ugg.li – Nicht immer schön, aber effektiv. Schnelle Hilfe für schnelle Admins.

Bitlocker: „Kann die angegebene Datei nicht finden“

Veröffentlicht am Juli 18, 2018 von weed — Keine Kommentare ↓

Problem

Der Bitlocker-Assistent läuft fehlerfrei durch, legt den Recovery-Key ab bricht im letzten Schritt mit dieser Meldung ab:

Das System kann die angegebene Datei nicht finden

Lösung

Es hat wahrscheinlich bereits einen fehlgeschlagenen Verschlüsselungsversuch mit angelegtem RecoveryAgentKey gegeben. Dieser muss entfernt (oder umbenannt) werden, bevor der Assistent einen neuen erfolgreich ablegen möchte. Die Datei nennt sich ReAgent.xml.

CMD „als Administrator“ starten

C:\> pushd %windir%\system32\recovery
C:\> ren ReAgent.xml ReAgent.old

Danach funktioniert der Assistent sofort wieder wie er soll.

Exchange 2010 Arbeitsspeichernutzung beschränken (store.exe limitieren)

E-Mails an der Kommandezeile ab Exchange 2010 und in der Cloud versenden (auch Linux)

Debian: Es gibt keine öffentlichen Schlüssel für die folgenden Schlüssel-IDs ...

Bitlocker: „Der Bitlocker-Verschlüsselungsschlüssel konnte nicht aus dem TPM abgerufen werden“

Veröffentlicht am Juli 18, 2018 von weed — Keine Kommentare ↓

Problem

Bitlocker lässt sich auf neuen Geräten nicht aktivieren. Nachdem der Einrichtungsassistent den Recovery-Key (scheinbar) erfolgreich abgelegt hat, startet Windows 10 zur Überprüfung neu und meldet:

Der Bitlocker-Verschlüsselungsschlüssel konnte nicht aus dem TPM abgerufen werden

oder auch (noch irritierender):

Der Bitlocker-Verschlüsselungsschlüssel konnte nicht aus der PIN abgerufen werden

Lösung

Sofern die Ausgangsvoraussetzungen (BIOS aktuell, TPM2.0, Windows 10 1803+) gegeben sind, gibt es eine Ursache über die wir recht oft gestolpert sind. die Meldung „… konnte nicht abgerufen werden …“ ist eventuell etwas irreführend.

Die betroffene Maschine wird aller Warscheinlichkeit nach nicht auf einer GPT-Partition gestartet, sondern via BIOS im Legacy-Mode. Das ist praktisch immer bei Notebooks der Fall, die mit Windows 7 in einer windows 10 Upgrade-Version aufgeliefert werden.

Man kann die Bitlocker-Bereitschaft des TPM via Powershell (oder tpm.msc) ablesen:

PS C:\> Get-Tpm | Select-Object tpm* | fl
            TpmPresent : True
            TpmReady : False

Sollte das der Fall sein, hilft entweder die Umstellung im BIOS und eine Windows-Neuinstallation, oder die Umstellung des bestehenden Windows auf GPT-Boot.

Windows 10 ohne Datenverlust auf GPT boot umstellen:

Windows 10 Legacy Mode booten

CMD (als Amin):

C:\WINDOWS> mbr2gpt /Convert /allowfullOS

Reboot > BIOS > Das BIOS auf „UEFI“ (oder „UEFI only“ oder ähnlich) mit CSM umstellen
Windows startet jetzt von der neuen GPT Partition, die Get-TPM zeigt nun TpmReady:true
Bitlocker kann jetzt aktiviert werden

Das klappt auch in der Recovery-Console, also zum Beispiel wenn man das Bios schon auf UEFI umgestellt hat und Windows nicht mehr freiwillig starten will. Ein Windows-Setup vom USB-Stick und der beherzte Eingriff über die Widerherstellungskonsole helfen sofort weiter.

Windows läd nur TEMP-Benutzerprofil

vSphere "Unable to access file since it is locked" (Snapshots konsolidieren nicht)

VMware ESX 6.0 Host UI funktioniert nicht "503 Service Unavailable"

Windows Server 2016 Remotedesktop (RDS) mit RDWeb/Gateway Authentifizierungsfehler 0x607

Veröffentlicht am Juli 11, 2018 von weed — Keine Kommentare ↓

Problem

In einer RDS Farm mit RDS Sessionhosts (RDSH), RDS Gateway und/oder RDS Broker Server(n) tritt „auf einmal“ ein Fehler bei der Verbindung mit einem RDS-Client ab Version auf. Das fällt meistens bei der Anmeldung über das Web-Gateway auf – dort klappt die Authentifizierung, aber die RDP-Sitzung startet nicht. Der Fehler lautet:

„Ein Authentifizierungsfehler ist aufgetreten (Code: 0x607)“

Der Fehler tritt nicht auf, wenn man einen Windows 7 Client (RDP v7.x) verwendet.

Lösung

Schuld ist in der Regel eine Unstimmigkeit bei der Zertifikatsauswahl zwischen Client, Broker und Sitzungshost.

Möglichkeit 1: Sitzungssicherheit für die (in der Regel interne) Verbindung Gateway <-> Sitzungshost auf „niedgrig“ stellen. Dann wird der Fingerprint-Mismatch ignoriert und die Verbindung funktioniert sofort wieder.

Server-Manager > (Links) Remotedesktop-Dienste > Sammlungen/Sammlungsname > Aufgaben/Eigenschaften bearbeiten > Sicherheit > Verschlüsselungsstufe > „niedrig“

Nach einem Klick auf „ok“ klappt das sofort, das Gateway nutzt die Verbindungseinstellungen direkt.

Möglichkeit 2: Die „korrekte“ aber äußerst fummelige Lösung besteht darin, das korrekte RDS-Zertifikat das im RDS-Manager festgelegt wurde auf die RDSH zu verteilen, dort manuell (!) in das Computerkonto zu importieren und den zugehörigen Fingerprint in dem Registry-Schlüssel

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SSLCertificateSHA1Hash"=hex:<fingerprint>

festzulegen. Nach einem Reboot der Hosts funktioniert die Verbindung meistens. Wie das allerdings klappen soll, wenn man auf einer LAN-Seite interne Zertifikate und auf der WAN-Seite externe nutzt konnte uns bishe rnoch niemand erklären …

Windows Server 2012 lässt sich nicht aktivieren ("DNS-Server ist nicht verfügbar")

Windows 10 1709 ADMX Ressourcendatei (ADML) nicht gefunden

In Office 365 mit der Powershell die Benutzerkontaktdaten wie Straße oder Ort Massenhaft ändern

Telegram – Importierte Kontakte löschen

Veröffentlicht am Juli 4, 2018 von julian — Keine Kommentare ↓

Problem

Telegram (in der Android-Version) Importiert standardmäßig erstmal alle Kontakte, die es im System findet. Also Telefonbuch, SIM-Kontakte, usw.
Das mag prinzipiell auch recht hilfreich sein, schließlich möchte man ja i.d.R. über einen Messenger auch tatsächlich kommunizieren.

Hat man aber nun, z.B. aus einem Notfall heraus beispielsweise kurzzeitig die SIM-Karte eines Bekannten im eigenen Handy benutzt, braucht man die Kontakte davon normalerweise nicht in seinem Telegram-Account.

Diejenigen, welche Telegram bereits nutzen kann man auch Problemlos in der App löschen (Kontakte -> Kontakt Löschen)
Über Leute, welche beim Import der Kontakte allerdings noch keinen Telegram-Account hatten und sich später einen zulegen, wird man dann jedes mal freundlich informiert.

Lösung

Möchte man diese allerdings schon im Vorhinein, also bevor man überhaupt dazu benachrichtigt wird, wieder aus seinen Kontakten löschen funktioniert das wie folgt:

Telegram (Android-App) Starten
Über das Menü die Einstellungen der App öffnen
Ganz runter scrollen und die Versionsinfo (z.B. “Telegram für Android v4.8.11 (1318) arm64-v8a”) antippen und gedrückt halten
Nach kurzer zeit erscheint ein Shrug-Emoji (“¯\_(ツ)_/¯”) -> loslassen und das ganze nochmal
Diesmal öffnet sich das Debug-Menü
Hier kann man dann “Importierte Kontakte Zurücksetzen”

Bei unserem Test wurden dadurch keine Kontakte beeinflusst welche sich tatsächlich aktuell im Telefonbuch und Co. befinden bzw. mit denen Chats aktiv sind.

Gruppenrichtlinienvorlagen (ADMX) zentral im ActiveDirectory ablegen

IP-Adressen von allen HP ProCurve Switchen im Netzwerk finden

GFI-Archiver Office 365 - Ausführung der automatischen Erkennung fehlgeschlagen

Das Microsoft Office 365 Newsletter Tool ist nicht so gut in … Newslettern

Veröffentlicht am Juni 25, 2018 von weed — Keine Kommentare ↓

Wenn man an andere Herausforderungen in der IT denkt, ist das hier natürlich ein Luxusproblem. Eingedenk der Tatsache, das dieser SPANnende Titel vom Microsoft Office 365 Team über Office 365 mit dem Office 365 Newsdigest verschickt wurde, darf der IT’ler aber durchaus mal schadenfroh schmunzeln.

Windows Programmfenster nicht mehr auf dem Bildschirm zu sehen

WSUS Assistent für die Serverbereinigung bricht mit Datenbankfehler ab "Serverknoten zurücksetzen"

Veeam Backup & Replication: "RPC error: Zugriff verweigert Code: 5"

0x800710FE – Diese Datei ist momentan nicht für die Verwendung auf diesem Computer verfügbar.

Veröffentlicht am Juni 20, 2018 von weed — Keine Kommentare ↓

Problem

Auf eine Datei oder einen Ordner kann nicht mehr korrekt zugegrifen werden. Oft ist das in Profilen unter Windows 7 bei umgeleiteten Ordner der Fall. Beim Zugriff auf die Datei tauch der Fehler 0x800710FE auf. Der Fehler im Windows Explorer lautet:

Fehler 0x800710FE – Auf <DATEI/ORDNER> kann nicht zugegriffen werden. Diese Datei ist momentan nicht für die Verwendung auf diesem Computer verfügbar.

Lösung

Aller Warscheinlichkeit nach ist der Offline-Cache kaputt oder nicht mehr korrekt. Warscheinlich treten auch seltsame ungereimtheitem im Windows SyncCenter auf, wie „3 Fehler“, die aber nicht angezeigt werden.

Es hilft in der Regel, den Cache zurückzusetzen. Wir haben diesen Fehler sehr oft bei servergespeicherten Profilen gesehen, die über 15gb groß sind. Hier ist vielleicht auch einmal aufräumen angesagt. Der CSC (Client-Side Caching) Mechanismus wurde geschrieben, als 40Gb Platten noch normal waren. Da erschienen 10% noch als viel …

In der Registry (als Administrator) eintragen (oder Fix direkt hier herunterladen)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSC\Parameters]
"FormatDatabase"=dword:00000001

Reboot, ein paar Minuten warten, fertig

Fehler: KB2481109 installation schlägt fehl

Adobe Reader (MSI, Installer) direct Download URLs

Niemand mag den Oracle Client

Windows RRAS VPN L2TP/IPSec-Server und clients, jeweils hinter NAT

Veröffentlicht am Juni 18, 2018 von weed — Keine Kommentare ↓

Problem

Man hat einen Windows Server 2012/2016 Routing und RAS (RRAS) Server als VPN-Einwahlpunkt installiert. Dann hat man das L2TP/IPsec aktiviert, den Server mit einem PSK (Preshared Key) versehen und die notwendigen Port-Forwardings in der Firewall konfiguriert. Bei einem internen Test klappt das auch super – bis man endlich wieder zuhause ist und sich durch sein eigenes NAT einwählen möchte. Dann sagt Windows 10 plötzlich nur noch:

Die Netzwerkverbindung zwischen ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet. Das Verbindungsproblem wird möglicherweise verursacht, weil eines der Netzwerkgeräte (zum Beispiel Firewalls, NAT, Router, usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist. Wendenn Sie sich an den Administrator oder den Dienstanbieter , um zu ermitteln, welches Gerät das Problem verursacht.

Lösung

Das Problem ist wahrscheinlich nicht ein „Netzwerkgerät“ zwischen dem Computer und dem VPN (Internet), sondern eine Voreinstellung von Windows 10 die einseitiges und doppeltes NAT-T verhindert.

Fix: Windows L2TP NAT Registry-Patch (herunterladen) »

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Auf Server und Client eintragen/ausführen + Reboot (!), fertig.

Die lange Erklärung

Sind beide Parteien (VPN/RRAS-Server und Client) jeweils hinter einem NAT versteckt (Stichwort NAT-T-Umgebung, also mit Traversal) muss man einen Registrierungswert auf dem VPN-Client-Computer und dem VPN-Server ändern.

Regedit als Administrator ausführen
Den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent öffnen
Den DWORD-Wert (32bit) „AssumeUDPEncapsulationContextOnSendRule“ einfügen und auf „2“ stellen

Diese Werte sind möglich

- 0 – (null) lässt keine Sicherheitszuordnungen hinter NAT (NAT-T) zu. Dies ist der Standardwert.
- 1 – lässt Sicherheitsassoziationen mit Servern zu, die sich hinter NAT-Geräten befinden (einseitiges NAT, Server).
- 2 – lässt Sicherheitsassoziationen mit Servern zu, wenn sich Server und Client hinter NAT befinden (zweisitiges NAT-Traversal).

Unserer Meinung nach könnte Microsoft hier einen etwas sinnvolleren Standardwert vorgeben … zum Beispiel „2“. Windows ist übrigens das einzige „Massenbetriessystem“ das standardmäßig kein IPsec über NAT-T unterstützt.

ActiveDirectory Rechte-Vererbung via Powershell einschalten

Microsoft Edge Startseite mit Gruppenrichlinien (GPO) festlegen

Ein neues VLAN über den vCenter-Server zu einem oder allen ESXi-Hosts im Cluster hinzufügen