Windows Server 2016 Remotedesktop (RDS) mit RDWeb/Gateway Authentifizierungsfehler 0x607

Problem

In einer RDS Farm mit RDS Sessionhosts (RDSH), RDS Gateway und/oder RDS Broker Server(n) tritt „auf einmal“ ein Fehler bei der Verbindung mit einem RDS-Client ab Version  auf. Das fällt meistens bei der Anmeldung über das Web-Gateway auf – dort klappt die Authentifizierung, aber die RDP-Sitzung startet nicht. Der Fehler lautet:

„Ein Authentifizierungsfehler ist aufgetreten (Code: 0x607)“

RDS Authentifizierungsfehler 0x607Der Fehler tritt nicht auf, wenn man einen Windows 7 Client (RDP v7.x) verwendet.

Lösung

Schuld ist in der Regel eine Unstimmigkeit bei der Zertifikatsauswahl zwischen Client, Broker und Sitzungshost.

Möglichkeit 1: Sitzungssicherheit für die (in der Regel interne) Verbindung Gateway <-> Sitzungshost auf „niedgrig“ stellen. Dann wird der Fingerprint-Mismatch ignoriert und die Verbindung funktioniert sofort wieder.

Server-Manager > (Links) Remotedesktop-Dienste > Sammlungen/Sammlungsname > Aufgaben/Eigenschaften bearbeiten > Sicherheit > Verschlüsselungsstufe > „niedrig“

Nach einem Klick auf „ok“ klappt das sofort, das Gateway nutzt die Verbindungseinstellungen direkt.

Möglichkeit 2: Die „korrekte“ aber äußerst fummelige Lösung besteht darin, das korrekte RDS-Zertifikat das im RDS-Manager festgelegt wurde auf die RDSH zu verteilen, dort manuell (!) in das Computerkonto zu importieren und den zugehörigen Fingerprint in dem Registry-Schlüssel

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SSLCertificateSHA1Hash"=hex:<fingerprint>

festzulegen. Nach einem Reboot der Hosts funktioniert die Verbindung meistens. Wie das allerdings klappen soll, wenn man auf einer LAN-Seite interne Zertifikate und auf der WAN-Seite externe nutzt konnte uns bishe rnoch niemand erklären …

 

0x800710FE – Diese Datei ist momentan nicht für die Verwendung auf diesem Computer verfügbar.

Problem

Auf eine Datei oder einen Ordner kann nicht mehr korrekt zugegrifen werden. Oft ist das in Profilen unter Windows 7 bei umgeleiteten Ordner der Fall. Beim Zugriff auf die Datei tauch der Fehler 0x800710FE auf. Der Fehler im Windows Explorer lautet:

Fehler 0x800710FEAuf <DATEI/ORDNER> kann nicht zugegriffen werden. Diese Datei ist momentan nicht für die Verwendung auf diesem Computer verfügbar.

Lösung

Aller Warscheinlichkeit nach ist der Offline-Cache kaputt oder nicht mehr korrekt. Warscheinlich treten auch seltsame ungereimtheitem im Windows SyncCenter auf, wie „3 Fehler“, die aber nicht angezeigt werden.

Es hilft in der Regel, den Cache zurückzusetzen. Wir haben diesen Fehler sehr oft bei servergespeicherten Profilen gesehen, die über 15gb groß sind. Hier ist vielleicht auch einmal aufräumen angesagt. Der CSC (Client-Side Caching) Mechanismus wurde geschrieben, als 40Gb Platten noch normal waren. Da erschienen 10% noch als viel …

  1. In der Registry (als Administrator) eintragen (oder Fix direkt hier herunterladen)
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSC\Parameters]
    "FormatDatabase"=dword:00000001
  2. Reboot, ein paar Minuten warten, fertig

Windows RRAS VPN L2TP/IPSec-Server und clients, jeweils hinter NAT

Problem

Man hat einen Windows Server 2012/2016 Routing und RAS (RRAS) Server als VPN-Einwahlpunkt installiert. Dann hat man das L2TP/IPsec aktiviert, den Server mit einem PSK (Preshared Key) versehen und die notwendigen Port-Forwardings in der Firewall konfiguriert. Bei einem internen Test klappt das auch super – bis man endlich wieder zuhause ist und sich durch sein eigenes NAT einwählen möchte. Dann sagt Windows 10 plötzlich nur noch:

Die Netzwerkverbindung zwischen ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet. Das Verbindungsproblem wird möglicherweise verursacht, weil eines der Netzwerkgeräte (zum Beispiel Firewalls, NAT, Router, usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist. Wendenn Sie sich an den Administrator oder den Dienstanbieter , um zu ermitteln, welches Gerät das Problem verursacht.

Lösung

Das Problem ist wahrscheinlich nicht ein „Netzwerkgerät“ zwischen dem Computer und dem VPN (Internet), sondern eine Voreinstellung von Windows 10 die einseitiges und doppeltes NAT-T verhindert.

Fix: Windows L2TP NAT Registry-Patch (herunterladen) »

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Auf Server und Client eintragen/ausführen + Reboot (!), fertig.

Die lange Erklärung

Sind beide Parteien (VPN/RRAS-Server und Client) jeweils hinter einem NAT versteckt (Stichwort NAT-T-Umgebung, also mit Traversal) muss man einen Registrierungswert auf dem VPN-Client-Computer und dem VPN-Server ändern.

  1. Regedit als Administrator ausführen
  2. Den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent öffnen
  3. Den DWORD-Wert (32bit) „AssumeUDPEncapsulationContextOnSendRule“ einfügen und auf „2“ stellen

Diese Werte sind möglich

    • 0 – (null) lässt keine Sicherheitszuordnungen hinter NAT (NAT-T) zu. Dies ist der Standardwert.
    • 1 – lässt Sicherheitsassoziationen mit Servern zu, die sich hinter NAT-Geräten befinden (einseitiges NAT, Server).
    • 2 – lässt Sicherheitsassoziationen mit Servern zu, wenn sich Server und Client hinter NAT befinden (zweisitiges NAT-Traversal).

Unserer Meinung nach könnte Microsoft hier einen etwas sinnvolleren Standardwert vorgeben … zum Beispiel „2“. Windows ist übrigens das einzige „Massenbetriessystem“ das standardmäßig kein IPsec über NAT-T unterstützt.

Windows 10/Server 2016 Updates funktioniert nicht (Fehlercode 0x80070422)

Problem

Fehler 0x80070422: Falls die Windows-Updatefunktion mal nicht richtig funktioniert, wird die altbekannte Meldung: „Beim Installieren von Updates sind Probleme aufgetreten. Wir versuchen es allerdings später noch einmal. Falls dieser Fehler weiterhin auftritt und Sie im Web suchen oder sich an den Support wenden möchten, kann dieser Fehlercode hilfreich sein: (0x80070422)“ angezeigt.

Der Windows Update Fehlercode lautet 0x80070422

Lösung

Der Fehlercode 0x80070422 bedeutet: „Der Windows Update Dienst wurde nicht gestartet. Es hilft in den meisten Fällen, den Dienst „Windows Updates“ zu starten und auf „automatisch“ zu stellen.

Windows 10 Store installiert keine Apps mehr (Store-Seite wird neu geladen)

Problem:

Eine App soll über den Microsoft Store heruntergeladen und installiert werden.
Nach Betätigung der „Herunterladen“-Schaltfläche sieht man für einen kurzen Augenblick den Status („In Arbeit…“) aber direkt darauf wird die Übersichtsseite der App neu geladen/aktualisiert und man landet wieder beim Download-Button.

Lösung:

In Unserem Fall half es, das bereits im Store angemeldete Konto einmal dort abzumelden (Oben rechts über das Profil-Icon -> das Konto anklicken -> Abmelden).
Bei einem darauffolgenden erneuten Downloadversuch wird dann wieder nach einem Konto gefragt, dieses einfach wieder Anmelden und schon startet der Download.

ADXM-Templates für Windows 10 Update 1803 (Was gibt’s neues?)

Nur wenige Tage nach dem Windows 10 Update 1803 (17134 von April 2018)  hat Microsoft nun auch die neueste Version der Windows 10 die Administrative Templates als .admx bereitgestellt.

Download 1803 ADMX: https://www.microsoft.com/de-DE/download/details.aspx?id=56880

Das neue Paket bringt ein paar gute Nachrichten mit

  • Die zahlreichen CSE-Fehler (fehlende und fehlerhafte Übersetzungen) sind behoben
    • Endlich auch beim Import in den Central Store. Nach nur zwei Jahren!
  • Die Biometrie-Anmeldungsoptionen sind nun vollständig in eine,m Zweig enthalten. Natürlich ist die PIN-Konfiguration weiterhin woanders …
  • Der Windows Defender kann nun eine Richtlinie über das Grafikrendering bekommen (Software oder Hardware)
  • Man kann Benutzer verbieten das Kontextmenü innerhalb des Startmenüs zu nutzen. Außerdem kann man endlich die „Zuletzt hinzugefügt“ Liste abschalten.
  • Man kann die direkte Verbindung („Link“) von (Windows-) Phones zum Desktop verbieten (Die SMS-App funktioniert dann nicht mehr, speichert aber auch keine alten Nachrichten mehr)
  • Man kann Microsoft Edge ENDLICH verbieten, den „Start“ Tab mit der MSN-Werbung zu laden.
    • Auf demselbenm Weg ist nun auch möglich, den „Willkommen“ Tab zu entfernen.
  • Endlich gibt es Pro-Prozess Einstellungen für die DPI-Vorgaben in der Kompatibilitätsansicht *yay*. Kein Desktop-Geklicke mehr!
  • Jede Menge neuer Kleinkram, vieles mit und vor allem auch ohne Cortana

Wir stellen Fest: Ein mehr als sinnvolles Update. Man kann Windows 10 jetzt schon beinahe vernünftig in Unternehmen einsetzen; ein paar Kleinigkeiten (CESP abschalten, Keine WErbung auf dem Startbildschirm ….) fehlen noch, aber das ist ein guter Schritt in die richtige Richtung.

Windows 10 Update 1803 Synaptics Fingerprint Reader funktioniert nicht mehr

Nach dem aktuellsten Windows 10 Update 1803 funktionieren manche Dinge nicht mehr richtig. Ärgerlicherweise auch der Fingerabdruckleser „Synaptics WBDI“ in vielen Lenovo ThinkPads, darunter T450/T460p/T470/T40s und einige weitere.

Schuld ist interessanterweise nicht der Treiber selber, sondern eine veraltete Version der Intel Software Guard Extensions (SGX). Aufgrund verschiedener Änderungen an der Biometrischen Authentifizierungsinfrastruktur braucht Windows 10 u1803 hier „nur“ ein kleines Update von Intel und schon gehts wieder. Das Update entfernt auch vorherige Versionen, daher ist es mit einem „Weiter Weiter Fertigstellen Reboot“ getan.

  1. Intel® Software Guard Extensions (Intel® SGX) for Windows® 10 Version: 1.9.100.41172 (oder höher) herunterladen und installieren (=update)
  2. Reboot
  3. Fingerprint geht wieder

Sollte das nicht helfen, war der alte SGX Treiber manuell installiert. Das kann das Setup nicht automatisch ersetzen. Wenn das der Fall ist, einfach den Reiber manuell entfernen und auch wieder manuell aktualisieren:

  1. Gerätemanager -> „Synaptics WBDI(SG enabled)“ rechte MT -> Deinstallieren -> Treiber löschen
  2. ZIP-Archiv (SGX siehe oben) auspacken, beide INF-Dateien rechtsklick -> Installieren
  3. Gerätemanager -> „Nach geänderter Hardware suchen“
  4. Reboot, Fingerprint wieder da.