AD RMS + XPS Viewer + Non Domain Joined = No Go

Als Follow-Up zum Spaß mit AD RMS habe ich nach monatelanger Wartezeit jetzt den rejection letter bekommen – im Grunde läufts auf “works as designed” hinaus, XPS Viewer wird nicht mehr angegriffen (weil alte RMS-Technik), es folgt der Hinweis auf die Modern App (massiv sinnvoll wenn man Windows 7 eingesetzt hat) die bisher noch nicht mal ansatzweise RMS kennt….

Flash 12 Internet Explorer Hänger beseitigen

Flash 12 tendiert dazu den Internet Explorer hängen zu lassen, manchmal für Minuten, manchmal für ewig, manchmal crashed er den IE auch – einer meiner Kollegen hat mühevoll rausgefunden dass es wohl daran liegt dass das Ding nach Hause (flashservice.adobe.com) telefonieren will und nicht kann weil der A-Record nicht auflösbar ist. Eine Lösung ist natürlich im HOSTS-File flashservice.adobe.com auf 127.0.0.1 umzuleiten – eine viel elegantere Methode (wenn man einen Microsoft DNS Server hat) ist die eine neue Forward Lookup Zone mit Namen “flashservice.adobe.com” zu erzeugen und darin einen A-Record mit leerem Namen und 127.0.0.1 als Adresse:

flash

Das (same as parent folder) ist nur die Anzeige wenn man einen A-Record ohne Namen öffnet….

Ist natürlich nicht auf meinem Mist gewachsen, Herr Google hat geholfen 😀

RDS PSDrive in 2012 (R2)

Irgendein kluger Kopf hat für 2012 (R2) beschlossen dass der PowerShell PSDrive Provider für das RDS: Laufwerk leer bleibt, die Directories RDSConfiguration und RemoteApp sind einfach nicht da. Da wir hier von PowerShell sprechen ist .NET im Boot und MS war wieder so nett die dahinter liegende Provider DLLs (C:\Windows\System32\WindowsPowerShell\v1.0\Modules\RemoteDesktopServices\TSPSProvider.dll bzw. TSPSEngine.dll) nicht zu obfuszieren. In der Klasse Microsoft.TerminalServices.PSEngine.RoleQueryHelper werden offenbar die installierten Features der RemoteDesktopServices Rolle ermittelt und nur die passenden Teile dann auch im Provider enabled – was durchaus sinnvoll ist aber das Subfeature “RDS-RD-Server” (Remotedesktopsitzunghost aka RDSH) wird nur dann berücksichtigt wenn etwas was sie im Code “TestHook” nennen existiert. Der TestHook ist ein Registrykey: HKLM/SYSTEM/CCS/Services/TermService/fPSForAllRoles=1 (REG_DWORD), setzt man diesen ist alles so wie es in 2008R2 war.

Wie üblich sind alle Angaben natürlich nicht nur nicht supported sondern vermutlich auch ganz böse und in einer der nächsten Versionen ist alles ganz anders 😀

Volle Kontrolle über DRIVESTOREDIRECT

Mit RDP 7.0 hat Microsoft ja beschlossen gaaaanz schlau zu sein und im RDP-File Parameter DRIVESTOREDIRECT nicht mehr nur einfach die Laufwerksbuchstaben die man gerne in die Session mappen würde zuzulassen sondern da muss man echt das eintragen was der Explodierer zum Zeitpunkt des Verbindungsaufbaus (wie das Teil nachher heißt ist vollkommen schnurz….) anzeigt, also z.B. “CD-Laufwerk (D:)” – da das naturgemäß ein brutal bewegliches Ziel ist (Sprache, Typen, Volumenamen, Laufwerksbuchstabe vorne/hinten, etc.) kann man das nicht wirklich hardcoden und ist damit aufgeschmissen…..gäbe es in der SHELL32.DLL nicht die Funktion SHGetFileInfo() die uns genau das liefert was wir wollen (DisplayName in der SHFILEINFO Struktur die da befüllt wird), hier ein Beispielprogramm dass alle Laufwerke auflistet:

using System;
using System.Runtime.InteropServices;

namespace GetVolumeLabel
{
   [StructLayout(LayoutKind.Sequential)]
   public struct SHFILEINFO
   {
      public IntPtr Icon;
      public int IconIndex;
      public uint Attributes;
      [MarshalAs(UnmanagedType.ByValTStr, SizeConst = 260)]
      public string DisplayName;
      [MarshalAs(UnmanagedType.ByValTStr, SizeConst = 80)]
      public string TypeName;
   };

   class Program
   {
      public const uint SHGFI_DISPLAYNAME = 0x200;

      [DllImport("shell32.dll")]
      public static extern IntPtr SHGetFileInfo(string Path, uint FileAttributes, ref SHFILEINFO Info, uint Size, uint Flags);

      static void Main(string[] args)
      {
         SHFILEINFO oInfo;
         IntPtr oRes;

         for (char cDrive = 'A'; cDrive <= 'Z'; cDrive++ )
         {
            oInfo =  new SHFILEINFO();
            oRes = SHGetFileInfo(cDrive + ":\\", 0, ref oInfo, (uint)Marshal.SizeOf(oInfo), SHGFI_DISPLAYNAME);
            Console.WriteLine(cDrive + ":\\ = '" + oInfo.DisplayName + "'");
         }

      }
   }
}

REMOTEPROGRAMS für Windows Server 2012/2012 R2 revisited: MSI Erzeugung

Ich wurde darauf aufmerksam gemacht dass meine REMOTEPROGRAMS Lösung nicht ganz funktioniert – die Erzeugung von MSI Pakete scheitert (was mir nicht aufgefallen ist weil ich das Feature nicht verwende); die Lösung ist aber recht einfach (wiederum von 2008 R2 auf 2012/2012 R2 importieren/kopieren):

  • Registrykey HKEY_CLASSES_ROOT\CLSID\{31A2EA80-A9A3-40E5-9B16-20D7D855E55F}
  • rapmsign.dll (System32)

REMOTEPROGRAMS für Windows Server 2012/2012 R2

Nach TSADMIN und TSCONFIG fehlt nur mehr REMOTEPROGRAMS um den RDSH Admin der den MS Weg nicht mitgehen will glücklich zu machen:

  • PublishingWIzard.dll (System32) kopieren
  • de-DE/PublishingWizard.dll.mui (System32) kopieren
  • PublishSnapIn.dll (System32) kopieren
  • de/PublishSnapIn.resources.dll (System32) kopieren
  • remoteprograms.msc (System32) kopieren
  • Registrykeys von 2008 R2 exportieren und auf 2012 (R2) importieren:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns\FX:{fc2a784c-94da-4493-abe4-f7f9dc25d16f}
  • Spaß haben 😀

TSCONFIG für Windows Server 2012/2012 R2

Wie TSADMIN kann man auch TSCONFIG von Windows Server 2008 R2 auf 2012/2012 R2 (es gibt ja keine Abhängigkeit zur Remote Control Funktionalität wie bei 2012) “portieren”:

  • tsconfig.dll (System32) kopieren
  • de/tsconfig.resources.dll (System32) kopieren
  • tsconfig.msc (System32) kopieren und alle Elemente die FX:{48128E8C-DFEA-4722-BD00-9D39C3B371F9} enthalten entfernen (TS Licensing Diagnostics, machen Probleme)
  • Registrykeys von 2008 R2 exportieren und auf 2012 (R2) importieren:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns\FX:{80aaa290-abd9-9239-7a2d-cf4f67e42128}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns\{9910DD01-DF8C-11D1-AE27-00C04FA35813}
    • HKEY_CLASSES_ROOT\CLSID\{9910dd01-df8c-11d1-ae27-00c04fa35813}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\NodeTypes\{F86E6446-AAFF-11D0-B944-00C04FD8D5B9}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns\{9910DD01-DF8C-11D1-AE27-00C04FA35813}
  • Spaß haben 😀

TSADMIN für RDSH mit Windows Server 2012 R2

Wie ich schon mal geschrieben habe ist das TSADMIN MMC Snapin eines der FX (.NET) Gattung und kann damit angepasst werden (natürlich höchst unsupported und vermutlich sogar böse). Wie ich auch schon mal geschrieben habe sind altbekannte Weggefährten wie eben TSADMIN.MSC aber auch TSCONFIG.MSC und REMOTEPROGRAMS.MSC ab Windows Server 2012 nicht mehr enthalten weil Microsoft glaubt mit ihrer neuen ServerManager-zentrierten RDSH Methodik (die wo man auch für einen Single-Terminalserver einen Broker mit DB und allen drum und dran braucht…..) tun sie dem Kunden etwas unglaublich Gutes – mit der TSADMIN-Methodik habe ich durch winzige Anpassungen in TSManagerForm.RemoteControlSession (Entfernung des RemoteControlDialog wo die Tastenkombination für RemoteControl-Ende konfiguriert werden konnten) und TerminalServer.RemoteControl(Änderung von TSManager.WTSStartRemoteControlSession() auf System.Diagnostics.Process.Start(new System.Diagnostics.ProcessStartInfo(“mstsc”, “/shadow:” + sessionID + ” /v:” + targetServerName + ” /control”));) in die 2012 R2 Welt bringen können.

Die nächsten auf der Liste sind dann TSCONFIG.MSC und REMOTEPROGRAMS.MSC 😀

CTL Update endet in CAPI2 Event 4101

Fehler bei der automatischen Aktualisierung des Drittanbieterstammzertifikats von http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/irgendeinenummer.crt. Fehler: Die Vorgangskennung ist ungültig. (alternativ auch mit Diese Netzwerkverbindung ist nicht vorhanden. am Ende) – und das regelmäßig. Über KB2813430 (wo übrigens auch steht wie man das local verteilen könnte) bin ich auf den Key HKLM/SOFTWARE/Microsoft/SystemCertificates/AuthRoot gestoßen – und musste feststellen dass die ACL scheinbar beschädigt wurde (NT SERVICECryptSvc hat gefehlt). Da man entgegen diverser Artikel im Registry ACL GUI NT SERVICECryptSvc nicht verwenden kann (auch die SID geht nicht) habe ich das Problem mit der Kraftmuschel gelöst:

CD HKLM:
CD SOFTWAREMicrosoftSystemCertificatesAuthRoot
$acl=get-acl
$ace=new-object System.Security.AccessControl.RegistryAccessRule("NT SERVICECryptSvc", "FullControl", "ContainerInherit", "None", "Allow")
$acl.SetAccessRule($ace)
$acl|set-acl

Disk Configuration für Unattended Windows 8 Setup mit (U)EFI

Nach vielen (fruchtlosen) Versuchen kam das raus und es funktioniert sogar 😀

<DiskConfiguration>
<WillShowUI>OnError</WillShowUI>
<Disk wcm:action="add">
<CreatePartitions>
<CreatePartition wcm:action="add">
<Order>4</Order>
<Type>Primary</Type>
<Extend>true</Extend>
</CreatePartition>
<CreatePartition wcm:action="add">
<Order>2</Order>
<Size>500</Size>
<Type>EFI</Type>
</CreatePartition>
<CreatePartition wcm:action="add">
<Order>3</Order>
<Size>128</Size>
<Type>MSR</Type>
</CreatePartition>
<CreatePartition wcm:action="add">
<Order>1</Order>
<Size>300</Size>
<Type>Primary</Type>
</CreatePartition>
</CreatePartitions>
<ModifyPartitions>
<ModifyPartition wcm:action="add">
<PartitionID>2</PartitionID>
<Order>1</Order>
<Label>System</Label>
<Letter>S</Letter>
<Format>FAT32</Format>
</ModifyPartition>
<ModifyPartition wcm:action="add">
<Order>2</Order>
<PartitionID>4</PartitionID>
<Letter>C</Letter>
<Label>Windows</Label>
<Format>NTFS</Format>
</ModifyPartition>
</ModifyPartitions>
<DiskID>0</DiskID>
<WillWipeDisk>true</WillWipeDisk>
</Disk>
</DiskConfiguration>

Die Disk muss dafür (vermutlich) vorher schon im GPT Modus laufen.