Modify Netscaler login page

Netscaler Paden:

 

Wijzigingen kun je direct doorvoeren door bestanden in onderstaande map aan te passen:

 

<root>\netscaler\ns_gui\vpn\

 

Bestanden die interessant zijn:

 

Nsshare.js        : Javascript voor voornamelijk tekstuele aanpassingen

Caxtonstyle.css   : Stylesheet om de opmaak aan te passen

 

Wijzigingen persistent houden door aangepaste bestanden tevens te plaatsen in de map: (zodat na een reboot niet alles weg is)

 

<root>\var\customizations\

 

En in onderstaand de te kopieeren paden / bestanden te plaatsen:

(opdrachten in bestand worden tijdens het opstarten van de Netscaler uitgevoerd)

 

<root>\flash\nsconfig\rc.netscaler

 

Huidig content van rc.netscaler:

 

cp /var/customizations/login.js.mod /netscaler/ns_gui/vpn/login.js

cp /var/customizations/nsshare.js.mod /netscaler/ns_gui/vpn/nsshare.js

cp /var/customizations/en.xml.mod /netscaler/ns_gui/vpn/resources/en.xml

cp /var/customizations/images/* /netscaler/ns_gui/vpn/images/

cp /var/customizations/images/ctxHeader01.gif /netscaler/ns_gui/vpn/images/

 

Voeg je dus plaatjes toe of pas je iets aan dan dien je deze weer in de <root>\var\customizations\ te zetten, nieuwe zaken dien je ook toe te voegen aan de rc.netscaler, dit kan eventueel middels winscp en het bestand aanpassen anders middels de CLI (zie Citrix site)

 

Terminal server gateway error XP Sp3

Het kan voorkomen dat je onderstaande melding krijgt:
 "This computer can't connect to the remote computer because the Terminal Services Gateway server address is unreachable or incorrect. Type a valid server address"

oplossing is het installeren van onderstaande KB:
http://support.microsoft.com/kb/951607

Default gateway verdwijnt na reboot

Command prompt: netsh int ip reset

Exchange 2010 remote mailbox move error after SP2 update

Men kreeg onderstaande fout met mailbox move van de cloud naar on-premise

 

Door de SP2 update van Exchange is de mrsproxy weer disabled, deze is nodig voor een remote mailbox move van en naar de cloud.

 

onderstaand commando dient uitgevoerd te worden op de CAS server:

Set-WebServicesVirtualDirectory -Identity “server\EWS(default Web site)” –MRSProxyEnabled $true

 

Bron: http://community.office365.com/en-us/wikis/exchange/remote-mailbox-moves-fail-after-installing-exchange-2010-sp2.aspx

 

TMG RDP issue inloggen (duurt lang)

Soms duurt het inloggen op een TMG server lang, dit heeft te maken met het feit dat een TMG server meestal 2 netwerk interfaces heeft waardoor RDP de weg niet goed weet dit kun je oplossen door onderstaande uit te voeren:

RDP-TCP veranderen van alle network adapters naar de internal adapter, nu zat de DMZ er ook tussen waardoor je vreemde zaken krijgt met een rdp sessie

http owa redirect to https error

Je kunt op de CAS server van exchange binnen IIS een http redirect zetten naar de https owa website, echter krijg je dan onderstaande fout:

 

Om dit op te lossen ga je als volgt te werk:

 

Maak de redirect aan op de default website:

 

Zet Require SSL uit op de defautl website.

 

doe een eventuele IIS reset

 

Bron: http://technet.microsoft.com/en-us/library/aa998359.aspx

 

 

 

Flash update definitief uitschakelen

update process

Administrators can configure auto-update notification settings by deploying a file named mms.cfg. The mms.cfg file is intended for configuration by an IT administrator and is stored on the user's computer. Flash Player installation does not create the file. You can use third-party administration tools, such as Microsoft System Management Server, to replicate the configuration file to the user's desktop.

The mms.cfg file is a UTF-8 text file. The format of the mms.cfg file is a series of name=value pairs separated by carriage returns. If a parameter is not set in the file, Flash Player assumes the default value. When set, values in this file override the user-configured settings stored in a per-user local shared object.

Note: Settings in mms.cfg override the users settings and users cannot change it through Settings Manager. Settings Manager, as viewed by the user, doesn't reflect configuration settings set by mms.cfg.

If you are deploying Flash Player 8 or later, store the mms.cfg file in the following location depending on the operating system:

·         Windows NT, 2000-- C:\WINNT\System32\Macromed\Flash

·         Windows XP, Vista --C:\WINDOWS\System32\Macromed\Flash

·         Windows 95, 98, or ME--C:\Windows\System\Macromed\Flash

·         Windows 64 bit -- C:\Windows\SysWOW64

·         Macintosh--\Application Support\Macromedia

For player versions earlier than Flash Player 8, store the mms.cfg file in the following location depending on the operating system:

·         Windows NT, 2000--C:\WINNT\System32

·         Windows XP, Vista-- C:\WINDOWS\System32

·         Windows 95, 98, or ME--C:\Windows\System

·         Windows 64 bit -- C:\Windows\SysWOW64

·         Macintosh-- \Application Support\Macromedia

Note: Flash Player 8 and later versions can read mms.cfg from either the new or old location. If mms.cfg exists in both locations, Flash Player 8 reads settings from the new location.

The following table describes settings in the mms.cfg file:

Parameter	Default	Description
AutoUpdateDisable	0	0 allows auto-update based on user settings. 1 disables auto-update.
AutoUpdateInterval	<0 (or absent)	Takes a numeric value. <0 (or absent) uses value from player settings. 0 checks for updates every time the player launches. >0 specifies the minimum number of days between check for updates.
SilentAutoUpdateEnable	1	0 allows background update. 1 disables background update.

Disable auto-update notification

1.     Create or open the mms.cfg file in a text editor.

2.     Add the following auto-update setting:
AutoUpdateDisable=1

3.     Save the mms.cfg file with UTF-8 encoding in the correct system location for the user's operating system.

4.     Close and restart Flash Player or the browser in which Flash Player is running for the new setting to take effect.

Enable background update process

1.     Create or open the mms.cfg file in a text editor.

2.     Add the following auto-update setting:
AutoUpdateDisable=0
SilentAutoUpdateEnable=1

3.     Save the mms.cfg file with UTF-8 encoding in the correct system location for the user's operating system.

4.     Close and restart Flash Player or the browser in which Flash Player is running for the new setting to take effect.

Test auto-update notification settings

Administrators can verify the mms.cfg configuration has disabled auto-update by using a packet sniffer with the following test:

1.     In mms.cfg, set AutoUpdateDisable=0 to allow auto-update. Verify that auto-update is enabled in Settings Manager.

2.     Add the auto-update setting:
AutoUpdateInterval=0
With this setting, Flash Player requests the version file every time it starts and the request appears in the network request traffic.

3.     Open a web page with Flash content to start Flash Player. A simple page with a single piece of Flash content is best, to minimize the network traffic in the packet sniffer log. The packet sniffer shows the auto-update request traffic to http://fpdownload.macromedia.com/
Note: Avoid using www.macromedia.com as your test page, since the auto-update request is lost in the other file requests.

4.     Set the AutoUpdateDisable to 1 to disable auto-update notification.

5.     Open a web page with Flash content to start Flash Player. There is no version file request traffic.

Bron: http://helpx.adobe.com/flash-player/kb/administration-configure-auto-update-notification.html

Office 365 ADFS trust

Gebruikers krijgen onderstaande fout te zien, dat men niet aangemeld kan worden bij de organisatie.

 

Het certificaat tussen de ADFS server en Office 365 bleek te zijn verlopen, dit is met onderstaande powershell commando's opgelost.

1 voor 1 zijn onderstaande regels uitgevoerd op de ADFS server.

$cred = Get-Credential

Set-ExecutionPolicy unrestricted

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell -Credential $cred -Authentication Basic -AllowRedirection

Import-PSSession $session

Connect-MsolService -Credential:$cred

Set-MsolADFSContext -Computer:<computername adfs server>

Update-MsolFederatedDomain -DomainName:korein.nl -SupportMultipleDomain

Dit is een jaarlijks terugkerend  iets! dus zorg ervoor dat je een agenda afspraak noteert!!!

Live Migration issue

Er waren problemen met live migration van een virtueel machine naar een andere node, zowel onderling van enclosure naar enclosure als in dezelfde enclosure.

Tijdens een live migration was de machine te lang offline om gewoon door te werken, soms was het 3 ping time out en soms bleef de machine timed out.

Als de machine helemaal offline bleef was een ping naar de gateway vanuit de vm voldoende om

weer reply te krijgen van de vm.

De uiteindelijke oplossing van alle problematiek was de network adapter van de virtual machine.

Het verwijderen van de legacy network adapter, en een nieuwe network adapter(Synthetic) toevoegen verhielp het probleem,

schijnbaar kan deze synthetic adapter beter overweg met live migration omdat deze na afloop van een migration een update geeft naar de switches d.m.v. een special arp request.

Inconsistent WMI Repository

Op een Citrix Server wilde we een aanpassing doorvoeren op RD Session Host, echter kregen we onderstaande foutmelding:

De foutmelding lag aan de WMI repository, welke corrupt was:

Ook het opvragen van de services via Powershell lukte niet:

Services herstarten leverde geen oplossing.

Oplossing:

We hadden geen backup van de repository (locatie %windir%\System32\wbem\repository) die we terug konden zetten, dus onderstaand commando uitgevoerd:

Winmgmt /salvagerepository %windir%\System32\wbem

In de system32\WBEM\ wordt de oude repository dir. Hernoemd en een nieuwe wordt aangemaakt!

Commando WINMGMT

C:\sydi>winmgmt /?

WMI (Windows Management Instrumentation)

Syntaxis:  winmgmt [/backup <bestandsnaam>] [/restore <bestandsnaam> <vlag>]
                   [/resyncperf] [/standalonehost [<niveau>]] [/sharedhost]
                   [/verifyrepository [<pad>]] [/salvagerepository]
                   [/resetrepository]

/backup    <bestandsnaam>
           Hiermee wordt een back-up van de opslag met de opgegeven bestands-
           naam gemaakt. De optie 'bestandsnaam' moet het volledige pad naar
           de bestandslocatie bevatten. Dit proces vereist een schrijf-
           vergrendeling op de opslag, zodat de schrijfbewerkingen naar de
           opslag worden onderbroken totdat het back-upproces is voltooid.

/restore   <bestandsnaam> <vlag>
           De WMI-opslag handmatig uit het opgegeven back-upbestand
           terugzetten. De optie 'bestandsnaam' moet het volledige
           pad naar de locatie met het back-upbestand bevatten. Om het
           terugzetten te kunnen uitvoeren, wordt de bestaande opslag
           opgeslagen, zodat deze kan worden hersteld als de bewerking
           mislukt. Vervolgens wordt de opslag uit het back-upbestand uit de
           optie 'bestandsnaam' teruggezet. Als er geen exclusieve toegang
           tot de opslag is, wordt de verbinding tussen bestaande clients
           en WMI verbroken. De optie 'vlag' moet 1 (verbinding met
           gebruikers - geforceerd verbreken en vervolgens terugzetten) of
           0 (standaard - terugzetten als geen gebruikers zijn verbonden)
           zijn, en dit bepaalt de modus voor terugzetten.

/resyncperf        De prestatie-DLL-bestanden van het systeem bij WMI
                   registreren.

/standalonehost    [<niveau>]
           De Winmgmt-service naar een alleenstaand Svchost-proces verplaatsen
           dat een vast DCOM-eindpunt heeft. Het standaardeindpunt is
           'ncacn_ip_tcp.0.24158'. Maar het eindpunt kan worden gewijzigd
           door Dcomcnfg.exe uit te voeren. De optie 'niveau' is het
           verificatieniveau voor het Svchost-proces. Als niveau niet wordt
           opgegeven, is de standaardwaarde 4 (RPC_C_AUTHN_LEVEL_PKT).

/sharedhost        De Winmgmt-service naar het gedeelde Scvhost-proces
                   verplaatsen.

/verifyrepository  [<pad>]
           Een consistentiecontrole op de WMI-opslag uitvoeren. Als u de
           schakeloptie /verifyrepository zonder optie <pad> opgeeft, wordt
           de actieve opslag die momenteel door WMI wordt gebruikt,
           gecontroleerd. Als u <pad> opgeeft, kunt u elke opgeslagen kopie
           van de opslag controleren. In dat geval dient <pad> het volledige
           pad naar de opgeslagen kopie van de opslag bevatten. De opgeslagen
           opslag dient een kopie van de volledige opslagmap te zijn.

/salvagerepository
           Een consistentiecontrole op de WMI-opslag uitvoeren en de opslag
           opnieuw samenstellen als een inconsistentie wordt gevonden. De
           inhoud van de inconsistente opslag wordt samengevoegd met de
           opnieuw samengestelde opslag, als deze kan worden gelezen. De
           herstelbewerking wordt altijd uitgevoerd op de opslag die momenteel
           door de WMI-service wordt gebruikt. MOF-bestanden die de instructie
           #pragma autorecover preprocessor bevatten worden naar de opslag
           teruggezet.

/resetrepository
           De opslag wordt teruggezet naar de toestand van net nadat het
           besturingssysteem werd geïnstalleerd. MOF-bestanden die de
           instructie #pragma autorecover preprocessor bevatten worden
           naar de opslag teruggezet.

VBS script via GPO

Wat blijkt nou het geval te zijn als je local admin bent op een computer dan voert deze geen VBS script via een GPO uit,

Als je local admin bent dan krijg je een ander soort token mee tijdens het inloggen:

“U kunt dit probleem oplossen door de registerwaarde EnableLinkedConnections te configureren. Deze waarde kunt Windows Vista of Windows 7 voor het delen van netwerkverbindingen tussen het gefilterde-toegangstoken en het volledige beheerderstoegangstoken voor een lid van de groep Administrators. Nadat u deze registerwaarde, controleert LSA of er een andere toegangstoken dat is gekoppeld aan de huidige gebruikerssessie van de als een netwerkbron is toegewezen aan een toegangstoken. Als de LSA vaststelt dat er een toegangstoken gekoppeld is, wordt de netwerkshare naar de locatie van de gekoppelde toegevoegd”

Configureer de registerwaarde EnableLinkedConnections, de volgende stappen uit:

1. Klik op Start, typ Regedit in de Zoekopdracht startenhet vak en druk op Enter.

2. Zoek en klik met de rechtermuisknop op de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

3. Wijs Nieuwe, en klik vervolgens op DWORD-waarde.

4. Type EnableLinkedConnections, en druk op Enter.

5. Klik met de rechtermuisknop EnableLinkedConnections, en klik vervolgens op Wijzigen.

6. In de Waardegegevens in het vak 1, en klik vervolgens op OK.

7. Sluit Registereditor af en start de computer opnieuw.

Hieronder het KB artikel van Microsoft

http://support.microsoft.com/kb/937624

Citrix webinterface 5.4 publiceren op UAG 2010 (loop issue)

Je kunt tegenwoordig Citrix publiseren op je UAG ter vervanging van je CAG (Citrix Access Gateway), echter liep ik tegen het volgende aan, hij bleef in een loop hangen bij silentdetect:

Om dit op te lossen dien je 2 bestanden aan te passen en deze in de Customupdate folder te zetten (LET op pas niet de bestaande aan maar maak een kopie en zet deze in de custom update folder!!)

Ga naar deze folder op de UAG: <UAG Path>\Von\Conf\Websites\<Your Trunk>\Conf\

Kopieer  WhlFiltSecureRemote_HTTPS.XML en WhlFiltAppWrap_HTTPS.xml naar de volgende folder:

<UAG Path>\Von\Conf\Websites\<Your Trunk>\Conf\CustomUpdate (als de map customupdate niet bestaan maak deze dan aan)

W32TM Time settings

Soms gebeuren er vreemde zaken die niet te verklaren zijn, waar veel mensen niet bij stil staan is dat tijd een hele belangrijke factor is voor veel applicaties.

Als er bijv. meer dan 5 minuten tussen een DC zit en een client dan kunnen er vreemde zaken gebeuren vooral met authenticatie (kerberos) problemen.

Hieronder een aantal commando’s om zaken na te lopen. (allen uit te voeren in DOS prompt als administrator)

W32tm / query /source de gegevens worden opgevraagd waar de computer zijn tijd vandaan haalt, onderstaande voorbeeld zie je dat de tijd komt van de Domain Controller,

Voor een computer dat in een domein hangt dus perfect!

W32tm /monitor er worden diverse checks gedaan, wat belangrijk is om te weten is de stratum waarde, de stratumwaarde  geeft aan wie de hoofdtijd server is.

In onderstaande voorbeeld zie je dat er 3 DC’s zijn waarvan 1 een lagere stratum waarde heeft dan de andere 2, je kunt ook zeggen dat deze server met stratum waarde 3

De hoofdtijdserver is van het hele domein. De DC met stratum waarde 3 haalt zijn tijd weer extern ergens vandaan (nl.pool.ntp.org, stratum 2) en zoals je kunt zien haalt nl.pool.ntp.org deze tijd ook weer ergens vandaan (turnera-ext-bge0.toolserver.org, stratum 1)

W32tm /query /status hier kun je snel zien wat de bron is en wanneer de laatste keer is geweest dat de client heeft gesynchroniseerd.

Om een client (domein) te laten syncen voer je onderstaande stappen uit: (let op, in principe als je een client toevoegt aan een domein dan doet hij dit automatisch)

To configure a client computer for automatic domain time synchronization

1. Open a Command Prompt. (as administrator)
2. Type the following command and then press ENTER:

w32tm /config /syncfromflags:domhier /update

3. Type the following command and then press ENTER:

net stop w32time

4. Type the following command and then press ENTER:

net start w32time

Om een client/DC rechtstreeks met een externe tijdbron te laten syncen voer je onderstaande uit:

To synchronize the domain controller with an external time source

1. Click Start, and then click Command Prompt. (as administrator)
2. In the Command Prompt window, type the following line, where peers is a comma-separated list of IP addresses of the appropriate time sources, and press ENTER:
   
   w32tm /config /manualpeerlist: nl.pool.ntp.org /syncfromflags:MANUAL
   
   Press ENTER. You should get a message that the command completed successfully.
3. Type w32tm /config /update
4. Press ENTER. You should get a message that the command completed successfully.
   
   W32time uses a variable poll interval based on the quality of timesync with the server. On DCs, this interval defaults to between 64 and 1024 seconds.
5. To immediately synchronize with the external time server, type w32tm /resync and press ENTER. You should get a message that the command completed successfully.
6. Type Exit and press ENTER.  

Some werkt bovenstaande niet, dan kun je het beste W32 even opnieuw registreren dit doe je als volgt:

 

net stop w32time
w32tm /unregister
w32tm /register
net start w32time

 

Bron: Technet

Server Manager 2008 server 0x800F0818 error

• Readiness check draaien op de server (KB947821)

=================================

Checking System Update Readiness.

Binary Version 6.1.7601.21645

Package Version 13.0

2012-02-22 09:11

Checking Windows Servicing Packages

Checking Package Manifests and Catalogs

(f)           CBS MUM Corrupt               0x00000000               servicing\Packages\Package_for_KB2454826_RTM~31bf3856ad364e35~amd64~~6.1.2.0.mum                Expected file name Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7600.16385.mum does not match the actual file name

Checking Package Watchlist

Checking Component Watchlist

Checking Packages

Checking Component Store

Summary:

Seconds executed: 281

Found 1 errors

  CBS MUM Corrupt Total count: 1

Unavailable repair files:

               servicing\packages\Package_for_KB2454826_RTM~31bf3856ad364e35~amd64~~6.1.2.0.mum

               servicing\packages\Package_for_KB2454826_RTM~31bf3856ad364e35~amd64~~6.1.2.0.cat

•           Maak jezelf eigenaar van deze map, voer dit commando uit (CMD run as admin):
  takeown /F c:\Windows\Servicing\Packages /D y /R
•           Geef je daarna full control rechten op bovenstaande map.
•           Package opnieuw downloaden van de MS site KB2454826
•           Package uitpakken, daarna de CAB file nogmaals uitgepakt.
•           In de cab file zitten de zelfde 2 files die in de readiness tool naar boven zijn gekomen:servicing\packages\Package_for_KB2454826_RTM~31bf3856ad364e35~amd64~~6.1.2.0.mumservicing\packages\Package_for_KB2454826_RTM~31bf3856ad364e35~amd64~~6.1.2.0.cat
•           Kopieer eerst de 2 oude bestanden en backup deze eerst.
•           Kopieer daarna de 2 nieuwe bestanden en overschrijf de 2 oude in de c:\windows\ servicing\packages\ Directory
•           Geef daarna de local TrustedInstaller weer owner rechten op bovenstaande directory (dit kun je gewoon via de grafische interface doen)
•           Et Voilà de server manager werkt weer naar behoren.

WMI Query x32 or x64 windows OS

Target Win 7 32 bit machines:
select * from Win32_OperatingSystem WHERE Version like "6.1%" AND ProductType="1" AND NOT OSArchitecture = "64-bit"

Target Win 7 64Bit machines:
select * from Win32_OperatingSystem WHERE Version like "6.1%" AND ProductType="1" AND OSArchitecture = "64-bit"

Target any 32 bit OS;
SELECT AddressWidth FROM Win32_Processor WHERE AddressWidth ='32'

Target any 64Bit OS:
SELECT AddressWidth FROM Win32_Processor WHERE AddressWidth ='64'

Default Domain Policy

Een Default Domain Policy is een policy die altijd standaard wordt aangemaakt door een domain controller, deze staat ook standaard op het hoogste niveau (onder domain niveau)

Als je hier aanpassingen in maakt dan worden deze netjes doorgevoerd, voorbeeld hieronder: minimum password age 8 dagen.

Ik kijk in ADSIedit en zie inderdaad dat daar 8:00:00:00 staan (8 dagen)

Nu haal ik de Default Domain Policy weg en hang ik deze onder een lager OU niveau, als ik nu de minimum password age aanpas naar bijv. 3 dagen zoals hieronder

Dan zie ik in ADSI edit nog steeds 8 dagen staan, kortom een Default Domain Policy werkt dan eigenlijk niet meer “goed” laat deze dus altijd op het hoogste niveau staan!