Windows EventID: 36888 – Quelle: Schannel – Warnung 10 – Fehlerstatus: 1203

Problem

Seit „einer Weile“ tauchen im Ereignisprotokoll ständig diese Meldungen auf:

Quelle: Schannel

Ereignis-ID: 36888

Ebene: Fehler

Es wurde eine schwerwiegende Warnug generiert: 10. Der interne Fehlerstatus lautet 1203.

Lösung

Das passiert gerne auf Maschinen mit installierten IIS oder Apps mit ausgehenden TLS-Verbindungen. Der Status 10 bedeutet: „TLS1_ALERT_UNEXPECTED_MESSAGE (10)“. Man kann das nachstellen, indem man ein nicht-TLS-Verbindung auf einen TLS-Port öffnet, z.B. mit http://SERVER:443/foo.

Das ist in aller Regel nicht schlimm und nervt nur. Die Verbindung wird auf jeden Fall beendet.

Man kann die Protokollierung des Fehlers in der Cryptoapi einfach deaktivieren, dann ist der Eintrag weg. Den Wert von „EventLogging“ in HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL einfach von „1“ auf „0“ umstellen.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
"EventLogging"=dword:00000000

Video-Streaming mit dem SQUID Proxy blockieren

Problem

In einem Netzwerk mit Squid Proxy-Server sollen Video-Streamingdienste blockiert werden. Die Herausforderung liegt hierbei in der Diensterkennung; wenn man in den ACLs nur Domain- oder Hostnamen verwendet, gibt es immer wieder findige Zeitgenossen die ihre Videodienste unter neuen Namen finden.

Außerdem ist die Liste an Porn-Websites im Internet vermutlich größer als Anzahl Wörter in der Wikipedia.

Diese ACL-Liste funktioniert natürlich sowohl unter Linux, als auch im SquidNT unter Windows.

Lösung

Mime-Typen und Dateiendungen nutzen. Nach langem testen und anpassen hat sich bei uns dieses Regelset für die squid.conf bewärt:

acl mediastream rep_mime_type ^application/vnd.ms.wms-hdr.asfv1
acl mediastream rep_mime_type ^application/x-fcs
acl mediastream rep_mime_type ^application/x-mms-framed
acl mediastream rep_mime_type video/flv video/x-flv
acl mediastream rep_mime_type -i ^video/
acl mediastream rep_mime_type -i ^video\/
acl mediastream rep_mime_type ^video/x-ms-asf
acl mediastream rep_mime_type ms-hdr
acl mediastream rep_mime_type x-fcs
acl mediastream rep_mime_type ^audio/mpeg
acl mediastream rep_mime_type ^audio/x-scpls
acl mediastream rep_mime_type ^video/x-flv
acl mediastream rep_mime_type ^video/mpeg4
acl mediastreamurl urlpath_regex \.flv(\?.*)?$
acl mediastreamurl urlpath_regex -i \.(avi|mp4|mov|m4v|mkv|flv)(\?.*)?$
acl mediastreamurl urlpath_regex -i \.(mpg|mpeg|avi|mov|flv|wmv|mkv|rmvb)(\?.*)?$

# Vorsich hiermit! Das blockiert Flash.
# acl mediastream rep_mime_type ^application/x-shockwave-flash

Danach reicht es, dise ACLs wie http_access Regel auszusperren:

http_access deny mediastream
http_reply_access deny mediastreamurl

Windows Server 2003 RDP funktioniert nicht „Der RPC Server steht nicht zur Verfügung“

Problem

Es soll „da draußen“ noch einige Windows Server 2003 Altlasten geben. Nachdem solche Maschinen jahrelang herumgeschleppt, konvertiert und verschoben wurden, wollen die Windows-Server manchmal nicht  mehr so recht. Das ist uns heute auch passiert.

Bei dieser Maschine scheiterte jeder RDP (oder „Terminalsitzungs“-) Anemldeversuch mit der Fehlermeldung „Der RPC-Server steht nicht zur Verfügung“.

Lösung

Da diese Maschine nicht mehr lange leben wird, hilft der altbekannte RDP-Quick-Fix. Achtung, das löst das eigentlich Problem nicht (das meisten tiefer liegt), aber behebt dieses Symptom zuverlässig.

Einfach einen DWORD-Wert „IgnoreRegUserConfigErrors“ im Schlüssel „HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server“ erstellen, diesem den Wert „1“ verpassen, fertig. Die anmeldung tut es sofort wieder.

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

"IgnoreRegUserConfigErrors"=dword:00000001

Windows Store-Apps gehen nicht auf, Ereignis 5973 im Eventlog

Problem

Auf einem Windows 8/8.1/10 öffnen sich nicht (mehr) alle Windows Store Apps. Zudem wird (in etwa) dieser Fehler im Eventlog („Anwendung“) protokolliert:

Quelle: Microsoft-Windows-Power-Shell  (Oder unter Windows 10: Apps)
Ereignis-ID: 5973
Aufgabenkategorie: (5973)
Ebene: Fehler
Beschreibung
Fehler bei der Aktivierung der app AppID : Diese Anwendung unterstützt den angegebenen Vertrag nicht oder ist nicht installiert.
Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Lösung

Spontanes Herunterfahren kann den Appcache in C:\Users\ < Benutzername > \AppData\Local\Packages beschädigen. Meistens hilft es, ein neues Benutzerkonto zu estellen und alle Daten zu migrieren. Den doofen Appcache kann man (unseres Wissens nach) leider nicht leeren ohne ihn zu zerstören.

  1. Neues Benutzerkonto (1) anlegen
  2. Neues Benutzerkonto (2) anlegen
  3. Windows NEU STARTEN (!) und mit (1) anmelden.
  4. Windows NEU STARTEN (!) und mit (2) anmelden.
  5. Alle Dateien aus dem alten (kaputten) Profilverzeichnis in das neue (1) kopieren (ausser NTUser.*)
  6. Neu starten und mit (1) anmelden und testen.

Meistens klappt dann schon wieder alles. Eventuell fehlen ein paar Einstellungen und Registry-Kram, aber die apps klappen wieder.

Windows Server 2012/2012R2 Windows Internal Database (WID) mit dem SQL Management Studio nutzen

Die Windows Internal Database (WID) ist ein ganz normaler SQL-Server (Express Edition), der sehr verschlossen konfiguriert ist. In der Regel benötigt man auch keinen direkten Zugriff darauf, außer es treten Fehler wie zum Beispiel der WSUS „Serverknoten zurücksetzen“ Effekt auf.

Es auch weiterhin möglich, sich mit dem SQL Management Studio (ab SMSS 2012 aufwärts) oder einer anderen SQL-Konsole der Wahl mit der WID-Instanz zu verbinden. Es gibt keinen TCP/IP listern mehr, daher man muß sich auf die entsprechende WID-Instanz mit dem passenden Memory-Pipe Verbindungsalias (Connection String) verbinden.

Die aktuellen Connectionstrings für WID

  • Windows Server 2008 und höher
    \\.\pipe\mssql$Microsoft##SSEE\sql\query
  • Windows Server 2012 und höher
    \\.\pipe\Microsoft##WID\tsql\query

Volume Shadow Copy Fehler: Unexpected error calling routine ConvertStringSidToSid. hr = 0x80070539

Problem

Es treten verschiedene VSS-Fehler auf. Einige Volumenschattenkopien sind nicht verfügbar, P2P-Operationen mit dem vmware Converter schlagen fehl oder eine Datenträgersicherung bricht ab.

Die Fehlermeldung im Ereignisprotokoll:

Log Name:      Anwendung
Source:        VSS 
Event ID:      8193 
Beschreibung: 
Volume Shadow Copy Service error: Unexpected error calling routine ConvertStringSidToSid. 
hr = 0x80070539.

Operation: 
   OnIdentify event 
   Gathering Writer Data

Context: 
   Execution Context: Shadow Copy Optimization Writer 
~snip~

Lösung

Uns sind hier zwei verschiedene Ursachen begegnet. Die erste wesentlich häufiger als die zweite.

  1. Der betroffene Computer hat nicht auflösbare SIDs in der lokalen Administratorengruppe. Diese einfach aus der Gruppe entfernen und den Anmeldedienst neu starten. Schon geht wieder alles.
  2. Im Registry-Schlüssel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList gibt es noch eine oder mehrere Kopien von Registry-Benutzerprofilen (<SID>.bak). Diese rückstandsfrei löschen.

Nach der Fehlerbehebung klappt auch der VSS-Dienst wieder fehlerfrei.

CertificateServicesClient-AutoEnrollment Event 6, CertificateServicesClient-CertEnroll Event 13 und CertificateServicesClient-CertEnroll Event 82

Problem

Auf Domänencontrollern gibt es in regelmäßigen Abständen im Eriegnisprotokoll diese Fehlermeldungen:

Quelle: CertificateServicesClient-CertEnroll
Event-ID: 82
Fehler bei der Zertifikatregistrierung für Lokales System bei der Authentifizierung für alle URLs für den
Registrierungsserver, der folgender Richtlinien-ID zugeordnet ist: {1874501F-FFFF-AFFE-BBD5-F3B749CBCF4A}
(Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)).
Fehler bei der Registrierung für Vorlage: DomainController

Dicht gefolgt von

Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat DomainController mit der Anforderungs-ID N/A von serverwitten.DrSpangGmbH.local\Dr. Spang GmbH (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)) registrieren.

Quelle: CertificateServicesClient-CertEnroll
Event-ID: 13
Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat DomainController mit der
Anforderungs-ID N/A von SERVERNAME.DPOMAIN.TLD\OLD-CA-NAME (Der RPC-Server ist nicht verfügbar.
0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)) registrieren.

Und dann bestätigt von:

Bei der automatischen Zertifikatregistrierung für lokales System ist ein Fehler aufgetreten (0x800706ba) Der RPC-Server ist nicht verfügbar. .

Quelle: CertificateServicesClient-AutoEnrollment
Event-ID: 6
Meldung:
Bei der automatischen Zertifikatregistrierung für lokales System ist ein Fehler aufgetreten (0x800706ba)
Der RPC-Server ist nicht verfügbar.
.

Das passiert in der Regel, wenn es „irgendwann“ mal eine CA in dieser Domäne gab und der Servers nicht mehr exisitert. Hinweise auf so eine Situation können Zitate sein wie „Den Servernamen kenne ich, aber den gibt es schon lange nicht mehr. Wir haben auch keine eigene CA“. Das passiert auch gene mal, wenn uralte Exchange-Server deinstalliert werden die Self-Signed Zertifikate über sich selber genutzt haben.

Wichtig: Der Name der CA (aus den Ereignismeldungen) muss exakt stimmen.

Lösung

Die ehemalige CA und deren Zertifikatsvorlagen (Templates) müssen sauber aus dem Active Directory entfernt werden. Der Name der CA ist ja aus den Meldunge bekannt.

  1. „Active-Directory Standorte und Dienste“ öffnen und unter Ansicht > „Dienstknoten anzeigen“ einschalten
  2. Öfnen von „Services“ > „Public Key Service“ > „AIA“ > in der rechten Hälfte hier die falsche/tote CA (Hier steht der CA Name, NICHT der Servername)  löschen
  3. Öffnen von „Services“ > „Public Key Service“ > „Enrollment Services“ > und auch hier die falsche CA löschen

Die folgenden beiden Schritte nur durchführen, wenn es KEINE NEUE CA in dieser Domäne gibt. Wenn es eine CA in der Domain gibt, diese Schritte überspringen.

  1. Die alten Zertifikatsvorlagen aus dem AD entfernen: Öffne „Public Key Service“ > „Certificate Templates“ und lösche alle LDAP-Vorlagen hier drin
  2. Unter „Public Key Services“ das Objekt „NTAuthCertificates“ löschen

Konfiguration im AD aktualisieren

An der Shell (CMD oder Powershell) die DC-Informationen aufräumen und aktualisieren:

C:\> certutil -dcinfo deleteBad

Nach ein paar Minuten (Default: 5) die RSOP-Daten des/der DCs aktualisieren:

C:\> gpupdate /force

Das passiert zwar auch automatisch (auch auf allen DCs), aber wenn man das manuell anstößt kann man den Erfolg praktisch sofort in der Ereignisanzeige nachvollziehen:

 

 

Windows Server 2012R2 verliert sporadisch Netzwerkverbindung „Die IP-Adresse für die Isatap-Schnittstelle LAN-Verbindungwurde nicht aktualisiert.“

Ein sehr seltsames Problem, aber eine einfache Lösung.

Wir haben einen Windows Server 2012 R2 (Domain Controller), der früher auf einem vSphere 5.5 lief. Später wurde der darunterliegende ESXi auf ein vSphere 6 aktualisiert. Sporadischen („random“) traten unter beiden ESX-Versionen Ausfälle bei ebendiesem DC auf; die Netzwerkkarte war plötzlich nicht mehr erreichbar.

Die Netzwerkkarte war im Fehlerfall tot, sprich von außen nicht mehr pingbar. Mann konnte sich auf der Konsole des Servers problemlos einloggen und die Karte sehen, aber keine Pakete wurden mehr verschickt oder empfangen. Nach einem Reboot klappte wieder alles einwandfrei, mal für ein paar Stunden, mal für ein paar Tage.

Im Ereignisprotokoll war nichts zu finden (wenn doch nur alle Logs so sauber wären …), außer:

Log Name:      System
Source:        Microsoft-Windows-Iphlpsvc
Date:          2/1/2017 5:01:51 PM
Event ID:      4202
Task Category: None
Level:         Error
Keywords:      
User:          SYSTEM
Computer:      MYSERVER.MYDOMAIN
Description:
Unable to update the IP address on Isatap interface isatap.{<SID>}. Update Type: 0. Error Code: 0x57.

und

 Log Name: System
 Source: Microsoft-Windows-Iphlpsvc
 Date: 2/1/2017 4:49:33 PM
 Event ID: 4202
 Task Category: None
 Level: Error
 Keywords:
 User: SYSTEM
 Computer: MYSERVER.MYDOMAIN
 Description:
 Unable to update the IP address on Isatap interface isatap.{<SID>}. Update Type: 1. Error Code: 0x490.

Lösung

Die Netzwerkkarte in dem System war eine vmware INTEL E1000. Diese durch einen VMXNET-Adapter (idealerweise VMXNET3) austauschen und der Fehler ist verschwunden.