Anmeldeprobleme nach Installation von IE10

Kommentar verfassen

Mit IEAK10 habe ich eine angepasste Installation vom Internet Explorer 10 erstellt und diese über SCCM verteilt. Obwohl ich das Paket an verschiedenen Computern getestet habe, gab es Probleme nach der Verteilung. Benutzer, die sich zum ersten Mal an einem Computer anmelden wollten, bekamen folgende Meldung:

“Die Anmeldung des Dienstes “Benutzerprofildienst” ist fehlgeschlagen. Das Benutzerprofil kann nicht geladen werden.”

image 

Wenn man im Internet nach dieser Meldung sucht, findet man viele Einträge, die sich auf den Knowledgebase Artikel 947215 beziehen. Dort wird unter “Method 1” beschrieben, wie man fehlerhafte Profile mit der Endung .bak manuell in der Registry so anpasst, dass sich der User wieder anmelden kann. Dies war bei uns aber nicht das Problem, es gab keine fehlerhaften Ordner in der Registry, es konnten sich ja gerade die User nicht anmelden, für die noch kein Profilordner in der Registry erstellt wurde.

In den Logfiles fand ich einen Eintrag mit Ereignis-ID 1509 und dem Hinweis, dass die Datei c:\Users\Default\AppData\Local \Microsoft\Windows\Temporary Internet Files\SQM\iesqmdata_setup0.sqm nicht vom Default Profil in das neue Profil kopiert werden konnte.

image

Die oben genannte Datei wird scheinbar bei der Installation des mit IEAK erstellten Internet Explorer 10 Pakets erstellt und mit falschen Berechtigungen versehen. Wenn sich nun ein neuer User anmelden möchte, wird das Kopieren des Default Profiles abgebrochen, weil diese Datei falsche Berechtigungen aufweist.

Scheinbar gab es dieses Problem schon bei der Verteilung von Internet Explorer 9. Wenn man die Datei manuell löscht, können sich auch wieder neue Benutzer anmelden.

Also habe ich in SCCM ein Programm erstellt, das diese Datei löscht:

cmd.exe /c del “c:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\SQM\iesqmdata_setup0.sqm” /f

image 

Das funktioniert, aber erst nachdem das Programm ausgeführt wurde, was je nach Einstellung des SCCM Clients länger dauern kann. Wenn also die Computer gestartet werden und sich direkt ein neuer User anmeldet, kann es sein, dass es nicht funktioniert.

Also musste ich es über die Gruppenrichtlinien lösen. Über “Computerkonfiguration” –> “Einstellungen” –> “Windows-Einstellungen” –> “Dateien” kann man eine Datei schon beim Computerstart löschen.

image

Probleme mit Webseite

1 Antwort

Heute wurde mir von 3 Personen gemeldet, dass unsere Webseite nicht mehr funktioniere. Stattdessen kommt eine Seite, von der nicht klar ist, was denn der Zweck davon sein sollte (ausser allenfalls Malware zu verbreiten). 

 image

Zuhause ging es mir dann genau gleich. Statt unserer Seite www.schalt.ch kam eben die falsche Seite wie auf dem Bild oben. Man sah wie man weitergeleitet wurde und mein erster Gedanke war, dass die Website gehackt wurde und nun auf eine andere weiterleitet um eben z.B. Malware zu verbreiten.

Zuerst wird folgende Seite geladen:

image

In einem zweiten Schritt wird dann die Seite mit den vielen Zeichen unter “frame src” im oberen Bild geladen.

image

Bei einem zweiten Blick stellte ich dann fest, dass die Namensauflösung nicht korrekt funktioniert. Daher konnte ich wahrscheinlich bei einem erst oberflächlichen Blick mit Wireshark nichts entdecken, weil beim Öffnen der Seite im Browser schon eine falsche IP angesteuert wurde. Ein “nslookup www.schalt.ch” lieferte:

image

Der Client, von dem aus die Anfrage gemacht wurde, bekommt die DNS Antworten vom lokalen Router zuhause und dieser vom DNS Server meines Providers. Um zu überprüfen, ob die DNS Einträge grundsätzlich nicht mehr stimmen, habe ich dem Client eine manuelle Netzwerkeinstellung gegeben und als DNS Server einen von Google eingetragen (8.8.8.8). Nach einem “ipconfig /flushdns” stimmte auch die Namensauflösung wieder:

image

Komischerweise stimmte nun auch nach einem Zurückstellen (DNS vom Provider) die Namensauflösung wieder. Es scheint also nur ein temporäres Problem mit der Namensauflösung gewesen zu sein. Ich habe nun den Provider angefragt, ob sie ein Problem mit dem DNS gehabt hätten und werde voraussichtlich morgen eine Antwort erhalten.

Ich merke nun, dass ich mit meinem wenigen Wissen anstehe. Damit ich nichts vergesse, habe ich es hier niedergeschrieben. Vielleicht kann mir ja auch jemand, der diesen Blog liest, auf die Sprünge helfen.

Wurde der Webserver gehackt? Die Weiterleitung auf eine andere Seite würde dafür sprechen. Wie kann aber eine gehackte Seite meine DNS Auflösung zuhause beeinflussen? Angenommen, die Seite würde Malware verteilen, die z.B. die Hostsdatei anpasst oder etwas ähnliches… Da müsste der Virenscanner Alarm schlagen und wenn nicht, dürfte die Umstellung auf die Google (DNS) Server keinen Einfluss haben. Zur Sicherheit habe ich noch mit Virustotal unsere Seite überprüft. Es wurde aber nichts gefunden. Wie zuverlässig das ist, weiss ich aber auch nicht. Ich hoffe jetzt einfach, dass es nichts mit einer gehackten Webseite zu tun hat, werde dem aber sicher noch nachgehen.

image

Im Moment sagt mir ein Blick auf die Bäume, die mir die Sicht auf den Wald versperren, dass es ein Problem mit der DNS Auflösung meines Providers zusammenhängt. Sollten wirklich alle 3 anderen Personen, die das gleiche gemeldet haben, auch den gleichen Provider benutzen? Da das Problem bei mir zuhause nach einem Löschen des DNS Caches auf dem Router behoben war, würde sich dann das Problem von alleine lösen. Dagegen spricht, dass die “falsche” Seite auch mit “Schalt” beschriftet war und auch die komische Umleitung. Mal schauen, was ich morgen noch weiter herausfinde.

to be continued…

Nachtrag 1
Mein (Internetzugangs-)Provider zuhause hat bestätigt, dass sie ungültige DNS Records bei ihnen hatten und hat diese gelöscht und den Cache geleert. Da aber andere Personen mit anderen Zugangsprovidern auch auf die falsche Seite kamen, kann es nicht an meinem Provider liegen. Der Fehler muss “weiter oben” in der DNS Infrastruktur passiert sein. Somit ist aber zumindest klar, dass es sich eindeutig um ein DNS Problem handelt. (Vielen Dank an die schnelle und kompetente Antwort meines Providers).

Nachtrag 2
Ein Leser dieses Blogs hat mich auf einen Eintrag von Heise Security aufmerksam gemacht (vielen Dank an dieser Stelle):

Tausende Domains umgeleitet
Rund 5000 Domains wurden durch einen menschlichen Fehler und Abwehrmaßnahmen einer Distributed-Denial-of-Service-Attacke (DDoS) bei dem Domain-Anbieter Network Solutions auf falsche Webseiten umgeleitet. Davon war unter anderem LinkedIn betroffen.

Wenn man nun eine DNS Abfrage auf den Server 208.91.197.132 durchführt (z.B. mit nslookup http://www.schalt.ch 208.91.197.132 oder mit der Seite network-tools.com über Advanced Tool bei DNS Records) liefert der auch heute noch die falsche IP zurück.

image

Diese Einträge xyz.ztomy.com decken sich wieder mit dem Beitrag bei heise Security. Der Server 208.91.197.132 gibt sich als authoritative für http://www.schalt.ch aus. Wenn nun also ein Internetzugangsprovider die Daten von diesem Server in seinen DNS Cache übernimmt, bekommen alle Kunden die falsche Webseite ausgeliefert.

Auf der Webseite von confluence-networks.com (Inhaber von 208.91.197.132) findet sich dann auch ein entsprechender Hinweis:

image

Ich habe mich nun dort mal gemeldet. Hoffe, dass das Problem nun behoben wird…

Nachtrag 3
Scheinbar waren noch andere Kunden der Swisscom betroffen: http://www.inside-it.ch/articles/33469

Am Montagabend waren viele Schweizer Websites stundenlang unerreichbar. Wer zum Beispiel nzz.ch ansurfen wollte, landete auf der Website des Providers Network Solutions. (…)

In der Schweizer Internet-Szene ist man sich allerdings ziemlich sicher, wie inside-it.ch erfahren hat, dass Swisscom schlicht vergessen hat, die Rechnung für die Domain rechtzeitig zu bezahlen. Ein "Anfängerfehler", der aber auch schon anderen Grossunternehmen unterlaufen ist.

Nachtrag 4
Nun scheint es definitiv zu sein. Vgl. Kommentar bei http://www.nzz.ch/aktuell/digital/nzz-dns-1.18135806). Die Swisscom informiert auf ihrer Seite und spricht von einem “Missverständnis”.

image

Educanet2: Lerntagebuch

Kommentar verfassen

Educanet2 hat ein neues Werkzeug veröffentlicht. Mit dem Lerntagebuch kann Lernfortschritt dokumentiert und reflektiert werden.

image

Um es zu aktivieren, muss es der Administrator freischalten. Dazu muss er bei den Basisrechten von einzelnen Personen oder ganzen Klassen/Gruppen Schreibzugriff auf das Lerntagebuch erlauben. Leider scheint es nicht möglich zu sein, dies an den Moderator der Klasse oder Gruppe zu delegieren.

image

Gemäss Infomail von Educanet2:

Für Lehrkräfte ist das vom Lernenden für sie frei geschaltete Lerntagebuch einerseits über das Profil des Lernenden, andererseits aber auch über die «Lernerfolgskontrolle» in der Klassenadministration (pro Lernender) einsehbar.

Schriftart verteilen

Kommentar verfassen

Um eine neue Schriftart auf verschiedene Computer zu verteilen, muss man zwei Dinge erfüllen.

  • Die Schriftart muss in den Ordner c:\windows\fonts kopiert werden.
  • In der Registry muss unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts eine neue Zeichenfolge mit dem Namen der Schrift als Name und dem Namen der Datei als Wert erstellt werden.

image

Diese beiden Dinge kann man auf unterschiedlichem Wege erreichen, z.B. mit den Group Policy Preferences. Da ich aber Software sonst auch mit SCCM verteile, wollte ich auch den neuen Font über SCCM verteilen. Also habe ich ein Paket mit der gewünschten Schriftart, der Registrydatei und einem Skript erstellt.

Das Skript lautet:

@echo off
robocopy %~dp0 "%windir%\fonts"  gazzarelli.ttf
regedit.exe /s "%~dp0gazzarelli.reg"
REM Return exit code to sccm
exit /B %EXIT_CODE%

image

Nun kann man in SCCM noch ein Programm erstellen, das das Skript ausführt.

cmd.exe /c install.cmd

Nach der Ausführung des Programms wird ein Neustart benötigt, damit die Schrift in einem Programm wie Word ausgewählt werden kann.

Microsoft School Agreement

Kommentar verfassen

Wie die meisten Schweizer Schulen haben wir unsere Lizenzen auch über Diraction abgewickelt. Nun funktioniert das ja seit längerem nicht mehr und es gab diverse Gerüchte um die Firma selber und um den Verantwortlichen bei Microsoft. Der Artikel in der NZZ liefert nun etwas mehr Informationen. Scheinbar sitzt der entsprechende Mitarbeiter (kann ja hier keinen Namen nennen) in U-Haft.

image

Medienkompass: Fächerbezug

Kommentar verfassen

Der Lehrmittelverlag vom Kanton Zürich hat eine Handreichung “Fächer- und Lehrmittelbezüge im Medienkompass” veröffentlicht. In dieser Handreichung werden zu jedem Kapitel aus dem Medienkompass passende Fächer und Kapitel aus den Lehrmitteln genannt, die einen Bezug zum Thema aufweisen.

image

Das Lehrmittel Medienkompass setzen wir auch an unserer Schule ein (vgl. Umsetzungshilfe Medienpädagogik). Leider decken sich unsere anderen Lehrmittel nicht ganz mit denen vom Kanton Zürich, aber die Handreichung kann trotzdem Hinweise geben, wo und wann ein Medienkompass-Kapitel gut in den Unterricht eingebettet werden kann.

Surface RT für Schulen

Kommentar verfassen

Microsoft bietet das Surface RT für Schulen zu einem Bruchteil des normalen Preises an. Gemäss gelesenen Berichten soll sich das Type Cover am besten zum Tippen eignen. Man bekommt also ein Tablet mit Office 2013, USB Anschluss, einem Dateisystem, einer anklickbaren Tastatur und einem HD Display für knapp 300.- Fr.

image

Die RT Version vom Surface ist zwar leichter und hat einen länger haltenden Akku etc., ist also der direkte Konkurrent zu iPad und Android Tablets, kann aber im Gegensatz zum Surface Pro keinen x86 Code ausführen. Mit dem RT kann man also nur Programme aus dem Windows Store ausführen und keine alten Windowsprogramme. Ausserdem lässt es sich nicht in eine Domäne aufnehmen und damit auch nicht über Gruppenrichtlinien oder SCCM verwalten, sondern nur über Mobile Device Management Lösungen wie Intune. Mit Windows 8.1 werden zwar erweiterte Verwaltungsmöglichkeiten für RT eingeführt, die aber doch nicht an die volle Verwaltbarkeit von Windows 8 Pro heranreichen. Immerhin hat Microsoft den Wunsch nach Verwaltbarkeit erkannt, vielleicht kommt ja in Zukunft noch mehr.

Lehreroffice: Fotoliste

Kommentar verfassen

Lehreroffice bietet die Möglichkeit, eine Fotoliste der Schüler/-innen zu erstellen. Dabei wird nur eine Verknüpfung in Lehreroffice gespeichert. Wenn nun mehrere Lehrpersonen gemeinsam auf die gleichen Schüler/-innen zugreifen, muss man also darauf achten, dass diese Fotos an einem Ort gespeichert wurden, auf den alle diese Lehrpersonen Zugriff haben.

Link zur HD-Version

Die Fotos werden am besten vorgängig so verkleinert, dass sie weniger Speicherplatz benötigen. Eine Anleitung, wie man das mit der Freeware Irfanview macht, findet sich hier.

Probleme mit Updates bei build&capture

Kommentar verfassen

Microsoft veröffentlicht seine Updates jeweils am Patch Tuesday. Danach verteile ich die Updates jeweils mit SCCM. Zusätzlich dazu erstelle ich mit einem sogenannten build&capture Vorgang ein neues Grundimage mit den neuen Updates, das verwendet wird, wenn ein Computer neu aufgesetzt wird. Damit ist sichergestellt, dass ein neu aufgesetzter Computer bereits beim ersten Start über die sicherheitsrelevanten Updates verfügt und nicht erst danach die vielen Updates seit der Imageerstellung installieren muss. Es gibt aber ein grundsätzliches Problem bei vielen Updates, dass sich aber durch einen Hotfix von Microsoft beheben lässt.

Nun bin ich aber auf ein neues Problem gestossen. Bei der Installation der Updates bricht der Vorgang am Schluss ab und die build&capture Tasksequenz wird nicht bis zum Ende durchgeführt, sondern bricht ab und wird weiterhin als “wird ausgeführt” angezeigt. 

image

Nach diversen Tests konnte ich es auf die folgenden KB Artikel eingrenzen:

KB 982671: The.NET Framework 4 is available on Windows Update
KB 982670: The .NET Framework 4 Client Profile is available on Windows Update
KB 2529073: Binary files in some USB drivers are not updated after you install Windows 7 SP1 or Windows Server 2008 R2 SP1

Ausserdem tritt das Problem nur bei der 64bit Tasksequenz auf. Da es sich um schon ältere Updates handelt, muss etwas neueres mit diesen in Konflikt stehen. Nach Recherchen im Internet musste ich feststellen, dass viele Probleme mit Updates installieren bei einer build & capture Tasksequenz haben, vor allem mit den .NET Frameworks, wie das bei mir ja nun auch der Fall war.

Daher habe ich auf die 3 Updates verzichtet und dafür das .Net Framework 4 als Installationsdatei heruntergeladen und in die Tasksequenz eingebaut. 

Nachdem man das Paket erstellt hat, kann man die Software mit dem Schalter /q installieren.

image

Die .NET 4 Installation habe ich nach den Updates gemacht.

image

Somit kann ich immer noch nicht genau sagen, wieso die Installation der Updates abbricht. Wahrscheinlich hat es mit einer Reihenfolge der Installation zu tun, die drei Updates sind ja schon älter. Wie der Konflikt entsteht oder wie man ihn umgehen könnte, kann ich nicht sagen. Aber mit der manuellen Installation ist gewährleistet, dass das System vollständig gepatcht ist. Dies muss im Moment genügen, für weitere Nachforschungen fehlt einfach auch die Zeit.

Educanet2 Mail an alle Gruppenmitglieder

2 Antworten

Wenn man ein Mail an alle Mitglieder einer Klasse oder Gruppe erstellen möchte, wählt man links aussen “Mitgliederliste”. Nun werden die Mitglieder angezeigt, die im Moment online resp. auf Educanet2 angemeldet sind. Durch einen Klick auf “Alle Mitglieder anzeigen” erhält man auch die anderen. 

image

Durch einen Klick auf “Alle” gibt es bei allen Mitgliedern ein Häklein. Danach kann man auf “E-MAIL SCHREIBEN” klicken.

image

Dadurch öffnet sich ein neues E-Mail-Fenster, bei dem die E-Mail-Adresse der ausgewählten Mitglieder bereits eingefügt ist.

image