Ich hatte nun schon mehrfach den Fall, fĂŒr Testzwecke virt. (Trail-)Systeme zu nutzen. Dabei finde ich es einfacher, hierzu ein autom. Login einzusetzen. Zumal es einem ggf. auch erleichtet, wenn man eine VM mal mehrere Wochen nicht nutzt – dann allerdings die Zugangsdaten erstmal wieder erraten muss đ
FĂŒr diesen Zweck gibt es 2 Möglichkeiten.
1.) RegistryeintrÀge
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] „AutoAdminLogon“=“1“ „DefaultUserName“=“BENUTZER“ „DefaultPassword“=“KENNWORT“ „DefaultDomainName“=“DOMĂNE“
Wichtig! Beim Einsatz der Registrymethode wird das Passwort in Klartext abgelegt. Das solltet ihr aus SicherheitsgrĂŒnden berĂŒcksichtigen.
Microsoft ermöglicht es, die Windows Betriebssysteme fĂŒr einen bestimmten Zeitraum ohne gĂŒltige Lizenz zu testen.
In meinem Falle handelt es sich um eine Testversion zu Windows Server 2012 R2.
Die Testversionen laufen nur fĂŒr einen bestimmten Zeitraum – bei mir 180 Tage.
Danach ist normalerweise Schluss und man mĂŒsste die Testversion neu installieren oder eine Lizenz kaufen.
Es erscheint dann auch im Windows eine Meldung, das der Testzeitraum abgelaufen ist.
Jedoch lĂ€sst sich die Testlizenz auch verlĂ€ngern đ
Du brauchst nur eine Kommandozeile, welche mit Administratorrechten gestartet wurde.
FĂŒr die VerlĂ€ngerung muss dann folgender Befehl eingegeben werden: slmgr -rearm
Das ganze wird mit einer Meldung bestÀtigt, nun ist ein Reboot fÀllig.
Nach dem Reboot sollte die Testversion von Windows erneut 180 Tage lang laufen.
heute hatte ich ein Problem mit einem SBS 2008, welcher nach dem Wochenende keine Mails mehr via Smarthost versenden wollte.
Im der Warteschlangenanzeige des Exchange liefen nach und nach die Mails auf mit dem Fehler:
451 4.4.0 Primary target IP address responded with: „421 4.2.1 Unable to connect.“ Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.
Zuerst die ĂŒblichen VerdĂ€chtigen geprĂŒft:
Internetverbindung vorhanden?
Ports nicht geblockt?
DNS funktioniert auch fehlerfrei?
Alles schien zu passen. Internet war verfĂŒgbar, alle (relev.) Ports waren offen und der DNS funktionierte auch (auch mal ein ipconfig /flushdns) brachte keine Besserung.
Nach dem Motto „Reboot-tut-gut“ wurde auch das versucht – auch ohne Erfolg.
Nach ca. 1h dachte ich, komm, gebe nochmals die Daten fĂŒr den Smarthost ein – auch kein Erfolg.
Erst als ich fĂŒr den SmartHost andere Anmeldedaten verwendete, funktionierte es plötzlich wieder – seltsam, die „alten“ Anmeldedaten waren nach wie vor gĂŒltig und auch korrekt.
Du hast einen Exchange 2013 und brauchst ein SAN Zertifikat?
Dann könnte dir diese Beschreibung weiterhelfen.
[warning]ACHTUNG:
Diese Beschreibung ist nicht fĂŒr eine produktive Umgebung gedacht – bitte TESTE sorgfĂ€ltig![/warning]
In meiner Testumgebung sind 3 (virt.) Server vorhanden:
– DomĂ€nencontroller (DC) / Windows Server 2012 R2
– Applikationserver (AS) / Windows Server 2012 R2
– Exchange 2013 (EX) / Windows Server 2012 R2
Installation der Zertifikatsstelle (CA)
Als erstes installiere die Zertifizierungsstelle auf einem geeigneten Server (bei mir der AS). Bedenke: fĂŒr eine Active Directory integrierte Zertifizierungsstelle (CA) muss der Server Mitglied des Active Directorys sein.
Dies ist ĂŒber die „Rollen und Features“ durchzufĂŒhren. WĂ€hle dann hierbei die „Active Directory Zertifikatsdienste“ aus.
SAN CA
Es genĂŒgt zunĂ€chst der Rollendienst „Zertifizierungsstelle“
SAN CA
AnschlieĂend erfolgt die Installation
SAN CA
Ist die Rolle installiert, erscheint ein Hinweis im Server-Manager hinsichtlich der erforderlichen Konfiguration.
SAN-CA04
Die Konfiguration sollte als Administrator erfolgen.
SAN-CA05
Da bist jetzt nur die Zertifizierungsstelle installiert wurde, kann auch nichts weiteren konfiguriert werden.
SAN-CA06
Jetzt kann entschieden werden, welche CA-Art installiert werden soll – ich nehme die AD-integrierte Unternehmenszertifizierungsstelle.
SAN-CA07
Da es sich hierbei um die erste (oberste) CA-Stelle handelt, wĂ€hle ich die „Stammzertifizierungsstelle“.
SAN-CA08
Nun muss noch ein neuer SchlĂŒssel erstellt werden.
SAN-CA09
Bzgl. der VerschlĂŒsselungsoptionen belasse ich alles bei den Standardwerten.
SAN-CA10
Nun kann der Name vergeben werden – bitte nutze hier eine allgemeinen Namen.
SAN-CA11
Lege nun die GĂŒltigkeitsdauer fest. Diese sollte höher sein, als das auszustellende Zertifikat. Daher nehme ich jetzt einfach mal 20 Jahre.
SAN-CA12
Wo sollen die Daten abgespeichert werden? Ich nutze die Standardeinstellungen …
SAN-CA13
Kurz noch eine Zusammenfassung, anschlieĂend mit „konfigurieren“ das ganze bestĂ€tigen.
SAN-CA14
Fertig – zumindest mit diesem Teil!
SAN-CA15
Zertifikatsvorlage fĂŒr SAN Zertifikat
Erstelle eine neue Vorlage ĂŒber die Zertifikatsvorlagen und gehe mit einem Rechtsklick auf „Verwalten“.
SAN-CA-20
Suche nun die Vorlage „Webserver“ und wĂ€hle „Vorlage duplizieren“.
SAN-CA-21
Als Namen fĂŒr mein 2 Jahres Zertifikat wĂ€hle ich „Exchange-Server-Zertifikat“
SAN-CA-22
Damit spĂ€ter auch alle DNS-Namen erfasst werden können, muss der Haken bei âVom Antragssteller zugelassene symmetrische Algorithmen einbeziehenâ auf dem Reiter âAnforderungsverarbeitungâ aktiviert werden. Soll das Zertifikat spĂ€ter exportiert werden, der solle auĂerdem den Haken bei âExportieren von privaten SchlĂŒssel zulassenâ setzen.
SAN-CA-23
Ăber die „Sicherheit“ sollte die Gruppe „Exchange Server“ Vollzugriff haben.
Ăber die Zertifizierungsstelle kann jetzt die neue Vorlage hinzugefĂŒgt werden, dazu Rechtsklick auf âZertifikatsvorlagenâ â> âNeuâ â> âAuszustellende Zertifikatsvorlageâ.
Im nĂ€chsten Dialog wird die Vorlage âExchange Server Zertifikate L*â ausgewĂ€hlt und hinzugefĂŒgt.
SAN-CA-24
SAN Zertifikat fĂŒr den Exchangeserver beantragen
Wir wechseln nun auf den Exchangeserver (EX).
Bevor wir starten, aktualisieren wir noch die Gruppenrichtlinien, damit auch das Stammzertifikat installiert wird.
SAN-CA-30
Ăffne nun ĂŒber die Verwaltung die „Zertifikate“.
Unter dem Punkt âEigene Zertifikateâ â> âZertifikateâ, kann ĂŒber den MenĂŒpunkt âAlle Aufgabenâ â> âNeues Zertifikat anfordernâ das neue Zertifikat fĂŒr Exchange beantragt werden.
SAN-CA-31
Siehst du nun die Active Directory-Registrierungsrichtlinie – dann passt es đ
SAN-CA-32
Klicke nun auf âWeiterâ, es wird jetzt die eben erstellte Vorlage angezeigt. Setzte den Haken und klicke auf âEs werden zusĂ€tzliche InformationenâŠâ
SAN-CA-33
Im Abschnitt Antragsteller mĂŒssen die grundlegenden Informationen angegeben werden:
Organisation (Firmenname)
Land
Organisationeinheit (EDVâŠ)
Allgemeiner Name (aus KombatibilitĂ€tsgrĂŒnden am der externe Zugriffsname, also owa.<domĂ€ne>.de)
Achtung:
Im Abschnitt âAlternativer Nameâ können/mĂŒssen nun DNS-Namen hinzugefĂŒgt werden unter denen auf Exchange zugegriffen wird, diese Einstellungen sind abhĂ€ngig von der Exchange Konfiguration. Die DNS Namen mĂŒssen je nach Umgebung die internen Zugriffsnamen „(owa.frankysweb.local) und die externen Namen, also die Namen unter den Exchange ĂŒber das Internet erreichbar ist (owa.frankysweb.de) enthalten. In dem Screenshot weiter unten sieht man das ich die jeweiligen Exchange Dienste, alle unter separaten DNS-Namen veröffentliche (EAS, OWA, EWSâŠ) Man kann die Dienste auch unter einem Namen zusammenfassen, wie zum Beispiel mail.frankysweb.de/local. Wer es sich ganz einfach machen will, kann an dieser Stelle auch *.frankysweb.local und *.frankysweb.de eintragen. Dabei handelt es sich um ein Wildcard Zertifikat welches alle Hosts die auf frankysweb.local oder frankysweb.de hören akzeptiert. Man sollte sich also VORHER Gedanken machen unter welchen Namen die Exchange Dienste veröffentlicht werden. Ebenfalls sollte der Eintrag autodiscover.frankysweb.de/local nicht fehlen.
SAN-CA-34
Vergebe nun noch unter „Allgemein“ einen Namen
SAN-CA-35
Nun kann das Zertifikat beantragt werden.
SAN-CA-36
Das Zertifikat sieht nun wie folgt aus – mit allen angegebenen Namen.
SAN-CA-37
Neues Zertifikat im Exchange hinterlegen
Damit auch die UM Dienste von Exchange 2013 das Zertifikat akzeptieren,
muss vor dem Zuweisen der Dienste der Startmodus geÀndert werden.
Der Startmodus kann ĂŒber die Exchange Management Shell geĂ€ndert werden
In der Exchange Verwaltungskonsole sollten wir jetzt bereits ein gĂŒltiges neues Zertifikat angezeigt bekommen,
diesem Zertifikat mĂŒssen noch die Exchange Dienste zugeordnet werden. Das Zuordennen der Dienste, kann auch ĂŒber die Konsole erledigt werden.
SAN-CA-40
Nun noch alle Exchange Dienste zuweisen.
SAN-CA-41
Nun erscheint eine Warnung, das das Zertifikat getauscht wird -> mit JA bestÀtigen.
Zum Schluss noch die Dienste â
– Microsoft Exchange Unified Messaging  und
– Microsoft Exchange Unified Messaging Call Router
neustarten, damit auch dort die Ănderungen wirksam werden.
Soll das Zertifikat manuell z.B. auf einem Smartphone installiert werden, so Stammzertifizierungsstellenzertifikat installiert werden.
Dies findest du im Verzeichnis c:\Windows\System32\CertSrv\CertEnroll.
Es gibt wahrscheinlich tausende EintrĂ€ge ĂŒber Google bzgl. dieses Thema’s, aber ich hatte heute wieder einen Fall – daher dieser Niederschrieb đ
In einem Active Directroy (AD) von Windows lassen sich ganz bequem Kennwortrichtlinien erfassen und einstellen.
Allerdings muss man hierbei zwingend unterscheiden zwischen „konfigurieren“ und „nicht definieren“.
In meinem Beispiel dreht es sich um einen Windows Server 2012 R2 als DC und einen Exchange 2013 (auf einem sep. Win2012R2).
Als die 2012er DomĂ€ne installiert wurde, hatte die Default-Domain-Policy die Grundeinstellung, das die AD-Passwörter nach 42 Tagen auslaufen und geĂ€ndert werden mĂŒssen – das war mir zu kurz.
Leider habe ich dann darauf hin die beiden betroffenen Punkte auf „nicht definiert“ geĂ€ndert und dachte, das dies korrekt sei – leider falsch.
Die Richtlinie sah nun wie folgt aus:
Die hatte leider zur Folge, das die Standardeinstellungen des AD’s von 42 Tagen griffen, da die Richtlinien ja nicht definiert wurden ;-(
Nach ca. 35 Tagen wurde ich wieder erneut aufgefordert, mein Kennwort erneut zu Ă€ndern – hĂ€?
Nunja, nach genauerer Ăberlegung kam mir dann, das ich die Richtlinie falsch konfiguriert hatte.
Nach meiner Ănderung sah die Richtlinie wie folgt aus:
Nun war die Einstellung korrekt, d.h. das Kennwort lÀuft nun nicht mehr ab.
Vielleicht hilft es ja dem ein oder anderen auch mal, wenn er ĂŒber so etwas stolpert …
WĂ€hrend die Downloads laufen, können auf dem zukĂŒnftigen Exchangeserver schon mal die erforderlichen Rollen/Features installiert werden. Das geht einfach ĂŒber den Servermanager – oder ĂŒber die Powershell mit …
Nach dem erforderlichen Neustart des Servers können nun die 3 Komponenten (FilterPack, FilterPack SP + UCMA) installiert werden.
Installation:
Nun folgt die eigentliche Installation des Exchangeservers. ZunĂ€chst sollten dazu die Setupdateien extrahiert werden. Einfach einen Doppelklick auf den 1,5 GB groĂen Download machen und einen Ordner (z.B. D:\_ex2013\entpackt) angeben.
AnschlieĂend kann die „setup.exe“ ausgefĂŒhrt werden (ich habe dies sicherheitshalber als „Administrator“ ausgefĂŒhrt).
exchange 2013
Man wird nun gefragt, ob nach Updates gesucht werden soll, welche beim Setup bereits berĂŒcksichtigt werden – ich wĂŒrde dies empfehlen und stimme dem daher zu …
exchange 2013
Momentan gibt es zwar noch keine, aber in Zukunft wird sich das wohl Ă€ndern …
exchange 2013
Nun kann es losgehen …
exchange 2013
Lizenzvertrag zustimmen…
exchange 2013
Hier muss jeder selbst entscheiden, ob Daten an Microsoft (und/oder NSA đ ) gesendet werden sollen.
exchange 2013
Da ich nur einen Exchange Server plane (und betreibe), kommen alle Serverrollen auf die Kiste …
exchange 2013
Pfad fĂŒr die Exchangeserver Installation auswĂ€hlen.
exchange 2013
Geben Sie nun den Namen der neuen Exchangeserver Organisation an…
exchange 2013
Die neue PrĂŒfung auf Schadsoftware soll aktiv bleiben. Hier die Standardeinstellung Nein ĂŒbernehmen.
exchange 2013
Nun prĂŒft das Setup die Vorrausetzungen (dauert ggf. ein paar Minuten), welche im Normalfall nur Warnungen aufzeigt, um dann die Installation zu starten. Mit einem Klick auf installieren kann diese gestartet werden.
exchange 2013
Nun arbeitet das Setup und installiert den Exchangeserver – dauerte bei mir ca. 30 Minuten.
exchange 2013
Nun ist der Exchangeserver installiert.
Bevor nun weitergearbeitet wird, sollte nun erstmal der Server rebootet werden.
Nach dem Neustart kann ĂŒber die neue Exchangeverwaltungskonsole (https://localhost/ecp/)Â die Konfiguration gestartet werden.
Da setzt man sich eine virtuelle Testumgebung auf, konfiguriert seine Systeme wie man sie benötigt – und dann das: man arbeitet lĂ€ngere Zeit nicht mehr damit (aufgrund anderer PrioritĂ€ten) oder kommt schlicht weg nicht mehr dazu (lĂ€ngerer Urlaub) und schon hat man das Passwort des Administrator’s nicht mehr parat.
Soll man jetzt die komplette Testumgebung neu installieren und konfigurieren?
Mir ist es leider heute genau so ergangen – allerdings habe ich im Internet eine (zugegeben erschrocken einfache – wenn nicht sogar die einfachste) Methode gefunden, das Passwort eines Users zurĂŒckzusetzten.
Ein physikalischer Zugriff (oder bei VMs ein Konsolenzugriff) ist erforderlich.
Geht wie folgt vor:
du brauchst eine original Windows Server DVD (getestet mit Server 2008 R2 und SBS 2011) und boote davon.
Sprache auswÀhlen und weiter.
unten âRepair your Computerâ anklicken
aktuelle Instanz auswÀhlen und weiter
als Recovery Option den Punkt âCommand Promptâ auswĂ€hlen
am Command Prompt wechseln nach D:\Windows\system32
Hinweis: Die Recovery Option erkennt die Windowsinstallation meist unter Laufwerk D!
Jetzt kommt der eigentliche „Trick“:
Die Datei utilman.exe (das ist die Eingabehilfe) umbenennen
(move Utilman.exe Utilman.exe.bak)
eine Kopie der cmd.exe erstellen als utilman.exe
(copy cmd.exe Utilman.exe)
Das war der aufwendige Teil – aber das war’s fast schon. Jetzt nur noch DVD raus und Rebooten. Nach dem normalen Start bei der Login-Aufforderung reicht jetzt ein Klick auf das Symbol unten links, und schon öffnet sich statt der Eingabehilfe ein CMD-Fenster. Was jetzt kommt, dĂŒrfte klar sein:
[important]net user administrator neuespasswort[/important]
Und schon kann man sich als Administrator mit dem gerade gesetzten Passwort anmelden. Nicht vergessen, spĂ€ter die alte utilman.exe wieder zurĂŒckzukopieren, wir wollen doch nicht, dass jemand den Rechner hackt, oder?
Seit Kurzem steht ein kostenloses Microsoft Press E-Book zu Windows Server 2012 zum Download bereit: mit allen neuen Features und Szenarien basierten Einblicken (auf Basis der Beta Version)
Das E-Book Introducing Windows Server 2012 (Based on Beta) ist in folgenden Formaten erhÀltlich: