Microsoft – ugg.li Schnelle Hilfe für schnelle Admins

Windows VPN Fehler „Ein interner Authentifizierungsfehler ist aufgetreten“

Veröffentlicht am Juli 23, 2024 von weed — Keine Kommentare ↓

Heute habe ich (viel zu lange) an einem interessanten Fehler herumgesucht.

Eine benutzende Person konnte sich nach einem (korrekten) Kennwortwechsel nicht mehr per VPN einwählen. Die Domänen-Anmeldung funktioniert aber, PC-Zugriff kein Problem, Dateiserver, Microsoft 365, ERP … alles mit dem neuen Kennwort kein Problem. Einzig die VPN-Einwahl funktioniert nicht mehr:

Im Ereignisprotokoll des Clients (der Server protokolliert gar nichts – auch im IASLog nicht) tauch diese Meldung „645“ von RasClient (Ereignis-ID: 20227) auf:

CoID={EE17AD36-00AF-4D2E-B293-A43EFD0E0DBA}: Der Benutzer "<NAME>" hat eine Verbindung mit dem Namen "<VERBINDUNG>" gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 645.

Lösung

Das neue Kennwort enthielt ein ganz bestimmtes Sonderzeichen: € (Euro-Zeichen)

Windows NT4 ist schuld. Das konnte noch kein € (Euro-Zeichen). Ersetzt man das Zeichen geht’s sofort.

Details

In diesem VPN wird SSTP genutzt, also PPTP-over-TLS. Schnell, einfach, sicher, flexibel und sehr gut zu verwalten. Das bedeutet aber, dass die Authentifizierung CHAP (MSCHAPv2) nach RFC2759 nutzt. Und da gibt es schlichtweg nur ASCII im „Password“ Feld. Etwas anderes gab es 1999 unter NT4 noch nicht so richtig 🤪

Der Windows Client, NICHT der Server, prüft also die Kompatibilität mit der RFC und bricht bei der Nutzung von High-Characters sofort ab. Daher auch der interne Authentifizierungsfehler am Client.

Excel/Word „Die Datei kann nicht geöffnet werden, da der Dateipfad größer als 259 Zeichen. Kürzen Sie den Pfad oder den Dateinamen“

Veröffentlicht am Juli 10, 2024 von weed — 2 Kommentare ↓

Es kommt vor, dass Benutzer beim Öffnen von Dateien aus tief verschachtelten Ordnern (oder sehr langen Pfadnamen) diese Fehlermeldung von Office-Apps wie Excel, Word oder PowerPoint erhalten:

Die Datei kann nicht geöffnet werden, da der Dateipfad größer als 259 Zeichen. Kürzen Sie den Pfad oder den Dateinamen

Abgesehen von dem grammatikalischen Fehler, dass im ersten Satz das abschließende Verb fehlt (vermutlich „ist“), stimmt diese Meldung.

Lösung

Es gibt keine Lösung, aber einen Workaround.

Microsoft Office-Apps, allen voran Excel, unterstützen keine Pfade mit mehr als 259 Zeichen. Das hat mit der heiligen Abwärtskompatibilität zu tun, denn es könnte ja sein das noch ein Unternehmen auf VB-Macros aus den 90ern baut. Und mit „ein“ sind hier „100% der Fortune 500“ gemeint 😉

Windows local and UNC files: 260 characters
OneDrive / SharePoint files synced to the local drive: 260 characters
Online OneDrive / Online SharePoint files (opened directly in the WebApp) 400 characters

Der Workaround ist einfach: Die Excel-Web-App nutzen und die Datei direkt auf dem Sharepoint (Online) bearbeiten,

Microsoft 365 Exchange online Mailbox neu mit einem lokalen Benutzer verbinden

Veröffentlicht am Juni 20, 2024 von weed — Keine Kommentare ↓

Es kommt in Hybrid-Szenarien schon mal vor, dass ein Admin einen synchronisierten AD-Benutzer nachträglich innerhalb von Microsoft 365 mit einem Postfach versieht. Das ist nicht „supported“, das Postfach taucht nicht im Exchange ECP auf und es drohen fiese Konflikte, wenn Attribute synchronisiert werden. Außerdem kann es auf einmal doppelte Mailadressen geben, weil beide Exchange-Server auf unterschiedliche Adresslisten zugreifen.

Da sollen/müssen die Benutzer wieder auftauchen.

Lösung

Eine „offizielle“ Lösung gibt es nicht so richtig. Exchange Online verwaltet Postfächer etwas anders als der „on Premises“ Exchange, man kann daher Postfächer eigentlich nicht auf die Schnelle ab- und wieder anhängen. Vor allem nicht mit verbundenen Benutzern (Outlook oder Applegeräte).

Es gibt aber einen (bisher) ganz brauchbar funktionierenden Trick.

Wenn eine Mailbox in EXO angelegt wurde
UND diese On-Premises im ECP [noch] nicht existiert (Postfachtyp „Office 365“)
DANN kann man die Mailbox „noch einmal“ On-Premises als Remote-Mailbox enablen. ACHTUNG: Dabei werden die im Exchange Online erstellten Attribute (SMTP-Adressen, Kontaktinformationen, Berechtigungen …) bei der nächsten Synchronisation überschrieben.

Schritt für Schritt geht das so

Exchange GUID der Mailbox aus Exchange Online holen:
Get-Mailbox <NAME> | fl ExchangeGuid
Primäre E-Mail-Adresse der Mailbox auslesen (wenn nötig):
Get-Recipient <NAME>| fl PrimarySmtpAddres
Alle weiteren E-Mail-Adressen der Mailbox auslesen (wenn nötig):
Get-Recipient <NAME> -ResultSize Unlimited | fl @{Name="EmailAddresses";Expression={($_.EmailAddresses | Where-Object {$_ -clike "smtp*"} | ForEach-Object {$_ -replace "smtp:",""}) -join ", "}}
Mailbox On-Premises „neu“ in Exchange Online enabeln
Connect-ExchangeOnline Enable-RemoteMailbox <NAME> -RemoteRoutingAddress @domain.mail.onmicrosoft.com
Set-RemoteMailbox <NAME> -ExchangeGuid <GUID AUS SCHRITT1>
Im ECP (On-Premises) die E-Mail Adressen aus Schritt 2 und 3 der Mailbox wieder hinzufügen und einen „Entra ID Connect“ Sync („initial“) starten.

Wenn das erledigt ist, kann es eine Weile dauern, bis das Online-Adressbuch das Postfach wieder korrekt anzeigt. In meinem letzten Fall hier etwas weniger als 24 Stunden.

Windows Server 2019/2022 RRAS (VPN) Fehler „8007042a“

Veröffentlicht am Juni 13, 2024 von weed — Keine Kommentare ↓

Microsoft hat mit einem der Updates aus 2023 eine mehr oder weniger folgenschwere Änderung eingeführt. Auf die Änderung an der Protokollierungsschnittstelle geht dieser Artikel nicht ein – aber auf die Folge.

Nach einem Reboot eines RRAS Servers funktioniert die VPN-Einwahl plötzlich nicht mehr. Auf dem Server ist der „Routing und RAS“ Dienst seltsamerweise nicht mehr gestartet und lässt sich auch nicht mehr starten. Das Ereignisprotokoll sowie die Fehlermeldung beim manuell Start zeigen den Fehler 8007042a an.

Lösung

Es liegt an der Startreihenfolge. Zuerst muss der RRAS-Dienst gestartet sein, dann darf der NPS (Netzwerkrichtlinienserver) folgen.

Quick-Fix: Beide Dienste beenden, Routing und RAS starten, dann NPS:

sc stop rasman
sc stop IAS
sc start rasman
timeout /t 3
sc start IAS

Eine dauerhafte Lösung, die auch beim nächsten Reboot funktioniert, ist die Abhängigkeit des NPS vom RRAS hinzuzufügen:

sc config IAS depend= RpcSS/RemoteAccess

Dann klappt’s auch mit dem nächsten Neustart.

Vielleicht hätte Nadella bei Microsoft die QS-Abteilung für Updates doch nicht komplett hinauswerfen sollen …

Windows Notepad (Editor) zeigt Text plötzlich rechts an (Lesererichtung Rechts-nach-Links (RTL))

Veröffentlicht am Mai 21, 2024 von weed — Keine Kommentare ↓

Wenn notepad.exe plötzlich „Allen Text rechts anzeigt“ ist etwas schiefgelaufen. Ich hatte grade so einen Fall und musste erst schmunzeln, weil das lustig aussah und dann etwas länger suchen, bis die Lösung dafür gefunden war.

Lösung: Tastenkombination zum Umschalten

Die Lösung sind die STRG+Umschalt Tastenkombinationen zur Umschaltung der RTL/LTR Leserichtung:

[Strg] + [Umschalt rechts] Leserichtung von „rechts nach links“
[Strg] + [Umschalt links] Standard (DE): Leserichtung von „links nach rechts“

Man kann unterschiedliche Tabs sogar in unterschiedlichen Richtungen benutzt. Die Umschaltung ist on-the-fly.