Windows RRAS VPN L2TP/IPSec-Server und clients, jeweils hinter NAT

Problem

Man hat einen Windows Server 2012/2016 Routing und RAS (RRAS) Server als VPN-Einwahlpunkt installiert. Dann hat man das IPSec/L2TP aktiviert, den Serverv mit einem PSK (Preshard Key) versehen und die notwendigen Port-Forwardings in der Firewall konfiguriert. Bei einem internen Test klappt das auch super – bis man endlich wieder zuhause ist und sich duch sein eigenes NAT einwählen möchte. Dann sagt Windows 10 plötzlich nur noch:

Die Netzwerkverbindung zwischen ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet. Das Verbindungsproblem wird möglicherweise verursacht, weil eines der Netzwerkgeräte (zum Beispiel Firewalls, NAT, Router, usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist. Wendenn Sie sich an den Administrator oder den Dienstanbieter , um zu ermitteln, welches Gerät das Problem verursacht.

Lösung

Das Problem ist waerscheinlich nicht ein „Netzwerkgerät“ zwischen dem Computer und dem VPN (Internet), sondern eine Voreinstellung von Windows 10 die einseitegs und doppeltes NAT-T verhindert.

Fix: Windows L2TP NAT Registry-Patch (herunterladen) »

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Auf Server und Client eintragen/ausführen + Reboot (!), fertig.

Die lange Erklärung

Sind beide Parteien (VPN/RRAS-Server und Client) jeweils hinter einem NAT versteckt (Stichwort NAT-T-Umgebung, also mit Traversal) muss man einen Registrierungswert auf dem VPN-Client-Computer und dem VPN-Server ändern.

  1. Regedit als Administrator ausführen
  2. Den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent öffnen
  3. Den DWORD-Wert (32bit) „AssumeUDPEncapsulationContextOnSendRule“ einfügen und auf „2“ stellen

Diese Werte sind möglich

    • 0 – (null) lässt keine Sicherheitszuordnungen hinter NAT (NAT-T) zu. Dies ist der Standardwert.
    • 1 – lässt Sicherheitsassoziationen mit Servern zu, die sich hinter NAT-Geräten befinden (einseitiges NAT, Server).
    • 2 – lässt Sicherheitsassoziationen mit Servern zu, wenn sich Server und Client hinter NAT befinden (zweisitiges NAT-Traversal).

Unserer Meinung nach könnte Microsoft hier einen etwas sinnvolleren Standartwert vorgeben … zum Beispiel „2“. Windows ist übrigens das einzige „Massenbetriessystem“ das standartmäßig kein IPSec über NAT-T unterstützt.

GFI-Archiver Office 365 – Ausführung der automatischen Erkennung fehlgeschlagen

Problem

Man möchte mit dem GFI Archiver den Office 365 Mailverkehr des Unternehmens archivieren, hat dazu die GFI Anleitung befolgt und ist bei Schritt 5 (dieser hier, je nach dem an welcher stelle man ist gibt es scheinbar unterschiedliche 5. Schritte) angekommen.

Man konfiguriert also brav die Verbindung über EWS mit den passenden Zugangsdaten und dem Ordner-Standardwert. Nach dem Klick auf weiter, begrüßt einen die folgende Fehlermeldung:

Fehlgeschlagen während: Verbindung wird getestet
Details: Verbindungsprüfung konnte nicht durchgeführt werden. Details: Ausführung der automatischen Erkennung fehlgeschlagen 

Lösung

Die fehlermeldung ist geringfügig irreführend, denn die Automatische Erkennung hat man ja gar nicht konfiguriert.

Für die EWS-Verbindung ist allerdings der Ordner Entscheidend. Sofern das Postfach für die Sprache „Deutsch“ konfiguriert wurde (z.B. beim ersten Aufruf des OWA) lautet der korrekte Ordnername allerdings Posteingang und nicht mehr Inbox nachdem man diesen also korrigiert hat, funktioniert die Einrichtung wie erhofft.

ADXM-Templates für Windows 10 Update 1803 (Was gibt’s neues?)

Nur wenige Tage nach dem Windows 10 Update 1803 (17134 von April 2018)  hat Microsoft nun auch die neueste Version der Windows 10 die Administrative Templates als .admx bereitgestellt.

Download 1803 ADMX: https://www.microsoft.com/de-DE/download/details.aspx?id=56880

Das neue Paket bringt ein paar gute Nachrichten mit

  • Die zahlreichen CSE-Fehler (fehlende und fehlerhafte Übersetzungen) sind behoben
    • Endlich auch beim Import in den Central Store. Nach nur zwei Jahren!
  • Die Biometrie-Anmeldungsoptionen sind nun vollständig in eine,m Zweig enthalten. Natürlich ist die PIN-Konfiguration weiterhin woanders …
  • Der Windows Defender kann nun eine Richtlinie über das Grafikrendering bekommen (Software oder Hardware)
  • Man kann Benutzer verbieten das Kontextmenü innerhalb des Startmenüs zu nutzen. Außerdem kann man endlich die „Zuletzt hinzugefügt“ Liste abschalten.
  • Man kann die direkte Verbindung („Link“) von (Windows-) Phones zum Desktop verbieten (Die SMS-App funktioniert dann nicht mehr, speichert aber auch keine alten Nachrichten mehr)
  • Man kann Microsoft Edge ENDLICH verbieten, den „Start“ Tab mit der MSN-Werbung zu laden.
    • Auf demselbenm Weg ist nun auch möglich, den „Willkommen“ Tab zu entfernen.
  • Endlich gibt es Pro-Prozess Einstellungen für die DPI-Vorgaben in der Kompatibilitätsansicht *yay*. Kein Desktop-Geklicke mehr!
  • Jede Menge neuer Kleinkram, vieles mit und vor allem auch ohne Cortana

Wir stellen Fest: Ein mehr als sinnvolles Update. Man kann Windows 10 jetzt schon beinahe vernünftig in Unternehmen einsetzen; ein paar Kleinigkeiten (CESP abschalten, Keine WErbung auf dem Startbildschirm ….) fehlen noch, aber das ist ein guter Schritt in die richtige Richtung.

„you may need to re-run your boot loader[grub]“

Wie macht man denn einen grub „re-run“? Ganz einfach:

sudo update-grub

Eigentlich ist das aber vermutlich nicht notwendig. Wenn apt neue Kernel-Version installiert, verschiebt es /vmlinuz und initrd.img nach /vmlinuz.old und /initrd.img.old. Dieser Link zeigt bis zum reboot dann immernoch auf den aktuellen Kernel (!). Der neue wird mit dem „richtigen“ Namen (ohne .old) nach /vmlinuz und initrd.img gelinkt.

Im Idealfall kann man also einfach den neuen Kernel booten und den/die alten dann mit apt-get autoremove entfernen.

„Die Klassenkonfiguration für dieses Gerät wird von Windows noch eingerichtet. (Code 56)“ seit Windows 10 Update 1709

Problem

Seit dem Update auf Windows 10 1709 werfen WLAN, Bluetooth und Netzwerkadapter im Gerätemanager „Die Klassenkonfiguration für dieses Gerät wird von Windows noch eingerichtet. (Code 56)“ aus.
Der geladene Treiber kann nicht aktualisiert werden da die Meldung „Windows hat festgestellt, das der beste Treiber für dieses Gerät bereits installiert ist“ erscheint.

Mögliche Lösung

Deinstallation von Software Adaptern wie „Check Point Virtual Network Adapter for Endpoint VPN Client“ oder „VMWare Network Adapter“ über den Gerätemanager.
Direkt nach der Deinstallation gehen die übrigen Netzwerkadapter in den Gerätestatus „Das Gerät funktioniert einwandfrei.“ Anschließend können die Software Adapter wieder installiert werden.

 

Firefox 56+ „Quantum“ runde Ecken bei den Tabs zurückbringen

Firefox ab Version 56 und 57+ hat in der neuen Benutzeroberfläche „Quantum“ keine runden Ecken mehr bei den Tabs, sondern nur noch diese abgehackten Ecken. Außerdem gibt es plötzliche eine seltsame zusätzliche Linie über dem aktiven Tab (die sinnlos 2px Bildschirmplatz in der Höhe belegt).

Natürlich ist das Geschmackssache, aber wir Admins mögen es nunmal schlank und schick.

Oben: Standard in FF56+
Unten: angepasst

So passt man die runden Ecken in Firefox an

Automatisch

Diese ZIP-Datei mit der angepassten „UserChrome.css“ herunterladen und ins Firefox-Profilverzeichnis (%appdata%\Mozilla\Firefox\Profiles) entpacken:

Download: firefox-runde-ecken-userchrome.zip

Manuell

  1. In dem Firefox-Profilordner den Ordner „chrome“ erstellen
    %appdata%\Mozilla\Firefox\Profiles\chrome
  2. Darin eine Datei „userChrome.css“ erstellen, mit diesem Inhalt
    /* runde Tabs */
    #TabsToolbar .tabs-newtab-button,
    #TabsToolbar .tabbrowser-tab,
    #TabsToolbar .tabbrowser-tab .tab-stack,
    #TabsToolbar .tabbrowser-tab .tab-background,
    #TabsToolbar .tabbrowser-tab .tab-content {
        border-top-left-radius: 7px !important;
        border-top-right-radius: 7px !important;
    }
    
    /* Die seltsame Linie ueber dem aktiven Tab entfernen */
    #TabsToolbar .tabbrowser-tab .tab-line {
        visibility: hidden;
    }