Category Archives: Microsoft

SCCM 2012 Bereitstellung

Aufgrund einiger bevorstehender kleineren Projekte, bin ich in den letzten Tagen dabei die System Center Familie ein wenig zu evaluieren. Die Produktfamilie ist ja nun doch schon sehr groß geworden und deckt alle erdenklichen Bereiche ab. Aufgrund der Anzahl der zu verwaltenden Server und Clients ist der Einsatz des SCCM essentiell. Daher werde ich einige Zeit in das Produkt investieren um es für die bevorstehenden Projekte optimal einsetzen zu können.

Zunächst einmal ein paar, aus meiner Sicht, wichtige Fakten vorab:

  • SCCM 2012 erfordert einen vollständigen SQL Server (keine Express Edition)
    • Derzeit wird nur SQL 2008 (R2) unterstützt – kein SQL 2012
    • SQL 2008 SP2 CU9 / SP3 CU4
    • SQL 2008 R2 mit SP1 und CU6
    • SQL Server Kollektion: SQL_Latin1_General_CP1_CI_AS
    • supported-sql-versions-in-sccm-2012
    • Keine dynamischen Ports, ausschließlich feste Portzuweisung
    • SQL 2008 Feste Portkonfiguration
      SQL 2008 Feste Portkonfiguration
  • SCCM2012 CAS (Central Administration Site)
    • Wird nur bei mehreren Primären Standorten benötigt
    • Ist ein übergeordnerter Server, der Berichtsübergreifend über alle Primären Server agiert
    • CAS setzt einen dedizierten Server voraus
      • Eine Installation gemeinsam mit einer Primären Rolle ist nicht möglich
    • Eine absolut gute Installationsanleitung gibt es bei windows-noob
  • SCCM2012 Primärer Server
    • Nach Installationsabschluss ist kein Wechsel der Beziehung zu einem CAS möglich
    • Primärer Server unterstützt bis zu 50.000 Clients
      • Bei lokalem SQL Server (auf gleicher Maschine)
    • Bis 100.000 Clients bei dediziertem SQL Server
    • 1 Management Point = 25.000 Clients, 2 MP = 50.000 Clients, usw.
      • Ein Primärer Server verwaltet max. 10 Management Points
    • Sehr gute Installationsanleitung auch unter windows-noob
  • Migration SCCM 2007 zu SCCM 2012
    • Für die Migration von 2007 zu 2012 kann der SCCM 2012 parallel installiert werden
      • Zwingend anderen Sitecode und Maschinennamen verwenden

Ich habe die Installation eines Primären Servers bereits erfolgreich abgeschlossen. Da ich die genannten Anleitungen sehr brauchbar finde, verzichte ich an dieser Stelle darauf eine eigene zu erstellen und habe versucht den Fokus darauf zu legen, was vor bzw. während der Installation für Fragen und Probleme auftauchen können.

Viel Spaß beim Testen und Evaluieren.

70-659 Windows Server 2008 R2 Server Virtualization

Da ich, aufgrund der freundlichen Unterstützung von ppedv, noch einen Gutschein für die Serverprüfung 70-659 hatte, habe ich diesen heute eingelöst.

Wenn man ein wenig Erfahrung im Bereich Hyper-V und der Verwaltung von Hyper-V mit dem SCVMM 2008 R2 hat, dann ist diese für viele sicherlich kein Hindernis.

Allerdings passten die Fragen zum Remotedesktop Service nicht so recht zu dieser Prüfung. Davon waren einige vorhanden die sich auf die Themen Verbindung, Lizenzierung und Broker bezogen.

Ansonsten bin ich ganz froh, dass ich den Gutschein erfolgreich nutzen konnte und die Prüfung bestanden habe. Wer noch weitere gehende Informationen sucht, sollte sich den folgenden Beitrag anschauen, besser hätte ich es nicht zusammenfassen können: Virtualboy Blog

Windows 8 Consumer Preview…

… steht unter preview.windows.com zum Download bereit. Den Download habe ich eben bereits vorgenommen und dieser war schnell erledigt. Bei mir reichte die Registrierung der Mail-Adresse zum Download aus. Der Download enthält zunächst eine Setup.exe die den Rechner und seine Anwendungen auf Kompatibilität prüft, danach wird der Download der notwendingen Dateien vorgenommen. Die Installationsdateien sind, nach Abschluß, im Verzeichnis C:\WindowsESD zu finden.

Wer sich direkt die ISO-Dateien runterladen will, kann diese unter windows.microsoft.com/en-US/windows-8/iso herunterladen.

Werde mich morgen mal an die Installation machen.

Technet IT-Camp Köln

Am 02.02.12 fand das IT-Camp von Microsoft in Köln statt. Da ich mir einen der begehrten Plätze sichern konnte, gibt es hier eine kleine Zusammenfassung, was geboten wurde und welche Themen auf der Agenda standen.
Zunächst einmal ist das IT-Camp ein neues Veranstaltungsmodell von Microsoft. In diesem Rahmen sollen die Teilnehmer ihre eigene Hardware (Notebook) mitbringen und können über RDP auf eine Virtuelle Umgebung zugreifen und so einige Übungen durchführen.
Im Zeichen dieses IT-Camps stand natürlich die beiden Themen Migration und das derzeit angesagte Thema Virtualisierung (Cloud). Nach einer Einführung beschäftigte sich der Vormittag mit allem rund um die Migration. Dazu konnte man per Handout einige Teilmigrationen von Server 2003 auf 2008 R2 durchführen. Unter anderem File-/DHCP und Domänen- Migration. Auf weitere Themen, wie PKI-/Print- Migration wurde ebenfalls eingegangen. Die Handouts waren eine Schritt für Schritt Anleitung, so dass jeder Teilnehmer die Möglichkeit hatte, alle Schritte nachzuvollziehen und selbst auszuprobieren. Die beiden Dozenten Carsten Rachfahl (www.rachfahl.de) und Lars Schmoll (Microsoft) standen immer zur Seite und schwirrten durch die Reihen um Fragen und Probleme schnell zu lösen.
Der Nachmittag stand nun im Zeichen von Hyper-V. Allerdings gab es hier, aufgrund der Zeit, keine Möglichkeit mehr, eigene Versuche oder Übungen durchzuführen. So wurde es zu einer Informativen Informationsveranstaltung zum Thema Hyper-V und es gab einige Interessante Informationen zum neuen SCVMM 2012.
Zusammenfassend finde ich das Konzept durchaus gelungen und sehr informativ. Allerdings fand ich, dass gerade zum Thema Hyper-V “zu viele” Einsteigerinformationen geliefert wurden. Hier hätte man die Zeit ein wenig für tiefgreifende Informationen und Hintergründe verwenden können.

IT-Camp Cologne Themen Migrationen und Hyper-V

Installation Exchange SP2

Am 04.12.2011 hat Microsoft das Service Pack 2 zu Exchange 2010 veröffentlicht. Da ich ein wenig Zeit gefunden habe, meine Umgebung ein wenig zu aktualisieren, habe ich das zum Anlass genommen, dass SP2 zu installieren.

Zu den Interessantesten Neuerungen gehöret z.B. die Neuauflage der Mini-Version von Outlook Web App. Diese ist speziell für den Webzugriff über Smartphones gedacht. Ansonsten finden sich viele Verbesserungen im Detail und eine verbesserte Cloud-Kompatiblität. Alle Neuerungen sind unter folgenden Link einsehbar: http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=4e5554f9-a5ce-40d6-8353-94d5a34b635e

Die Installation selbst, ist ziemlich unspektakulär, nachdem alle Parameter konfiguriert wurden, läuft die Setuproutine durch und aktualisiert alle erforderlichen Rollen.

Nachdem die Rollen aktualisiert wurden, ist kein Neustart erforderlich und der Exchange steht weiterhin den Usern zur Verfügung.

Um z.B. die neue Funktionalität der Outlook Mini Anwendung in Augenschein zu nehmen, genügt der Aufruf von “https://mail.domain,de/owa/oma” im Internet Explorer. Nach erfolgreicher Authentifizierung sieht man bereits die sehr minimalistische Oberfläche. Anbei mal zwei Bilder, einmal nach Login und daneben die Ansicht auf den Posteingang.

Login- und Posteingangsansicht bei Login via OMA

Das SP2 kann unter folgendem Link bezogen werden: http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=4e5554f9-a5ce-40d6-8353-94d5a34b635e

 

Installation einer Offline Root CA

Aufgrund eines Fehlers und wahrscheinlich, weil ich nicht aufgepasst habe, habe ich bei der Migration von ESXi auf Hyper-V eine VM gelöscht, auf der meine Offline CA gespeichert war. Natürlich hatte ich ausgerechnet von diesem Zertifikat keine Datensicherung des privaten Schlüssels. Da in der Root CA auch noch ein Designfehler vorhanden war bzgl. der CRL, habe ich mich dazu entschieden, ein neues Root Zertifikat zu erstellen und die vorhandenen Designfehler zu korrigieren.

Da sieht man mal wieder, wie wichtig eine vernünftige Planung, auch in einer Testumgebung ist und das man natürlich die Datensicherung, gerade von kritischen Geräten nicht vergessen sollte 😉

Die Grundkonfiguration lässt sich mit folgenden Schritten schnell erledigen:

  1. 1. Standard-Installation von Windows Server 2008 R2 Enterprise Edition (Aktivierung auch gleich erledigen)
  2. Primären DNS-Suffix eintragen
  3. Unter C: ein Verzeichnis ADCS mit zwei Unterverzeichnissen “Database” und “Logs” anlegen
  4. Serverrolle Active Directory Zertifikatsdienste (Active Directory Certificate Services) installieren
  5. Bei Rollendiesten “Zertifizierungsstelle” auswählen
  6. Installationstyp “Eigenständig
  7. Zertifizierungsstellentyp “Stammzertifizierungsstelle
  8. Privater Schlüssel “Neuen privaten Schlüssel erstellen
  9. Kryptografiediensteanbieter: “RSA#Microsoft Key Storage Provider
    1. Schlüsselzeichenlänge “4096” (meine Empfehlung)
    2. Hashalgorithmus “SHA1
  10. Allgemeiner Name dieser Zertifizierungsstelle “F1NaLByte Root Authority” (denkt euch euren eigenen aus 😉 )
  11. Gültigkeitsdauer, da es sich um eine Offline Root CA handelt, kann diese zwischen 20 und 30 Jahren liegen. Wenn dieses Zertifikat kompromitiert werden sollte, verliert es ohnehin seine Gültigkeit.
  12. Zertifikatdatenbank, auswählen des im Vorfeld angelegenten Database-Verzeichnis für die Datenbank und Logs-Verzeichnis für die Logs.

Restliche Abfragen mit Standardwerten bestätigen. Daraufhin ist die Rolle installiert.

Konfiguration Sperrlistenverteilungspunkt

Nun müssen die Sperrlisteninformationen angepasst werden, dass ist wichtig! Hier sind zunächst alle Einträge mit “ldap” und “file” zu löschen, siehe Bild.

Das ganze sollte, nach geänderter Konfiguration, folgendermaßen aussehen:

Eintragen einer verfügbaren URL

Konfiguration Stelleninformationen

Zuletzt sollte ebenfalls der Zugriff auf die Stelleninformationen angepasst werden.

Konfiguration des Zugriffs auf die Stelleninformationen

Veröffentlichung der Sperrliste

Nächster Schritt ist die Konfiguration für das Veröffentlichungsintervall der Sperrliste. Da ich mit dieser Root CA nur meine Sub CA autorisiere, kann das Intervall ziemlich hoch eingestellt werden. Dies sollte aber im Einzelfall betrachtet werden. Bei Ausstellung von mehrere SubCA, sollte man das Intervall entsprechend der Anforderungen anpassen. In meinem Fall habe ich mich für 2 Jahre entschieden.

 

Konfiguration der Zertifikatssperrliste
Zertifikatssperrliste Konfiguration

Nun muss noch die Zertifikatssperrliste veröffentlicht werden: Veröffentlichung der Zertifikatssperrliste

Ist der “File-Pfad” nicht verändert worden, so befindet sich die veröffentlichte Sperrliste nun an folgendem Ort: “C:WindowsSystem32CertSrvCertEnroll

Speicherort der Sperrliste

Diese beiden Dateien können nun mit dem Root- Zertifikat exportiert werden. Die beiden Dateien müssen unter der konfigurierten URL auf dem Webserver zur Verfügung gestellt werden.

Damit ist die Konfiguration der Offline Root CA abgeschlossen und alle notwendigen Dateien stehen zur Verfügung. Der nächste Schritt wäre die Erstellung einer untergeordneten Online CA (SubCA) die, beispielsweise, im Active-Directory veröffentlicht ist.

Schemaerweiterung für SCCM2012

Die Installation der derzeitig, frei verfügbaren System Center Configuration Manager 2012 Beta 2 ist in Vorbereitung. Dazu wurde gerade eine Schemaerweiterung auf einem Domänencontroller erfolgreich abgeschlossen (Successfully extended the Active Directory schema).

Vorgehen erfolgte nach folgendem TechNet-Artikel: SCCM Schemaerweiterung TechNet

Nach der Schemaerweiterung muss noch der Container “System Management” angelegt werden, dieser wird durch die Schemaerweiterung nicht automatisch angelegt.

  • Zum Anlegen des Containers “System Management” ADSI-Edit mit Domänenrechten starten.
  • Rechtsklick Container “System” ->Neu->Objekt
  • Auswahl von “Container”
  • Name: System Management

Mit diesem Vorgehen ist der Container System Management nun vorhanden. Siehe auch TechNet-Artikel

Im nächsten Schritt muss dem Computerobjekt, auf dem der SCCM installiert ist, Schreibende Berechtigung auf den Container eingerichtet werden.

 

VM aus dem SCVMM entfernen ohne Löschen der VHD`s

Bei der Migration einer Debian-Maschine wurden nur die vmdk-Files in vhd transferiert. Danach bekamm ich vom SCVMM einen Timeoutfehler (Error 3101) angezeigt. Die Maschine wurde zwar im Hyper-V-Manager erstellt, aber ohne Konfiguration der Hardware. Da die VHD`s nun vorhanden waren, wollte ich diese nicht löschen oder einen Neustart versuchen.

So konnte ich im Hyper-V-Manager die Hardware hinzufügen und die VM danach starten und die restlichen SChritte aus dem vorherigen Artikel durchführen und die Migration war abgeschlossen.

Leider übernahm der SCVMM-Manager auch durch Aktualisierung nicht, dass die VM nun Lauffähig war. Hier blieb nur die Option “Auftrag wiederholen” und “Löschen”Leider bietet der SCVMM keine Möglichkeit, nur den Eintrag zu löschen. Hierbei muss der Umweg über die Datenbank gegangen werden.

  1. Beenden des Virtual Machinge Manager Service.
  2. Aufrufen des SQL Management Studio, auf dem Server auf dem die SCVMM DB (Default: VirtualManageDB) abgelegt ist
  3. Öffnen der Datenbank und erweitern der Tabelle
  4. Rechtsklick auf tbl_WLC_VObject und z.B. die “obersten 200 Zeilen bearbeiten”.
  5. In der Spalte “ObjectState” könnt ihr den Status der VM sehen. dort sucht ihr euch den Status der VM raus, die ihr entfernen wollt, in meinem Beispiel Status 310.
  6. Mit dem Skript aus dem Artikel “RemoveMissingVMs”  werden alle VMs aus der SCVMM Datenbank entfernt, die den angegebenen Status anzeigen.
  7. Ihr könnt das Skript in SQL auf die bestehende Tabelle anwenden.
  8. Nachdem das Skript ausgeführt wurde, sieht die Ausgabe z.B. so aus:

Danach könnt ihr das SQL Server Management Studio schließen und den Dienst “Virtual Machine Manager” starten. Sobald sich die SCVMM-Konsole öffnet, fällt euch die fehlende VM auf. Diese wird durch Aktualisieren des Hosts wieder angezeigt und mit dem korrekten Status importiert.

Weitere Artikel: