PIN zurücksetzen Fehler“CAA2000B“ auf AzureAD „registered“ Geräten nach Office 365 Installation

Man registriert sein Windows-Gerät, auch den Home-PC, automatisch ins Microsot 365 AzureAD eines Unternehmens, indem man nach einer Office 365 Installation den Haken bei „Verwaltung meines Gerätes durch meine Organisation zulassen“ nicht entfernt. Alternativ kann man auch links unten auf den „unsichtbaren“ Button „Nein, nur bei dieser App anmelden“ klicken.

Wenn man sein Gerät registiert hat taucht es auch nach wenigen Cloudmomenten im AzureAD Device Manager auf:

Und bekommt von dort einige Richtlinien. Vor allem die Sicherheitsrichtlinien greifen dann auf dem Gerät – machmal ist das bei „Privat-PCs“ etwas überraschend.

Fehler CAA2000B (AADSTS500014)

Standardmäßig tritt beim zurücksetzen der Windows-Hello PIN auf dem PC nach dem Azure AD Registrierungsvorgang dieser Fehler auf:

Es ist ein Problem aufgetreten

wir konnten sie nicht anmelden. Falls dieser Fehler weiterhin besteht, wenden Sie sich an den Systemadministrator, und geben Sie den Fehlercode an: CAA2000B.

Das liegt daran, das der Administrator die „App“ die die Zugangs-PIN ändern will erst zu „seinem“ Azure AD hinzufügen und bestötigen muss.

Lösung

1. Die PIN-Reset Web-App „Service“ aufrufen und als Globaler Administrator anmelden. Am einfachten mit GENAU diesem Link:

https://login.windows.net/common/oauth2/authorize?response_type=code&client_id=b8456c59-1230-44c7-a4a2-99b085333e84&resource=https%3A%2F%2Fgraph.windows.net&redirect_uri=https%3A%2F%2Fcred.microsoft.com&state=e9191523-6c2f-4f1d-a4f9-c36f26f89df0&prompt=admin_consent

2. Die PIN-Reset Web-App „Client“ aufrufen und als Globaler Administrator anmelden. Am einfachten mit GENAU diesem Link:

https://login.windows.net/common/oauth2/authorize?response_type=code&client_id=9115dd05-fad5-4f9c-acc7-305d08b1b04e&resource=https%3A%2F%2Fcred.microsoft.com%2F&redirect_uri=ms-appx-web%3A%2F%2FMicrosoft.AAD.BrokerPlugin%2F9115dd05-fad5-4f9c-acc7-305d08b1b04e&state=6765f8c5-f4a7-4029-b667-46a6776ad611&prompt=admin_consent

2. Im folgenden Assistenten in BEIDEN Fällen die App „Microsoft Pin Reset Service Production“ (Client und Service) bestätigen:

„Microsoft PIN Reste Service Production“ für Windows Hello erlauben

Ob das geklappt hat kann man danach sofort im Microsoft Entra Admin Center überprüfen:

  1. Ins AzureAD einloggen via https://entra.microsoft.com/
  2. Azure Active Directory > Anwendungen > Unternehmensanwendungen > Alle Anwendungen > „PIN“ suchen

Es sollten dort nun zwei Apps auftauchen:

Und schon (nach dem nächsten Neustart mit Internet) funktioniert das PIN-Ändern wieder wie vorher.

Wenn der Vorgang trotzdem noch fehlschlägt, hilft oft ein Blick in das Cloud App Security Dashboard für Anwendungen; möglicherweise hat hier anderer Admin das OAUTH dieser Apps vielleicht blockiert …

Adobe Acrobat Reader „Continous Relwase“ 2022.003.+ Werkzeugleiste dauerhaft ausblenden via Registry oder GPO

Supernervige Werkzeugleiste

Der Reader bringt seit einer Weile eine „Werkzeugleiste“ mit. Diese nervige, unnötige und mit unprofessioneller Werbung gespickte „Seitenliste“ oder auch „Toolbar“ ist in den meisten Fällen unnötig und stört den Anzeigebereich ganz erheblich.

Man kann die Toolbar zwar mit ALT+F4 immer wieder schließen, aber das merkt sich der Reader natürlich nicht.

Man kann aber einen Haken setzen, unter: Bearbeiten > Einstellungen > Dokumente > „Aktuellen Status des Werkzeugfensters speichern“. Das funktioniert ganz gut, aber der schnelle Admin will das natürlich in einer Gruppenrichtlinie (GPO).

Lösung

Eine „fertige“ GPO als ADMX gibt es natürlich nicht (auch für Enterprise-Kunden nicht), denn sinnvolles liefert Adobe nur höchstselten. Es gibt unter admx.help aber eine brauchbare Drittlösung und vor allem eine dokumentierte Liste.

In der GPO legt man zum ausblenden diesen Registrierungsschlüssel an:

HKEY_CURRENT_USER\SOFTWARE\Adobe\Adobe Acrobat\DC\AVGeneral\ 

Name:   aDefaultRHPViewMode_L 
Typ:    REG_SZ 
Inhalt: Collapsed 

IIS Anwendung und .NET Anwendungskonfiguration entfernen (Windows Server 2016/2019/2022)

Neue Anwendungen im IIS sind bekanntlich schnell erstellt, über den Punkt „In Anwendung konvertieren“:

Leider gibt es bis heute keine Möglichkeit, eine Anwendung („App“) wieder zu entfernen. Das ist einem, beispielsweise, beim Wechsel von .NET zu PHP schon mal im Wege und man möchte IIS Anwendungen einfach wieder löschen.

Lösung

Am schnellsten geht das an der Kommandozeile, PowerShell oder CMD:

pushd %SystemRoot%\system32\inetsrv
.\appcmd list app
.\appcmd delete <APPNAME>

Windows Server 2022 Boot-Menü („F8“) für den abgesicherten Modus einschalten

Microsoft hat der Windows Server Familie mit 2019 die Anzeige des Boot-Menüs für den „Abgesicherten Modus“ und so weiter abgewöhnt. Vermutlich um die Systemsicherheit zu erhöhen, denn jetzt kann man nicht „so einfach“ den guten alten „utilman.exe“ Trick anwenden.

Bootmenü einschalten

Der Windows-Server muss von einem Installationsmedium booten und das Systemlaufwerk natürlich auch erkennen. Mit diskpart und „list disk“ kann man das prüfen.

Nun muss man das Bootmenü nur noch aktivieren und die Sicherheitsrichtlinie auf „klassisch“ umstellen:

bcdedit /set {bootmgr} displaybootmenu yes
bcdedit /set {bootmgr} timeout 10
bcdedit /set {default} bootmenupolicy legacy

Windows 11 22H2 Update bleibt bei 96% stehen

Windows 11 hat bekanntermaßen mit großen Updates so seine Schwierigkeiten. Die Cummulativen Patches scheinen eher gut zu funktionieren, aber besonders „Upgrades“ wie 22H2 hängen scheinbar überdurchschnittlfch oft fest.

Die Ursache dafür kennen wir auch (noch) nicht.

  • Windows 11 Update 22H2 bleibt bei „96% Herunterladen“ stehen
  • Nach einem Neustart steht windows Update wieder bei „Herunterladen und installieren“
  • BITS zeigt keine aktiven Übertragungen an
  • Es gibt keinerlei Systemlast oder anzeichen für eine laufende Prüfung oder Installation

Wir beobachten aber häufiger, das das Update bei verschiedenen Ständen beim „Herunterladen“ in der Einstellungen > Windows Update App stehen bleinbt. Auch Neustarts oder das zurücksetzen des Download-Caches scheinen hier nicht zu helfen, es geht wider nur bis zu dem betroffenen „Stand“. Neustart helfen nicht, weder Dienste noch der ganze PC.

Immer wieder an der selben Stelle stehen geblieben?

Kurzum, wir haben dafür auch keine „richtige“ Lösung 🙂 aber einen Workaround, der bisher immer funktioniert hat (es sei denn es war etwas kaputt).

Lösung

  1. Die Dienste „Windows-Update“ und „Übermittlungsoptimierung“ beenden
    1. net stop wuauserv
    2. net stop DoSvc
  2. Den Windows-Update Download Cache komplett leeren (%windir%\SoftwareDistribution\download)
  3. Windows-Update Dienste und die Übermittlungsoptimierung wieder starten
    1. net start wuauserv
    2. net start DoSvc
  4. Die „PC-Integritätsprüfung“ herunterladen, installieren, starten und wieder beenden (ja, genau so …)
  5. Windows 11 Installation Assistant herunterladen, aufrufen und das Update damit sauber installieren

Und schon hat man nach wenigen Installations-Momenten ein Windows 11 22H2 auf der Maschine.