BitLocker fragt ständig nach Recovery-Key

Problem

Nach einem Firmware oder BIOS-Update fragt Bitlocker ständig beim booten nach dem superlangen Wiederherstellugnsschlüssel (Recovery-Key).

Lösung

Korrekte Vorgehensweise um ein BIOS-Update bei Bitlocker durchzuführen wäre:

  1. Systemsteuerung > System und Sicherheit > Bitlocker-Laufwerksverschlüsselung
  2. Schutz anhalten“ (NICHT „DEAKTIVIEREN“!!)
  3. *reboot* (mit Schlüsseleingabe)
  4. Systemsteuerung > System und Sicherheit > Bitlocker-Laufwerksverschlüsselung
  5. Schutz aktivieren
  6. *reboot*

Microsoft Office Picture Manager in Office 2013/2016 kostenlos nachinstallieren

Problem

Benutzer beschweren sich, dass bei Office 2013/2016 der nette „Office Picture Manager“ nicht mehr dabei ist. Dieser war so komfortabel zu bedienen und so weiter.

Lösung

Man kann den Microsoft Office Picture Manager jederzeit kostenlos und ohne Lizenz-Probleme nachinstallieren. Der Picture Manager ist nämlich im „Microsoft SharePoint Designer 2010“ enthalten und diesen gibt es kostenlos zum Download.

Nach der Installation steht der Picture Manager wie gewohnt zur Verfügung. Bei einem Lizenz-Audit wird aus der Lizenzverwendung der „SharePoint-Designer“ ausgelesen, welcher kostenlos erhältlich ist. Das Produkt ist nicht in der Office-Lizenz ehthalten.

Windows 10 zeigt nicht alle Drucker an

An einem Windows 10 Pro-Rechner fiel auf, das nicht alle Drucker unter der Ansicht „Geräte und Drucker“ angezeigt werden. In den „STRG+P“ Druckdialogen von Anwendungen hingegen schon. Für dieses Verhalten kann es offensichtlich einige verschiedene Ursachen geben – meistens ein kaputter Druckertreiber (oder PDF-Writer). Als schnellen workaround kann man die Druckeransicht von früher verwenden.

Start -> Ausführen:

shell:::{26EE0668-A00A-44D7-9371-BEB064C98683}\0\::{2227A280-3AEA-1069-A2DE-08002B30309D}

WSUS 4 Performance optimieren durch Datenbank-Reindexierung, Löschen und manuelles bearbeiten

Der WSUS unter Windows Server 2012/2012R2 und 2016 zeigt ab und zu gewisse Performance-Schwächen. Das äußert sich beispielsweise in dem berüchtigten „Serverknoten zurücksetzen“ Fehler oder dem „Fehler bei der Verbindung zur WSUS-Datenbank“ Anzeige.

Lösung

Der WSUS-Server ist tatsächlich ein Performance-Fresser. die Update-Datenbank ist riesig. Nicht immer ist hier die WID (Windows-Interne Datenbank) die richtie Lösung. Wartungsscripts und Neuindexierungsjob gibt es hier leider nicht.

Tipp 1 – WSUS-Datenbank defragmentieren und neuindexieren

  1. WSUSDBMaintenance Scripts herunterladen (nicht auf die Version achten – läuft auch unter WSUS 4)
  2. Microsoft® Command Line Utilities 11 for SQL Server herunterladen und installieren (oder alternativ das SMSS verwenden)
  3. Die Scripts ausführen:
    sqlcmd -E -S np:\\.\pipe\MICROSOFT##WID\tsql\query -i WsusDBMaintenance.sql

Tipp 2 – Cleanup-Agent laufen lassen

Der WSUS „Assistent für die Serverbereinigung“ kann die Datenbank deutlich entschlacken (und für mehr Platz sorgen). Läuft der Assistent nicht durch, hilft oft dieser Artikel.

Tipp 3 – Mehr Leistung

Ein WSUS mit vier Kernen und 8Gb RAM kann etwa 5000 Clients gut und schnell bedienen. viele WSUS-Maschinen haben aber deutlich weniger Ressourcen; eine leichte Aufstockung kann hier wunder bewirken.

Tipp 4 – Abgelaufene oder ersetzte Updates löschen

Der Fehler in diesem Artikel kann auch die Ursache für Verbindungstimeouts des Konsolenclients sein.

Dieses SQL-Script löscht die Updates direkt in der Datenbank, ohne einen externen Binärassistenten. Alle diese Updates auf einmal, ohne manuelles suchen.

DECLARE @var1 INT 
DECLARE @msg nvarchar(100) 
CREATE TABLE #results (Col1 INT) INSERT INTO #results(Col1) 
EXEC spGetObsoleteUpdatesToCleanup 
DECLARE WC Cursor FOR SELECT Col1 FROM #results 
OPEN WC 
FETCH NEXT FROM WC INTO @var1 WHILE (@@FETCH_STATUS > -1) 
BEGIN SET @msg = 'Deleting ' + CONVERT(varchar(10), @var1) RAISERROR(@msg,0,1) WITH NOWAIT 
EXEC spDeleteUpdate @[email protected] 
FETCH NEXT FROM WC INTO @var1 
END 
CLOSE WC 
DEALLOCATE WC 
DROP TABLE #results

Tipp 5 – SQL-Server Timeout für di WID/SUSDB hochsetzen/abschalten

Die meisten Konsolenaktionen laufen fehlerfrei durch, wenn man das SQL-Timout für querys entweder sehr hoch ansetzt, oder gleich ganz abschaltet. Achtung: Wenn man das Timeout abschaltet, laufen auch „tote“ Anfragen durch, bis sie fertig sind. Default sind 600 Sekunden.

USE SUSDB;  
GO  
EXEC sp_configure 'remote query timeout', 0 ;  
GO  
RECONFIGURE ;  
GO

 

Windows Server 2012/2012R2 Windows Internal Database (WID) mit dem SQL Management Studio nutzen

Die Windows Internal Database (WID) ist ein ganz normaler SQL-Server (Express Edition), der sehr verschlossen konfiguriert ist. In der Regel benötigt man auch keinen direkten Zugriff darauf, außer es treten Fehler wie zum Beispiel der WSUS „Serverknoten zurücksetzen“ Effekt auf.

Es auch weiterhin möglich, sich mit dem SQL Management Studio (ab SMSS 2012 aufwärts) oder einer anderen SQL-Konsole der Wahl mit der WID-Instanz zu verbinden. Es gibt keinen TCP/IP listern mehr, daher man muß sich auf die entsprechende WID-Instanz mit dem passenden Memory-Pipe Verbindungsalias (Connection String) verbinden.

Die aktuellen Connectionstrings für WID

  • Windows Server 2008 und höher
    \\.\pipe\mssql$Microsoft##SSEE\sql\query
  • Windows Server 2012 und höher
    \\.\pipe\Microsoft##WID\tsql\query

„Microsoft SQL Fehler 18456“ beim herstellen der Verbindung

Das SQL Managemen Studio „Als Administrator“ ausführen, sonst gibt es keine Anmeldung.

Remote Desktop (RDP) in der Registry einschalten

Problem

Man muss dringend auf die RDP-Konsole eines Windows-Server (ab 2003) oder Windows-Clients (ab Windows XP) zugreifen. doch RDP ist in der Systemsteuerung abgeschaltet,

Lösung

Via Remote-Registry, Gruppenrichtlinie, Lokale richtlinie oder die Kommandozeile kann man den RDP-Zugang direkt einschalten:
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server
Einen REG_DWORD Namens fDenyTSConnection erstellen und diesem den Wert 0 geben – oder auf 0 ändern, falls schon vorhanden.

Update

„Wie komme ich an die Remote-Registry eines Computers?“

  • Dienst „Remoteregistrierung“ auf dem Zielcomputer starten:
    sc \\foo-server start RemoteRegistry
  • Registry-Editor (regedit) öffnen
  • Datei > mit Netzwerkregistrierung verbinden > Computer auswählen > OK

DHCP(-Relay) vergibt keine IP an einige Clients

Problem:

Einige Clients (in unserem Fall ein WLAN-AccessPoint von Ubiquiti und ein D-Link Printserver) erhalten keine IP Adresse vom DHCP-Server (Windows Server 2012 R2) hinter einem DHCP-Relay-Agent (Windows Server 2008 R2)
Auf dem DHCP lässt sich kein Fehler finden (Eventlog, DHCP-Log, …)
Ein Paketsniffer (in diesem Fall Wireshark) zeigt jede menge „DHCP Discover“-Pakete, allerdings kein darauf folgendes Offer.

Nach Aktivierung des erweiterten loggings auf dem DHCP-Relay (teil von Routing und RAS) lässt sich im IPBOOTP.LOG (C:\Windows\tracing\IPBOOTP.LOG) folgendes finden:

dropping REQUEST with secs-since-boot 0 on interface XX (192.168.X.X)

Laut Technet sollte das auch im Eventlog auftauchen. (Tat es in unserem fall leider nicht.)

Lösung:

Nach erneuter Betrachtung der Discover-Pakete fällt auf: Der „Seconds elapsed“-Wert steht bei sämtlichen betroffenen Geräten auf 0 

Der DHCP-Relay-Agent verwirft in der Standardeinstellung sämtliche Pakete mit einem „secs-since-boot“-Wert unter 4 Sekunden. Damit auch die hier betroffenen Pakete weitergeleitet werden muss auf dem DHCP-Relay-Interface lediglich der „Neustart-Schwellenwert“ angepasst werden:

  1. Routing und RAS MMC öffnen
  2. IPv4 -> DHCP-Relay-Agent
  3. Eigenschaften der Schnittstelle
  4. „Neustart-Schwellenwert (Sekunden)“ auf 0 herabsetzen

WSUS unter Windows Server 2012 und 2016 funktioniert nicht (Error 503, 0x80040154, 0x80245002)

Problem

Ein frischer Windows Server 2016 (oder 2012/2012R2) WSUS-Server funktioniert nicht. Clients werden in der WSUS-Console zwar aufgeführt, aber es werden keine Updates verteilt. Stattdessen sagen die %SystemRoot%\WindowsUpdate.log Logfiles, das der Fatale Fehler 0x80040154 oder 0x80245002 aufgetreten sei. Die DNS-Auflösung des WSUS-Servers klappt aber ohne Probleme.

Zudem wirft die manuell aufgerufene URL http://<WSUS-SERVERNAME>/ClientWebService/client.asmx einen HTTP-Fehler, und zwar den http-error 503.

Lösung (und ein Tipp)

Bei der Installation des IIS ist vermutlich die dynamische Komprimierung installiert worden. Aus magischen Gründen wird diese bei der Installation auf allen neu angelegten Sites („WSUS-Verwaltung“) auch gleich aktiviert. Die dynamische Kompression muss ausgeschaltet sein, sonst mag der Windows Update Client die HTTP-Antworten nicht mehr verstehen.

IIS-Manager > Sites > WSUS-Verwaltung > Komprimierung (rechts) > Dynamische Kompression AUSSCHALTEN

Tipp

Bei mehr als 190 WSUS-Clients steigt der WSUS-Applikationspool im IIS regelmäßig aus, wenn die Clients anfangen ihren Patchstand zu reporten. Der Pool beendet sich mit ienem „Out of Memory“ Fehler.

Wir raten daher eindringlich dazu, den Arbeitsspeicher des Pools von den knapp gerechneten ~1,8g (1.843.200kb) auf mindestens 4gb zu erhöhen. Dananch tritt der Fehler (zumindest bis 800 Clients) nicht mehr auf.

IIS-Manager > Anwendungspools > WsusPool > Erweiterte Eigenschaften > Wiederverwendung/“Limit für den privaten Speicher“ auf 4000000 (4Mio) setzen.