Archive for the ‘Server 2012’ Category

Warum schaltet sich dieser verdammte DHCP-Dienst am Windows Server ständig ab? Was hat das mit IPv6 zu tun?

5 Dezember 2016

Irgendwie stand ich gerade auf dem Schlauch und hab mich mit einem Problem länger als nötig beschäftigt um am Ende festzustellen, die Lösung ist logisch und ganz einfach. Es ging los, dass bei einem Kunden der Speedport gegen eine Fritzbox ausgetauscht werden sollte.

Zu Beginn war alles ganz einfach, Internetverbindung war schnell da. Aber dann gab es Probleme im Netz mit den Client-Rechnern nach einem Neustart. Dazu muss man wissen, dass bei der Fritzbox der IPv4-DHCP ausgeschaltet wurde. Egal wie oft man nun am Windows Server den DHCP-Server neu gestartet hat, er funktionierte immer kurz und war dann wieder ausgeschaltet. Sowas kennt man wenn ein zweiter DHCP-Server im Netz ist. Also nochmal auf der Fritzbox versichert, dass der Ipv4-DHCP ausgeschaltet war. Am Ende war nur noch der Server mit dem Client mit der Fritzbox verbunden. Klappte aber immer noch nicht!

Wo schaut man nach, wenn man solche Probleme hat? Richtig, in der Ereignisanzeige. Also kurz nach den DHCP-Server Logs geschaut:

Get-WinEvent -ListLog *dhcp*|select logname

LogName
——-
Microsoft-Windows-Dhcp-Client/Admin
Microsoft-Windows-Dhcp-Client/Operational
Microsoft-Windows-Dhcp-Server/FilterNotifications
Microsoft-Windows-Dhcp-Server/Operational
Microsoft-Windows-DhcpNap/Admin
Microsoft-Windows-DhcpNap/Operational
Microsoft-Windows-Dhcpv6-Client/Admin
Microsoft-Windows-Dhcpv6-Client/Operational

Ah alles klar:

Get-WinEvent -LogName Microsoft-Windows-Dhcp-Server/Operational -MaxEvents 10

TimeCreated                   ProviderName                                             Id Message
———–                   ————                                             — ——-
17.12.2015 12:52:43           Microsoft-Windows-DHCP-Server                           106 Die Rese
17.12.2015 12:52:43           Microsoft-Windows-DHCP-Server                           107 Die Rese
17.12.2015 12:49:25           Microsoft-Windows-DHCP-Server                           106 Die Rese
17.12.2015 12:48:23           Microsoft-Windows-DHCP-Server                           107 Die Rese
25.11.2015 09:12:51           Microsoft-Windows-DHCP-Server                           106 Die Rese
25.11.2015 09:12:24           Microsoft-Windows-DHCP-Server                           107 Die Rese
21.05.2014 14:25:11           Microsoft-Windows-DHCP-Server                           106 Die Rese

Wie 2015? Ich hab aktuell Problem und nicht 2015! Hä? Was geht hier. Auf jeden Fall ist es wie immer man sucht überall aber nicht an der richtigen Stelle!!!!

Irgendwann dachte ich, dass kann nicht sein und klar es war so. Denn man sollte ja auch wegen DHCP-Server Meldungen nicht bei Microsoft-Windows-DHCP-Server schauen sondern unter SYSTEM!!!! Ich könnte so kotzen…

Also mittels

Get-WinEvent -LogName system -MaxEvents 20

TimeCreated                   ProviderName                                             Id Message
———–                   ————                                             — ——-
05.12.2016 14:52:32           Service Control Manager                                7040 Der Starttyp des Diensts "…
05.12.2016 14:50:02           Microsoft-Windows-GroupPolicy                          1500 Die Gruppenrichtlinieneins…
05.12.2016 14:50:01           Microsoft-Windows-GroupPolicy                          1500 Die Gruppenrichtlinieneins…
05.12.2016 14:49:56           Service Control Manager                                7036 Dienst "Windows Modules In…
05.12.2016 14:49:25           Microsoft-Windows-DHCP-Server                          1043 Es wurde festgestellt, das…
05.12.2016 14:49:05           Service Control Manager                                7036 Dienst "DHCP-Server" befin…
05.12.2016 14:49:01           Microsoft-Windows-DHCP-Server                          1056 Der DHCP-Dienst wird auf e…
05.12.2016 14:45:31           Service Control Manager                                7036 Dienst "DHCP-Server" befin…
05.12.2016 14:45:31           Microsoft-Windows-DHCP-Server                          1054 Der DHCP/BINL-Dienst auf d…
05.12.2016 14:45:31           Microsoft-Windows-DHCP-Server                          1053 Der DHCP/BINL-Dienst hat e…
05.12.2016 14:45:19           Service Control Manager                                7036 Dienst "DHCP-Server" befin…
05.12.2016 14:45:15           Microsoft-Windows-DHCP-Server                          1056 Der DHCP-Dienst wird auf e…
05.12.2016 14:45:03           Microsoft-Windows-GroupPolicy                          1500 Die Gruppenrichtlinieneins…

geschaut und hier tauchen dann auch die üblichen Verdächtigen DHCP/BINL-Meldungen auf! Wenn man nun genauer nachschaut, wird es auch offensichtlich:

Get-WinEvent -LogName system -MaxEvents 20| where {$_.id -eq 1053}| ft message -Wrap

Message
——-
Der DHCP/BINL-Dienst hat einen anderen Server mit der IP-Adresse fe80::3a10:d5ff:fe89:bb02 in diesem Netzwerk ermittelt
, der zu der folgenden Domäne gehört: .

Also wo liegt nun das Problem? Warum hab ich oben immer geschrieben, dass ich den IPv4DHCP ausgeschaltet habe? Na klar, weil die Fritzbox auch noch einen IPv6DHCP hat und dieser munter weiter aktiv war. Und da im Netz nunmal unabhängig von IPv4 und IPv6 nur ein DHCP aktiv sein war, hat sich der Windows DHCP-Server immer schneller verabschiedet!

Also Lösung: Entweder IPv6 ganz abschalten oder den IPv6DHCP abschalten! Besser ist natürlich die zweite Variante.

Mal abgesehen davon, dass ich hätte schneller drauf kommen können. ist mir erst durch diese Geschichte wieder aufgefallen, wie inkonsistent die DHCP-Dienst-Sache unter Windowsservern ist. Einfach nur traurig…

Werbeanzeigen

Windows Server Script zum Abschalten von unsicheren SSL und TLS Verbindungen

23 Oktober 2016

Gerade bin ich über ein schönes Powershellscript gestolpert um einen Windows Server die anfälligen SSL und TLS Protokolle und unsicheren Ciphers abzuschalten.

https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

Wird schön gepflegt und auf dem aktuellen Stand gehalten. Das einzige was mich daran stört: Es wäre schön zu sehen, welcher Wert geändert wurde, damit man bei Problemen schneller nachvollziehen kann, welches Protokoll bzw. welche Cipher doch noch benötigt wird.

Unterschiede zwischen Windows Funktionen bzw. Features bei der Installation

25 Januar 2016

Microsoft hat es über die letzten Jahre mal wieder geschafft ordentlich Verwirrung zu stiften. Wenn man Windows Funktionen wie z. B. das .NET-Framework installiert, so gibt es zig verschiedene Varianten wie man dies erreichen kann.

In diesem Zusammenhang findet man:

Enable-WindowsOptionalFeature
Install-WindowsFeature
Add-WindowsFeature
dism.exe
pkgmgr.exe

Ein schöne Übersicht welche Variante auf welcher Platform, sogar bis 2016 und Nano-Server verfügbar ist, findet man hier: http://peter.hahndorf.eu/blog/WindowsFeatureViaCmd

Nicht nur, dass es unterschiedliche Aufrufe zur Installation gibt, nein je nach Variante haben die Pakete auch unterschiedliche Namen!

Um nun z. B. das .Net 3.5 Framework zu installieren, verwendet man unter Windows Server 2012:

Install-WindowsFeature –Name NET-Framework-Core

und unter Windows 10:

Enable-WindowsOptionalFeature –Featurename NetFx3

Weitere Beispiele hier: http://blog.ittoby.com/2012/11/installing-net-35-on-windows8server.html

Erweitertes Bootmenü bei Start von Windowsrechnern anzeigen

28 Dezember 2014

Bei neueren Rechnern und optimalen Bios bzw. UEFI-Einstellungen ist es manchmal recht schwer bzw. unmöglich beim Starten des Rechners das erweiterte Bootmenü mittels F8 zu aktivieren.

Wenn der Rechner bereits hochgefahren ist, kann man sich aber behelfen, indem man einen speziellen Parameter mittels BCDEDIT.EXE setzt. Dadurch wird das erweiterte Bootmenü immer angezeigt, bis es wieder explizit abgeschaltet wird:

bcdedit /set {bootmgr} displaybootmenu yes

Zum Ausschalten verwendet man dann später wieder:

bcdedit /set {bootmgr} displaybootmenu no

Nun kann man zwischen den Bootvorgängen in aller Ruhe das passende Auswählen. Hier noch eine bebilderte Anleitung: http://support2.microsoft.com/kb/2809468/en.

Die Variante klappt übrigens auch bei Windows 7. Besonders wertvoll ist es auch bei Verwendung von virtuellen Maschinen, wo man oft noch nicht den passenden Tastaturfokus hat.

Hier die aktuellste Beschreibung von BCDEDIT /set und die möglichen Parameter: http://msdn.microsoft.com/en-us/library/windows/hardware/ff542202(v=vs.85).aspx.

Eine kurze Erklärung zu {bootmgr} erhält man über:

bcdedit /? ID

Hier noch der Link zur offiziellen BCDEDIT-Befehlszeilenreferenz: http://technet.microsoft.com/en-us/library/cc731662.aspx. Leider wie so oft ziemlich unbrauchbar.

Unter Windows 8 und Server 2012 bzw. dessen Nachfolger kann man mittels

bcdedit /set {current} onetimeadvancedoptions on 

das Menü auch nur einmalig für den nächsten Bootvorgang aktivieren.

Windows Server 2012 (R2) Server Manager um eigene Powershell Skripte erweitern

19 Mai 2014

Seit Windows Server 2012 hat Microsoft bei den GUI-Verwaltungen der alten MMC den Kampf angesagt. Alle neuen Tools werden immer weiter in den neuen Server-Manager integriert. Führt man über das Toolsmenü einen Befehl aus, läuft im Hintergrund ein Powershell-Skript ab.

Das Toolsmenü kann man um eigene Powershell-Skripte erweitern, dazu muss man nur das Powershell-Skript in das Verzeichnis

%PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\Administrative Tools

verlinken. Dabei kann man auf alle im Dashboard bekannten Server zurückgreifen, indem man diese Datei ausliest:

%APPDATA%\Microsoft\Windows\ServerManager\ServerList.XML

Näheres beschreibt dieser Artikel: http://blogs.technet.com/b/keithmayer/archive/2013/11/20/step-by-step-extending-server-manager-in-windows-server-2012-and-2012-r2.aspx

Gefährliche NAS-Backups mit Windows 7, Windows 8, Windows 8.1 sowie Server 2008 R2, Server 2012 und Server 2012 R2 und Fehlercode 0xC03A0005 mit Meldung “Die Version unterstützt diese Version des Dateiformats nicht”

28 Januar 2014

Gerade aufgeschreckt durch den Fehler bei einem Kunden auf einem QNAP-NAS während eines Systembackups:

Fehler bei der um ‎2014‎-‎01‎-‎27T21:17:26.330867400Z gestarteten Sicherung. Fehlercode: "0xC03A0005" (Die Version unterstützt diese Version des Dateiformats nicht.). Suchen Sie in den Ereignisdetails nach einer Lösung, und führen Sie die Sicherung erneut aus, nachdem das Problem behoben wurde.

Das Problem wurde bereits im Zusammenhang mit Windows Server 2008 R2 und Windows 7 im November 2010 beschrieben: http://blogs.technet.com/b/asiasupp/archive/2010/11/03/windows-server-backup-failed-with-error-quot-the-version-does-not-support-this-version-of-the-file-format-quot.aspx. Kurz: Das NAS versucht das Backup über ein Sparsefile anzulegen, während das Windowsprogramm Blocklevelzugriff braucht, da es eine VHD-Datei anlegt und bestimmte Dinge berechnet und direkt in der Datei anspringt. Da Windows keine Kenntnis vom Verhalten mit dem Sparsefile hat, kommt es zu falschen Berechnungen und damit scheitert die Sache früher oder später. Deshalb berichten viele von Problemen zu unterschiedlichen Gelegenheiten.

Als Lösung wurde genannt, man möchte in der smb.conf “strict allocate = yes” eintragen und den Samba-Server neu starten. Dadurch wird der für die Backupdateien benötigte Speicher immer komplett belegt.

Mal abgesehen, dass dieser Vorgang den Einsatz von Telnet erfordert, funktioniert diese Lösung aber auch nicht. Wie hier im Forum von QNAP diskutiert wird: http://forum.qnap.com/viewtopic.php?f=24&t=87109. Teilweise wird die Einstellung ignoriert oder geht nach einem weiteren Systemstart verloren oder sorgt für unnötige Auslastung des NAS. Offenbar ist es auch nicht nur ein Problem von QNAP sondern alle NAS-Hersteller kennen dieses Problem. Also Netgears ReadyNAS, FreeNAS, Synology usw. scheinen alle das Problem zu haben.

Was ist nun die Alternative? iSCSI

iSCSI ist etwas schwieriger einzurichten aber scheinbar momentan die einzig sinnvolle Lösung, solange das betreffende NAS iSCSI-Unterstützung mitbringt. Aber auch iSCSI birgt seine Gefahren: https://newyear2006.wordpress.com/2013/01/05/windows-server-2008-r2-bzw-sbs-2011-datensicherung-fehlercode-2155348061/

Sollte all das der Grund sein, warum MS nun die Sicherung in die CloudOS propagiert?

Windows Update meldet Fehler 0x80070005 beim Updates installieren

29 November 2013

Mal wieder die Härte schlechthin. Um die Fehlermeldung 0x80070005 beim Windows Updates installieren wegzubekommen, muss man sich als Administrator anmelden!! Irgendwie merken die bei MS echt die Einschläge nicht mehr. http://support.microsoft.com/kb/968003/en-us

Ein Tipp noch von mir: Um ganz sicher zu gehen, dass es auch klappt, sollte man sich immer mit dem lokalen Computer-Admin-Konto anmelden und nicht mit dem Domänen-Admin-Konto. Wenn schon denn schon!

Resource Kit für Windows Server 2012 R2

27 November 2013

Die klassischen Resource Kit Bücher von Microsoft für die jeweiligen Betriebssysteme dürften der Vergangenheit angehören. Scheinbar hat aber Microsoft doch ein Herz für Leute, die gerne die wichtigen Informationen Offline zur Hand haben möchten. Nun gibt es die betreffenden Bereiche aus dem Technet in einer einzigen, riesigen PDF-Datei. Darin enthalten sind alle Themen aus der Technet Library wo Server 2012 und Server 2012 R2 betreffen.

http://www.microsoft.com/en-us/download/details.aspx?id=41182&WT.mc_id=rss_alldownloads_all

Achso, wem das zu wenig sein sollte zum Lesen, der könnte an weiteren eBooks von MS gefallen finden: http://social.technet.microsoft.com/wiki/contents/articles/11608.e-book-gallery-for-microsoft-technologies.aspx

Microsoft Hyper-V Server 2012 prüft unnötig auf Windows-Updates

23 August 2013

Wie schon bei einem vorhergehenden Artikel https://newyear2006.wordpress.com/2013/08/21/microsoft-hyper-v-server-2012-telefoniert-nach-hause-oder-warum-tauchen-auf-einmal-teredo-eintrge-in-der-log-datei-auf/ geschrieben, hat der Microsoft Hyper-V Server 2012 Dienste aktiv, die eigentlich nicht aktiv sein müssten. Dabei sind noch weitere Ungereimtheiten aufgetaucht.

Eigentlich ist auf dem betreffenden Hyper-V Server 2012 eingestellt, dass manuell nach Updates gesucht werden soll. Aber beim Durschauen der Logs, mittels:

get-eventlog -Logname System | select -First 50

tauchte sowas auf:

  3984 Aug 22 21:47  Information Service Control M…   1073748860 The Windows Update service entered the stopped state.
  3983 Aug 22 21:37  Information Service Control M…   1073748860 The Windows Update service entered the running state.

Was läuft da? Gute Frage, da die Einträge in schöner Regelmäßigkeit immer zur selben Uhrzeit zu finden sind, wird es die Aufgabenplanung bzw. der Scheduler wissen:

schtasks /query /TN "\Microsoft\Windows\WindowsUpdate\Scheduled Start"

zeigt dann

Folder: \Microsoft\Windows\WindowsUpdate
TaskName                                 Next Run Time          Status
======================================== ====================== ===============
AUFirmwareInstall                        N/A                    Disabled
AUScheduledInstall                       N/A                    Disabled
AUSessionConnect                         N/A                    Disabled
Scheduled Start                         
23.08.2013 21:37:35    Ready

Zwischendrin noch die Frage: Warum verwende ich hier schtasks und nicht Powershell? Weil es MS bisher verpasst hat dafür Cmdlets bereitzustellen. Die sind mit der Komplexität der eigenen Software etwas überfordert; die Armen.

Egal, wie kann man nun das Ding abschalten? Ganz einfach:

schtasks /change /TN "\Microsoft\Windows\WindowsUpdate\Scheduled Start" /DISABLE

Damit wird dann auch “Scheduled Start” auf Disabled gesetzt.

Microsoft Hyper-V Server 2012 hält sich unnötig mit Loggingaufgaben auf oder wer hat vergessen den Benutzerzugriffsprotokollierungs-Dienst abzuschalten?

22 August 2013

Nachdem ich mich im letzten Blogeintrag schon über die Teredo-Eintragungen in der Eventlog gewundert hatte https://newyear2006.wordpress.com/2013/08/21/microsoft-hyper-v-server-2012-telefoniert-nach-hause-oder-warum-tauchen-auf-einmal-teredo-eintrge-in-der-log-datei-auf/, geht es nun gerade so weiter.

Bei den Application-Eventlogs gab es jede Menge Informationseinträge, hier exemplarisch einer davon:

EventID            : 327
MachineName        : HyperV
Data               : {}
Index              : 7586
Category           : General
CategoryNumber     : 1
EntryType          : Information
Message            : wmiprvse (3496) The database engine detached a database (1, C:\Windows\system32\LogFiles\Sum\SystemIdentity.mdb). (Time=0 seconds) 

                     Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.000, [6] 0.015, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.016,
                     [11] 0.000, [12] 0.000.
                     Revived Cache: 0
Source             : ESENT
ReplacementStrings : {wmiprvse, 3496, , 1…}
InstanceId         : 327
TimeGenerated      : 21.08.2013 17:55:54
TimeWritten        : 21.08.2013 17:55:54
UserName           :
Site               :
Container          :

Innerhalb einer Sekunde finden sich mehrere Einträge wo einmal die SystemIdentity.mdb attached und anschließend wieder detached wird. Mal abgesehen davon, dass die Eventlog dadurch unübersichtlich wird:

7486 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7485 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7484 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7483 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7482 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7481 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7480 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7479 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7478 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7477 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7476 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7475 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7474 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7473 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7472 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7471 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7470 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7469 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7468 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7467 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7466 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7465 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7464 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7463 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7462 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7461 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7460 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7459 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7458 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7457 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7456 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7455 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7454 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7453 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7452 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7451 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7450 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7449 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7448 Aug 21 11:13  Information ESENT                         327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7447 Aug 21 11:13  Information ESENT                         326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….

Stellt sich die Frage was steckt dahinter?

Bei der Suche nach SystemIdentity.mdb landet man dann irgendwann bei “User Access Logging” oder zu Deutsch “Benutzerzugriffsprotokollierung” http://technet.microsoft.com/en-us/library/hh849634.aspx. Mittels UAL lassen sich jede Menge Daten über den Rechner, Benutzer, Dienste, Rollen usw. sammeln und auswerten. Die NSA und Forensiker haben ihre helle Freude daran. Aber muss so ein Dienst auf einem Microsoft Hyper-V Server laufen? Ich denke nicht! Microsoft selber warnt sogar davor mit diesem Hinweis:

ImportantImportant
UAL is not recommended for use on servers that are connected directly to the Internet, such as web servers on an Internet-accessible address space, or in scenarios where extremely high performance is the primary function of the server (such as in HPC workload environments). UAL is primarily intended for small, medium, and enterprise intranet scenarios where high volume is expected, but not as high as many deployments of Windows Server 2012 that serve Internet-facing traffic volume on a regular basis.

Da ich einen Hyper-V Server als performancekritisch ansehe, sollte man also den Dienst abschalten. Dies erreicht man durch:

net stop ualsvc

netsh ualsvc set opmode mode=disable

oder per Powershell mittels:

Stop-Service ualsvc

Disable-Ual

Interessant bei dieser Geschichte ist mal wieder die geniale Namensgebung des Dienstes auf Deutsch: “Dienst für Benutzerzugriffsprotokollierung”. Das ist mal wieder so ein richtig beknackter Name, der mit Dienst anfängt, wo man nie draufkommt, ähnlich wie “Automatische Drahtlos…”. Pfeifen halt.

http://technet.microsoft.com/en-us/library/jj574126 beschreibt noch jede Menge Dinge, wie: was passiert, wenn der Dienst Probleme hat oder welche Powershell CmdLets für die Abfrage der Daten verfügbar sind. Es wird auch noch die Bedeutung des Verzeichnis \Windows\System32\Logfiles\SUM\ beschrieben und dass dieses auch gelöscht werden könnte.