Markus Bäker

Gestern habe ich noch gefragt, ob es schon einen Agent für RHEL6 gibt. Heute stoße ich über den Hinweis, dass das Cumulativ Update 5 (CU5) schon seit 3 Tagen verfügbar ist!

Es korrigiert einen recht störenden Agent Update Bug im CU4 (beim Update des Agents, der normalerweise kein Neustart des Servers benötigt wurden automatisch andere Dienste neugestartet und hat somit zu Serviceunterbrechungen geführt) und ein paar andere Fehler. Zusätzlich beinhaltet es den Agent für Red Hat 6.

Zu finden ist es unter http://support.microsoft.com/kb/2495674.

Wie versprochen geht es weiter mit der Automatisierung von Enteo durch Powershell. In diesem Blog Eintrag nehme ich mir die Funktion für das Aufwecken eines PCs vor. Leider funktioniert hier die WoL Funktion von Enteo nicht immer. Das liegt u.a. daran, dass bei einem neuen PC nicht alle Informationen vorliegen. In den meisten Netzen wird ein normales WoL Paket (ein Broadcast Paket) nicht an alle Subnetze verteilt. Der Enteo Server und der zu weckende Client sind im Allgemeinen in unterschiedlichen Subnetzen beheimatet. Daher muss mit einem directed Broadcast gearbeitet werden. Dazu wird das Broadcast Paket direkt an die Broadcast Adresse des Zielsubnetzes geschickt. Dazu ist aber die IP Adresse und die Subnetzmaske zur Ermittlung der Broadcast Adresse notwendig. Diese Information liegt Enteo nicht immer vor und ich habe noch keinen Weg gefunden, diese Info beim Erstellen des Computerkontos mitzugeben.

Read more…

Sehr selten kommt es vor, dass in der SCOM Konsole im Detailbereich nur Buchstabensalat angezeigt wird. Der Text ähnelt dann einer Email in der Quellcodeansicht.

From: Subject: srv.com Date: 7/7/2009 9:31:27 AM MIME-Version: 1.0 Content-Type: multipart/related; boundary="

==_NextPart_2cb688e489140fa2448a12bde7ba1e43"; type="text/html" X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106 This is a multi-part message in MIME format. –

==_NextPart_2cb688e489140fa2448a12bde7ba1e43 Content-Type: image/gif Content-Transfer-Encoding: base64 Content-Location: http://localhost/graypixel.gif R0lGODlhAQABAPAAAMDAwP///ywAAAAAAQABAAACAkQBADs= –==_NextPart_2cb688e489140fa2448a12bde7ba1e43 Content-Type: image/png Content-Transfer-Encoding: base64 Content-Location: http://localhost/source.gif […]3V5vwAAAABJRU5ErkJggg== –

==_NextPart_2cb688e489140fa2448a12bde7ba1e43 Content-Type: text/html; encoding=utf-8; charset=UTF-8 Content-Transfer-Encoding: base64 Content-Location: http://localhost/statedetails.htm […]DQo8L3RhYmxlPg0KDQo8L2JvZHk+DQoNCjwvaHRtbD4NCg== –==_NextPart_2cb688e489140fa2448a12bde7ba1e43–

Zum Decoden der Ansicht benötigt die Konsole Teile der Outlook Express Installation auf einem XP-Client. Einige Kunden haben OE aber aus ihrem Installationsimage entfernt. Dies ist offiziell nicht von Microsoft Support, ist aber z.B. mittels nLite möglich.

Das Problem und eine Lösung wird auch hier beschrieben: http://www.systemcentercentral.com/BlogDetails/tabid/143/indexId/74171/Default.aspx

Probembeschreibung: In einigen sichereren Umgebungen sollen servergespeicherte Profile beim Abmelden gelöscht werden. Nach einem Upgrade auf IE8 war dies bei einem Kunden nicht mehr der Fall. Es blieben immer Reste von Anwendungsdateien zurück. Im Speziellen fiel dabei die index.dat vom IE8 auf.

Fehleranalyse: Um der Ursache auf den Grund zu gehen, wurde das Debugging bei der Profilverarbeitung erhöht: Aktivieren des Environment Debug Loggings von Winlogon (http://support.microsoft.com/kb/221833/en-us). Die dabei im Log gefundenen Fehler wurde an Google übergeben

Ursache: Ursache ist ein Fehler im IE8 mit einer speziellen Gruppenrichtlinieneinstellung (Hinzufügen von Trusted Domains per GPO). Das Problem ist hier beschrieben: http://support.microsoft.com/kb/974277/en-us

Der darin beschriebene Workraround mit einer manuellen Registryeinstellung wurde getestet und war erfolgreich. Folgende Einstellung muss durchgeführt werden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_USE_IETLDLIST_FOR_DOMAIN_DETERMINATION]

"winlogon.exe"=dword:00000000

Diese Einstellung ist natürlich auch per GPO verteilbar.

Sollte bei der Installation des Visio Add-In for Disk Space (http://visiotoolbox.com/2010/add-ins.aspx)  für den System Center Operations Manager (SCOM) auf einem Windows 7 x64 mit Visio 2010 x64 folgende Fehlermeldung auftauchen:

so liegt das laut dem Installer-Log (wenn man das Setup mit msiexec /I … /l* install.log aufruft) an einem fehlenden Registry Key:

[…]

Action 09:29:31: RollbackCleanup. Removing backup files

DEBUG: Error 2835:  The control ErrorIcon was not found on dialog ErrorDialog

The installer has encountered an unexpected error installing this package. This may indicate a problem with this package. The error code is 2835. The arguments are: ErrorIcon, ErrorDialog,

Error 1720. There is a problem with this Windows Installer package. A script required for this install to complete could not be run. Contact your support personnel or package vendor.  Custom action VisSolPublish_BumpVisioChangeId script error -2147024894, WshShell.RegRead: Ungültige Wurzel in Registrierungsschlüssel “HKLM\Software\Microsoft\Office\Visio\ConfigChangeID“. Line 3, Column 1,

MSI (s) (14:34) [09:29:33:624]: Product: Visio Add-In for Disk Space Monitoring — Error 1720. There is a problem with this Windows Installer package. A script required for this install to complete could not be run. Contact your support personnel or package vendor.  Custom action VisSolPublish_BumpVisioChangeId script error -2147024894, WshShell.RegRead: Ungültige Wurzel in Registrierungsschlüssel “HKLM\Software\Microsoft\Office\Visio\ConfigChangeID”. Line 3, Column 1,

Action 09:29:33: Rollback. Rolling back action:

[…]

In der Registry ist dieser Schlüssel auch nicht zu finden.

Legt man ihn in folgender Form an:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Visio]

“ConfigChangeID”=dword:00000000

so läuft das Setup erfolgreich durch.

Sometimes the acs forwarder doesn’t connects successfully to the acs server and states in the operations manager event log, that you have to activate debugging to see more details.

You can activate it by following this instruction:

1. Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtAgent\Parameters
2. Create DWORD value = TraceFlags
3. Edit the TraceFlags entry and enter decimal value 524420
4. Restart the AdtAgent service

(Source: http://helpmemanage.blogspot.com/2007/05/enable-detailed-logging-for-acs.html)

You can find the log under c:\windows\temp

One cause can be that the acs cannot operate over forest borders or from a workgroup (kerberos authentication – some reason for the scom agent).

The workaround is a little bit mor complicated that a simple certificate exchange.

A good and working explanation can be found here:

http://www.directtechnology.com/BlogEngine/post/2010/08/17/Problems-with-non-trusted-computers-reporting-to-ACS-%28Audit-Collection-Services%29.aspx

Sometimes you have to debug group policy preferences (gpp) and don’t want to activate the debugging with another group policy.

You can simpe activate the debugging with two registry entries:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\{728EE579-943C-4519-9EF7-AB56765798ED}]
"LogLevel"=dword:00000003
"TraceLevel"=dword:00000002

Find the newest version on top of: http://www.mbaeker.de/tag/scom2nagios/

Released a new Version of the SCOM2Nagios Connector. Changes:

1.4

* NEW: variables for processing instruction
* NEW: change case of output (upper/lower)
* BUG: no crash if scom connection is lost
* BUG: no longer needs fullpath in config

Example:

<instruction>
<input field=”path” compare=”containsIgnoreCase”>mcscom</input>
<output field=”host” case=”upper”>$path</output>
</instruction>

If path contains mcscom than replace the host in the output with the upper case of the ObjectFullPath variable of the input alert.

Possible replacement variables:

path, netbios, fullname, severity, state, name, description, alertid

Download: SCOM2Nagios (615)

Hier mal eine kleine Batchdatei zur Verteilung von WinZip inkl. des Lizenzfiles:

@echo off

rem alte winzip version deinstallieren

MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B5} /l* %systemroot%\deinstall_winzip111.log /qn REBOOT=REALLYSUPPRESS

rem copy Lizenzfile to all Users profile

md “%ALLUSERSPROFILE%\WinZip\”

copy /y “%~dp0winzip.wzmul” “%ALLUSERSPROFILE%\WinZip\”

rem neue Version installieren:

rem Erklärung der Parameter:

rem /noqp = no quickpick icon in system tray

rem /notip = no tip of the day

rem /noc4u = don’t check for updates

rem /nopredefinedjobs = no predefined sample jobs in the Winzip menu

rem ADDDESKTOPICON=0 (Disable the WinZip Desktop icon to the user’s desktop)

rem ADDMENUGROUP=1 (Add a WinZip Menu Group item to… Start-> All Programs -> WinZip for each user )

rem ADDSTARTMENU=0 (Disable WinZip to the top of each user’s Start Menu)

rem  ALLUSERS=1 (per Machine)

rem Accept=Yes (Accept EULA)

msiexec /i “%~dp0wz121gev.msi” /qn /l* %systemroot%\install_winzip121.log ADDDESKTOPICON=0 ADDMENUGROUP=1 ADDSTARTMENU=0 ALLUSERS=1 Accept=Yes INSTALLCMD=”/noqp /notip /noc4u /nopredefinedjobs /autoinstall” REBOOT=REALLYSUPPRESS /m winzip.mif

In SCCM ein Package mit den Installationsfiles erstellen. Die WinZip MSI Version von der CD kopieren und ins gleiche Verzeichnis die Lizenzdatei hineinstellen. Als Programm die oben beschriebene Batchdatei eintragen. Bei den  Reporting Information wird im Dateinamen winzip eingetragen.

Mein Standardvorgehen:

• Möglichst keine statischen Pfade, sondern immer Variablen (z.B. %systemroot% anstatt c:\windows)
• Möglichst immer absolute Pfade zu Dateien – man weiss ja nie worauf gerade der aktuelle Pfad zeigt. Daher immer ein %~dp0 (%0: Pfad zu Batchdatei, ~: Falls “, dann entfernen, d: Laufwerksbuchstabe, p: Pfad, %~dp0: Pfad zur Batchdatei ohne Name der Batchdatei (aber mit \ am Ende))
• Möglichst viel loggen, dass hilft beim Debuggen
• Möglichst immer die original Setupdateien verwenden. Der Hersteller dürfte dort bereits sein KnowHow eingebaut haben.

Noch Fragen? -> Comment!

Heute konnte ich mir endlich die Zeit nehmen einen Alert im SCOM genauer zu betrachten. Obwohl über 2GB auf der NTDS Platte des DCs frei waren und die Subdomäne nur eine Datenbankgröße von 512MB hat, meldete SCOM regelmäßig, dass die Platte zu voll sei.

In diesem Fall sieht die Berechnung folgendermaßen aus:

Name der Regel im MP: AD Database Drive Free Collection

Aktuelle Größen:

ntds.dit: 454672 kbytes
ntds.logs: 10240 kbytes (das MP Skript betrachtet nur das edb.log File)

Folgende Defaultparameter werden an das Skript übergeben (sind überschreibbar):
<Threshold_DIT>0.2</Threshold_DIT> (also 20%)
<Boundary_DIT>500000</Boundary_DIT>
<Boundary_LOG>200000</Boundary_LOG>
<Threshold_LOG>0.05</Threshold_LOG>

Die Berechnung sieht so aus (aus dem Skript kopiert):

lReserveLog = lSizeDB * CDbl(LOG_THRESHOLD)
If (lReserveLog < LOG_BOUNDARY) Then
lReserveLog = LOG_BOUNDARY
End If
lReserveDB = lSizeDB * CDbl(DIT_THRESHOLD)
If (lReserveDB < DIT_BOUNDARY) Then
lReserveDB = DIT_BOUNDARY
End If

Anhand dieses Beispiels:

• DIT: 454MByte*0.2 -> 90,8MB (<500000) -> Boundary 500MByte
• LOG: 454MByte*0,05 -> 22,7MB (<200000) -> Boundary 200MByte

Die Berechnung der Logfilegröße basiert auf der ADDS Datenbankgröße (DIT)

Die Logdateien und die DB liegen auf der gleichen Partition. Daher gilt:

If (lFreeSpaceDB < (lReserveDB + lReserveLog)) Then
bSuccess = False

strMessage = “Free space (” & lFreeSpaceDB & “KB) on drive ” &  UCase(Left(strPathDB, 2)) & ” is lower than the required reserved space for AD Database and Log file. It should be at least ” & (lReserveLog + lReserveDB) & ” KBytes.”

Somit muss der freie Platz größer als 700MByte sein. Was in diesem Beispiel zutrifft.

Trotzdem erscheint im Eventlog und im SCOM die Fehlermeldung:

AD Database and Log : Free space (2614404KB) on drive D: is lower than the required reserved space for AD Database and Log file.
It should be at least 3182704 KBytes.

Wenn man 3182704 durch die DB Größe (454672) teilt erhält man exakt 7. Die entspricht 2+5, d.h. es gibt ein Problem mit dem Komma-Trenner (, in deutsch, . in english)

Ich habe dies überprüft, in dem ich das Skript angepasst habe, damit es die erhaltenen Parameter auch in die Registry speichert (setData..):
Die Boundary Werte sind korrekt, aber Threshold Werte sind auf 5 (log) und 2 (dit) !

Lösung:

Override auf deutschen DCs mit 0,05 und 0,2

Test:
Die Datenbankplatte wurde etwas gefüllt. Kurz darauf wurde folgende korrekte Meldung generiert:

AD Database and Log : Free space (225996KB) on drive D: is lower than the required reserved space for AD Database and Log file. It should be at least 700000 KBytes

Natürlich könnte man als Alternativen Workaround immer die 7fache Größe der Datenbank als freien Speicherplatz bereitstellen, aber gerade wenn man Domänencontroller virtualisiert und die Platten vollständig reserviert, ist dies kein gangbarer Weg. Microsoft sollte hier wie üblich auf die Ländereinstellungen achten! (Oder Nachkommastellen vermeiden. Die Prozentwerte könnten auch als 5% angegeben werden, anstatt 0.05)