Premier Field Engineering

Belangrijke performance hotfix rollup voor Windows 7 en Windows 2008 R2: KB2775511

Zoals je misschien weet komen er geen service packs meer voor Windows 7 en Windows 2008 R2. Ze zitten nu op SP1, en dat blijft zo. SP1 is al een tijdje uit (februari 2011), en de wereld heeft doorgedraaid: tientallen verbeteringen en bugfixes zijn doorgevoerd. Deze verbeteringen zitten niet standaard in Windows. Als je niet specifiek actie onderneemt dan worden ze niet geïnstalleerd. Dat is is het grote verschil tussen security patches en functionele hotfixes: patches krijg je standaard mee met Windows Update, maar voor hotfixes moet je (meestal) zelf de rollout verzorgen.

Vorige week (13 maart 2013) hebben we de eerste Hotfix Rollup gemaakt voor Windows 7 SP1, en Windows 2008 R2 SP1. Dit is een samenstelling van ongeveer 90 hotfixes op het gebied van logon vertragingen, SMB, folder redirection, etc. Deze Rollup is uitgebreid getest, maar heeft niet de status van service pack. Je hoeft er niet op te rekenen dat het geïntegreerd wordt met de standaard ISO’s en DVD’s die je kan kopen. De rollup is beschikbaar via Windows Update met de status optioneel, en is te importeren in WSUS.

Het gaat om deze: http://support.microsoft.com/kb/2775511. Hoog over zijn dit de belangrijkste verbeteringen:

• Fixes en performance verbeteringen in de Windows Client Remote File System. Denk aan WebDav, DFS-N, Offline Folders, SMB client, Folder Redirection.
• Algemene verbeteringen in TCP/IP en SMB stack. Dit werkt vooral goed als zowel client als server de Hotfix Rollup hebben.
• Verbeteringen en fixes in group policy processing, vooral bij Group Policy Preferences.
• Performance verbetering en hogere stabiliteit voor WMI.

Wat te doen? Dit is dé update van de afgelopen jaren. Daarmee is het verplichte kost, en het advies is dan ook simpel: rol het uit op alle Windows 7 machines, en liefst ook op al je Windows 2008 R2 servers. Vergeet niet de hotfix rollup op te nemen in je standaard images en bouwinstructies. Uiteraard verzorg je eerst netjes een testtraject. Dit is iets groter dan de standaard hotfix.

En dan de vraag van de dag: Waarom is deze hotfix rollup er niet voor Windows 8 en/of Server 2012? Omdat deze het overgrote deel van de hotfixes in de rollup al hebben.

Nuttige links:

• De Hotfix Rollup: An enterprise hotfix rollup is available for Windows 7 SP1 and Windows Server 2008 R2 SP1
• Blog met achtergrond informatie: Slow Boot Slow Login (SBSL) Hotfix Rollup for Windows 7 and Server 2008 R2 Available Today!
• Integreren in SCCM: KB2775511 deployment for the SCCM Admin
• WSUS how-to: WSUS 3.0 and the Catalog Site

Premier Operations Day 2013 - 22 maart 2013

Op vrijdag 22 maart 2013 organiseren Premier Field Engineering en de Microsoft University voor alweer de vierde keer de Microsoft Premier Operations Day. IT Operations en Service Management wordt op de meeste IT events onderbelicht. De Premier Operations Day brengt daar verandering in. Deze dag staat wederom geheel in het teken van tastbare onderwerpen rondom het inrichten van beheer en specifieke beheervraagstukken. Zowel techniek als proces komen uitgebreid aan bod.

Is jouw bedrijf Microsoft Premier klant en heb je interesse?? Check voor meer informatie en de agenda:
http://download.microsoft.com/download/6/9/1/691611DF-6339-4CBB-92D4-A9B53D0BD76C/Microsoft_Premier_Operations_Day_-_22_Maart_2013_(MS0707).pdf

Meer informatie is tevens te vinden op de Microsoft University site: http://www.microsoft.com/netherlands/microsoftuniversity/detail.aspx?id=46

Computer uit het domein gevallen? Zet hem terug zonder boot!

We kennen het allemaal: het raadsel van computers die “uit het domein vallen”. Met andere woorden, een computer waarvan het lokale wachtwoord anders is dan in het domein, zodat de computer niet kan aanloggen en jij ook niet meer. Het is lang niet altijd duidelijk hoe dit komt. In mijn geval heb ik het nog wel eens als ik machines tussen testomgevingen transplanteer. Ook in de context van werkstation images wil je het nog wel eens hebben. We weten ook allemaal hoe we het op moeten lossen. Zuchtend halen we de computer uit het domein, en zetten hem in een workgroup. En we booten. Daarna hangen we hem weer in het domein. En we booten.

En toen kwam Joe Richards, en deed zijn magische truc. Joe is een bekende naam in de AD wereld, één van de echte guru’s die ons vakgebied rijk is. Hij vroeg zich af waarom die reboots nou nodig waren, en of dat niet anders kon. En je raad het al, het kan inderdaad anders. Na een mooi stukje research, hier op zijn blog beschreven, liet hij zien dat de boot niet nodig is. Hij heeft een commandline tooltje geschreven om het proces te automatiseren: MachinePWD. Hoe werkt het?

1. reset het computer account in AD
2. log aan als local (!) admin op de machine
3. run machinepwd /fix

Klaar. Niks booten. Alles werkt nu. Je kan dit snel checken door met een domain account even een CMD op te starten: runas /user:DOMAIN\Admininistrator cmd.exe. Als dit werkt dan is alles OK. In de echte wereld is het wel raadzaam om toch even te herstarten, zodat policies en andere zaken ververst worden.

Nieuw tool voor Active Directory replicatie status

De oudgedienden onder ons weten nog wel het bekende en beruchte replmon tooltje, waarmee je grafisch kon zien hoe je Active Directory replicatie ervoor stond. Replmon wordt al heeel lang niet meer onderhouden. Ik zou niet eens weten of het nog werkt op 2008 R2. Er is nu een vervanger die iets soortgelijks doet: Active Directory Replication Status Tool. Aan deze weinig spectaculaire maar wel exacte titel kan je zien dat het niet langs marketing is geweest. Als enige randvoorwaarde heb je nog het .NET Framework 3.51 (standaard in 2008 R2) én .NET 4.0 nodig.

Het wijst eigenlijk zichzelf. In mijn testomgeving heb ik 1 DC down, en dat ziet er dan zo uit:

Interessant is dat de fouten een kleur hebben die gerelateerd is aan de Tomstone Lifetime, ofwel, hoever zit je in de gevarenzone. In mijn lab heb ik een sterk afwijkende waarde van 360 dagen. Normaal is het 60 dagen (oudere forests) of 180 dagen (meer recente forests). Handig is dat je kan selecteren welke DC’s je wilt checken: het hele forest, een domein, of specifieke DC’s. Voor grotere omgevingen is dat wel nodig. Verder kan je data exporteren in een rudimentair rapportje, of naar een CSV file. Tot slot heeft het ingebouwde documentatie over hoe replicatie precies werkt. Dat komt overigens direct van Technet, maar het blijft nuttig.

Tot slot: als je geen zin hebt iedere keer een GUI op te starten om replicatie te checken: de kortste methode is “repadmin /replsum”, standaard met de AD beheertools sinds Windows 2008.

MCM-DS: Eindresultaat

De Program Manager heeft de eindresultaten bekend gemaakt op het Masters blog: http://blogs.technet.com/b/themasterblog/archive/2012/02/24/mcm-directory-r14-complete-with-several-new-mcms.aspx. Voor het gemak neem ik de lijst even over:

• Sean Metcalf - Metcorp Consulting
• Adrian Corona Temores - Microsoft
• Allen Ho - Microsoft
• Dorin Minghiris - Microsoft
• David Gregory - Microsoft
• Eric Hall - Microsoft
• Mark Renoden - Microsoft
• Serge Evseev - Microsoft
• Sean Ivey - Microsoft
• Vlad Tomsa - Microsoft
• Willem Kasdorp - Microsoft

Daaruit blijkt dat 11 van de 23 deelnemers het direct gehaald hebben, iets hoger dan de 40% die ik eerder schatte. En er is nog iets opvallends te zien: 10 van de 11 zijn Microsoft medewerkers. Dat schijnt vaker zo te zijn. Vanuit onze rol krijgen wij vele Active Directory omgevingen te zien, wat erg goed is voor de kennisopbouw.

Ik hoop dat de nog niet geslaagde kandidaten (waaronder twee Nederlanders) de motivatie op kunnen brengen om het alsnog tot een goed einde te brengen!

MCM-DS: Gehaald!

Vanochtend kwam het verlossende woord: het afsluitend praktijkexamen is ook binnen, dus ik mag mij vanaf nu Microsoft Certified Master: Windows Server 2008 R2: Directory noemen. Of MCM-DS, dat is korter. De opluchting was groot! Ik was erg aan het twijfelen of ik het gehaald had. Hoe langer ik er over nadacht, hoe meer fouten ik achteraf ontdekte… eind goed al goed.

Ik heb nog niet een echt beeld hoe de hele groep het gedaan heeft. Niet iedereen wil kwijt hoe hij het gedaan heeft. Als ik het zo hoor ligt het slagingspercentage rond de 40%, maar daar kan ik naast zitten. Eerder had ik de theorie bedacht dat de praktijkmensen het lab beter zouden doen. Dat is er niet helemaal uitgekomen. De mensen die de schriftelijke examens allebei haalden lijken de beste kans te hebben ook het lab goed te doen. Maar nogmaals, mijn inzicht in de statistiek is nogal beperkt.

Het lab zorgt er wel voor dat alleen mensen met echte ervaring het kunnen halen. Het is simpelweg teveel om alles uit te zoeken op grond van theorie. Je moet veel parate ervaringskennis hebben om een eind te kunnen komen omdat je in korte tijd een aantal(!) complexe omgevingen in elkaar moet zetten. Met andere woorden, met deze certificatie kom je echt los van het “papieren MCSE” imago.

Terugkijkend vind het vooral een heel bijzondere ervaring. Eigenlijk trek je je twee weken totaal terug uit de wereld om je alleen met abstracte computer technologie bezig te houden, en niets daarbuiten. 12 tot 14 uur per dag ben je bezig, samen met collega’s die er hetzelfde over denken. Natuurlijk is de certificatie het einddoel, maar niet het enige doel. Zo veel leren in zo korte tijd is nauwelijks anders mogelijk. Zou ik het weer doen? Ja, zonder meer.

En nu kruip ik mijn bed weer in . Dank voor het lezen van deze blogserie!

MCM-DS Dag 14: het lab …

Even een korte update. Zondag was het lab, ofwel het praktijkexamen. Ik kan er eigenlijk alleen over vertellen dat het 9 uur lang volle bak gaan was, en dan nog was het niet af. Dat gold voor iedereen trouwens. Helemaal niemand had alles, en dat zegt wat. Het was buitengewoon intensief, en ook niet iedereen hield het vol. Er waren een paar afvallers.  Na afloop zijn we met de hele groep uit eten gegaan, op kosten van de trainers. Nice!

Terug op het hotel bleek het internet eruit te liggen zodat ik zonder blog met een gerust hart het bed in dook. Ik ben vandaag (dinsdag) net weer terug in Nederland. Mijn persoonlijke tussenstand is dat ik twee uit twee examens gehaald heb, dus het wachten is alleen nog op de uiteindelijke uitslag van het examen die ergens deze week moet komen.

Later meer!

MCM-DS Dag 13, het tweede examen

Er hing een gespannen sfeer vandaag. Mensen die het vorige examen niet gehaald hadden waren er op gebrand om deze wel te halen, en wie het vorige week wel gehaald hadden wilden het nu zeker niet minder doen. Om negen uur gingen we van start. Het begon makkelijk naar mijn idee, maar halverwege ging het opeens bergop. Inderdaad, allerlei lastige PKI vragen. Toen ik de laatste vraag beantwoordde en de test afsloot was ik veel minder zeker dan vorige keer. Gelukkig, ook deze keer wel gehaald! Twee uit twee, daar kan ik tevreden over zijn.

Het informele slagingspercentage ligt wat hoger dan bij het vorige examen, schat ik. Uit wat ik zo van iedereen hoor zal 60% het gehaald hebben. De overlap met de vorige keer is groot. Met andere woorden, betrekkelijk veel mensen zijn twee keer gezakt of zijn juist twee keer geslaagd.

Maakt niet uit. Die examens doe je wel weer over. Morgen (zondag) is DE dag: het praktijkexamen in het lab. Van 9:00 tot 18:00, en zie maar wat je er van maakt. Het lab is de zwaarste opgave. De inspanning is veel groter, en het gaat  nu om praktijkkennis. Ik heb het idee dat vooral de echte hands-on mensen het wat minder gedaan hebben met de examens, dus de uitslag van het lab zou zomaar andersom kunnen uitvallen. We zien wel. Ik ga zo slapen en er met frisse moed aan beginnen.

Later meer!

MCM-DS Dag 12, afsluitende onderwerpen

Het leren is voorbij! Nu nog bewijzen dat we het kunnen. Vandaag was een vergaarbak van kleinere afsluitende ontwerpen, zoals disaster recovery in de volle breedte, fine grained password policies (FGPP), etc. Niets wereldschokkends. Morgenochtend is het tweede schriftelijke examen, met de middag en avond vrij voor studie voor het afsluitende lab van zondag. Ik denk dat ik het rustig aan ga doen. Na twee weken buffelen gaan die laatste uurtjes het verschil niet maken. Goed slapen en uitgerust zijn lijkt me belangrijker.

Later meer!

MCM-DS Dag 11: DFS-R en Group Policy

De training loopt op zijn eind, dat begint duidelijk te worden. Vandaag hadden we Distributed File System Replication (DFS-R), een redelijk complex onderwerp dat bij de meeste deelnemers toch goed bekend was. De trainer deed erg zijn best het iedereen naar de zin te maken, waardoor we behoorlijk uitliepen. Het laatste onderwerp van de dag was Group Policy (GPO).

Helaas voor de trainer is dit nu juist een onderwerp dat iedereen met 10 jaar Active Directory ervaring van haver tot gort zal kennen. Het effect op de groep was dan ook dat er hier en daar losse gesprekjes ontstonden en een paar mensen zelfs wat melig werden. Ik heb veel respect voor de trainer, die zich niet uit het veld liet slaan. Zoals hij zelf aangaf, hij is verplicht GPO ook te doceren want het is deel van zijn opdracht. Hij deed het prima.

Het voordeel was wel weer dat ik alle labs van de dag in de tussentijd gedaan kreeg, waardoor ik de hele avond aan PKI heb kunnen besteden. Ik denk dat PKI voor mij het sleutelpunt gaat worden. Als ik dat voldoende kan maken dan heb ik een goede kans.

Morgen is de laatste trainingsdag, met als hoofdonderwerp Disaster Recovery, plus nog wat kleinere onderwerpen. Dat moet te doen zijn. En zaterdag dan weer een examen!

Later meer.

MCM-DS Dag 9&10: PKI en DFS

Gisteren heb ik niets van me laten horen. Dat had er vooral mee te maken dat ik om 10 uur 's avonds thuis kwam na het lab, en in bed plofte na nog even naar House gekeken te hebben. Eerlijk gezegd was ik het blog glad vergeten… Het onderwerp was dan ook Public Key Infrastructure (PKI), een vervolg op maandag. De spreker is werkelijk uitstekend, maar hij moest in sneltreinvaart door de stof heen om nog een beetje op tijd klaar te zijn. Voeg daarbij de min of meer verplichte oefeningen, en dan is het een lange dag. Die lab oefeningen zijn de sleutel tot succes, dat is wel duidelijk. Het helpt de theorie te vertalen naar praktijk, en met iets abstracts als PKI is dat hard nodig. Van de 23 deelnemers waren er misschien 5 die er regelmatig meer werkten, en ook die zaten af en toe met de oren te klapperen. Kortom, super intens en super leerzaam!

Vandaag was een veel rustiger dag. Het onderwerp is Distributed Filesystem in zijn varianten: FRS, DFS-N V1 en V2, en DFS-R. Deze stof staat veel dichter bij de gemiddelde IT Pro, en iedereen kon het goed volgen. Eigenlijk had het wel wat pittiger gemogen, maar aan de andere kant was na gisteren wel prettig om het even iets rustiger aan te kunnen doen. Be careful what you wish for, volgens de Amerikanen! Ik heb tijd over om opnieuw naar PKI te kijken ter voorbereiding op de examens.

Vorige week liet ik even zien hoe de snaaiberg er voor stond. Een weekje later ziet het er zo uit:

Dat zeg wel genoeg denk ik. Later meer!

MCM-DS, dag 8: Eerste examen!

Vanochtend hadden we het eerste van twee examens, over de stof van de afgelopen week. De stijl was zoals we die van de MCSE/MCITP examens kennen: elektronisch, multiple choice. Het niveau was alleen wat hoger. Vijftig pitte vragen in 2,5 uur. Oh, je wilde weten of ik het gehaald had? Ja .

Ik had er tijdens het examen al een goed gevoel over, en gelukkig klopt dat ook. De score is niet bekend trouwens, het is pass/fail. Als ik zo hoor hoe de andere mensen het gedaan hebben schat ik dat ongeveer 50% het gehaald heeft. Nu was dit wel het makkelijkste examen, schat ik. Het ging over de kern technologieën van AD die iedereen hier wel moet kennen. Deze week gaat het over PKI, DFS, DR, en meer van dat soort zaken. Het slagingspercentage voor dat examen (aanstaande zaterdag) zal vast een stuk lager zijn.

Vanmiddag stond PKI op het programma, in de death-by-powerpoint variant. Ik weet best wel een beetje hoe PKI werkt, maar dit ging wel heeel hard. De avond was voor een oefening in het lab. Daar ben ik nu (21 uur) net mee klaar. Ik heb het wel gehad voor vandaag, dus. Morgen meer!

MCM-DS, Dag 5: Trusts, Read-Only DC’s, en Lightweight Directory Services

Vrijdag was een beetje een verzameling van overgebleven onderwerpen. Iedereen die iets met Windows te maken heeft zal het concept van trusts kennen. Simpel genoeg niet, trustje maken tussen twee domeinen en je kan over en weer rechten gaan uitdelen. Ja… maar als je het over forests trusts gaat hebben in combinatie met Kerberos en NTLM dan gaat het al heel snel de diepte in. We hadden een erg lastige praktijkopdracht over dat onderwerp. Ik ben er tot laat in de nacht mee bezig geweest, en met mij vele anderen. Uiteindelijk wel gelukt, trouwens.

Over praktijkopdrachten gesproken. Alle deelnemers hebben een eigen server die flink bemeten is. Dit is een illustratie van Task Manager:

De omgeving maakt gebruik van Hyper-V om ongeveer 50 virtuele machines te draaien. Zoals je ziet doen die niet veel, maar de complexiteit is meer dan voldoende om je goed op uit te kunnen leven, zoals puzzelen met read-only Domain Controllers. Dit ging iets minder diep, maar voldoende om wat interessante oefeningen te kunnen doen.

De dag liep over in zaterdag (vandaag) met als enig onderwerp Lightweight Directory Services (LDS). Dat is iets dat ik goed ken omdat ik er ooit een groot project mee heb gedaan. Voor de deelnemers was het echter pittig, want de trainer was met grote stappen snel thuis. De rest van zaterdag en de hele zondag ga ik studeren en vooruitwerken voor volgende week. Maandag is het eerste examen, theorie over alle stof van de afgelopen week. Wish me luck!

Later meer.

MCM-DS, dag 4: Active Directory Replicatie

Vandaag was een rustige dag voor mij. Als PFE gespecialiseerd in Active Directory hoort replicatie tot de kernactiveiten. Het is een belangrijk onderdeel van de Risk Assessments (ADRAP) die ik regelmatig uitlever, en ik hou me er al jaren mee bezig. Weinig nieuws dus vandaag, en je kon merken dat dit voor veel andere mensen ook gold. 

Er waren twee leuke momenten in de dag. De eerste was was een oefening waarbij replicatie bewust stuk gemaakt was op twee heel verschillende manieren, en de opdracht was om uit te zoeken wat het probleem was en het te repareren zonder al te drastische maatregelen te nemen. Ik kan natuurlijk niet verklappen wat de trainers hadden gedaan, maar het was … uhm … creatief.

Het andere moment was een groepsoefening waarbij je een viertal “foute” replicatie topologieën te zien kreeg, je moest kijken wat er mis is, en suggesties voor verbetering geven. Met een boel eigenwijze mensen in de zaal krijg je dan meteen evenveel meningen. Hier kon je wel merken dat de meer ervaren mensen meer details boven kregen dan de generalisten.

Morgen gaan we in hetzelfde straatje verder met trusts, RODC’s en een paar kleinere onderwerpen. Later meer!

MCM-DS, dag 3: Authenticatie protocollen

Ow. My brain hurts. Vandaag ging het over een abstract en pittig onderwerp: authenticatie protocollen, ofwel hoe bewijs je aan Active Directory dat je bent wie je zegt die je bent.

Zoals je misschien hebt opgemerkt noem ik geen namen in dit blog, maar de trainer van vandaag was iemand die op MSDN zijn eigen blog heeft over authenticatie. Qua niveau zit hij zelf op guru-level, en hij nam aan dat het publiek uit experts bestond. Dus, hij vertelde over allerlei interessante uitzonderingen zonder de basisprincipes echt uit te leggen. Op zich terecht, gezien het niveau van de training, maar het betekende wel dat we (en ik!) alle zeilen bij moesten zetten. Ik heb wel veel geleerd, en ook de oefeningen gingen prima. Om je een beetje een idee te geven van het detail niveau, dit was het soort plaatje dat continu voorbij kwam (bron: TechNet):

Na afloop zijn we met een klein groepje uit eten geweest in het centrum van Seattle. Ik ben nu net weer op mijn hotelkamer, en ga nog even wat netmon traces bekijken. De trainer gaf de hint dat dit wel eens nuttig zijn kunnen zijn, en de goed verstaander heeft maar een half woord nodig… later meer!