Wednesday, September 28, 2011

Lync 2010 beheren met een GPO (Lync.adm of Communicator.adm)

Eén van de vernieuwingen van Lync 2010 is dat het beheer van de client nu ‘in-band’ is. Dat wil zeggen dat de client zijn instellingen van de Lync server ontvangt op het moment dat hij contact maakt met de server. Toch zijn er een aantal instellingen die we nog met een GPO kunnen managen, dat zijn met name instellingen over de wijze waarop Lync verbinding maakt met de server.

Op het Microsoft Download Center is nu een Excel sheet te downloaden waar alle mogelijke GPO settings in beschreven staan, evenals een .adm bestand waarmee je je eigen Lync GPO kunt maken. Te downloaden hier: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=27217

Let op: het bestand heet Communicator.adm maar is wel degelijk de juiste versie voor Lync.

Wednesday, September 14, 2011

Windows 8 Preview op VMware Workstation of ESX? No can do, sir.

Wie probeert om de Windows Developer Preview, ofwel Windows 8, te installeren op VMware Workstation 7, VMware Player, VMware ESXi of Microsoft Virtual PC ontdekt als snel dat dit niet gaat werken. Onder andere de volgende foutmeldingen komen voor:

*** VMware Player internal monitor error ***
vcpu-0:NOT_IMPLEMENTED vmcore/vmm/intr/apic.c:1903

HAL_INITIALIZATION_FAILED

De reden is dat Windows 8 een aantal ACPI 2.0 feature gebruikt welke niet beschikbaar zijn in deze producten. Wel werkt het prima in VMware Workstation 8, Fusion 4 of in de gratis producten Hyper-V en VirtualBox.

Windows Server 8: Een eerste blik

Eigenlijk moet ik zeggen Windows Server Developer Preview, want zo noemt Microsoft de eerste openbare versie van de opvolger van Windows Server 2008 R2. Het getal 8 verwijst eigenlijk vooral naar de desktopvariant, Windows 8 is immers het logische vervolg op Windows 7. Toch is het nog lang niet duidelijk of Windows 8 ook daadwerkelijk de naam gaat worden van de nieuwe versie voor desktops, laptops en tablets. De geruchten zijn dat Microsoft een aparte naam zal kiezen, misschien om te benadrukken dat het verschil met Windows 7 veel groter is dan slechts het ophogen van een versienummer. De zakelijke wereld heeft niet zo’n behoefte aan fancy namen, dus ga er maar vanuit dat we hier kijken naar Windows Server 2012 of iets dergelijks.

In dit artikel wil ik een eerste blik werpen op wat Windows Server 8 te bieden heeft en ik doe dat op een manier die velen van jullie wel bekend voor zal komen, door het te installeren en wat rond te snuffelen in de interface. Bereid je voor op veel screenshots. Laten we beginnen bij de installatie.

image

Hier valt op dat we kunnen kiezen voor een nieuwe installatievorm, Features On Demand. Volgens de omschrijving gaat het om een volledige installatie waarbij een aantal features op afstand geïnstalleerd kunnen worden. Het is mij op dit moment nog niet duidelijk wat hier mee bedoeld wordt. De installatie van Windows Server gaat zeer snel, ik test in een VM binnen Hyper-V Server 2008 R2 op een 4 jaar oude desktop computer met een eenvoudige SATA disk, en was verbaasd dat ik al na tien minuten in kon loggen.

image

Het inlogscherm geeft gelijk al weg waar we mee te maken hebben: de Metro interface die al bekend is van Windows Phone 7. Dit wordt nog duidelijker als we klikken op het icoon voor Toegankelijkheid:

image

Eén ding is duidelijk, serverbeheer wordt nu mogelijk vanaf een tablet. De opties, ruimte tussen de woorden en buttons zijn groot genoeg om met je vinger te bedienen. Na het inloggen lijken we bij het bekende bureaublad aangekomen zijn, maar onze aandacht wordt direct afgeleid door de eerste ‘app’ in de nieuwe Metro interface: Server Manager.

image

Naast de nieuwe interface laat Server Manager een aantal interessante ontwikkelingen zien. Microsoft zoekt al langere tijd naar een manier om beheerders van kleinere omgevingen een beter inzicht te bieden in de gezondheid van hun omgeving. Meestal zijn dit omgevingen waar (nog) geen gebruik gemaakt wordt van proactieve monitoringsoftware zoals System Center Operations Manager. Het antwoord is Server Groups, deze maken het mogelijk om servers te groeperen op bijvoorbeeld fysieke locatie of rol. Het aanmaken van een Server Group kost slechts een paar muisklikken en we hebben verschillende mogelijkheden om servers te selecteren. Wanneer we in het linkerdeel van het scherm nu naar de aangemaakte groep navigeren krijgen we de mogelijkheid om in een overzicht de status van deze servers in te zien:

image

Het is dan ook niet verrassend dat na installatie van een server de optie Remote Management nu standaard ingeschakeld is:

image

Een andere ontwikkeling die enige jaren geleden al is ingezet is de steeds grotere rol van de Best Practice Analyzers. Het is dan ook niet verbazend dat we in de nieuwe Server Manager in één keer een BPA scan kunnen starten op alle servers in de groep, het zelfde geldt uiteraard voor het inzien van de resultaten.

We laten de Server Manager even voor wat hij is en kijken welke nieuwe features we verder tegenkomen. Goed nieuws voor mensen die met hoog beschikbare omgevingen werken: NIC teaming is nu onderdeel van Windows Server:

image

image

Andere veranderingen zien we in de Add Roles and Features Wizard. Ook hier gaat het niet alleen om het verplaatsen van een knopje hier en daar maar zie je duidelijk dat Microsoft zich richt op hoe jij hun producten daadwerkelijk gebruikt. Bij het toevoegen van een rol kun je nu kiezen of je zelf een optie uit de lijst wilt kiezen, of dat je wilt dat de wizard je helpt om een bepaald scenario te bereiken.

image

image

Is de Preview is nog maar één scenario uitgewerkt, maar het is duidelijk welke kant Microsoft op wil met deze functionaliteit. Wanneer we kiezen voor de “klassieke” manier van roles en features valt op dat we kunnen kiezen op welke server we dit willen doen, geheel in lijn met de benadering die we ook in Server Manager zien. Opvallend is dat we slechts één server kunnen selecteren:

image

Nog interessanter is het alternatief, we kunnen nu roles en features beheren van servers die opgeslagen zijn in een virtual hard disk (VHD) bestand:

image

Uiteraard zien we de zelfde mogelijkheden ook terug in de PowerShell cmdlets voor deze functionaliteit, zie bijvoorbeeld de –ComputerName en –Vhd parameters.

image

Goed nieuws voor mensen zoals ik, die regelmatig een set features willen toevoegen op meerdere servers tegelijk. Stel je voor:

$a = "server1", "server2", "server3", "server4"
foreach ($i in $a) { Install-WindowsFeature Telnet-Client -ComputerName $i }

Overigens wordt hier gebruik gemaakt van WMI, niet van remote PowerShell. Als we nog even bij PowerShell blijven dan valt op dat de module ServerManager standaard aanwezig is, die hoeven we niet eerst te importeren. Een andere welkome verbetering is de aanduiding van fouten. PowerShell zet een rood kringeltje onder het betreffende deel van je regel, inderdaad precies als de spellingscontrole van Word…

image

Conclusie

Een eerste blik in Windows Server 8 leert ons dat Microsoft niet alleen investeert in een nieuwe interface die beheer van een tablet mogelijk maakt, maar het ons ook mogelijk maakt om slimmer, sneller en efficiënter te werken. Verbeteringen klein en groot die we zowel in de GUI als in PowerShell terug vinden.

In een tweede deel van dit artikel zal ik verder in gaan op een aantal andere vernieuwingen in Windows Server 8. Sommigen zijn erg zichtbaar, anderen wat beter verstopt. Stay tuned…

Friday, September 2, 2011

Lync gebruiker enablen: Active Directory operation failed <DC>. You cannot retry this operation…

Eén keer in de zoveel tijd krijg ik de vraag waarom een gebruiker in Lync Controle Panel niet Lync enabled kan worden. Er verschijnt een AD foutmeldingen die duidt op te weinig rechten, terwijl de beheerder wel degelijk de CsUserAdministrator of CsAdministrator rol heeft.

image

Bovendien blijkt het wel te werken in Lync Management Shell:

image

De oorzaak van dit probleem is dat deze gebruiker lid is (of op een bepaald moment was) van een zogenaamde protected group. Protected groups zijn bijvoorbeeld Domain Admins en Enterprise Admins. In Active Directory loopt namelijk een proces wat bij leden van deze groepen het vinkje voor Include inheritable permissions from this object’s parent verwijdert. Hierdoor beschikt Lync Control Panel niet over rechten om de eigenschappen van het object bij te werken. Doordat er verschil zit in de manier waarop Lync Control Panel en Lync Management Shell werken treedt de foutmelding niet op als je de user inschakelt in de Lync Management Shell.

We kunnen dit zien door in Active Directory Users and Computers (ADUC) eerst Advanced Features aan te zetten, deze vind je onder View. Vervolgens zoeken we onze probleemgebruiker op en klikken we op Security, Advanced. Hier zien we dat het vinkje ontbreekt:

image

Het plaatsen van het vinkje alleen is geen oplossing, zo lang de gebruiker lid is van deze groepen zal het vinkje vanzelf weer weggehaald worden. De echte vraag is natuurlijk waarom een gewone gebruiker lid moet zijn van deze groepen. Het is toch zeker een best practice om beheerwerkzaamheden en “normaal” werk met verschillende accounts te doen, zo voorkom je dat risico’s die je als downloader en internetter loopt verstrekkende gevolgen hebben, om nog maar te zwijgen van het bekend worden van je gebruikersnaam en wachtwoord wat je her en der gebruikt.

Bovendien leidt het ontbrekende vinkje tot problemen met andere applicaties, bijvoorbeeld ActiveSync wat voor deze gebruikers niet werkt in Exchange 2010. De beste oplossing is dus om een gescheiden (maar wel persoonlijk) account te gebruiken voor beheerwerkzaamheden en je eigen account niet lid te maken van deze speciale groepen. Mocht dit echt niet lukken dan kun je het vinkje tijdelijk terugplaatsen of de gebruiker enablen met Lync Management Shell.