Am Sonntag den 01. Oktober 2006, erhielt ich um 13:44 Uhr eine Mail mit dem Betreff, dass im Titel dieses Blog-Eintrags steht.
Weiter hieß es in dieser E-Mail:

Ihre außerordentlichen Leistungen in den technischen Communitys zu Windows Server - Networking während des letzten Jahres genießen unsere volle Anerkennung.

MVP steht für "Most Valuable Professional" oder scherzhaft genannt" Müssen Viel Posten" und wird jährlich von Microsoft auf ein neues verliehen.
Anders als bei den MC* - Prüfungen kann man für den MVP keine Prüfung ablegen, sondern,
hier zählt einzig und allein die Leistung und das Wissen das man in den vergangenen 12 Monaten in einer Community (online sowie offline)
zur Verfügung gestellt bzw. geleistet hat. Daher schätze ich diese Verleihung sehr, denn hier zählt nicht nur die Theorie,
sondern viel mehr die praktische Erfahrung.

Wikipedia schreibt zum MVP folgendes:
http://de.wikipedia.org/wiki/Microsoft_MVP

Mehr zum MVP - Programm kann man hier nachlesen:
http://mvp.support.microsoft.com/?ln=de

Danken möchte ich ganz besonders dafür Microsoft, dass sie das MVP - Programm ins Leben gerufen haben,
sowie den beiden MVP-Leads "Viviana Valli" und "Florian Eichinger". Ohne euch hätte ich diese Auszeichnung wohl nie erhalten

Desweiteren möchte ich Nicki Wruck (http://blog.ice-lingen.de) danken, der diesen/meinen Blog auf seinem Webserver hostet
sowie installiert hat und dieser sicherlich auch seinen Beitrag zu dieser Verleihung leistete. Danke Nicki !

Last but not Least ... ganz nach dem Motto "hinter jedem starken Mann - steht eine starke Frau" !
Mein größter Dank geht an meine Ehefrau Aysim, die mich seit über 10 Jahren jederzeit unterstützt und meinen Freiraum für meine
Karriere und dieser Auszeichnung gelassen hat. Ich bin mir sicher, dass Sie mich auch in der Zukunft weiter so tatkräftig unterstützen wird.

1000 Dank dafür mein Baby, was Du bisher geleistet (oder eher eingesteckt) hast und unendlichen Dank für das was noch kommt.

Wenn der Server automatisch neu startet, könnte das auf einen Stop-Fehler (Bluescreen) hindeuten.

Die Ursache hierfür können Treiber,Software aber was ich als erstes vermuten würde, Hardware Probleme sein (Server friert ein).

Der Server ist standardmäßig so konfiguriert das er neu startet, wenn dieser nicht mehr ordnungsgemäß reagiert bzw. arbeiten kann. 
Ein Stop-Fehler sollte aber einen Eintrag im Eventlog verzeichnen, was leider nicht immer der Fall ist.

Als nächstes sollte ein vollständiger Memorydump konfiguriert werden.
Dieses geht, wenn man auf "Start - Einstellungen - Systemsteuerung - System", dann im Reiter Erweitert auf die "Einstellungen"
für die Option "Starten und Wiederherstellen" klickt. Dort kann unter "Debuginformationen speichern"

ein "Vollständiges Speicherabbild" konfiguriert werden.

Bringt dieses auch nicht den erwünschten Erfolg, ist es beim Troubleshooting oftmals hilfreich wenn der automatische Neustart deaktiviert wird, damit man sehen kann welche genaue Fehlermeldung im Bluescreen angezeigt wird. Dadurch steht zwar evtl. der Server etwas länger bevor man es bemerkt, aber dadurch erhält man mehr bzw. genauere Informationen. 

Den automatischen Neustart deaktiviert man folgendenmaßen:

1. Man klickt auf "Start - Einstellungen - Systemsteuerung - System"
2. Auf der Registerkarte Erweitert, gilt es unter "Starten und Wiederherstellen" auf "Einstellungen" zu klicken
3. Nun deaktiviert man unter Systemfehler das Kontrollkästchen "Automatisch Neustart durchführen"
4. Durch zweimaliges OK klicken, schließt man beide offenen Fenster
5. Jetzt sollte erneut die Fehlermeldung/der Fehler reproduziert werden
   

Weitere Informationen:

Debugging Tools for Windows

Wenn es notwendig ist, dass Domänencontroller durch eine Firewall miteinander kommunizieren (replizieren) müssen, sollten folgende Dienste mit ihren entsprechenden Ports und Protokollen zu den Domänencontrollern durchgeleitet werden:

• RPC: 135 TCP und UDP
• Network Basic Input/Output System (NetBIOS) name service: 137 TCP und UDP, 138 UDP und 139 TCP
• Dynamische RPC Portzuweisung: 1024-65535 TCP
• Server Message Block (SMB) über IP / Microsoft-DS: 445 TCP und UDP
• Lightweight Directory Access Protocol (LDAP): 389 TCP und UDP
• LDAP über SSL: 636 TCP
• Globaler Katalog (GC) LDAP: 3268 TCP
• Globaler Katalog LDAP über SSL: 3269 TCP
• Kerberos: 88 TCP und UDP
• Domain Name Service (DNS): 53 TCP und UDP
• Windows Internet Name Service (WINS): 1512 TCP und UDP
• WINS Replikation (falls benötigt): 42 TCP und UDP

Dem aufmerksamen Administrator fällt nun auf, dass die „dynamische RPC Portzuweisung“ ein Problem darstellen könnte. In der Tat, möchte man nicht die Ports von 1024 bis 65535 öffnen, deshalb ist es ratsam zu prüfen, welche Ports an der Firewall geblockt werden, um nach und nach die Ports freizugeben und nicht alle auf einmal. Abgesehen davon, lieber einen Port zu wenig aufgemacht, als einen zuviel. Deshalb muss jedes Unternehmen vor dem öffnen der Ports genauestens prüfen, welche Ports für welche Active Directory Aufgaben notwendig sind.

Man kann aber auch eine gewisse Portanzahl für die „dynamische RPC Portzuweisung“ durch einen Registry-Eintrag fest vorgeben.

How to configure RPC dynamic port allocation to work with firewalls

Den meisten Verkehr durch eine Firewall, verursachen die  Authentifizierungsanforderungen, als die wären:

• Dateiserverzugriff
• DNS Abfragen
• Vertrauensstellungen
• Benutzeranmeldung
• Verbindung zwischen Mitgliedsservern und Domänencontrollern
• Active Directory Replikation

Falls Memberserver wie z.B. Windows Exchange im Perimeter-Netzwerk, Verbindung mit dem internen Netzwerk haben sollen, ist es empfehlenswert die notwendigen Protokolle und Ports (für das Active Directory sowie die benötigten Dienste) von der jeweiligen IP-Adresse zum jeweiligen Domänencontroller auf der Firewall zu beschränken. 

Wenn Standorte (Niederlassungen) und somit ggf. Subdomänen erstellt werden, sind weitere Regeln auf der Firewall zu erstellen, um die Vertrauensstellung sowie Active Directory Replikation zuzulassen.

Weitere Informationen:
Active Directory and Active Directory Domain Services Port Requirements
Active Directory Replication over Firewalls

Active Directory in Networks Segmented by Firewalls

How to configure Windows Server 2003 SP1 firewall for a Domain Controller

How to configure a firewall for domains and trusts

Restricting Active Directory replication traffic to a specific port
The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008
Exchange 2000 Windows 2000 connectivity through firewalls

Service overview and network port requirements for the Windows Server system

Wenn es vorkommen sollte, dass man den Zugriff auf die GPOs verweigert bekommt, hängt das in den meisten Fällen am SMB - Signing.

Das SMB - Signing dient kurzerhand der Sicherheit. Einzelheiten können in den folgenden Artikeln nachgelesen werden:

http://support.microsoft.com/kb/887429/de

http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm

Um den Zugriff auf die GPOs zu erhalten, kann man die SMB - Einstellungen auch direkt in der Registry vornehmen.
Dazu gilt es die Registry unter „Start - Ausführen - Regedit“ aufzurufen und folgende Keys zu setzen:

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)  Deaktiviert

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature 0

Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)  Aktiviert

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature 1

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)  Deaktiviert

HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature 0

Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)  Aktiviert

HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature 1

http://support.microsoft.com/kb/839499/EN-US/

Danach sollten mindestens die beiden Dienste "Serverdienst" und "Arbeitsstationsdienst" neu gestartet werden (oder man startet den Server neu).

Nun hat man ca. 5 Minuten Zeit, um die in der Registry vorgenommene Einstellung, in die beiden Standard-Richtlinien zu konfigurieren.
Denn danach werden die Einstellungen die man in der Registry getätigt hat, erneut von der GPO überschrieben.

Als nächsten Schritt, sollten folgende Einstellungen in der „Default Domain Policy“ sowie „Default Domain Controllers Policy“ vorgenommen werden:

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)  Deaktiviert

Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)  Aktiviert

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)  Deaktiviert

Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)  Aktiviert

Wenn das nichts brachte, kann man noch versuchen, auf folgenden Reg-Key:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winre­g"
das Konto "LOKALER DIENST" als Leseberechtigten einzutragen und anschließend muss der Server neu gestartet werden.

Wie ändert man ein lokal gespeichertes Profil in ein servergespeichertes Profil ?

   1. Der Benutzer meldet sich zum ersten Mal an einem Client im Netzwerk an
   2. Der Benutzer bekommt auf C:\Dokumente und Einstellungen\%username% unter seinem Benutzernamen lokal auf dem Client, ein neues Profil erstellt
   3. Nun muss das lokale Profil des Benutzers auf einem Server zentralisiert werden. 
      - Dazu richtet man auf dem Server zuerst ein Verzeichnis ein (z.B.: D:\Profile) und vergibt die NTFS-Rechte folgendermaßen:
                          - Ersteller/Besitzer: Vollzugriff, Nur Unterordner und Dateien
                          - Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Ordner auflisten/Inhalte lesen,
                            Erstellen/schreiben - Nur dieser Ordner
                          - Administrator: Keine 
                          - Jeder: Keine
                          - Lokales System: Vollzugriff, Dieser Ordner, Unterordner und Dateien

      - Danach gibt man das Verzeichnis frei (Idealerweise versteckt: Profile$) mit folgender Freigabeberechtigung:
                          - Jeder: Keine Rechte
                          - Die Sicherheitsgruppe der Domänen-Benutzer, die Dateien sowie Ordner in der Freigabe hinterlegen: Vollzugriff
 
      - Als nächstes kopiert man das lokale Profil auf die Freigabe, idealerweise über die Systemsteuerung-System-Reiter Erweitert-      
        Benutzerprofile. Denn auf diese Art werden die NTFS-Rechte auf dieses Verzeichnis gleich gesetzt (Benutzer bekommt Vollzugriff).

Hinweis: Wie die einzelnen Rechte auf der Freigabe-, NTFS-Berechtigungen des übergeordneten Ordners oder die minimalen
NTFS Berechtigungen für jeden Ordner von servergespeicherten Profilen auszusehen haben,
können im folgenden Artikel nachgelesen werden: Security Recommendations for Roaming User Profiles Shared Folders  

      - Im Snap-In "Active Directory Benutzer und Computer" gibt man im Reiter „Profil“, 
        der Benutzerkonto-Eigenschaften im Feld "Pfad zum Benutzerprofil" den Pfad ein: \\Server\Profile$\%username%

Fertig

   
   4. Das ganze funktioniert natürlich auch, wenn kein lokales Profil besteht (neuer Benutzer). Dann fallen die Punkte 1 und 2 weg und man braucht nur noch in den Benutzereigenschaften den „Pfad zum Benutzerprofil“ anzugeben. Der Benutzer meldet sich jetzt von irgendeinem Client im Netzwerk an, dann

wird sein eigener Profilordner in der Freigabe „Profile$“ erstellt und wenn er sich abmeldet, wird sein lokales Profil auf den Server kopiert.

   5. Wenn der Benutzer nun den Client wechselt, wird sein ganzes Profil (Desktop, Eigene Dateien etc.) vom Server über das Netzwerk, auf diesen anderen Client gezogen.

   6. Nimmt der Benutzer eine Änderung in seinem Profil vor (Desktop, Hintergrundbild, Bildschirmschoner etc.), wird vom Client beim Abmelden des Benutzers, auf dem Server "geschrieben".

   7. Das kann man verhindern, indem man die Datei „ntuser.dat“ im serverbasierten Profil umbenennt in „ntuser.man“ (Mandatory). Das könnte interessant sein, wenn z.B. ein einheitliches Profil im Unternehmen gewünscht wäre. Somit kann der Benutzer während seiner Session zwar Änderungen vornehmen, wie z.B. das er Dateien auf seinem Desktop ablegt, diese aber nicht gespeichert werden.

   8. Wenn man das Profil nicht mehr „fest“ vorgeben möchte, kann man diese Einstellung rückgängig machen, indem man die Datei (ntuser.man) einfach löscht, falls durch die erstmalige Verwendung des Mandatory-Profils automatisch eine neue .dat Datei entstanden ist. Existiert noch keine neue .dat-Datei, kann man einfach die Datei „ntuser.man“ Zurückumbenennen in „ntuser.dat“.

Zusätzliche Informationen:

How to create a custom default user profile

Wie kann man bestehende Windows 2000/XP/Windows Server 2003 servergespeicherte Profile,
zu Windows Vista oder Windows Server 2008 migrieren?
Support guidelines for migrating roaming user profiles data to Windows Vista or to Windows Server 2008

So wird das lokale Benutzerprofil auf den Server kopiert:

1. Man öffnet das Dialogfeld Systemeigenschaften (Systemsteuerung - System) und klickt dann auf die Registerkarte Benutzerprofile
2. Auf der Registerkarte Benutzerprofile klickt man auf das Benutzerprofil, das kopiert werden soll
3. Danach gilt es auf „Kopieren“ zu klicken und anschließend entweder den Namen des Zielordners einzugeben oder im Netzwerk danach zu suchen

Wie kann man servergespeicherte Profile von einem Server auf den anderen umziehen:

• Man erstellt auf dem „neuen“ Server eine Freigabe
• Mit „xcopy /o“ kopiert man die vorhandenen Profile in die neue Freigabe
• Die Rechte auf der Freigabe- sowie in den NTFS-Berechtigungen sollten nach diesem Artikel eingestellt werden:
  Security Recommendations for Roaming User Profiles Shared Folders
• Im Snap-In „Active Directory Benutzer und Computer“ den UNC-Pfad in allen Benutzereigenschaften - „Pfad zum Benutzerprofil“ - anpassen
• Fertig

Eine andere Art Benutzerprofile zu migrieren (wenn die Domäne bloß aus einem DC besteht), kann man in diesem Artikel nachlesen:
Wie kann ich Benutzerprofile migrieren?

Wenn sich ein Benutzer von einer Niederlassung mit seinem servergespeicherten Profil (das in der Zentrale existiert) anmelden möchte, kann im folgenden Pfad eingestellt werden, dass ein Profil auch über „langsame“ Verbindungen geladen werden soll:

„Computerkonfiguration\Administrative Vorlagen\System\Benutzerprofile“

Die Profilgröße kann über folgende Richtlinie eingestellt werden (wobei der größte Wert 30.000 KB = 30 MB wäre):

Benutzerkonfiguration\Administrative Vorlagen\System\Benutzerprofile\Profilgröße beschränken

Falls man die Profilgröße selbst bestimmen möchte, so kann man einen eigenen Wert setzen.
Zu beachten wäre aber, umso größer das Profil - desto länger ist die Wartezeit, bis das Profil geladen ist.
http://support.microsoft.com/kb/290324/en-us

Unter Windows Vista liegt der Wert für die Profilgröße ebenfalls bei 30 MB.
Die Größe lässt sich aber nun unter Vista, in der genannten Richtlinie verändern. 

Profile löschen:

Falls der Benutzer ein servergespeichertes Profil nutzt und man die lokale Kopie löschen möchte, gilt es folgende Richtlinie zu aktivieren:

Computerkonfiguration\Administrative Vorlagen\System\Benutzerprofile\"Zwischengespeicherte Kopien von servergespeicherten Profilen
löschen"

Existiert ein lokales Profil, so kann man das mit DelProf löschen (aus dem Windows Server 2003 Ressouce Kit):

http://www.microsoft.com/downloads/details.aspx?FamilyID=901A9B95-6063-4462-8150-360394E98E1E&displaylang=en

Bei Profil - Problemen kann man das "User Profile Hive Cleanup Service" installieren, handele es sich um ein lokales oder servergespeichertes Profil: