Windows Server 2012 R2 DirectAccess – RemoteAccessServerDiscovery schlaegt fehl

Hallo Leutz,

bei einem Kunden implementiere ich zurzeit einen zweiten DirectAccess Server mit Windows Server 2012 R2. Die Installation und Konfiguration war erfolgreich. Nach einigen Tagen hatten wir jedoch in der RemoteAccess-Konsole einen Blinker Effekt, dass die Meldung kam, dass Daten nicht vom angegebenen Domaenen Controller abgerufen werden koennen und der Zugriff auf Gruppenrichtlinienobjekte fuer DirectAccess verweigert werden. Die DirectAccess Client-Funktionalitaet war jedoch nicht beeintraechtigt.

Nach zahlreichen Fehleranalysen bzgl. GPO Berechtigungen, AD Kommunikationsproblemen, Analyse von ETL-Traces und Microsoft Message Analyzer Mittschnitten, habe ich herausgefunden, dass der installierte Operations Manager Agent diese “Fehler” produziert.

Der SCOM Action Account laeuft im Local System Kontext und dieser Account hat keine Berechtigungen, die DirectAccess Server Gruppenrichtlinienobjekte abzufragen (zu lesen). Nachdem der Kunde den Action Account auf einen Service Account mit Leseberechtigungen auf die GPO geaendert hat, verschwand die Meldung auf dem DirectAccess Server.

Diese und weitere Informationen stehen in diesem Bilderbuch: http://www.it-training-grote.de/download/DA-RemoteAccessServerDiscovery-OpsMgr.pdf

Gruss Marc

Exchange 2010 – 2013 Migration – Exchange 2013 Benutzer koennen keine FreeBusy Informationen anderer Benutzer abfragen

Hallo Leutz,

ich bin gerade bei einem Kunden, welcher in der Migrationsphase von Exchange 2010 auf 2013 steckt. Man hat festgestellt, dass einige migrierte Benutzer auf Exchange Server 2013 nicht auf FreeBusy Informationen von anderen Benutzern zugreifen koennen (Weder ueber OWA noch ueber Outlook). Wenn das Postfach der Benutzer wieder auf Exchange 2010 verschoben wird, funktionieren die FreeBusy Zugriffe wieder. Also kann ein Outlook Client Problem ausgeschlossen werden (trotzdem testeten wir Autodisocver, EWS, OOF, OAB, CALcheck, TestExchangeConnectivity).
Spannend war hier, dass der Zugriff auf OOF funktioniert, sprich Proxy-Einstellungen konnten nicht dir Ursache fuer das nicht funktionierende FreebBusy sein.
Wir vermuteten also ein Active Directory Problem, kopierten die betroffenen Benutzer und erstellten fuer diese ein neues Postfach. Gleiches Verhalten. Dann fiel uns auf, dass die User Mitglieder in hunderten von active-Directory Gruppen waren und der Kunde schon mal ein Problem mit der Kerberos MaxTokenSize hatte.
Die Kombination der MaxTokenSize und der maximalen HTTP EWS Request Laenge fuehrte hier dazu, dass die Benutzer keine Berechtigungen zur Abfrage von FreeBusy-Informationen hatten. Abhilfe schafft die Vergroesserung der MaxTokenSize und Aenderung der MaxReceivedMessageSize und MaxBufferSize auf den 2013 CAS Servern in der Registry und Web.Config:
Zum KB Artikel

Gruss Marc

Windows Server 2016 – was ist neu als Komplettueberblick – Workshop bei der Fa. Netz-Weise in Hannover

Hallo Leutz,

im Rahmen der “IT Jogging Veranstaltungen” der Fa. Netz-Weise (http://www.netz-weise.de) darf ich am 03.09.2015 in der Zeit von 18:30 – 21:00 Uhr einen Workshop zum Thema “Windows Server 2016 – was ist neu als Komplettueberblick” halten.

Abstrakt:
In diesem Vortrag werden die wichtigsten Aenderungen in Windows Server 2016 theoretisch und praktisch vorgefuehrt.

Agenda:
– Hyper-V
– Failover Clustering und Storage Services
– Remote Desktop Services (RDS)
– Active Directory Neuerungen
– Web Application Proxy
– Neuerungen im Bereich der Netzwerkfunktionen

Anmeldung hier: (http://www.netz-weise.de)
Die Praesentation kann hier herunter geladen werden: (http://www.it-training-grote.de/download/WS2016-NetzWeise.pdf)

Gruss Marc

Windows Server 2012 R2 PKI Workshop bei der Firma Netz-Weise in Hannover

Hallo Leutz,

vom 27-30.04.2015 (4 Tage) findet bei der Firma Netz-Weise ein Windows Server 2012 R2 PKI Workshop mit mir als Referent statt.

Inhalt (Auszug):
– Ueberblick Windows 2012 R2 PKI
– Notwendigkeit von Public Key Infrastrukturen
– Anwendungsschicht: SSL/TLS, S/MIME, Kerberos
– Netzwerkschicht: IPsec, Interaktive und Netzwerk-Authentifizierung
– Authentifizierungsprotokolle: Kerberos, LM, NTLM, Anmelden mit Passwort und SmartCard
– Grundlagen Kryptografie
– Anwendungen durch PKI
– Neue PKI Features von Windows Server 2012 R2 sowie Windows 7 / Windows 8
– Windows Server 2012 R2 – Certificate Service – Roles
– PKI-Design und Implementierung einer mehrstufigen Windows Server 2012 R2 CA
– PKI-Administration mit Rollenseparation
– Schluessel-Archivierung und -Wiederherstellung
– S/MIME
– EFS (Encrypted File System)
– Auditing & Troubleshooting

Zielgruppe:
PKI-Administratoren, Sicherheitsbeauftragte

Anmeldungen hier: http://www.netz-weise-it.training

Gruss Marc

Microsoft Dynamics NAV 2013 R2 und Zertifikate

Hallo Leutz,

bei einem Kunden sind wir gerade dabei, Microsoft Dynamics NAV ueber einen Forefront TMG und Remote Desktop Gateway zu veroeffentlichen.
Dazu haben wir auf dem NAV Server fuer eine Navision Instanz die Authentifizieurng von Windows auf UserName umgestellt. Um diese Art Authentifizierung zu verwenden, muss in der NAV-Konfiguration ein Zertifikat hinterlegt werden. Dabei ist u. a. zu beachten, dass der Zertifikat-Fingerabdruck in Grossbuchstaben eingetragen wird und der CDP des Zertifikats erreichbar ist, sonst laesst sich die NAV-Instanz nicht starten. CAPI2 Logging fuehrte uns dann zur Fehlerursache.
Diese und weitere Informationen stehen in folgendem Bilderbuch:
http://www.it-training-grote.de/download/Navision-Certificate-Error.pdf

Gruss Marc