Matrix42 Empirum Domain Join Error

Matrix42 Empirum ist für die Softwareverteilung in Unternehmen geschaffen. Darüber hinaus werden neue Computer damit installiert. Beim neuen Windows 10 1803 hatte ich das Problem, dass der Empirum Domain Join nicht mehr funktioniert hat. Gottseidank war es nur ein kleines Problem. Aber ich haben euch zusammengefasst, welche Möglichen Probleme auftreten können.

Free-Photos / Pixabay

 

Empirum Domain Join – Fehler

Wir haben schon einige Computer installiert: Windows 7, Windows 8.1 und Windows 10

Das hat immer ohne Probleme funktioniert, bis auf Windows 10 Version 1803. Nach dem Installieren kam folgende Fehlermeldung:

13.06.2018 16:18:37 [Domainjoin] Error: Joining machine in existing OU NOT successfull!! The specified domain either does not exist or could not be contacted.
13.06.2018 16:18:36 [Domainjoin] Retry without OU account
13.06.2018 16:18:36 [Domainjoin] Joining specified OU: not possible. The specified domain either does not exist or could not be contacted.

 

Ursachen

Eigentlich kann das Problem nur 3 verschiedene Ursachen haben:

  • Keine Netzwerkverbindung (Treiber der Netzwerkkarte)
  • Benutzer für die Aufnahmen in die Domäne hat zu wenig Rechte
  • Die Namensauflösung funktioniert nicht

In der Logdatei des lokalen Computers steht meist das Problem:

%WINDIR%\Debug\NetSetup.log

Lösung

Überprüft nun für die Lösung folgende Dinge:

  • Wurde die Netzwerkkarte (Gerätemanger) korrekt installiert?
  • Hat der User, der im Agent-Template angegeben ist, genug Rechte um Computer in die Domäne aufnehmen zu können?
  • Funktioniert die Namensauflösung (Domain Controller anpingen)
  • Sind die Einstellungen beim Qualifizieren des Computers richtig:

    Der FQDN muss unbedingt ausgefüllt sein, Workgroup / Domain reicht nicht aus!

War das Problem nicht die Netzwerkkarte, wird beim Inventarisieren in das Feld Domäne “Arbeitsgruppe” oder “WORKGROUP” geschrieben. Dies muss dann vor dem neuen Installieren des Computers natürlich wieder angepasst werden 🙂

Neue Gruppenrichtlinien für Windows 10 1803

Es ist endlich soweit: Das Windows 10 Version 1803 steht in den Startlöchern. Dazu gibt es in Firmen natürlich neue Gruppenrichtlinien für Windows 10 1803. Die neuen GPOs müssen im Active Directory gepflegt werden, um natürlich die neuen Inhalte für die Computer konfigurieren zu können. Wie man ein ADMX / ADML Update durchführen kann, lest ihr in einem früheren Beitrag.

geralt / Pixabay

 

neue Gruppenrichtlinien für Windows 10 1803 herunterladen

Die neuesten Gruppenrichtlinien für Windows 10 Version 1803 gibt es natürlich direkt bei Microsoft zum herunterladen:

ADMX Templates für Windows 10 1803 herunterladen (Englisch)
ADMX Templates für Windows 10 1803 herunterladen (Deutsch)

 

Neue Gruppenrichtlinien für Windows 10 1803

Hier gibt es eine Übersicht, welche neuen ADMX Templates es gibt und welche GPO Änderungen es gibt:

ADMX FileParent CategoryPolicyClass
AppHVSI.admxWindows Defender Application GuardAllow hardware-accelerated rendering for Windows Defender Application GuardMachine
AppHVSI.admxWindows Defender Application GuardAllow files to download and save to the host operating system from Windows Defender Application GuardMachine
AppPrivacy.admxApp PrivacyLet Windows apps access an eye tracker deviceMachine
CloudContent.admxCloud ContentTurn off Windows Spotlight on SettingsUser
DataCollection.admxAllow device name to be sent in Windows diagnostic dataMachine
DataCollection.admxConfigure telemetry opt-in setting user interface.Machine
DataCollection.admxConfigure telemetry opt-in change notifications.Machine
DeliveryOptimization.admxDelivery OptimizationMaximum Background Download Bandwidth (percentage)Machine
DeliveryOptimization.admxDelivery OptimizationMaximum Foreground Download Bandwidth (percentage)Machine
DeliveryOptimization.admxDelivery OptimizationSelect the source of Group IDsMachine
DeliveryOptimization.admxDelivery OptimizationDelay background download from http (in secs)Machine
DeliveryOptimization.admxDelivery OptimizationDelay Foreground download from http (in secs)Machine
DeliveryOptimization.admxDelivery OptimizationSelect a method to restrict Peer SelectionMachine
DeliveryOptimization.admxDelivery OptimizationSet Business Hours to Limit Background Download BandwidthMachine
DeliveryOptimization.admxDelivery OptimizationSet Business Hours to Limit Foreground Download BandwidthMachine
Display.admxDisplayConfigure Per-Process System DPI settingsMachine
EAIME.admxIMETurn on Live StickerUser
GroupPolicy.admxGroup PolicyPhone-PC linking on this deviceMachine
MicrosoftEdge.admxMicrosoft EdgeAllow configuration updates for the Books LibraryBoth
MicrosoftEdge.admxMicrosoft EdgeAllow extended telemetry for the Books tabBoth
MicrosoftEdge.admxMicrosoft EdgeAllow a shared Books folderBoth
MicrosoftEdge.admxMicrosoft EdgePrevent Microsoft Edge from starting and loading the Start and New Tab page at Windows startup and each time Microsoft Edge is closedBoth
OSPolicy.admxOS PoliciesAllow upload of User ActivitiesMachine
Passport.admxWindows Hello for BusinessUse Windows Hello for BusinessBoth
Search.admxSearchAllow Cortana Page in OOBE on an AAD accountMachine
StartMenu.admxRemove ‘Recently added’ list from Start MenuMachine
StartMenu.admxDisable context menus in the Start MenuBoth
TerminalServer.admxDevice and Resource RedirectionDo not allow video capture redirectionMachine
UserExperienceVirtualization.admxMicrosoft User Experience VirtualizationEnable UEVMachine
WindowsDefenderSecurityCenter.admxVirus and threat protectionHide the Ransomware data recovery areaMachine
WindowsDefenderSecurityCenter.admxAccount protectionHide the Account protection areaMachine
WindowsDefenderSecurityCenter.admxDevice securityHide the Device security areaMachine
WindowsDefenderSecurityCenter.admxDevice securityDevice security Hide the Security processor (TPM) troubleshooter pageMachine
WindowsDefenderSecurityCenter.admxDevice securityDevice security Hide the Secure boot areaMachine

Ich hoffe ich konnte euch mit dieser Windows 10 Version 1803 – GPO Übersicht weiterhelfen 🙂

WSUS Connection Error

Ich hatte nun des öfteren das Problem, dass es auf einem Server 2016 einen WSUS Connection Error gab. Das sieht dann als Fehlermeldung folgendermaßen aus:

Error: Connection Error

An error occurred trying to connect the WSUS server. This error can happen for a number of reasons. Check connectivity with the server. Please contact your network administrator if the problem persists.

Click reset Server Node to try to connect to the server again.

Dieses Problem hatten bestimmt schon mehrere, und es gibt im Netz unendlich viele Problemlösungen, Fixes, Updates und Möglichkeiten dieses Problem zu beheben. Ich habe euch eine Zusammenfassung der Lösungen zusammengeschrieben 🙂

 

WSUS Connection Error – Reset Server Node

Bevor wir loslegen, sollten wir mal die Updates aufräumen und die Regeln anwenden:

 

1 - IIS App Pool anpassen

Bei vielen WSUS Servern hat es geholfen, die Speichernutzung des IIS Application Pool anzupassen. Dafür geht man wie folgt vor:

  1. Auf den WSUS Server verbinden
  2. Internet Information Services Server” (IIS) öffnen
  3. WSUS Server aufklappen
  4. Application Pools” wählen
  5. Rechtsklick auf “WsusPool
  6. “Advanced Settings…”
  7. Hier ändern wir den Wert “Private Memory Limit” auf “0

Durch diese Änderung wird die Speichernutzung des WSUS Application Pools nicht limitiert 🙂

Alternativ kann auch z.B. “4000000” für 4 GB verwendet werden – je nach dem 🙂
(Empfehlung)

2 - WSUSUTIL

Um den WSUS Connection Error zu beheben, kann folgendes kleines (mitgeliefertes) Tool benutzt werden. Die wsusutil.exe.

  1. Auf den Server verbinden
  2. Eine CMD als Administrator starten
  3. "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing

Danach muss noch ein Feature über den Server Manager installiert werden, falls es noch nicht aktiviert ist (bsp. Server 2016)

Zum Schluss einen Server Neustart / Reboot durchführen!

3 - Windows Update / Fix installieren

Microsoft hat anscheinend auch eine Lösung für das Problem gefunden. Es handelt sich um das Update KB4039396. Dieses kann man auch offiziell im Microsoft Update Cataloge herunterladen:

Update herunterladen

4 - Arbeitsspeicher / RAM

Auch wenn von Microsoft nur wenig Arbeitsspeicher angegeben ist, empfehle ich ein wenig mehr CPU und Arbeitsspeicher:

  • 2 Cores (CPU)
  • 6 GB Arbeitsspeicher

Klar läuft der Server mit weniger auch, allerdings macht es dann wirklich keinen Spaß daruaf zu arbeiten 😉

5 - WSUS Datenbank reparieren

Speichert euch folgendes Script als “cleanDB.sql” ab:

Nun Verbindet ihr euch auf den WSUS und Startet PowerShell mit Administrator Rechten.

Mit folgendem Befehl startet ihr das SQL Script auf der WSUS Datenbank:

Dan ganze kann bis zu einer Stunde dauern, also nicht erschrecken, wenn es lange dauert 😉

Matrix42 Empirum externe Programme

In der Matrix42 Empirum Console gibt es die Funktion, externe Programme auf einem Computerobjekt auszuführen. Man kann also per Mausklick einen Ping oder Reboot auf einen Computer anwenden. Wie man die externe Programme, bzw. External Tools verwaltet und welche Möglichkeiten es gibt, seht ihr in diesem Beitrag. Es können maximal 20 Einträge hinterlegt werden. Mehr machen in meinen Augen auch keinen Sinn, da es sonst zu unübersichtlich wird.

 

externe Programme verwalten

Wie kann man externe Programme hinzufügen oder externe Programme löschen? Die Frage beantworten wir euch in dieser Anleitung.

  1. In den Bereich “Administration” navigieren
  2. Im Menü auf “Extras”
  3. Nun in “Einstellungen…”
  4. Dort gibt es den Reiter “Externe Programme”

 

Nun ist es relativ selbsterklärend:

  • Mit dem “+” fügen wir neue Programme / Befehle hinzu
  • Mit dem “-” entfernen wir die bestehenden Einträge

Unter “Name” wird der Anzeigenamen im Menü eingestellt. Unter “Pfad zum Programm” steht der eigentliche Befehl. Mit dem Haken “Globale Einstellungen” macht man den Befehl nur für mich, oder für alle Empirum Benutzer sichtbar.

 

externe Programme – Beispiele

Im Endeffekt kann man hier abbilden, was man in der Umgebung am öftesten benötigt. Ich gebe hier einige Beispiele, die ich in unserer Umgebung benutze:

 

Anzeigename

Befehl

Erklärung

Ping

Ping.exe %Computername% -t

Startet den Ping auf den angegebenen Computer

Start ERIS

\\%empirumserver%\configurator$\user\tools\PSService\Psservice.exe \\%computername% restart “Empirum Remote Installation Service”

Startet den Empirum Remote Installation Service auf dem Computer neu. Das kann auch benutzt werden, um die Softwareinstallation sofort zu starten

Start Inventory

\\%empirumserver%\configurator$\user\Tools\RemoteInventory.bat %ComputerName%

Startet auf dem Computer das Inventory

Open Explorer

explorer.exe \\%Computername%\C$

Öffnet den Datei – Explorer der Festplatte C:

Open ComputerMGMT

compmgmt.msc /Computer=%ComputerName%

Öffnet das Computer Management des Comuters

RemoteDesktop

mstsc /v:%Computername%

Startet eine Remote Desktop Session

Reboot

shutdown -r -f -m \\%Computername%

Startet den Computer neu

Shutdown

shutdown -s -f -m \\%Computername%

Fährt den Computer herunter

Die Liste lässt sich beliebig erweitern und sich somit die Arbeit erleichtern 🙂

Geöffnete Dateien anzeigen und schließen mit PowerShell

Oft lässt sich eine Datei auf einem Server nicht löschen, da sie noch geöffnet ist. Leider sieht man oft nur durch Umwege die Details dazu. PowerShell bietet uns wie immer Möglichkeiten! Wie man Geöffnete Dateien findet und schließen kann, seht ihr bei uns 🙂

MTZD / Pixabay

 

Geöffnete Dateien finden

Um sich die geöffneten Dateien anzeigen zu lassen, brauchen wir einen einfachen PowerShell Befehl:

 

Aktive Sessions / Verbindungen anzeigen

Um aus Interesse die aktiven Verbindungen anzeigen zu lassen, benötigt man diesen Befehl:

 

Geöffnete Dateien schließen

Zum Schluss soll die Datei oder auch Dateien geschlossen werden. Dazu benötigt man die “FileID”. Diese wird oben bei “Get-SmbOpenFile” ausgespuckt.

Um nun die Datei zu schließen, benötigt man diesem Befehl, inkl. die “FileID” der zu schließenden Datei:

 

Hinweis

Die Befehle sind für das Protokoll SMB. Also vor allem interessant auf Arbeiten auf Fileservern!

Außerdem werden für die Aktion werden Administrator – Rechte benötigt, also PowerShell auch mit erhöhten Rechten starten 🙂

1 2 3 42