Merkwürdigkeiten

 

 

Auf http://de.wiktionary.org finden sich diese zwei Bedeutungen für das Wort Merkwürdig:

 

[1] durch Abweichung des Üblichen auffallend; Staunen, Verwunderung oder aber leises Misstrauen bewirkend

[2] veraltet: auffallend, des Merkens würdig

 

Dem entsprechend gibt es auf dieser Seite zwei Bereiche:

 

·         der des Merkens würdige

·         der Verwundernde

 

Hier werde ich Themen besprechen, die in einem anderen Thema dieser Seite nicht ausführlicher beschrieben wurden.

 

Zeitdienst W32tm

certutil.exe

repadmin.exe

Priorisierung der Anzeigedaten Remotedesktopdienste

Kreuzzertifikate

Migration von Benutzerdaten mit USMT

DNScmd

fsutil.exe - Testdateien erstellen

 

 

Zeitdienst W32tm

 

Innerhalb einer Domäne ist der DC mit der Betriebsmasterrolle PDC-Emulator unter anderem für die Einstellung der Zeit verantwortlich. Die Clientcomputer benutzen diesen Server um die aktuelle Zeit der Domäne, mit der Zeit des Computers zu vergleichen.

Mit dem Dienst W32tm kann das Verhalten des Servers beeinflusst werden, es können auch Berichte über die Clientcomputer erstellt werden.

 

Um den Server anzuweisen, sich die aktuelle Zeit bei einem externen Zeitserver zu holen, kann das Programm ebenfalls benutzt werden.

 

w32tm.jpg 

 

Geben Sie dazu den Befehl ein:

 

w32tm /config /syncfromflags:Manual /manualpeerlist:lc04.rz.uni-jena.de

 

Hier als Beispiel der Zeitserver der Uni Jena. Es kann auch die IP-Adresse angegeben werden.

 

 

 

Großer Beliebtheit bei den Prüfungen erfreuen sich die Befehlszeilentools.

 

certutil.exe

 

Tool zum Verwalten der Active Directory Zertifikatdienste

 

certutil.jpg

 

Eine Auswahl von Befehlen

 

/verify             Überprüft Zertifikate

/crl                   Veröffentlicht Sperrlisten

/exportpfx       Exportiert private Schlüssel

/dspublish        Veröffentlichen von Zertifikaten und Sperrlisten in Active Directory

/backupDB      Sichert die Datenbank der Zertifizierungsstelle

/pulse              Aktiviert und Überprüft die automatische Registrierung für Benutzerzertifikate

 

 

repadmin.exe

 

Tool zum Verwalten der Replikation von AD DS und AD LDS

 

repadmin_001.jpg

 

Eine Auswahl von Befehlen

 

/rodcpwdrepl   repliziert das Kennwort des angegebenen Benutzers von der Quelle an mindestens einen RODC

/syncall            repliziert von der Quelle zu allen Replikationspartnern        

/prp view         zeigt eine Liste der Benutzer, die den angegeben RODC zur Authentifizierung benutzen

/prp delete       leert die Liste der Benutzer die den angegeben RODC zur Authentifizierung benutzen

 

Priorisierung der Anzeigedaten Remotedesktopdienste (Zitat technet)

 

 

Durch die Priorisierung der Anzeigedaten wird der Verkehr über virtuelle Kanäle gesteuert, sodass Anzeige, Tastatur und Maus eine höhere Priorität erhalten als anderer Verkehr über virtuelle Kanäle, z. B. Druckvorgänge oder Dateiübertragungen. Durch diese Priorisierung soll sichergestellt werden, dass die Bildschirmleistung nicht durch bandbreitenintensive Aktionen, z. B. große Druckaufträge, nachteilig beeinflusst wird.

Das standardmäßige Bandbreitenverhältnis ist 70:30. Anzeige- und Eingabedaten werden 70 Prozent der Bandbreite zugewiesen, und dem gesamten sonstigen Verkehr, z. B. Zwischenablage, Dateiübertragungen oder Druckaufträge, werden 30 Prozent der Bandbreite zugewiesen.

Sie können die Einstellungen für die Priorisierung der Anzeigedaten anpassen, indem Sie Änderungen an der Registrierung des Terminalservers vornehmen. Sie können den Wert der folgenden Einträge unter dem Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD ändern:

Wenn diese Einträge nicht angezeigt werden, können Sie sie hinzufügen. Klicken Sie hierzu mit der rechten Maustaste auf TermDD, zeigen Sie auf Neu, und klicken Sie dann auf DWORD-Wert (32-Bit).

Sie können die Priorisierung der Anzeigedaten deaktivieren, indem Sie den Wert von FlowControlDisable auf 1 festlegen. Wenn die Priorisierung der Anzeigedaten deaktiviert ist, werden alle Anforderungen nach dem FIFO-Prinzip (First In First Out) behandelt. Der Standardwert für FlowControlDisable ist 0.

Sie können die relative Bandbreitenpriorität für die Anzeige (und für Eingabedaten) festlegen, indem Sie den FlowControlDisplayBandwidth-Wert festlegen. Der Standardwert ist 70; der maximal zulässige Wert ist 255.

Sie können die relative Bandbreitenpriorität für andere virtuelle Kanäle (z. B. Zwischenablage, Dateiübertragungen oder Druckaufträge) festlegen, indem Sie den FlowControlChannelBandwidth-Wert festlegen. Der Standardwert ist 30; der maximal zulässige Wert ist 255.

Das Bandbreitenverhältnis für die Priorisierung der Anzeigedaten basiert auf den Werten von FlowControlDisplayBandwidth und FlowControlChannelBandwidth. Wenn z. B. FlowControlDisplayBandwidth auf 150 und FlowControlChannelBandwidth auf 50 festgelegt ist, beträgt das Verhältnis 150:50. Das heißt, den Anzeige- und Eingabedaten werden 75 Prozent der Bandbreite zugewiesen.

Der FlowControlChargePostCompression-Wert bestimmt, ob die Bandbreitenzuweisung von der Datenflusssteuerung basierend auf der Byteanzahl vor oder nach der Komprimierung berechnet wird. Der Standardwert ist 0, d. h., die Berechnung wird für die Byteanzahl vor der Komprimierung ausgeführt.

Wenn Sie Änderungen an den Registrierungswerten vornehmen, müssen Sie den Terminalserver neu starten, damit die Änderungen wirksam werden.

 

Kreuzzertifikate

 

Mithilfe von Kreuzzertifikaten wird eine Vertrauensstellung zwischen getrennten Zertifizierungshierarchien hergestellt, z. B. in getrennten Netzwerken oder Teilen eines Netzwerks. In diesen Fällen werden Kreuzzertifikate in der Regel zu folgenden Zwecken konfiguriert:

 

 

Für die Erstsynchronisation beim Erstellen von Kreuzzertifikatbereitstellungen und deren Aktualisierung kann des Powershellscript PKISync.ps1 benutzt werden, welches von Microsoft im TechNet zur Verfügung gestellt wird.

 

Migration von Benutzerdaten mit USMT

 

Scanstate

/efs:copyraw     

Kopiert EFS verschlüsselte Dateien

 

/offlineWinOld:

Kopiert Daten aus einer offline Installation von Windows

 

/nocompress

die Daten werden unkomprimiert gespeichert -  muss bei Loadstate mit angegeben werden

Loadstate

/lac

Erstellt bei der Migration auf dem Zielcomputer lokale Benutzerkonten wenn sie auf dem Quellcomputer vorhanden waren

 

DNScmd

              

dnscmd

/zoneinfo "Name der DNS Zone" 

liest die Informationen der DNS Zone aus

 

/clearcache                                      

löscht den Speicher des DNS Servers

 

/config /cachelockingpercent <Wert>

Gibt in % der TTL für einen Eintrag im DNSCache an, wie lange dieser Eintrag nicht überschrieben werden darf

 

/resetlistenaddresses <IP Adresse> 

Gibt an auf welcher IP Adresse ein DNS Server DNS Verkehr erwartet                    

  

fsutil.exe - Testdateien erstellen

 

Wird eine Testdatei einer bestimmten Größe benötigt, kann mit fsutil.exe diese Datei mit definierter Größe erstellt werden.

 

testdatei_erstellen.jpg

 

Mit dem Befehl fsutil file createnew testfile 1048675 wird eine Datei ohne Endung mit der Größe von 1 MB erstellt.

 

 

Hier einige Aspekte des Windows Server Betriebssystems die ich verwundernd finde

 

Remotedesktopclient

DNS Manager

Virtuelle Datenträger

GPO

AD FS - Microsoft schiesst

 

Remotedesktopclient

 

Der Terminal Client seit Windows 2000 bietet in den Optionen auf der Karteikarte Erweitert die Möglichkeit die Leistung der Remoteverbindung zu konfigurieren. Auf der Karteikarte Sicherheit kann die Authentifizierung der Remoteverbindung konfiguriert werden.

 

rdp_2003.jpg 

 

Beim Remotedesktopclient von Windows Vista hieß der Karteikarte Sicherheit nun Leistung. Allerdings konnte auf dieser Karteikarte nicht die Leistung, sondern die Authentifizierung und die Benutzung eines Terminaldienstegateways konfiguriert werden. Bei Windows 7 blieb es so.

 

rdpclient_win7.JPG

 

Bei Windows 8 scheint das Qualitätsmanagement besser zu funktionieren. Die Karteikarten des Remotedesktopclients sind korrekt bezeichnet, sie geben den tatsächlichen Inhalt der Karteikarte an. Das gilt inzwischen auch für den Remotedesktopclient unter Windows 7.

 

rdpclinet_win8.jpg

 

Diese "schnelle" Beseitigung des Missstandes gibt Hoffnung für eine andere Merkwürdigkeit:

 

DNS Manager

 

Im DNS Manager auf Windows Server 2003 konnte das Erstellen eines Host Eintrages in einer DNS Zone durch einen Klick auf einen Knopf "Fertig" beendet werden.

 

dns_2003.jpg

 

Seit Windows Server 2008 wird dieser Knopf mit "Vorgang ist abgeschlossen"  beschriftet.  Leider wurde der Knopf in der Größe nicht an den Schriftzug angepasst. Daraus ergibt sich, daß zum Beenden der Aktion ein Knopf mit der Beschriftung "ang ist abgesc" gedrückt werden muss. Warum hier von einer kurzen, verständlichen Beschriftung zu einer Beschriftung die lang und deswegen nur teilweise lesbar ist gewechselt wurde, kann ich nicht nachvollziehen.

 

dns_2012.jpg

 

Virtuelle Datenträger

 

Der Windows Server 2012 hat als neue Funktion die Speicherpools eingeführt. Mit ihr soll eine effizientere Nutzung der Datenträgerkapazität ermöglicht werden.

In diesen Speicherpools können virtuelle Datenträger erstellt werden, auf denen dann Volumen bereitgestellt werden. Bei der Erstellung der virtuellen Datenträger muss die Datenträgeranordnung der im Speicherpool zusammengefassten physischen Datenträger festgelegt werden. Dabei können ähnliche Anordnungen wie beim Software-RAID in der Datenträgerverwaltung gewählt werden.

 

Eine der Anordnungen ist Parität mit dem Resilienztyp Duale Parität. Dafür werden 7 physische Datenträger benötigt.

 

So steht es auch auf der Seite zur Wahl der Speicheranordnung des Assistenten für neue virtuelle Datenträger.

 

vdisk_pa_1.jpg

 

Konsequent Microsoft: Auf der nächsten Seite des Assistenten, die zur Auswahl des Resilienztyp, steht zur Dualen Parität etwas anderes. Dort sind dann nur noch fünf physikalische Datenträger nötig.

 

vdisk_pa_2.jpg

 

Gut ist, dass diese Seite nur angezeigt wird, wenn sieben physikalische Datenträger im Speicherpool vorhanden sind!

 

 

Gruppenrichtlinien

 

Zum Erstellen neuer Gruppenrichtlinienobjekte gibt es verschiedene Möglichkeiten. Die bequemste ist die Verwendung der Gruppenrichtlinienverwaltung.

 

 

In der englischen Version ist diese Option richtig beschriftet „Erstelle ein GPO in dieser Domäne, und verknüpfe es hier…“

 

gpo_neu_2k3.JPG

 

Seit Windows Server 2003 wird diese Option im Kontextmenü einer OU oder der Domäne mit  Gruppenrichtlinienobjekt hier erstellen und verknüpfen...“ übersetzt. Dass das Gruppenrichtlinienobjekt hier verknüpft und im Container Gruppenrichtlinienobjekte erstellt wird, schien der Übersetzer nicht zu wissen, und ist auch bei den nächsten Windowsversionen nicht aufgefallen.

 

gpo_neu_2016.JPG

 

Auch beim Windows Server 2016 wird diese Option immer noch falsch übersetzt.

 

AD FS

 

Das Ereignisprotokoll soll dem Administrator Informationen über die Funktion des Computers und der installierten Rollen und Features geben. Die Ereignisprotokolle des AD FS geben Grund zur Vorsicht. Das Ereignis mit der ID 337 des Anwendungs- und Dienstprotokolls für AD FS meldet: Der Zertifikatverwaltungszyklus wurde abgeschossen.

 

 

adfs_337.JPG