Windows Server 2016 Remotedesktop (RDS) mit RDWeb/Gateway Authentifizierungsfehler 0x607

Problem

In einer RDS Farm mit RDS Sessionhosts (RDSH), RDS Gateway und/oder RDS Broker Server(n) tritt „auf einmal“ ein Fehler bei der Verbindung mit einem RDS-Client ab Version  auf. Das fällt meistens bei der Anmeldung über das Web-Gateway auf – dort klappt die Authentifizierung, aber die RDP-Sitzung startet nicht. Der Fehler lautet:

„Ein Authentifizierungsfehler ist aufgetreten (Code: 0x607)“

RDS Authentifizierungsfehler 0x607Der Fehler tritt nicht auf, wenn man einen Windows 7 Client (RDP v7.x) verwendet.

Lösung

Schuld ist in der Regel eine Unstimmigkeit bei der Zertifikatsauswahl zwischen Client, Broker und Sitzungshost.

Möglichkeit 1: Sitzungssicherheit für die (in der Regel interne) Verbindung Gateway <-> Sitzungshost auf „niedgrig“ stellen. Dann wird der Fingerprint-Mismatch ignoriert und die Verbindung funktioniert sofort wieder.

Server-Manager > (Links) Remotedesktop-Dienste > Sammlungen/Sammlungsname > Aufgaben/Eigenschaften bearbeiten > Sicherheit > Verschlüsselungsstufe > „niedrig“

Nach einem Klick auf „ok“ klappt das sofort, das Gateway nutzt die Verbindungseinstellungen direkt.

Möglichkeit 2: Die „korrekte“ aber äußerst fummelige Lösung besteht darin, das korrekte RDS-Zertifikat das im RDS-Manager festgelegt wurde auf die RDSH zu verteilen, dort manuell (!) in das Computerkonto zu importieren und den zugehörigen Fingerprint in dem Registry-Schlüssel

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SSLCertificateSHA1Hash"=hex:<fingerprint>

festzulegen. Nach einem Reboot der Hosts funktioniert die Verbindung meistens. Wie das allerdings klappen soll, wenn man auf einer LAN-Seite interne Zertifikate und auf der WAN-Seite externe nutzt konnte uns bishe rnoch niemand erklären …

 

Das Microsoft Office 365 Newsletter Tool ist nicht so gut in … Newslettern

Wenn man an andere Herausforderungen in der IT denkt, ist das hier natürlich ein Luxusproblem. Eingedenk der Tatsache, das dieser SPANnende Titel vom Microsoft Office 365 Team über Office 365 mit dem Office 365 Newsdigest verschickt wurde, darf der IT’ler aber durchaus mal schadenfroh schmunzeln.

0x800710FE – Diese Datei ist momentan nicht für die Verwendung auf diesem Computer verfügbar.

Problem

Auf eine Datei oder einen Ordner kann nicht mehr korrekt zugegrifen werden. Oft ist das in Profilen unter Windows 7 bei umgeleiteten Ordner der Fall. Beim Zugriff auf die Datei tauch der Fehler 0x800710FE auf. Der Fehler im Windows Explorer lautet:

Fehler 0x800710FEAuf <DATEI/ORDNER> kann nicht zugegriffen werden. Diese Datei ist momentan nicht für die Verwendung auf diesem Computer verfügbar.

Lösung

Aller Warscheinlichkeit nach ist der Offline-Cache kaputt oder nicht mehr korrekt. Warscheinlich treten auch seltsame ungereimtheitem im Windows SyncCenter auf, wie „3 Fehler“, die aber nicht angezeigt werden.

Es hilft in der Regel, den Cache zurückzusetzen. Wir haben diesen Fehler sehr oft bei servergespeicherten Profilen gesehen, die über 15gb groß sind. Hier ist vielleicht auch einmal aufräumen angesagt. Der CSC (Client-Side Caching) Mechanismus wurde geschrieben, als 40Gb Platten noch normal waren. Da erschienen 10% noch als viel …

  1. In der Registry (als Administrator) eintragen (oder Fix direkt hier herunterladen)
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSC\Parameters]
    "FormatDatabase"=dword:00000001
  2. Reboot, ein paar Minuten warten, fertig

Windows RRAS VPN L2TP/IPSec-Server und clients, jeweils hinter NAT

Problem

Man hat einen Windows Server 2012/2016 Routing und RAS (RRAS) Server als VPN-Einwahlpunkt installiert. Dann hat man das L2TP/IPsec aktiviert, den Server mit einem PSK (Preshared Key) versehen und die notwendigen Port-Forwardings in der Firewall konfiguriert. Bei einem internen Test klappt das auch super – bis man endlich wieder zuhause ist und sich durch sein eigenes NAT einwählen möchte. Dann sagt Windows 10 plötzlich nur noch:

Die Netzwerkverbindung zwischen ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet. Das Verbindungsproblem wird möglicherweise verursacht, weil eines der Netzwerkgeräte (zum Beispiel Firewalls, NAT, Router, usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist. Wendenn Sie sich an den Administrator oder den Dienstanbieter , um zu ermitteln, welches Gerät das Problem verursacht.

Lösung

Das Problem ist wahrscheinlich nicht ein „Netzwerkgerät“ zwischen dem Computer und dem VPN (Internet), sondern eine Voreinstellung von Windows 10 die einseitiges und doppeltes NAT-T verhindert.

Fix: Windows L2TP NAT Registry-Patch (herunterladen) »

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Auf Server und Client eintragen/ausführen + Reboot (!), fertig.

Die lange Erklärung

Sind beide Parteien (VPN/RRAS-Server und Client) jeweils hinter einem NAT versteckt (Stichwort NAT-T-Umgebung, also mit Traversal) muss man einen Registrierungswert auf dem VPN-Client-Computer und dem VPN-Server ändern.

  1. Regedit als Administrator ausführen
  2. Den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent öffnen
  3. Den DWORD-Wert (32bit) „AssumeUDPEncapsulationContextOnSendRule“ einfügen und auf „2“ stellen

Diese Werte sind möglich

    • 0 – (null) lässt keine Sicherheitszuordnungen hinter NAT (NAT-T) zu. Dies ist der Standardwert.
    • 1 – lässt Sicherheitsassoziationen mit Servern zu, die sich hinter NAT-Geräten befinden (einseitiges NAT, Server).
    • 2 – lässt Sicherheitsassoziationen mit Servern zu, wenn sich Server und Client hinter NAT befinden (zweisitiges NAT-Traversal).

Unserer Meinung nach könnte Microsoft hier einen etwas sinnvolleren Standardwert vorgeben … zum Beispiel „2“. Windows ist übrigens das einzige „Massenbetriessystem“ das standardmäßig kein IPsec über NAT-T unterstützt.

Windows 10/Server 2016 Updates funktioniert nicht (Fehlercode 0x80070422)

Problem

Fehler 0x80070422: Falls die Windows-Updatefunktion mal nicht richtig funktioniert, wird die altbekannte Meldung: „Beim Installieren von Updates sind Probleme aufgetreten. Wir versuchen es allerdings später noch einmal. Falls dieser Fehler weiterhin auftritt und Sie im Web suchen oder sich an den Support wenden möchten, kann dieser Fehlercode hilfreich sein: (0x80070422)“ angezeigt.

Der Windows Update Fehlercode lautet 0x80070422

Lösung

Der Fehlercode 0x80070422 bedeutet: „Der Windows Update Dienst wurde nicht gestartet. Es hilft in den meisten Fällen, den Dienst „Windows Updates“ zu starten und auf „automatisch“ zu stellen.

Vodafone ist nicht so gut mit Webseiten

Wenn es eine „Feedback“ oder „Fehler melden“ Möglichkeite bei Vodafone geben würde, würden wir sowas ja gerne und sofort rückmelden.

Aber die „Mein Vodafone“ Webseiten sind so weitreichend fehlerhaft, das Fehlermeldungen vermutlich den Posteingang des Millionenkonzerns in Millisekunden füllen würden. Grund genug für uns, uns nach einem anderen MSP umzusehen.

*kopfschüttel*

vmware vCenter VCSA root-Partition vollgelaufen (Audit.log riesig)

Problem

Eine vmware VCSA ist vollgelaufen. Die root-Partition („/“) hat noch 0 Byte frei und die Appliance bootet nicht mehr richtig. Eine Anmeldung ist nicht mehr möglich, sogar der Bash-Zugang via

shell.set --enabled true

schlägt fehl.

Lösung

Es muss erst Platz auf der Partition gemacht werden, sonst ergeben alle weiteren Reparaturversuche keinen Sinn.

  1. Ein Linux mit einer Shell booten (z.B. ein Ubuntu, Debian oder ähnliches)
  2. Mounten der Root-Partition
    mkdir /pladde
    mount /dev/sda3 /pladde
  3. Platz schaffen
    rm -rf /pladde/var/log/audit/*
    rm -rf /pladde/var/log/audit/*
  4. Reboot, fertig

Danach empfielt es sich, entweder den Fehler zu beheben (https://kb.vmware.com/s/article/2149278), die Root-Platte zu vergrößern (https://blog.mwpreston.net/2015/10/05/resizing-the-root-partition-of-the-vcenter-server-appliance-vcsa/) oder eigene Jobs zum aufräumen hinzuzufügen …