ugg.li Schnelle Hilfe für schnelle Admins – Nicht immer schön, aber effektiv. Schnelle Hilfe für schnelle Admins.

PIN zurücksetzen Fehler“CAA2000B“ auf AzureAD „registered“ Geräten nach Office 365 Installation

Veröffentlicht am Januar 30, 2023 von weed — Keine Kommentare ↓

Man registriert sein Windows-Gerät, auch den Home-PC, automatisch ins Microsot 365 AzureAD eines Unternehmens, indem man nach einer Office 365 Installation den Haken bei „Verwaltung meines Gerätes durch meine Organisation zulassen“ nicht entfernt. Alternativ kann man auch links unten auf den „unsichtbaren“ Button „Nein, nur bei dieser App anmelden“ klicken.

Wenn man sein Gerät registiert hat taucht es auch nach wenigen Cloudmomenten im AzureAD Device Manager auf:

Und bekommt von dort einige Richtlinien. Vor allem die Sicherheitsrichtlinien greifen dann auf dem Gerät – machmal ist das bei „Privat-PCs“ etwas überraschend.

Fehler CAA2000B (AADSTS500014)

Standardmäßig tritt beim zurücksetzen der Windows-Hello PIN auf dem PC nach dem Azure AD Registrierungsvorgang dieser Fehler auf:

Es ist ein Problem aufgetreten

wir konnten sie nicht anmelden. Falls dieser Fehler weiterhin besteht, wenden Sie sich an den Systemadministrator, und geben Sie den Fehlercode an: CAA2000B.

Das liegt daran, das der Administrator die „App“ die die Zugangs-PIN ändern will erst zu „seinem“ Azure AD hinzufügen und bestötigen muss.

Lösung

1. Die PIN-Reset Web-App „Service“ aufrufen und als Globaler Administrator anmelden. Am einfachten mit GENAU diesem Link:

https://login.windows.net/common/oauth2/authorize?response_type=code&client_id=b8456c59-1230-44c7-a4a2-99b085333e84&resource=https%3A%2F%2Fgraph.windows.net&redirect_uri=https%3A%2F%2Fcred.microsoft.com&state=e9191523-6c2f-4f1d-a4f9-c36f26f89df0&prompt=admin_consent

2. Die PIN-Reset Web-App „Client“ aufrufen und als Globaler Administrator anmelden. Am einfachten mit GENAU diesem Link:

https://login.windows.net/common/oauth2/authorize?response_type=code&client_id=9115dd05-fad5-4f9c-acc7-305d08b1b04e&resource=https%3A%2F%2Fcred.microsoft.com%2F&redirect_uri=ms-appx-web%3A%2F%2FMicrosoft.AAD.BrokerPlugin%2F9115dd05-fad5-4f9c-acc7-305d08b1b04e&state=6765f8c5-f4a7-4029-b667-46a6776ad611&prompt=admin_consent

2. Im folgenden Assistenten in BEIDEN Fällen die App „Microsoft Pin Reset Service Production“ (Client und Service) bestätigen:

„Microsoft PIN Reste Service Production“ für Windows Hello erlauben

Ob das geklappt hat kann man danach sofort im Microsoft Entra Admin Center überprüfen:

Ins AzureAD einloggen via https://entra.microsoft.com/
Azure Active Directory > Anwendungen > Unternehmensanwendungen > Alle Anwendungen > „PIN“ suchen

Es sollten dort nun zwei Apps auftauchen:

Und schon (nach dem nächsten Neustart mit Internet) funktioniert das PIN-Ändern wieder wie vorher.

Wenn der Vorgang trotzdem noch fehlschlägt, hilft oft ein Blick in das Cloud App Security Dashboard für Anwendungen; möglicherweise hat hier anderer Admin das OAUTH dieser Apps vielleicht blockiert …

Veeam Job Fail [Error Unhandled exception was thrown during licensing process]

Veröffentlicht am Januar 28, 2023 von weed — Keine Kommentare ↓

Jeden Tag laufen eine Menge Backup-Jobs. Einer nicht – oder besser, einige Maschinen darin nicht. Der Fehler im Veeam Backup & Replication Protokoll lautet:

[Error Unhandled exception was thrown during licensing process]

Die Lizenzierung wurde natürlich geprüft und alle Hosts und vCenter waren mit korrkten Lizenen ausgestatte. Es wurden auch keine Instanzen separat lizenziert oder ähnliches.

Lösung

Es stellte sich heraus, dass selbiges kein Lizenzproblem ist. Der genutzte vCenter-Server war einfach nicht erreichbar (502 nach Neustart). Der selbe Fehler tritt auch auf, wenn man das Passwort des Benutzers, der für die Verbindung mit VMware vCenter verwendet wird, ändert.

Als der vCenter wieder da war (respektive das Kennwort angepasst), läuft auch alles wieder einwandfrei.

„We are not allowed to believe that, sorry“

Veröffentlicht am Januar 27, 2023 von weed — Keine Kommentare ↓

Ein Support-Fall mit dem größten Software-Anbieter der Welt. Es gibt ein (offensichtliches) Cloud-Problem seitens des Anbieters (ebenfalls offensichtlich). Der Fehler ist vom Anbieter als solcher dokumentiert und nur via Case lösbar. Okay.

Der (überaus freundliche!) Support-Dude sagt, nachdem ich zum dritten mal Step-by-Step angeleitet werde auf etwas zu klicken: „Hey, you already did that!“. Die Anwort fällt zugegeben etwas passiv-agressiv aus, aber nach mehreren Monaten Support-Ping-Pong mit der immer gleichen (nicht funktionierenden) Anleitung: „Yes, like I told you three times in this call, wrote in multiple emails and sent screenshots last week -just like you requested“.

Er sagt: „We are not allowed to believe customers, sorry“.

Veeam „Active snapshots limit reached for datastore“ bei Pending VMs

Veröffentlicht am Januar 25, 2023 von weed — Keine Kommentare ↓

Letzten hatten wir einen „Fehler“ bei einem Sicherungsjob, der mehrere brandneue Proxy- und Repository-Server verwendete. Kein anderer Job verwendete die neuen Komponenten.

Trotzdem verarbeitete Veeam nur 4 VMs gleichzeitig; alle anderen hatten den Status „Pending“. Aber die Meldung war ergänzt um diese hilfreiche Aussage:

Resource not ready: Active snapshots limit reached for datastore

Nach kurzer Untersuchung fanden wir heraus, dass sich alle VMs auf einem VVOL befanden. Ein VVOL wird scheinbar wie ein einziges VMFS behandelt und das per-datastore Limit angewendet.

Lösung

Glücklicherweise gibt es eine einfache Lösung für diese Einschränkung. Man kann einen Registrierungsschlüssel auf dem VBR-Server (VBR, nicht Proxy!) erstellen, um das Limit aktiver Snapshots pro Datenspeicher zu erhöhen:

HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\Veeam Backup and Replication

MaxSnapshotsPerDatastore   REG_DWORD   <Anzahl (dezimal)>

Adobe Acrobat Reader „Continous Relwase“ 2022.003.+ Werkzeugleiste dauerhaft ausblenden via Registry oder GPO

Veröffentlicht am Januar 24, 2023 von weed — Keine Kommentare ↓

Der Reader bringt seit einer Weile eine „Werkzeugleiste“ mit. Diese nervige, unnötige und mit unprofessioneller Werbung gespickte „Seitenliste“ oder auch „Toolbar“ ist in den meisten Fällen unnötig und stört den Anzeigebereich ganz erheblich.

Man kann die Toolbar zwar mit ALT+F4 immer wieder schließen, aber das merkt sich der Reader natürlich nicht.

Man kann aber einen Haken setzen, unter: Bearbeiten > Einstellungen > Dokumente > „Aktuellen Status des Werkzeugfensters speichern“. Das funktioniert ganz gut, aber der schnelle Admin will das natürlich in einer Gruppenrichtlinie (GPO).

Lösung

Eine „fertige“ GPO als ADMX gibt es natürlich nicht (auch für Enterprise-Kunden nicht), denn sinnvolles liefert Adobe nur höchstselten. Es gibt unter admx.help aber eine brauchbare Drittlösung und vor allem eine dokumentierte Liste.

In der GPO legt man zum ausblenden diesen Registrierungsschlüssel an:

HKEY_CURRENT_USER\SOFTWARE\Adobe\Adobe Acrobat\DC\AVGeneral\ 

Name:   aDefaultRHPViewMode_L 
Typ:    REG_SZ 
Inhalt: Collapsed

Fehler CAA2000B (AADSTS500014)

Lösung

Lösung

Lösung

Lösung

❤️