Some time ago my ForeFront TMG server had crashed and not being an expert sysadmin, I wasn’t able to figure out what was wrong. The only thing I could think of was restoring the server from an earlier snapshot. Thanks to the Hyper-V interface this is really easy, even a software developer can do this.

After having restored the server to an earlier state I connected to the server and was prompted with a message telling me “the trust relationship between this workstation and the primary domain failed”. I figured this had probably something to do with restoring the snapshot from quite a while back. Doing some research on the issue confirmed my suspicions.

Apparently this happens when your machine can’t communicate securely with the Active Directory anymore. This can happen for a number of reasons. Reason for my machine not being able to communicate anymore has probably something to do with some password changes, which the old snapshot wasn’t aware off.

Microsoft has an article dedicated to this issue. They tell you to remove the machine from the domain and rejoin. This seems a bit rigorous and I don’t really want to do such things to my ForeFront server. Without it I don’t have internet!

Lucky for me this is exactly what the people at Implbits thought. In the earlier linked article they describe a better solution, which is using netdom.exe. By using the command below, you can update the password of the machine:

netdom.exe resetpwd /s:<server> /ud:<user> /pd:*

<server> = a domain controller in the joined domain
<user> = DOMAIN\User format with rights to change the computer password

After updating the password the machine will behave normally again. If you are interested in some more background information, check out the blogpost at Implbits. They’ve done some more research on the subject.

A few weeks ago I was finally able to install some updates on my ForeFront TMG server, so I installed SP1 of Windows Server 2008R2, all other updates and Internet Explorer 9.0. After noticing my internet connection didn’t work anymore I logged in on the server and wanted to check what was wrong using the Management Console.

This is when I noticed the ForeFront TMG Management Console didn’t work anymore. Every treenode I selected resulted in an alert message stating ‘Member not Found’, ‘Refresh failed’, etc.

At times like this you wish you had created a backup of the server, before you updated it.

Lucky for me I was able to go to the internet with a direct line on my router and search for a solution. Because these updates were long overdue, someone must have had the same issue as me. This is one of the reasons I don’t like working with new/beta software of area’s I don’t know much about. I know a thing or two about managing a Microsoft network, but most things are magic to me.

An answer to my problem could be found on the ForeFront Technet forums of Microsoft.

To fix the issue you need to edit some file/html of ForeFront which resided on your local filesystem. The file which needs to be edited is: “C:\Program Files\Microsoft Forefront Threat Management Gateway\UI_HTMLs\TabsHandler\TabsHandler.htc”. Open this file using Notepad as an Administrator.

Now search for the lines which contain the text “paddingTop” in them, these (3?) lines reside in some JavaScript blocks and you need to comment them out. You can do this by placing two slashes (//) at the front of the line.

Example: Change the line:
m_aPages [niPage].m_tdMain.style.paddingTop = ((m_nBoostUp < 0) ? -m_nBoostUp : 0) ;
into:
// m_aPages [niPage].m_tdMain.style.paddingTop = ((m_nBoostUp < 0) ? -m_nBoostUp : 0) ;

Now, save the file and re-open the ForeFront TMG Management Console.

You’ll be able to navigate in the console again and do your modifications.

Dat is de melding die je zo nu en dan ziet verschijnen bij het overnemen van een server via remote desktop. Tot op heden was m'n enige oplossing hiervoor om met /console in te loggen en wanneer dat ook niet meer werkte, dan maar de server herstarten.

Vandaag kwam ik dit probleem weer tegen, maar dit keer was het op een host van verschillende VMWare guests. Het was niet echt een optie om de server te herstarten.

Gelukkig ben ik er nu achter gekomen dat je ook via de commandline de openstaande sessies kunt opvragen en killen.

Open de command prompt. Let er hier op dat je de deze wel opent als een domein gebruiker als de server op een domein zit, of anders als een gebruiker die ook op de server bekend is. Wanneer je dit niet doet kun je een Access denied melding krijgen.
Error 5 getting sessionnames
Error [5]:Access is denied.

Het starten van een applicatie met een ander account kan door de [Shift]+[Rightclick] te doen op de applicatie of snelkoppeling. Je krijgt dan een Run as different user optie in het context menu (Windows 7). Uiteraard kan er ook gebruik worden gemaakt van de ShellRunas applicatie van Sysinternals.

In de prompt tik je dan het volgende in query session /server:servernaam. Het resultaat is hieronder te zien:

Dit is een lijst met de (actieve) sessies op de betreffende server.
Het lijkt mij niet vestandig om de sessies van console, rdp-tcp af te sluiten.
Van deze betreffende server weet ik dat het beheer account is ingelogd, wat ook is te zien in de lijst. Deze sessie kan worden afgesloten door middel van het commando reset session 3 /server:sylvester uit te voeren. Het sessie id staat in de eerder verkregen lijst.

Wanneer er nu weer een query wordt uitgevoerd zal te zien zijn dat de sessie ook daadwerkelijk weg is:

Nu kan er weer worden ingelogd op de server. Dit kan uiteraard ook voor de overige sessies worden herhaald wanneer dat nodig is.

Sinds kort draai ik een 2K8R2 machine met een Hyper-V rol. Voorheen had ik de gewone 2K8 Core versie draaien, maar dat voldeed me niet echt. Nu dus de nieuwste versie met GUI. Sowieso is het een stuk beter onderhouden voor een ontwikkelaar, maar het is ook echt goed voor zover ik na kan gaan. Wel had ik de laatste tijd problemen dat m'n virtuele Homeserver altijd hickups heeft als je hem wilt benaderen. Soms is de connectie gewoon zo'n 60 seconden weg, bestanden kopieren is een geduldige zaak, etc. Nu ben ik even aan het zoeken geslagen, maar kon tot op heden niemand vinden met een vergelijkbaar probleem. Vandaag vond ik ineens een KB artikel, KB 974909, die ongeveer hetzelfde probleem beschrijft met wat ik ervaar. Nu heb ik net de hotfix gedownload en zal hem zometeen installeren. Hopelijk lost dit het probleem op en kan ik de Homeserver weer als een NAS gebruiken. Link naar de KB is dit: http://support.microsoft.com/kb/974909

Dat is wat ik vandaag tegen kwam bij het opzetten van m'n domein thuis. Toch raar, aangezien ik zeker weet dat het domein werkt en de DNS bereikbaar moet zijn. Dit was ongeveer de melding: An attempt to resolve the dns name of a dc in the domain being joined has failed. Please verify this client is configured to reach a DNS server that can resolve DNS name in the target domain.Na even logisch nadenken en de foutmelding wat beter te lezen in plaats van te scannen kwam ik al vrij snel achter de oplossing. Momenteel staat er natuurlijk nog geen DNS server geconfigureerd op de systemen, of de router staat als DNS geconfigureerd. Op die manier kom ik natuurlijk nooit op de domain controller. Wat ik dus nog moest doen is de DNS op alle systemen instellen dat ze primair m'n domain controller gebruiken en daarna (eventueel) nog een andere DNS. Nu ik dit heb aangepast kan ik een systeem toevoegen op het domein. Gelukkig heb ik nog niet veel draaien, maar toch handig om te weten. Jammer dat ik de DNS niet in de router zelf kan instellen. Misschien moet ik dan toch eens een luxer model kopen in plaats van een 3Com OfficeConnect. Het kan natuurlijk ook zo zijn dat ik de optie nog niet goed heb kunnen vinden.