
Es wird auf C:\ eine Datei namens rearm.txt angelegt, weiters wird slmgr.vbs /rearm aufgerufen.
Beim nächsten Aufruf des Startscripts wird geprüft, ob die rearm.txt vorhaden ist, und in diesem Fall auf slmgr.vbs /rearm verzichtet….

5. wie schauts mit einer GUI aus?

Kein Problem! Mit dem VAMT (Volume Activation Management Tool) 2.0 (ACHTUNG: ZWEI — PUNKT — NULL // Das 1.0 war zum Vergessen!!!) hat man ein feines Tool zur Hand, das einen klaren Überblick über die Lizenzierungssituation gibt!
Aber ACHTUNG: Wenn der KMS nicht richtig funktioniert, dann wir man mit dem VAMT auch keinen Spass haben!!! Das VAMT ersetzt den KMS NICHT!!!

Vorgangsweise Installation / Verwendung von Volume Activation Management Tool:

  • VAMT 2.0 bei Microsoft downloaden (googlen ist den Menschen zumutbar)
  • am KMS installieren und starten
  • im mittleren Fenster “Search for computers in the Active Directory” auswählen
  • alle im unteren, mittleren Fenster gefunden Clients mit STRG + A makieren
  • Rechte Maustaste >> Update Status / Current Credential (sofern man als Domainadmin angemeldet ist)
  • Nun erfolgt eine Einteilung in
    Licensed
    Out-of-Box
    Out of Tolerance Grace
    (Tipp: Falls dort alle Clients landen und keine bei Licensed, dann wurde das Problem der identen CMIDs – noch – nicht gelöst!)
  • Wenn sich noch nicht alle Clients unter “Licensed” einreihen, dann hilft
    recht Maustaste auf den/die Clients >> Activate >> KMS Activate >> …

Im Idealfall sieht das ganze dann so ähnlich aus (in dieser Umgebung sind > 160 Clients vorhanden, da wäre eine Aktivierung via MAKs kein Spass gewesen…):

Da fällt mir mein Schwager ein, der bei dieser Gelegenheit sagen würde
“Hätte es immer schon SO ausgesehen, hätte man nichts machen müssen… ;-)

FAZIT:

Der KMS ist – wenn man eine große Anzahl von Windows 7 Clients administrieren darf – eine feine Sache! Wenn er erst einmal funktioniert…

Posted in Key Management Service (KMS), Scripts, VBScript, Windows Deployment Services | 6 Comments

Logfile – Auswertung ISA Server

Posted on 10. Mai 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke

Falls auf einem ISA-Server (2004/2006) die Protokollierung in Form einer MSDE-Datenbank gewählt wurde, so werden per default die entsprechenden Logs als .mdf (bzw. ldf) im Verzeichnis “C:\Programme\Microsoft ISA Server\ISALogs” angelegt

(diese Logs bleiben dort – je nach Festplattenkapazität des ISA-Servers auch laaaaange Zeit gespeichert
bei mir sind es rund 6 Monate…  ;-)

Um diese Protokolle nun bei Bedarf zu öffnen (um einen Bösewicht unter den Schülern auszuforschen), sei hier das Freeware-Tool “ISA SERVER TOOLKIT” von Redline-Software angepriessen.
Einfach am ISA-Server installieren (und zwar den MDF-Viewer) und es bleibt nichts mehr im Verborgenen. Zudem versteht sich das Tool hervorragend auf eine SQL-Filterung… (siehe Screenshot links unten)

Bei dieser Gelegenheit sei erwähnt, dass ich mir nicht sicher bin, ob wir als KustodInnen hier im rechtlich einwandfreien Bereich liegen, wenn wir Logs am ISA-Server vorratsdatenspeichern. Falls jemand hier genauere Informationen hat, würde ich mich über ein Mail bzw. einen Diskussionsbeitrag freuen!

Posted in ISA - Server | 2 Comments

Logfile – Auswertung Windows 7

Posted on 10. Mai 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke

Nur damit ich es selbst nicht vergesse – die Einträge für eine An- bzw. Abmeldung auf einem Windows 7 Client in einer Domäne:

Ereignisanzeige >> Windows-Protokollierung >> Windows-Protokolle >> Sicherheit

Anmeldung –> Ereignis-ID 4648 (4624)
Abmeldung –> Ereignis-ID 4634 (4647)

Und falls jemand mit der Filterung Probleme haben sollte, hier ein Bild, das mehr als 1000 Worte sagt:

Posted in Sonstiges | Leave a comment

Forefront Endpoint Protection – “… möglicherweise nicht geschützt …”

Posted on 8. Mai 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke

Problem:
Microsoft’s Virenscanner Forefront Endpoint Protection (FEP) zeigt folgendes Verhalten:
Wenn längere Zeit kein Scan vollzogen wurde, wechselt das Icon im Systemtray neben der Uhr von der Farbe grün auf orange, zusätzlich erscheint der Text “Computerstatus – Möglicherweise nicht geschützt“, wenn der Mauszeiger darüber bewegt wird.

Lösung:
Forefront Endpoint Protection per Gruppenrichtlinie “fernsteuern” und einen Scan einplanen

Vorgehensweise:

  1. aus den FEP 2010 Tools das Tool “fep2010grouppolicytools-de-de.exe” downloaden (z. B. hier)
  2. Doppelklick auf “fep2010grouppolicytools-de-de.exe” >> es werden 3 Dateien entpackt
  3. [Falls kein Server 2008 - Domänencontroller vorhanden ist, sollte wie hier beschrieben - von einem Windows 7-Client aus, vorgegangen werden, um einen Central Store für die administrativen Vorlagen einzurichten bzw. auf diese im Gruppenrichtlinieneditor zugreifen zu können]
  4. unter Punkt 2 entpackte Datei “FEP2010.admx” auf einen Domänencontroller in das Verzeichnis \\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions sowie die Datei "FEP2010.adml" in das Verzeichnis \\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions\de-DE einfügen

jetzt finden sich alle Konfigurationsmöglichkeiten im Gruppenrichtlinienverwaltungs-Editor
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Forefront Endpoint Protection 2010

Posted in Gruppenrichtlinie | Leave a comment

Blacklists automatisiert in ISA-Server einlesen

Posted on 25. April 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke

Step-by-Step-Anleitung zum (halb)automatisierten Einlesen von Blacklists in ISA-Server 2004 / 2006

(oder:
Warum Schulen, die über das MS-ACH Agreement Software kostenlos beziehen, KEINE teure Firewall wie 
Astaro o. ä. kaufen müssen…)

Möglichkeit 1 (meine Empfehlung!):
Urlsätze sperren mit diesem Script:
http://forums.isaserver.org/Script_for_loading_blacklist_-_URLBlacklist%25com/m_2002050698/tm.htm
(oder etwas anschaulicher hier: http://www.thiele.ch/index.php/blacklists-for-isa-2006

Möglichkeit 2:
Domänennamensätze sperren mit meinem Script ISA_Blacklistreader.vbs:

  1. Blacklist download (z.B von Shalla’s o. ä. >> siehe hier)
     
  2. Blacklist entpacken, Datei “url.txt” bzw. “domain.txt” am Isa-Server speichern
     
  3. Mein Tool ISA-Blacklistreader.vbs herunterladen >> ISA_Blacklistreader 
     
  4. “ISA_Blacklistreader.vbs” im selben Ordner, in dem die Blacklist gespeichert ist, ausführen.  
    Es werden 3 Informationen erhoben: 
        

    1. Soll ein Domänennamensatz oder Urlsatz angelegt werden (Im ersteren Fall wird die gesamte ausgewählte Domäne dem Satz hinzugefügt, ansonsten nur der jeweilige Url) 
        
    2. Wie soll der neue Satz heissen? 
        
    3. Wie heisst die Blacklist? (Tipp: vermutlich domain.txt oder url.txt) 
        
  5. Warten und teetrinken… (Damit der ISA-Server auch auf alter Hardware nicht ins schleudern kommt, wird der Liste pro Sekunde nur 1 Ziel hinzugefügt)
     
  6. Nachdem das Tool vermeldet, dass es fertig sei, kann der erstellte Url- oder Domänennamensatz als Ziel in eine Firewallregel integriert werden.

Eigentlich ganz einfach ;-)

Posted in Sonstiges | Leave a comment

Image von WDS ohne PXE

Posted on 25. April 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [5 Bewertung, Durchschnitt: 4,80]

Problem:
Ein Rechner, der nicht über PXE bootet (da die eingebaute Netzwerkkarte PXE nicht untersützt),  sollte dennoch via Windows Deployment Service (WDS) installiert werden

Lösung:
Es soll ein USB-Stick derart eingerichtet werden, dass man von ihm booten kann und damit auf den WDS zugreift

einzelne Schritte: Continue reading

Posted in Windows Deployment Services | Leave a comment

praktische Software: “ADMINOMAT”, um Remote ganze Schulungsräume aufzusetzen

Posted on 24. Februar 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [4 Bewertung, Durchschnitt: 5,00]

Adminomat_2.0


Ziel der Software “Adminomat”:

Main Feature:
Ganze Schulungsräume remote über WDS aufzusetzen, in dem alle gewünschten Clients remote per WOL gestartet werden.

Dies ist möglich durch die Kombination von Windows Active Directory (AD), Wake on Lan (WOL) und Windows Deployment Service (WDS) in einem einzigen Tool!

Dadurch können Rollouts von Images für ganze Organisationseinheiten eines Active Directory erfolgen, ohne dass der Administrator physikalisch zum Client gehen muss!

Zusatzfeatures:
ganze Organisationseinheiten (zb. Schulungsräume, Abteilungen, etc) können remote gestartet werden, neu gebootet werden, oder heruntergefahren werden.
Weiters kann eine Auswahl getroffen werden, nach folgenden Kriterien:

  • angemeldete User
  • OU des angemeldeten Users
  • x86/x64
  • Datum der letzten Installation
  • Gerätehersteller bzw. -typ
  • RAM
  • etc etc

Voraussetzungen (für die volle Funktionalität):

Server:
Betriebssystem: ab Windows Server 2003 R2 / 2008 / 2008 R2
WDS sollte installiert sein (optional, damit der WDS bedient werden kann)
Verwendung von Microsoft – DHCP – Server ist vorteilhaft

Clients:
Im BIOS muss Wake On Lan einmalig aktiviert werden (inkl. bei Remotesitzung von Remoteserver booten);
Unter Windows muss in der Energieverwaltung der Netzwerkkarte folgendes aktiviert werden:
“Gerät kann Computer aus dem Ruhezustand aktivieren”

Download / Installation:

Das Tool wird NICHT installiert, sondern wird lediglich von einem beliebigen Ordner (auch USB-Stick o. ä.) am Server gestartet.
Am System wird NICHTS verändert!!!
Das Tool läuft auf jedem Windows Client ab XP!!!
Um den WDS zu bedienen und so ein Zero-Touch-Rollout zu starten, muss das Tool allerdings auf einem WDS-Server gestartet werden

Download unter:
www.adminomat.at

Handhabung und Funktion:
WICHTIG: das Tool sollte mit erhöhten Rechten ausgeführt werden –>
Rechte Maustaste auf das Tool –> “als Administrator ausführen”

Bedienung:

Clients remote per WDS neu aufsetzen:

a) kontrolliere deine “UnattendedPE.xml” auf das gewünschte INSTALLATIONSabbild im Abschnitt

<InstallImage>
<ImageName>schulungsraum</ImageName>
<ImageGroup>windows7</ImageGroup>
<Filename>schulungsraum.wim</Filename>
</InstallImage>

btw: meine 100%ig funktionierende .xml gibt’s hier zum DOWNLOAD

b) Wichtig: Du solltest nur 1 STARTabbild aktiviert haben!!!

c) wenn ADMINOMAT am WDS-Server gestartet wird, gibt es den Menüpunkt “WDS” –>  ”ohne F12″
-> dadurch muss auf den Clients nicht mehr die Taste F12 gedrückt werden!!!
(es erscheint ein roter Hinweis, dass derzeit alle startenden Clients neu aufgesetzt werden…)

d) STARTE nun die gewünschten Clients oder die gesamte OU durch drücken des Buttons

e) WARTE ein paar Minuten (bis auf allen Clients PE gebootet hat)

f) drücke anschließend wieder den Button “mit F12″
(ansonsten wiederholt sich der Vorgang beim 1. Reboot und der Client wird zum 2. mal neu aufgesetzt…)

 

technischer Hintergrund
Wake on LAN wurde über das Tool wake.exe von Matthias Zirngibl (http://masterbootrecord.de/docs/wakeup.php) realisiert.)

 

in diesem Sinne

Have fun!

Posted in Active Directory, Adminomat, Scripts, VBScript, Windows Deployment Services | Leave a comment

Microsoft’s Virenscanner “Security Essentials” per Script installieren

Posted on 23. Februar 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [2 Bewertung, Durchschnitt: 3,00]

Microsoft Security Essentials bzw. Forefront Endpoint Protection ist ein Virenscanner, der im Schulpaket enthalten ist. Für Einheiten bis zu 10 Clients ist er gratis einsetzbar!
Download beispielsweise hier:
http://windows.microsoft.com/de-DE/windows/products/security-essentials

  • Kurzüberblick:
    • Updates zieht der Virenscanner über den WSUS
    • zentral Managen lässt sich der Forefront Endpoint Protection erst mit Einsatz des Systemcenter Configuration Manager
    • Updatezeiten, Schedules für vollständige Scans, auszuschließende Ordner, etc können zentral über Gruppenrichtlinien gesteuert werden
    • eine “stille” Installation via Loginscript ist einfach zu handhaben:

      FEPInstall.exe zentral auf einer Freigabe hinterlegen, folgendes Script als installFEP.bat als LoginScript:

      • 

@echo off & setlocal
:: x86 oder 64
wmic path win32_operatingsystem get caption
wmic path win32_operatingsystem get caption|FINDSTR "x64" && goto:neuerPC
start \\SERVER\Software\Forefront_Virenscanner\x86\client\FEPInstall.exe /s /q /i
goto ende
:neuerPC
start \\SERVER\Software\Forefront_Virenscanner\x64\client\FEPInstall.exe /s /q /i
:ende
Posted in Scripts, Sonstiges | 1 Comment

System Center Configuration Manager 2007 R2 – Sitesigning.inf

Posted on 30. Januar 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke

Bei der Installation von System Center Configuration Manager 2007 R2 im “native Mode” ist das Erstellen und Bereitstellen von PKI-Zertifikaten (Public Key-Infrastruktur) nötig.

In diesem Artikel wird dies sehr detailiert erläutert:

http://technet.microsoft.com/de-de/library/cc872789.aspx

ABER ACHTUNG:
Das im Artikel angeführte Beispiel der sitesigning.inf funktioniert so NICHT!!! ARGHHHH
Die Attribute müssen durch Zeilenschaltungen getrennt sein! Ansonsten erhält man nach Eingabe von
ertreq -new sitesigning.inf sitesigning.req
den Error
Certificate Request Processor: bad inf file section name line 0xe0000001 <INF: -536870911>

bzw. in Deutsch

Zertifikatanforderungsverarbeitung: Fehlerhafte Abschnittnamenzeile in der INF-Datei 0xe0000001 (INF: -536870911)

Lösung:
die sitesigning.inf muss so aussehen – also mit Zeilenschaltungen:

[NewRequest]
Subject = "CN=The site code of this site server is AAA"
MachineKeySet = True
[RequestAttributes]
CertificateTemplate = ConfigMgrSiteServerSigningCertificate
Posted in system Center Configuration Manager | Leave a comment

SQL-Server 2008 R2 installation – FAILED

Posted on 27. Januar 2012 by Edi Pfisterer
sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke

Beim Versuch, auf einem Server 2008 R2 Deutsch einen SQL Server 2008 R2 Standard (Deutsch) zu installieren, erscheint folgende Fehlermeldung:

“SQL Server setup media does not support the language of the OS or does not have the ENU localized files. Use the matching language-specific SQL Server media or change the OS locale through control panel.”

Das ist ein BUG!!!

Wie kann man die Installation dennoch durchführen? Continue reading

Posted in Sonstiges | 1 Comment