ugg.li Schnelle Hilfe für schnelle Admins – Seite 99 – Nicht immer schön, aber effektiv. Schnelle Hilfe für schnelle Admins.

Active Directoryx Zertifikatdienste („certsvc“) starten nach Upgrade nicht 0X422 (WIN32: 1058 ERROR_SERVICE_DISABLED)

Veröffentlicht am Januar 7, 2017 von weed — 2 Kommentare ↓

Problem

Nach einem In-Place Upgrade von Windows Server 2012/2012R2 auf Windows Server 2016 werden die „Active Directory-Zertifikatdienste“ (certsvc) nicht mehr gestartet. Versucht man das in der Zertifizierungsstellenkonsole manuell nachzuholen, erhält man diesen fiesen (und zudem falsch übersetzen) Fehler:

Windows konnte Active Directory-Zertifikatdienste-Dienst auf dem lokalen Computer nicht gestartet werden.
Fehler 1058: Der Dienst kann nicht gestartet werden deaktiviert ist oder weil keine Geräte zugeordnet aktiviert hat.

Versucht man es in der Diensteverwaltun heisst es:

Der Dienst kann nicht gestartet werden, weil er deaktiviert wurde oder nicht zugeordneten Geräte aktiviert ist.
0X422 (WIN32: 1058 ERROR_SERVICE_DISABLED)

Um es für den Admin noch spannender zu machen, gibt es auch keine Einträge im System- oder Anwendungsprotokoll. Es passiert einfach nichts.

Lösung

Jetzt wird es peinlich: Ein Systemneustart hilft. Boot toot goot.

Die Dienstregistrierung der Zertifizierungsstelle passiert erst, wenn die CERTCONFIG wieder ausgepackt ist. Das passiert beim ersten erfolgreichen Systemstart. Danach starten auch die Dienste wieder …

Update: Ab genau jetzt ist dieses Verhalten sogar offiziell 🙂 Schön wenn man Microsoft auch mal helfen kann …

Windows Batch: Uhrzeit und Datum verwenden (UPDATE: mit führender „0“ bei einstelligen Stunden)

Veröffentlicht am Dezember 23, 2016 von weed — 2 Kommentare ↓

Ich benötige im Alltag ab und an das aktuelle Datum und die Uhrzeit „zerlegt“ in einzelne Variablen, um zum Beispiel Dateien nach Zeit oder Datum abzuspeichern oder Logeinträge korrekt formatiert auszugeben. Das ist seit Windows XP zum Glück recht einfach, aber weil ich faul bin lege ich hier meine zu diesem Zweck erzeugten Substring-Scriptschnipsel ab – dann muss ich die paar Zeilen nicht immer neu tippen (und korrigieren).

Es gibt da auch ein Problem mit den führenden Nullen: Windows setzt die Zeitvariable %time% nicht mit führenden Nullen, sondern in „Menschlich lesbar“.

Beispiel:

C:\>echo %time% Ergibt ab 10Uhr: 11:02:18,04

C:\>echo %time% Ergibt ab 24Uhr: _9:02:18,04 Hier ist ein Leerzeichen eingefügt, denn das Padding des Strings ist immer gleich breit.

Lösung

set YYYY=%date:~-4%
set MM=%date:~-7,2%
set DD=%date:~-10,2%
set hr=%time:~0,2%
if "%hr:~0,1%" == " " SET hr=0%hr:~1,1%
set min=%time:~3,2%
set sek=%time:~6,2%

Mit diesen Variablen würde eine Ausgabezeile zum Beispiel so aussehen:

echo Es ist heute der %DD%.%MM%.%YYYY% und wir haben die wundervolle Uhrzeit %hr%:%min%:%sek%

Mit führenden Nullen sieht das Ergebnis dann, korrekterweise, so aus:

Es ist heute der 24.12.2016 und wir haben die wundervolle Uhrzeit 01:04:37

Nicht das diese Zeile viel Sinn hätte, in der Praxis benötige ich beispielsweise eher so etwas:

zip –m -9 idslogs-%YYYY%%MM%%DD%.zip %1*.log

… das mir Dateien mit einem sinnvollen Namen (z.B. idslogs-20121203.zip) erstellt.

Wichtig zu wissen: Diese Zeilen legen die wichtigen Werte direkt in eigenen Variablen ab; die Zuordnung ist im Moment der Zuordnung statisch, was bedeutet das ein Wert sobald zugewiesen immer so bleibt und sich nicht mit fortschreitender Zeit ändert. Wenn die Werte aktualisiert werden sollen (beispielsweise zu beginn/ende eines Script) muss dieser Block wieder aufgerufen werden, etwa mit einer call: Anweisung dorthin.

certutil 0x80090005 (-2146893819 NTE_BAD_DATA)

Veröffentlicht am Dezember 22, 2016 von admin — Keine Kommentare ↓

Wenn man unter Windows mit dem MMC Zertifikats-SnapIn einen frischen CSR erstellt („REQ“ im Windows-Jargon), wird standartmäßig der aktuelle „Microsoft Strong Crytographic Provider“ als Kryptoanbieter ausgewählt. Das ist im Prinzip auch gut so, denn das ist der aktuellste und vom Umfang her größte CSP (Certificate Storage Provider) den Windows mitbringt. Die meisten Windows-Features können damit auch problemlos umgehen – der IIS, der SMTP, RDS und so weiter.

Nicht jedoch Exchange (bis einschliesslich 2016 CU3). Exchange FBA unterstütz keine CNG Zertifikate. Nutzt man diese doch, kommt es zu dem berüchtigten Exchange OWA und Exchange EAC Anmeldeloop.

Folgt man dem im Blog angegebenen Anweisungen zum austausch der Zertifikates und erstellt ein neues passendes Zertifikat, kommt es beim Import der neuen Zertifikate (ob CER oder PFX spielt keine Rolle) oftmal zu dem Fehler

certutil 0x80090005 (-2146893819 NTE_BAD_DATA)

Ursache hierfür ist, das der im CSR angegebene CSP nicht korrekt ist. Wenn man den CSR unter Windows erstellt, versteckt sich das zugehörige Häkchen unter Neue Anforderung erstellen > Eigenschaften > Privater Schlüssel > Kryptografiedienstanbieter. Der für den CSR ausgewählte CSP lässt sich mit certutil an der Kommandozeile selbstverständlich nicht nachschauen …

Windows PKI Fehler „Der angeforderte Antragstellername ist ungültig oder zu lang (0x80094001)“

Veröffentlicht am Dezember 20, 2016 von admin — Keine Kommentare ↓

Problem

Beim ausstellen eines neuen Zertifikates mit einem frisch generierten CSR reagiert die Windows Zertifizierungsstelle (CA) in dem Webinterface mit diesem Fehler:

Der angeforderte Antragstellername ist ungültig oder zu lang (0x80094001)

Das gleiche tut Sie auch auf einem englischen Windows, mit einem englischen Fehler:

Error parsing request the subject name is invalid or too long 0x80094001 (CSR)

Lösung

Wenn die CA unter Windows Server 2008 oder früher erstellt wurde, hat diese warscheinlich das gute alte 64-Zeichen Limit für Domains geerbt. Man kann diese (heute) sinnlose limitierung ganz schnell abschalten:

c:\> certutil -setreg ca\EnforceX500NameLengths 0

Die Einstellung ist ebenfalls notwendig, wenn man Wildcard-Zertifikate mit einer Windows CA unterschreiben möchte.

Windows Defender (MsMpEng.exe) deaktivieren (Windows 10 und Windows Server)

Veröffentlicht am Dezember 19, 2016 von admin — 1 Kommentar ↓

Problem

Wärend eines Setups oder einer größeren Aktion auf einer Windows-Maschine kostet der Windows-Defender „MsMpEng.exe“ (der Diensthost des Windows-Defenders) unnötig viel Leistung und Zeit.Trotz der allgemein recht guten Performance des Virenwächters von Microsoft, lässt sich vor allem beim Zugriff auf große Dateimengen einiges an Zeit sparen wenn der Wächter temporär ausgeschaltet wird.

Lösung

In der Regel reicht es schon, an der PowerShell die Realtime-Engine für die Echtzeitüberwachung aus zu schalten. Dann sinkt die Last des Prozesses auf praktisch Null und man kann sofort eine deutlich bessere Performance beim Dateizugriff beobachten. Die Einstellungen werden sofort aktiv und brauchen keinen Neustart.

Windows Defender Echtzeitüberwachung deaktivieren

PS C:\> Set-MpPreference -DisableRealtimeMonitoring $true

Windows Defender Echtzeitüberwachung aktivieren

PS C:\> Set-MpPreference -DisableRealtimeMonitoring $false

Windows Defender Echtzeitüberwachung-Einstellung prüfen

PS C:\> Get-MpPreference | FL *RealtimeMonitoring

Windows-Defender vollständig deinstallieren

PS C:\> Remove-WindowsFeature Windows-Defender, Windows-Defender-GUI