Springe zum Inhalt

Bei der Installation des Windows Internal Database Service Pack 4 für x64 Edition (KB2463332) kann auf einem Domaincontroller der Fehler 0x80070643 auftreten. Bei einem installierten WSUS mit der Windows Internal Database wird dieses Update ebenfalls von Windows Update zur Installation vorgeschlagen.

Zur Behebung hat der Knowledgebase-Artikel 919945 weitergeholfen: für die Installation müssen in der Registry gespeicherte SIDs mit den entsprechenden SIDs im Active Directory korrespondieren. Das tun sie aber nicht mehr, wenn der Computer nach der WSUS-Installation zu einem Domaincontroller heraufgestuft wurde.

Nach dem Leeren der in KB919945 beschriebenen Registry-Werte war die Installation des Updates erfolgreich.

Die Verwaltung bzw. Abfrage von Informationen per WMI in einer Arbeitsgruppe oder Domäne scheitert manchmal mit der Fehlermeldung: Ursache: Der RPC-Server ist nicht verfügbar. Ursache kann sein, dass die Firewall auf dem zu verwaltenden Computer den Zugriff auf notwendige Ports verhindert.

Gruppenrichtlinie RPC freischalten

Per Gruppenrichtlinie kann festgelegt werden, dass die Ports für die Remoteverwaltung in der Firewall freigeschaltet werden. Man findet diese in der Gruppenrichtlinenverwaltung unter Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen -> Windows-Firewall und dann entsprechend dem Umfeld entweder Domänen- oder Standardprofil. Dort ist die Richtlinie Windows-Firewall: Eingehende Remoteverwaltungsausnahme zulassen zu aktivieren und ein Netzwerk anzugeben, für welches der Zugriff freigeschaltet werden soll.

Nach der nächsten Synchronisierung der Gruppenrichtlinien sollte der obige Fehler nicht mehr auftreten und der Zugriff auf WMI möglich sein.

Verschiedene NAS-Systeme unterstützen kein SMB2, welches seit Windows Vista verwendet wird. Mit folgenden Befehlen kann man SMB2 abschalten, so dass nur noch SMB1 verwendet wird (auszuführen in einer Eingabeaufforderung, die als Administrator ausgeführt wird):

sc config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc config mrxsmb20 start= disabled

Zu beachten ist die etwas ungewöhnliche Parameterangabe. Nach dem Gleichheitszeichen muss ein Leerzeichen folgen. "bowser" ist ebenfalls kein Schreibfehler.

Mit dem ersten Befehl wird festgelegt, dass der Arbeitsstationsdienst (lanmanworkstation) von den Diensten Bowser, MRxSmb10 und NSI abhängt. Mit dem zweiten Befehl wird der Dienst MRxSmb20 abgeschaltet. Anschließend ist ein Rechnerneustart erforderlich.

Um SMB2 wieder einzuschalten fügt man MRxSmb20 zu den Abhängigkeiten des Arbeitsstationsdienstes hinzu:

sc config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc config mrxsmb20 start= auto

Nach dieser Änderung ist wiederum ein Rechnerneustart erforderlich.

Nach stundenlanger Konfiguration von Windows-Diensten oder anderen Anwendungen ist es manchmal wünschenswert, die Eventlogs von Windows zu leeren und in einen sauberen Anfangszustand zu versetzen. Unter Windows 7, Windows 2008 R2 und Windows Vista steht dazu der Befehl wevtutil zur Verfügung. Um nun nicht per Hand jedes einzelne Eventlog aus der schier unüberschaubaren Anzahl der Eventlogs der genannten Betriebssystem eingeben zu müssen, wird ein komplettes Leeren aller Eventlogs mit folgendem Befehl erreicht:

for /f "usebackq delims=" %l in (`wevtutil el`) do wevtutil cl "%l"

Informationen zu wevtutil findet man ebenfalls im Technet: Clear an Event Log. Dort wird auch folgendes Monstrum beschrieben:

wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x4;;;BO)

Alles klar? ;-)

In den Standardeinstellungen ist es normalen Benutzern nicht erlaubt, SMB-Shares unter Ubuntu einzuhängen. Eine Angabe von user in der /etc/fstab reicht nicht aus.

Die Programme mount.cifs und umount.cifs müssen als Erstes das SUID-Bit gesetzt bekommen.

chmod +s /usr/sbin/mount.cifs
chmod +s /usr/sbin/umount.cifs

Wie empfohlen werden dann die Anmeldedaten in einer extra Datei gespeichert, z.B. in /etc/cifs_credentials die folgenden Aufbau hat:

username=...
password=...
domain=...

Diese Datei sollte mit entsprechenden Rechten gegen Lesen durch jedermann gesichert werden. Nur die Benutzer, die nachher die Shares mounten sollen, müssen diese Datei lesen können. Es empfielt sich also, eine extra Gruppe für diese Benutzer anzulegen und der Gruppe Leserechte auf diese Datei zu geben.

addgroup smbmounters
adduser benutzer1 smbmounters
adduser benutzer2 smbmounters
...
chgrp smbmounters /etc/cifs_credentials
chmod g+r,o-r /etc/cifs_credentidials

Anschliessend könnte ein Eintrag in der /etc/fstab folgendermaßen aussehen:

//SERVER/Freigabe /mnt/server/freigabe cifs rw,user,noauto,suid,credentials=/etc/cifs_credentials 0 3

Zu beachten ist außerdem, dass die User zum Mounten Schreibrechte auf den Einhängepunkt (hier im Beispiel /mnt/server/freigabe) benötigen, ansonsten wird ein mount-Versuch mit der Fehlermeldung

mount error: permission denied or not superuser and mount.cifs not installed SUID

verweigert.