Autor: sandman1986

Exportieren von RegistryEintragen Remote mit Powershell

Wenn von mehreren Rechnern ein RegExport ansteht hilft euch vielleicht dieses Script weiter.

# Script: ExportRegistry.ps1
# Author: Andreas Ernst
# Website: https://nunaberernst.wordpress.com/
# Date: 13.06.2017
#
# Script collects remote regfiles of software installed and connected informations // only trivial error handling (sorry 🙂

$ErrorActionpreference = „silentlycontinue“
$servers = Get-ADComputer -Filter ’name -like „Clients*“‚
$servers = $servers.name
mkdir C:\temp\reg

foreach ($server in $servers)
{

if ( Test-Connection $Server -count 1 -quiet ) {

$ziel = „\\$server\c$\temp\file.reg“
$savepath = „\\MyHostname\c$\temp\reg\$server.reg“
Invoke-Command -ComputerName $server -ScriptBlock {mkdir C:\temp }
$error.clear()
Invoke-Command -ComputerName $server -ScriptBlock {reg export „HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“ „C:\temp\file.reg“ }
if ($error) {
Out-File -FilePath C:\temp\reg\KeineAbfragemoeglich.txt -InputObject $Server -Append
$error.clear()
}

Copy-Item -Path $ziel -Destination $savepath
Remove-Item -Path $ziel
}

else {
Out-File -FilePath C:\temp\reg\OfflineMaschinen.txt -InputObject $Server -Append
}
}

Mit Server 2016 Member of mit ttl

In Windows Server 2016 wird es möglich sein (sobald der Domain Funktion Level auf 2016 steht) User nur temporär in eine Gruppe aufzunehmen. Sobald die TTL des Eintrags erreicht ist, wird der User wieder aus der Gruppe entfernt. Leider lässt sich das aktuell in der Technikal Preview nur über die Powershell steuern, aber so langsam sollte auch der letze WindowsAdmin damit familiär geworden sein 😉

Das Feature muss erst von Hand aktiviert werden. Ob dies bei euch möglich ist findet Ihr mit dem cmdlet Get-ADOptionalFeature heraus. Mit dieem könnt Ihr zum Beispiel auch den AD Papierkorb anschalten (DFL2008).

Was mir an diesem Feature besonders gut gefällt, ist das Kerberos die TTL ausließt und auch wirklich die SID aus dem Kerberos Token entfernt wenn diese abgelaufen ist (Sonst wäre die Berechtigung ja bis zum nächsten Abmeldung / oder bis das Kerberos Ticket abläuft aktiv).

Sobald ich etwas mehr Zeit habe, werde ich dies mal in meiner Testumgebung ordentlich testen und dokumentieren.

auf bald…

Processor usage

Hatte das Problem mir meine CPU Auslastung über eine gewisse Zeit angeigen zu lassen. Ich weis dafür gibts eigentlich den Performance Analyser… Aber in der Not tuen es auch ein paar Zeilen Powershellcode.
Vielleicht hilft es ja irgendwem.

$x = 1
do
{
Get-WmiObject win32_processor | select LoadPercentage |fl
Start-Sleep -Seconds 10
}
while ($x -gt 0)

App-V Kerberos und DNS Aliase

Ich bin heute wieder auf ein Problem gestossen. Sobald ich eine App über das Webinterface in AppV5 hinzufügen wollte,

bekam ich folgende Meldung: Unerwarteter Fehler beim Abruf des AppV Paketmanifestes. Windows  Fehlercode 1808. The account used is a computer account. Use your global user account or local user account th access this Server.

appv

Nach etwas Troubleshooting stellte sich heraus, dass AppV wohl nicht mit C-Names im DNS zurechtkommt.

Also sollted Ihr auch dasProblem haben, lasst euch nicht von der Fehlermeldung irritieren. Verwendet den Servernamen, den der Server auch wirklich trägt. Warum er mitten in der Meldung die Sprache wechselt wissen wohl nur die Softwareingenieure in Redmond…

Offenbar klappt die Aushandlung der Kerberos Authentifizierung nicht. Mit einem Netzwerksniffer lässt sich dies leicht nachvollziehen.

Vielleicht hilft es ja dem einen oder anderen!

FSMO Rollen zwangsweise verschieben (Role Owner Offline)

Hallo,

sollte ein DC der ein Role Owner ist defekt sein und nicht wieder zum laufen bewegen zu sein, müssen die Rollen des Owners übernommen werden.

Bitte aber nur wenn der DC wirklich nicht mehr zu retten ist. Der DC darf nach der übernahme der Rollen auf keinen Fall wieder online kommen. Sollte es z.B plötzlich 2 RID Master geben, kann es zu doppelten SIDs in eurer Struktur kommen. Was bei einem doppelten PTC passieren kann, kann sich sicher jeder bei der Studie meines ersten Blog Eintrages ausmahlen.

Als erstes muss ein DCpromo /forceremoval durchgeführt werden.

Im Anschluss lassen sich die Rollen mit ntdsutil übernehmen.

dazu rufen wir ntdsutil in einer shell auf und geben danach jeweils gefolgt von ENTER ein.

ntdsutil

roles

connections

connect to Server NAME-DC

seize FSMO Rolle.

Die Rollentypen sind

seize infrastructure master

seize PTC

seize RID Master

seize Schema Master

Seize naming master

Danach dringen im AD prüfen das der DC und seine SRV Records im DNS weg sind. auch ein dcdiag um zu überprüfen ob es unserem AD wieder gut geht sollte unbedingt durchgeführt werden.

Soviel in aller Kürze

Bis zum nächsten mal 🙂

Mein erster Blogeintrag oder Was passiert wenn FSMO Rollen ausfallen

Immer wieder höre ich wie kritisch es ist wenn FSMO Rollen (Flexible Single Master Operations) ausfallen. Leider herrscht hier immer noch der Glaube vor das in kürzester Zeit das AD steht und nichts mehr geht. Dies ist aber nur zum Teil richtig.

Sehen wir uns dazu die einzelnen Rollen kurz an.

  1. Schemenmaster
  2. Infrastrukturmaster
  3. Domainnamingmaster
  4. RID-Master
  5. PDC-Emulatur

Ich möchte nur sehr (sehr) kurz auf die Funktion der Rollen eingehen und beschreiben was passiert wenn genannte Rolle nicht mehr zur Verfügung steht.

Schemenmaster

Der Schemenmaster ist im gesamten AD Forest nur einmal vertreten. Dieser verwaltet wie man erwarten würde das AD Schema, also alle Attribute die das AD kennt( CN,DN,lastLogon) um nur mal ein paar User Attribute zu nennen.

Fällt dieser aus, ist es nicht möglich neue Attribute im AD anzulegen. Da dies aber sehr selten der Fall ist (z.B. bei der erstmaligen Installation einens Exchange oder Lync)

Somit ist der Ausfall zwar unschön, benötigt aber nicht sofortiges Eingreifen.

Infrastrukturmaster

Diese Rolle ist einmal pro Domain verfügbar. Er verwaltet die Verweise auf andere Objekte die in anderen Domains existieren. Der Ausfall dieser Rolle ist kritisch, wenn sich im Forest mehr als eine Domain befindet. Sollte hingegen nur eine Domain existieren ist auch der Ausfall dieser Rolle nicht lebenswichtig für das AD.

Domainnamingmaster

Der Domainnamingmaster ist wieder eine „Forest-Rolle“ Es darf Sie nur einmal in der Gesamtstruktur geben. Er verwaltet alle Domains die in einem Forest existieren. Sollte die Rolle ausfallen ist es nicht mehr möglich eine Domain neu anzulegen oder zu entfernen. Somit kann auch bei dieser Rolle in der Regel eine gewisse Downtime tolleriert werden.

RID-Master

Der RID-Master verwaltet einen Pool aus Eindeutigen Kennungen. Bei jeder Anlage eines Users, Gruppe, Computer usw. im AD wird dieses Objekt mit einer SID ausgestattet. Der RID-Master vergibt einen „RID-Pool“ an jeden DC. Dieser enthällt in der Grundkonfiguration 500 RIDs. Wird nun ein neues Objekt angelegt, wandelt der DC nun eine RID aus dem erhaltenen RID-Pool in eine eindeutige SID um, die er dem Objekt zuweist.

Das heisst auch wenn der RID-Master offline ist, ist neu Neuanlage von Objekten weiterhin möglich und zwar solange bis die RID Pools der DCs erschöpft sind. In kleinen Domains kann soetwas durchaus Monate oder länger dauern.

PDC-Emulatur

Nun die Meiner Meinung nach kritischte Rolle. Der PDC Emulator stellt unter anderm die Kennwortverwaltung oder besser gesagt Änderung zur Verfügung. Jedes Kennwort wird, wenn es der DC als falsch einstuft nochmals gegen den PDC Emulator geprüft.

Der PDC ist zusätzloch für die Zeitsyncronisierung, die Anwendung und Verwaltung der GPOs und das Handling der Trusts (Vertrauensstellungen) verantwortlich. Sollte euch also diese Rolle ausfallen sollte unbedingt zeitnah gehandelt werden.

Wer im Forest welche Rollen inne hat, kann man mit dem Kommando

„netdom query fsmo“

prüfen.

Die Rollen übertägt man am einfachsten mit der Powershell mit installiertem AD-Modul. Dazu einfach

„Move-ADDirectoryServerOperationMasterRole -Identity ZIELDOMAINCONTROLLER -OperationMasterRole ROLLE“

eingeben.

Die verfügbaren Rollen sind SchemaMaster, RIDMaster, InfrastructureMaster, DomainNamingMaster, PDCEmulator

Dies funktioniert natürlich nur dann wenn die Rolle auf dem Quell DC noch verfügbar und online ist. Wie FSMO Rollen übernommen werden wenn die Rolle bereits offline ist, werde ich wohl in meinem nächsten Eintrag beschreiben.

Hoffentlich bald mehr von Mir 🙂