Remote Desktop (RDP) in der Registry einschalten

Problem

Man muss dringend auf die RDP-Konsole eines Windows-Server (ab 2003) oder Windows-Clients (ab Windows XP) zugreifen. doch RDP ist in der Systemsteuerung abgeschaltet,

Lösung

Via Remote-Registry, Gruppenrichtlinie, Lokale richtlinie oder die Kommandozeile kann man den RDP-Zugang direkt einschalten:
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server
Einen REG_DWORD Namens fDenyTSConnection erstellen und diesem den Wert 0 geben – oder auf 0 ändern, falls schon vorhanden.

Update

„Wie komme ich an die Remote-Registry eines Computers?“

  • Dienst „Remoteregistrierung“ auf dem Zielcomputer starten:
    sc \\foo-server start RemoteRegistry
  • Registry-Editor (regedit) öffnen
  • Datei > mit Netzwerkregistrierung verbinden > Computer auswählen > OK

DHCP(-Relay) vergibt keine IP an einige Clients

Problem:

Einige Clients (in unserem Fall ein WLAN-AccessPoint von Ubiquiti und ein D-Link Printserver) erhalten keine IP Adresse vom DHCP-Server (Windows Server 2012 R2) hinter einem DHCP-Relay-Agent (Windows Server 2008 R2)
Auf dem DHCP lässt sich kein Fehler finden (Eventlog, DHCP-Log, …)
Ein Paketsniffer (in diesem Fall Wireshark) zeigt jede menge „DHCP Discover“-Pakete, allerdings kein darauf folgendes Offer.

Nach Aktivierung des erweiterten loggings auf dem DHCP-Relay (teil von Routing und RAS) lässt sich im IPBOOTP.LOG (C:\Windows\tracing\IPBOOTP.LOG) folgendes finden:

dropping REQUEST with secs-since-boot 0 on interface XX (192.168.X.X)

Laut Technet sollte das auch im Eventlog auftauchen. (Tat es in unserem fall leider nicht.)

Lösung:

Nach erneuter Betrachtung der Discover-Pakete fällt auf: Der „Seconds elapsed“-Wert steht bei sämtlichen betroffenen Geräten auf 0 

Der DHCP-Relay-Agent verwirft in der Standardeinstellung sämtliche Pakete mit einem „secs-since-boot“-Wert unter 4 Sekunden. Damit auch die hier betroffenen Pakete weitergeleitet werden muss auf dem DHCP-Relay-Interface lediglich der „Neustart-Schwellenwert“ angepasst werden:

  1. Routing und RAS MMC öffnen
  2. IPv4 -> DHCP-Relay-Agent
  3. Eigenschaften der Schnittstelle
  4. „Neustart-Schwellenwert (Sekunden)“ auf 0 herabsetzen

WSUS unter Windows Server 2012 und 2016 funktioniert nicht (Error 503, 0x80040154, 0x80245002)

Problem

Ein frischer Windows Server 2016 (oder 2012/2012R2) WSUS-Server funktioniert nicht. Clients werden in der WSUS-Console zwar aufgeführt, aber es werden keine Updates verteilt. Stattdessen sagen die %SystemRoot%\WindowsUpdate.log Logfiles, das der Fatale Fehler 0x80040154 oder 0x80245002 aufgetreten sei. Die DNS-Auflösung des WSUS-Servers klappt aber ohne Probleme.

Zudem wirft die manuell aufgerufene URL http://<WSUS-SERVERNAME>/ClientWebService/client.asmx einen HTTP-Fehler, und zwar den http-error 503.

Lösung (und ein Tipp)

Bei der Installation des IIS ist vermutlich die dynamische Komprimierung installiert worden. Aus magischen Gründen wird diese bei der Installation auf allen neu angelegten Sites („WSUS-Verwaltung“) auch gleich aktiviert. Die dynamische Kompression muss ausgeschaltet sein, sonst mag der Windows Update Client die HTTP-Antworten nicht mehr verstehen.

IIS-Manager > Sites > WSUS-Verwaltung > Komprimierung (rechts) > Dynamische Kompression AUSSCHALTEN

Tipp

Bei mehr als 190 WSUS-Clients steigt der WSUS-Applikationspool im IIS regelmäßig aus, wenn die Clients anfangen ihren Patchstand zu reporten. Der Pool beendet sich mit ienem „Out of Memory“ Fehler.

Wir raten daher eindringlich dazu, den Arbeitsspeicher des Pools von den knapp gerechneten ~1,8g (1.843.200kb) auf mindestens 4gb zu erhöhen. Dananch tritt der Fehler (zumindest bis 800 Clients) nicht mehr auf.

IIS-Manager > Anwendungspools > WsusPool > Erweiterte Eigenschaften > Wiederverwendung/“Limit für den privaten Speicher“ auf 4000000 (4Mio) setzen.

 

 

Windows EventID: 36888 – Quelle: Schannel – Warnung 10 – Fehlerstatus: 1203

Problem

Seit „einer Weile“ tauchen im Ereignisprotokoll ständig diese Meldungen auf:

Quelle: Schannel

Ereignis-ID: 36888

Ebene: Fehler

Es wurde eine schwerwiegende Warnug generiert: 10. Der interne Fehlerstatus lautet 1203.

Lösung

Das passiert gerne auf Maschinen mit installierten IIS oder Apps mit ausgehenden TLS-Verbindungen. Der Status 10 bedeutet: „TLS1_ALERT_UNEXPECTED_MESSAGE (10)“. Man kann das nachstellen, indem man ein nicht-TLS-Verbindung auf einen TLS-Port öffnet, z.B. mit http://SERVER:443/foo.

Das ist in aller Regel nicht schlimm und nervt nur. Die Verbindung wird auf jeden Fall beendet.

Man kann die Protokollierung des Fehlers in der Cryptoapi einfach deaktivieren, dann ist der Eintrag weg. Den Wert von „EventLogging“ in HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL einfach von „1“ auf „0“ umstellen.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
"EventLogging"=dword:00000000

Video-Streaming mit dem SQUID Proxy blockieren

Problem

In einem Netzwerk mit Squid Proxy-Server sollen Video-Streamingdienste blockiert werden. Die Herausforderung liegt hierbei in der Diensterkennung; wenn man in den ACLs nur Domain- oder Hostnamen verwendet, gibt es immer wieder findige Zeitgenossen die ihre Videodienste unter neuen Namen finden.

Außerdem ist die Liste an Porn-Websites im Internet vermutlich größer als Anzahl Wörter in der Wikipedia.

Diese ACL-Liste funktioniert natürlich sowohl unter Linux, als auch im SquidNT unter Windows.

Lösung

Mime-Typen und Dateiendungen nutzen. Nach langem testen und anpassen hat sich bei uns dieses Regelset für die squid.conf bewärt:

acl mediastream rep_mime_type ^application/vnd.ms.wms-hdr.asfv1
acl mediastream rep_mime_type ^application/x-fcs
acl mediastream rep_mime_type ^application/x-mms-framed
acl mediastream rep_mime_type video/flv video/x-flv
acl mediastream rep_mime_type -i ^video/
acl mediastream rep_mime_type -i ^video\/
acl mediastream rep_mime_type ^video/x-ms-asf
acl mediastream rep_mime_type ms-hdr
acl mediastream rep_mime_type x-fcs
acl mediastream rep_mime_type ^audio/mpeg
acl mediastream rep_mime_type ^audio/x-scpls
acl mediastream rep_mime_type ^video/x-flv
acl mediastream rep_mime_type ^video/mpeg4
acl mediastreamurl urlpath_regex \.flv(\?.*)?$
acl mediastreamurl urlpath_regex -i \.(avi|mp4|mov|m4v|mkv|flv)(\?.*)?$
acl mediastreamurl urlpath_regex -i \.(mpg|mpeg|avi|mov|flv|wmv|mkv|rmvb)(\?.*)?$

# Vorsich hiermit! Das blockiert Flash.
# acl mediastream rep_mime_type ^application/x-shockwave-flash

Danach reicht es, dise ACLs wie http_access Regel auszusperren:

http_access deny mediastream
http_reply_access deny mediastreamurl

Windows Server 2003 RDP funktioniert nicht „Der RPC Server steht nicht zur Verfügung“

Problem

Es soll „da draußen“ noch einige Windows Server 2003 Altlasten geben. Nachdem solche Maschinen jahrelang herumgeschleppt, konvertiert und verschoben wurden, wollen die Windows-Server manchmal nicht  mehr so recht. Das ist uns heute auch passiert.

Bei dieser Maschine scheiterte jeder RDP (oder „Terminalsitzungs“-) Anemldeversuch mit der Fehlermeldung „Der RPC-Server steht nicht zur Verfügung“.

Lösung

Da diese Maschine nicht mehr lange leben wird, hilft der altbekannte RDP-Quick-Fix. Achtung, das löst das eigentlich Problem nicht (das meisten tiefer liegt), aber behebt dieses Symptom zuverlässig.

Einfach einen DWORD-Wert „IgnoreRegUserConfigErrors“ im Schlüssel „HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server“ erstellen, diesem den Wert „1“ verpassen, fertig. Die anmeldung tut es sofort wieder.

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

"IgnoreRegUserConfigErrors"=dword:00000001

Windows Store-Apps gehen nicht auf, Ereignis 5973 im Eventlog

Problem

Auf einem Windows 8/8.1/10 öffnen sich nicht (mehr) alle Windows Store Apps. Zudem wird (in etwa) dieser Fehler im Eventlog („Anwendung“) protokolliert:

Quelle: Microsoft-Windows-Power-Shell  (Oder unter Windows 10: Apps)
Ereignis-ID: 5973
Aufgabenkategorie: (5973)
Ebene: Fehler
Beschreibung
Fehler bei der Aktivierung der app AppID : Diese Anwendung unterstützt den angegebenen Vertrag nicht oder ist nicht installiert.
Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Lösung

Spontanes Herunterfahren kann den Appcache in C:\Users\ < Benutzername > \AppData\Local\Packages beschädigen. Meistens hilft es, ein neues Benutzerkonto zu estellen und alle Daten zu migrieren. Den doofen Appcache kann man (unseres Wissens nach) leider nicht leeren ohne ihn zu zerstören.

  1. Neues Benutzerkonto (1) anlegen
  2. Neues Benutzerkonto (2) anlegen
  3. Windows NEU STARTEN (!) und mit (1) anmelden.
  4. Windows NEU STARTEN (!) und mit (2) anmelden.
  5. Alle Dateien aus dem alten (kaputten) Profilverzeichnis in das neue (1) kopieren (ausser NTUser.*)
  6. Neu starten und mit (1) anmelden und testen.

Meistens klappt dann schon wieder alles. Eventuell fehlen ein paar Einstellungen und Registry-Kram, aber die apps klappen wieder.

Windows Server 2012/2012R2 Windows Internal Database (WID) mit dem SQL Management Studio nutzen

Die Windows Internal Database (WID) ist ein ganz normaler SQL-Server (Express Edition), der sehr verschlossen konfiguriert ist. In der Regel benötigt man auch keinen direkten Zugriff darauf, außer es treten Fehler wie zum Beispiel der WSUS „Serverknoten zurücksetzen“ Effekt auf.

Es auch weiterhin möglich, sich mit dem SQL Management Studio (ab SMSS 2012 aufwärts) oder einer anderen SQL-Konsole der Wahl mit der WID-Instanz zu verbinden. Es gibt keinen TCP/IP listern mehr, daher man muß sich auf die entsprechende WID-Instanz mit dem passenden Memory-Pipe Verbindungsalias (Connection String) verbinden.

Die aktuellen Connectionstrings für WID

  • Windows Server 2008 und höher
    \\.\pipe\mssql$Microsoft##SSEE\sql\query
  • Windows Server 2012 und höher
    \\.\pipe\Microsoft##WID\tsql\query