Gemäss Handbuch wird ein Server nach der Installation und Konfiguration einem “Hardening” Prozess unterzogen. Somit werden alle nicht benötigten Dienste und Prozesse deaktiviert um die Angriffsfläche zu verkleinern. In diesem Zusammenhang wird in den meisten Fällen auch die Authentifizierung angepasst. Ein Active Directory kann NTLM, NTLMv2 sowie Kerberos zur Authentifizierung verwenden. Als eine Best Practice wird in diesem Zusammenhang empfohlen, dass ältere Protokoll NTLM im ganzen Netzwerk zu deaktivieren. Dazu kann zum Beispiel sehr einfach mittels einer Group Policy Object (GPO) umgesetzt werden: Computer Configuration ⇒ Policies ⇒ Windows Settings ⇒ Security Settings ⇒ Local Policies ⇒ Security Options ⇒ Network security: Restrict NTLM: …

Für Windows und Windows Server mag dies eine gute Einstellung sein, doch Hyper-V Failover Cluster hat mit dieser Einstellung ein Problem. Denn wird NTLM deaktiviert, so kann nicht mehr auf das CSV Volume zugegriffen werden. Im Event Log wird die folgende Fehlermeldung mit der ID 5121 festgehalten:

Log Name: System
Source: Microsoft-Windows-FailoverClustering
Event ID: 5121
Task Category: Cluster Shared Volume
Level: Error
Symbolic Name: DCM_VOLUME_NO_DIRECT_IO_DUE_TO_FAILURE
Description: Cluster Shared Volume ‘Volume1′ (‘Cluster Disk 1′) is no longer available on this node because of ‘STATUS_BAD_NETWORK_PATH(c00000be)’. All I/O will temporarily be queued until a path to the volume is reestablished.

Um das Problem zu beheben ist es zwingend erforderlich dass die in dem Group Policy Object, welche NTLM deaktiviert, die Hyper-V Hosts ausgeschlossen werden. Es kann auch eine weitere GPO angelegt werden, welche speziell für den Hyper-V Failover Cluster NTLM wieder aktiviert. Einen Security Guide speziell für Hyper-V hat Microsoft bereits schon vor einigen Monaten veröffentlicht.

Eine sehr ähnliche Fehlermeldung zu Cluster Shared Volume hatten wir schon Mal vor einem Jahr. In diesem Artikel geht es ebenfalls um eine deaktivierte Funktion welche den Hyper-V Failover Cluster mit aktiviertem CSV ins Straucheln bringt…

Weitere Informationen

• Microsoft TechNet: Event ID 5121 — Cluster Shared Volume Functionality

Beim editieren oder anschauen eine Group Policy mit dem Group Policy Editor (GPE) kann es vorkommen, dass nachfolgende Fehlermeldung beim Lesen eines ADM-Template erscheint:

The following entry in the [strings] section is too long and has been truncated.

Im KB 842933 beschreibt Microsoft die Ursache für dieses Problem:

This problem occurs because older versions of the Group Policy editor cannot interpret some string types that include more than 255 characters. These string types are included in parts of .adm files that are meant to be excluded by the “IF VERSION” construct.

Typically, the problem occurs when you try to view or modify a GPO that has been viewed by a different workstation, and that workstation contains .adm files that use the “IF VERSION >=5″ construct. When an administrative workstation views a GPO, the workstation automatically updates that GPO with the latest version of the .adm files. If the workstation’s .adm files are newer than the files that are contained in the Adm folder of the domain GPO, the template files are updated. If the template files contain the “IF VERSION >=5″ construct, when an administrative workstation tries to modify or to view the GPO, and the workstation does not have this hotfix installed, the errors occur.

Mit dem Hotfix von Microsoft aus dem genannten KB kann dieses Problem ganz einfach behoben werden.

Mit BgInfo von Microsoft Sysinternals, die Tool Suite von Microsoft, können einfach und schnell wichtige Informationen auf dem Desktop angezeigt werden.

BgInfo

How many times have you walked up to a system in your office and needed to click through several diagnostic windows to remind yourself of important aspects of its configuration, such as its name, IP address, or operating system version If you manage multiple computers you probably need BGInfo. It automatically displays relevant information about a Windows computer on the desktop’s background, such as the computer name, IP address, service pack version, and more. You can edit any field as well as the font and background colors, and can place it in your startup folder so that it runs every boot, or even configure it to display as the background for the logon screen.

Integration in Group Policy

Damit das Tool nicht auf jedem Server manuell in den Startup Folder kopiert werden muss, kann BgInfo auch mittels Logon-Script oder einer Group Policy gestartet werden. Nachfolgend ein eigens erstelltes ADM-File:

;TITLE:   ADM to start BgInfo
;AUTHOR:  Michel, server-talk.eu
;VERSION: 0.2

CLASS MACHINE
CATEGORY "Windows Server settings"

  POLICY "BgInfo Settings"
    KEYNAME "Software\Microsoft\Windows\CurrentVersion\Run"
    EXPLAIN "Configure BgInfo for displaying system informations."
    PART "Path and config parameters for BgInfo" EDITTEXT
        DEFAULT "\\dom.tld\NETLOGON\BgInfo\BgInfo.exe \\dom.tld\NETLOGON\BgInfo\BgInfo.bgi /timer:0 /NOLICPROMPT"
        VALUENAME "BgInfo"
    END PART
  END POLICY
END CATEGORY

Das File kann als BgInfo.adm abgespeichert und in eine Server Group Policy (GPO) eingefügt werden. Nicht vergessen das Filtering umzustellen: “GPMC ⇒ GPO edit ⇒ View” deaktivieren von “only show policy settings that can be fully managed”.

Support

Tools von Sysinternals kommen zwar inzwischen von Microsoft, werden allerdings als “as is” bereitgestellt. Ein Auszug aus den Sysinternals Software License Terms:

9. DISCLAIMER OF WARRANTY: The Software is licensed “as is”. You bear the risk of using it. Sysinternals gives no express warranties, guarantees or conditions. You may have additional consumer rights under your local laws which this agreement cannot change. To the extent permitted under your local laws, Sysinternals excluded the implied warranties of merchantability, fitness for a particular purpose and non-infringement.

10. LIMITATION ON AND EXCLUSION OF REMEDIES AND DAMAGES: You can recover from Sysinternals and its suppliers only direct damages up to U.S: $5.00. You cannot recover any other damages, including consequential, lost profits, special, indirect or incidental damages.

Download

Sysinternals BgInfo kann direkt beim Hersteller heruntergeladen werden. Sysinternals Utilities können alternativ auch direkt via “Live.Sysinternals.com” gestartet werden.

[box type="download" size="medium"] BgInfo.zip (387 KB) [/box]

Für Notebook-User ist es besonders ärgerlich, wenn die Energiesparoptionen “falsch” eingestellt wurden. Mittels zwei Registry-Keys kann nun auch ein “non-Administrator” seine Energiesparoptionen selber einzustellen. Damit diese Konfiguration als User vorgenommen werden kann, muss auf folgenden Registry-Keys eine entsprechende Gruppe, zum Beispiel “Domain Users”, die Berechtigung “Full Control” erteilt werden:

Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Controls Folder\PowerCfg\GlobalPowerPolicy
Entry: -

Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Controls Folder\PowerCfg\PowerPolicies
Entry: -

Diese Einstellung könnte auch mittels Group Policy auf die betroffenen Clients verteilet werden. Die Einstellung dazu findet man unter: Computer Configuration ⇒ Windows Settings ⇒ Registry. Wenn im Control Panel die entsprechenden Icons ausgeblendet wurden, nicht vergessen das “powercfg.cpl” wieder einzublenden: User Configuration ⇒ Administrative Templates ⇒ Show only specified Control Panel applets.

Disclaimer

Bevor die Registry bearbeitet wird, sollte ein Backup erstellt und vergewissert werden, dass bei einem Problem ein Restore der Registry durchgeführt werden kann. Die unkorrekte Verwendung eines Registry-Editors kann schwerwiegende Probleme verursachen, die eine Neuinstallation des  Operating Systems erforderlich macht. Die Anpassung erfolgt auf eigene Verantwortung.

• Microsoft KB 141377: Differences between Regedit.exe and Regedt32.exe
• Microsoft KB 322756: How to back up and restore the registry in Windows

Der Policy Reporter von SysPro Software hilft beim Verwalten und Überprüfen von Gruppenrichtlinien. Die Freeware wertet die lokalen Protokolldateien aus, welche durch Windows beim Abarbeiten der Gruppenrichtlinien angelegt werden (userenv.log), und stellt sie als übersichtliche Baumstruktur dar.

About Policy Reporter

It reformats the log provided in %systemRoot%\Debug\UserMode to give a more meaningful display. It provides a tree structure on the left which shows major events reported in the Log. Selecting an entry in the tree structure displays that section of the log in the view window. It also has a “Performance History” tab that loads Group Policy Performance information from the registry, including the time taken to apply the policies and what policies were applied.

Policy Reporter makes it much easier to understand how Microsoft implements Policy Processing.

Source

Die Source für Policy Reporter kann direkt bei SysPro Software heruntergeladen werden, zum Download… Wichtig! Natürlich gibt es andere Lokationen welche weitere Downloads anbieten, es sollte allerdings nur offizielle Builds und Download Centers aufgesucht werden. Zitat Forrest Gump: “Man weiss nie, was man kriegt.”

• Version: 4.1.6
• Date Published: 2007-11-01
• Language: Englisch
• Format: *.msi
• Publisher: SysPro Software
• License: Freeware

Die Fehlermeldung “Userenv” mit der Event ID 1054 ist ein häufiger Gast im Event-Log. Die Meldung im System Log des Windows Clients zeigt folgendes an:

Event ID: 1054
Source: Userenv
Type: Error
Description: Windows cannot obtain the domain controller name for your computer network. (The specified domain either does not exist or exist or could not be contacted). Group Policy processing aborted.

Der Meldung ist zu entnehmen, dass der Domain Controller nicht kontaktiert werden konnte. Dies ist oftmals ein Problem mit der Namensauflösung, sprich DNS. Im Microsoft KB  326152 wird dies näher beschrieben. Ein Workaround zu diesem Problem wird in KB 239924 beschrieben.

Zusammengefasst, mit folgender Registry-Anpassung kann das MediaSensing deaktiviert und das Problem somit behoben werden:

Key: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Entry: DisableDHCPMediaSense
Type: REG_DWORD
Value: 1 (Decimal)

Disclaimer

Bevor die Registry bearbeitet wird, sollte ein Backup erstellt und vergewissert werden, dass bei einem Problem ein Restore der Registry durchgeführt werden kann. Die unkorrekte Verwendung eines Registry-Editors kann schwerwiegende Probleme verursachen, die eine Neuinstallation des  Operating Systems erforderlich macht. Die Anpassung erfolgt auf eigene Verantwortung.

• Microsoft KB 141377: Differences between Regedit.exe and Regedt32.exe
• Microsoft KB 322756: How to back up and restore the registry in Windows