Convert pfx file to pem file

Convert pfx file to pem file

Conversion to a combined PEM file

To convert a PFX file to a PEM file that contains both the certificate and private key, the following command needs to be used:
# openssl pkcs12 -in filename.pfx -out cert.pem -nodes

Conversion to separate PEM files

We can extract the private key form a PFX to a PEM file with this command:
# openssl pkcs12 -in filename.pfx -nocerts -out key.pem

Exporting the certificate only:
# openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem

Removing the password from the extracted private key:
# openssl rsa -in key.pem -out server.key

Windows 10 ping through firewall- GUI, PowerShell netsh command

enable ping requests on Windows.
CMD als Admin:
netsh advfirewall firewall add rule name=“ICMP Allow incoming V4 echo request“ protocol=icmpv4:8,any dir=in action=allow
 

There are a couple of ways to open the blocked ping request in Windows 10 by configuring a firewall. It can be using the graphical user interface or via the command line PowerShell or centrally via group policies. By default, Windows 10 not allows other computers in the network to ping due to security concerns. After all, the service is often misused for attacks, preferably for denial-of-service attacks, thus Microsoft decided to turn it off, out of the box.

Well, still many times we need the pining facility to solve the network connectivity problems and for that newbies usually turn off the Firewall completely. However, we can manually allow Windows 10 Ping in its firewall, whereas those who concern about security risks they can mitigate it by activating the predefined firewall rule only for the domain profile or by restricting permissible requests to certain IP addresses.

Allow Windows 10 ping through Firewall GUI

One of the easiest ways to allow ping is by activating the pre-configured firewall in Windows via a graphical user interface with the help of the Advanced Security option. However, you should have admin access to enable or disable firewall rules. Here are the steps to follow:

  1. Go to Windows 10 or 7 Search box.
  2. Type- Windows Defender firewall, as its icon appears, click to open it.
  3. From the left side panel select “Advanced Settings“.
  4. On Windows Defender Firewall with Advanced Security select Inbound Rule from the left side panel.
  5. Now, in the Inbound Rules area search for “File and Printer Sharing (Echo Request ICMPv4-In). This rule exists in versions for the profile domain as well as for public and private. They can be activated for a specific profile or several profiles as required. In this option, the private profile allows pining through IP V4 address”.
  6. Once you find this predefined rule, right-click on it and select “Enable rule“.
  7. After that Windows 10 system could be pinged from a remote or local PC.
  8. In the same way, if you are interested in pinging Windows through Domain or IPv6, then select Echo Request ICMPv6 for IP version 6 whereas the same option with Domain Profile will the pinging through the domain name.

Open WIndows 10 firewall advance settings Enable WIndows 10 ping through firewall advance rule

Furthermore, if you want to secure pining by restricting it to some particular IP address then after enabling the rule, again right-click on the same and select Properties.

Open Firewall Rule properties min

In the Properties dialog select the Scope Tab and to restrict all clients from sending ping requests, click on the Add button and mentioned the Remote IP Address of the only those machines that you want to allow to ping your Windows 10 PC. If there are several NICs on the computer, it is also possible to use local IP addresses to specify those to which requests are allowed.

Secure Ping by adding remote ip address

Allow Windows ping with PowerShell or Command-line Prompt

Those who don’t want to use the GUI method because of the multiple steps involved to allow Ping on Windows can go for command-line one. In which, we just need to run Powershell or Command prompt with Administrative right and after that copy-paste the command given here.

  • Click in Windows 10 or 7 search box.
  • Type- Powershell or Command prompt
  • Then as per your selection of command-line tool, run it as administrator.
  • After that simply run the below netsh command to enable ping requests on Windows.

netsh advfirewall firewall add rule name=“ICMP Allow incoming V4 echo request“ protocol=icmpv4:8,any dir=in action=allow
In the same way, if you want to disable Windows 10 Ping then use this command:
netsh advfirewall firewall add rule name=“ICMP Allow incoming V4 echo request“ protocol=icmpv4:8,any dir=in action=block
Command to enable or disable windows 10 ping

 

Content retrieved from: https://www.how2shout.com/how-to/allow-windows-10-ping-through-firewall-gui-powershell-netsh-command.html.

SBS 2011 und Zertifikate

Problem:

Sie betreiben einen SBS 2011 mit einem selbstsigniertem Zertifikat (z.B. weil der Server nur intern betrieben wird). Das erstellte (Webserver) Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und steht vor dem Ablauf.

Im Systemprotokoll erhalten Sie u.a. folgende Meldungen:

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet “New-ExchangeCertificate“ aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx

Das Zertifikat stammt vom Webserver (IIS) und ist u.a. für OWA zuständig.

Lösung:

Um das Zertifikat für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

  • Öffnen Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
  • Lassen Sie den Wizard durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Wizard fertig ist (kann einige Zeit dauern)
  • Wenn der Wizard fertig ist und Sie nun das Zertifikat doppelt klicken, sollte dort der neue Gültigkeitszeitraum zu sehen sein (ab heute / bis in zwei Jahren)

Danach können Sie Ihren SBS 2011 wie gewohnt weiter verwenden.

Nachtrag:

Sollte Sie danach im Protokoll weiterhin Meldungen haben, dass das Zertifikat abgelaufen, oder nicht mehr gültig ist, machen Sie am besten folgendes:

  • Löschen Sie zunächst in der Exchange Management Konsole das abgelaufene Zertifikat
  • Öffnen Sie danach die zentrale Zertifikatverwaltung und sperren Sie das abgelaufene Zertifikat.

Durch die Sperrung haben Sie zusätzlich alles besser im Überblick.

Variante 2:

Wenn Sie den Einrichtungswizard nicht nutzen wollen, oder falls es dort zu einem Problem kam, können Sie versuchen die Zertifikate auch direkt über den IIS zu erneuern. Hierfür gehen Sie wie folgt vor:

  • Im Menü Verwaltung öffnen Sie dem Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus (Domainserver)
  • Rechts daneben (im Fenster mittig) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat gewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum und dem neuen Hashwert sehen. Prüfen Sie dies aber bitte zusätzlich durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmen, müssen Sie ggf. im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

Hinweis:

Sollte sich das Zertifikat nicht verlängern lassen (Anforderung abgelehnt o.ä.), bzw. nach der Verlängerung/Erneuerung der Zeitraum ungewöhnlich kurz sein, so müssen Sie ggf. zunächst das Zertifizierungsstellenzertifikat erneuern:

  • Im Menü Verwaltung öffnen Sie die Zertifizierungsstelle
  • Wählen Sie Ihre Zertifizierungsstelle
  • Klicken Sie sie mit der rechten Maustaste an und wählen Sie Alle Aufgaben > Zertifizierungsstellenzertifikat erneuern
  • Sollte nicht ein zwingender Grund vorliegen, können Sie den alten Signaturschlüssel behalten (nein anwählen)
  • Zertifikat erneuern lassen

Danach können Sie mit den obigen Schritten fortfahren.

Server 2011 SBS Stammzertifikat erneuern

So installieren wir ein vertrauenswürdiges Zertifikat

  1. Wir bzw. der Kunde kauft ein SSL-Zertifikat.
  2. Wir öffnen die Windows SBS-Konsole.
  3. Klicken auf der Navigationsleiste auf Netzwerk, und dann auf Konnektivität.
  4. Klicken im Aufgabenbereich auf Vertrauenswürdiges Zertifikat hinzufügen und anschließend auf Weiter.
  5. Klicken auf Ich verfüge über ein Zertifikat von meinem Zertifikatanbieter, und dann auf Weiter.
  6. Fügen auf der Seite Vertrauenswürdiges Zertifikat importieren die Information ein, die wir vom Anbieter erhalten haben, oder navigieren zum Speicherort der Datei mit dem vertrauenswürdigen Zertifikat, und klicken dann auf Weiter.
  7. Dann klicken wir auf der Seite Die Zertifikatdatei wird installiert auf Fertig stellen.

Selbst erstelltes Zertifikat (nicht gekauft) durch reparieren verlängern

  1. Wir öffnen die Windows SBS-Konsole.
  2. Klicken auf der Navigationsleiste auf Netzwerk, und dann auf Konnektivität.
  3. Klicken im Aufgabenbereich auf Beheben von Netzwerkproblemen und starte den Assistent der Probleme im Netzwerk ausfindig macht.
  4. Am Ende lasen wir das abgelaufene Zertifikat automatisch reparieren.
  5. Unter Systemsteuerung – Verwaltung – Zertifizierungsstelle sieht man nun in “Ausgestellte Zertifikate” einen neuen Eintrag mit dem neu ausgestellten Zertifikat.

Abgelaufene Zertifikate am Small Business Server 2011 erneuern

Wenn Sie einen Small Business Server 2011 (SBS 2011) mit einem selbstsigniertem Zertifikat betreiben, hat dieses Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und muss daher regelmäßig erneuert werden.

Im Ereignisprotokoll in den Anwendungen auf dem SBS2011 erhalten Sie u.a. folgende Meldungen:

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet “New-ExchangeCertificate“ aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx
  • MSExchangeTransport (12016):Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für den FQDN von ‚<Domain>‘ vorhanden. Das vorhandene Zertifikat für diesen FQDN ist abgelaufen. Die fortgesetzte Verwendung dieses FQDNs wird Nachrichtenübermittlungsprobleme verursachen. Ein neues Zertifikat, das den FQDN von ‚<Domain>‘ enthält, sollte so bald wie möglich auf diesem Server installiert werden. Sie können ein neues Zertifikat mithilfe des Tasks ‚New-ExchangeCertificate‘ erstellen.
  • MSExchange Web Services (25): Das Exchange-Zertifikat ‚[Subject]
    CN='<Domain>‘ [Thumbprint] läuft sehr bald ab
  • MSExchange Web Services (26): Das Exchange-Zertifikat ‚[Subject]
    CN='<Domain>‘ [Thumbprint] läuft am <Datum und Uhrzeit> ab.

Um das abgelaufene Zertifikat am Small Business Server 2011 für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
    Sollten Sie den Fehler:
    Windows SBS Internetadressenverwaltung
    Angezeigt bekommen, so führen Sie zuerst unter Task den Punkt Mit dem Internet verbinden aus
  • Lassen Sie den Assistenten durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Assistent fertig ist
  • Wenn der Assistent fertig ist und Sie nun das Zertifikat mit einem doppelklick öffnen, sollte dort der neue Gültigkeitszeitraum angezeigt werden (von heute / bis in zwei Jahren)

Anschließend können Sie Ihren Small Business Server 2011 wie gewohnt verwenden. Ein Neustart ist nicht notwendig.

Variante 2:

Wenn Sie den Einrichtungsassistent nicht nutzen wollen, oder falls es dort zu einem Problem gekommen ist, können Sie versuchen die Zertifikate auch direkt über den IIS-Manager zu erneuern. Hierfür gehen Sie wie folgt vor:

  • Im Menü Verwaltung öffnen Sie den Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus
  • Rechts daneben (im Fenster in der Mitte) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf das Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat ausgewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.
    Solltet Ihr bei diesem Vorgang den Fehler: „Die Zertifikatsanforderung wurde an die Online-Zertifizierungsstelle gesendet, das Zertifikat jedoch nicht ausgestellt.
    Die Anforderung wurde abgelehnt.“ erhalten, so können Sie versuchen die Uhrzeit auf Ihrem Server auf das Datum vor dem Ablauf des Zertifikates zurückzusetzen. In einigen Fällten konnte so dieses Problem umgangen werden.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum sowie dem neuen Hashwert sehen können. Überprüfen Sie dies jedoch bitte zusätzlich noch durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmt, müssen Sie gegebenenfalls im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

Variante 3:

Sollten die beiden Varianten nicht funktionieren, so können Sie noch einen Assistenten starten. Gehen Sie dazu wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Beheben von Netzwerkproblemen aus
  • Überprüfen Sie dass der Haken bei Das selbst ausgegebene Zertifikat ist abgelaufen gesetzt ist und lassen Sie den Wizard durchlaufen

Sollten Sie einen Exchange 2007 oder einen Small Business Server 2008 im Einsatz haben, dann schauen Sie einmal hier vorbei: msxfaq.de

In der Windows SBS Console fehlen einige Benutzer

Prinzipiell sollten alle Benutzer auf einem Windows Small Business Server in der Console angelegt werden. Hat man aber im Eifer des Gefechtes einige Benutzer in „Active Directory User und Computer“ angelegt, dann erscheinen diese nicht in der Konsole unter „Benutzer und Gruppen“.

Lösung

  • „Windows SBS Console“ aufrufen
  • „Benutzer und Gruppen“ aufrufen
  • Irgendeinen vorhandenen Benutzer anklicken
  • Rechts „Benutzerrolle für Benutzerkonten ändern“ anklicken
  • Rolle des Benutzers anwählen (z.B. Standardbenutzer)
  • Option darunter „Benutzerberechtigungen oder Einstellungen ersetzen“ wählen
  • „Weiter“ wählen
  • In der nächsten Maske unten „Alle Benutzerkonten in Active Directory anzeigen“ anwählen
  • Jetzt den oder die fehlenden Benutzer auswählen und „Hinzufügen“ wählen
  • „Benutzerrolle ändern“ wählen

Die betreffenden Benutzer werden jetzt mit der entsprechenden SBS Rolle vershen und erscheinen fortan in der „Windows SBS Console“.

Dabei ist allerdings zu beachten, dass eventuell vorhandene spezielle Gruppenzugehörigkeiten zurückgesetzt werden.

Quellen:

http://blogs.technet.com/b/sbs/archive/2008/09/22/why-are-some-of-my-users-not-displaying-in-the-sbs-console.aspx

Das Hinzufügen des ARP-Eintrags ist fehlgeschlagen: Der Zugriff wird verweigert: arp -s geht nimmer

Stattdessen wir jetzt netsh verwendet:

netsh interface ipv4 add neighbors „Name der LAN-Verbindung“ [IP] [MAC]

für Copy & Paste:
netsh interface ipv4 add neighbors LAN-Verbindung 10.11.1.5 00-11-32-B7-00-E9
netsh interface ipv4 add neighbors Local Area Connection 192.168.0.1 00-24-01-d2-3a-bd
netsh interface ipv4 add neighbors Ethernet 10.11.1.5 00-11-32-B7-00-E9

Netzwerkkarten anzeigen:
netsh interface show interface

How to restore Registry from its secret backup on Windows 10

On Windows 10, it is never a good idea to modify the Registry because the database contains low-level settings necessary for the system and certain apps to operate correctly, and the slightest mistake can prevent the device from booting again.

If you recently made system setting changes or installed a buggy update that caused the computer to stop working, you can still recover Windows 10 using the secret Registry backup.

However, there is one caveat, since the operating system no longer creates these backups automatically, you have to re-enable it manually before you can use it.

In this guide, you will learn the steps to restore the previous version of the Registry manually from its automated backup on Windows 10.

Important: Remember that modifying system files can further damage the installation if it is not done correctly. It is assumed that you know what you’re doing and that you have previously created a full backup of your computer. Use these steps at your own risk.

Restore Registry manually on Windows 10

To manually restore the Registry on Windows 10, use these steps:

    1. Start computer with the Advanced startup options.
    2. Click on Troubleshoot.
    3. Click on Advanced options.
    4. Click on Command Prompt.

When your device starts in Command Prompt, it will start on X:WindowsSystem32. Now you need to move to the drive letter where Windows is installed. While the operating system is installed on the C: drive, when you boot your computer on recovery mode, this drive letter could change to something else. However, in most cases, the drive letter is D:. Type the following command to enter into the correct drive where Windows 10 is installed and press Enter:

  1. d:
  2. Type the following command to verify you are in the correct drive and press Enter:
    dir
    Command Prompt in Advanced startupCommand Prompt in Advanced startup
    If you see the Windows folder, you are in the correct drive letter. If not, return to step No. 5 and try another letter.
  3. Type the following command to enter into the System32 folder and press Enter:
    cd d:windowssystem32
    Change D in the command with the correct drive letter for your scenario.
    Windows 10 Config folderWindows 10 Config folder
  4. Type the following command to create a folder to temporary backup of files on the config folder, which also happens to store a copy of the Registry, and press Enter:
    mkdir configBak
  5. Type the following command to create a temporary backup of the files in the config folder, and press Enter:
    copy config configBak
    Making a backup copy of the Registry on Windows 10Making a backup copy of the Registry on Windows 10
  6. Type the following command to move inside the RegBack, which contains a backup of the Registry, and press Enter:
    cd configRegBack
  7. Type the following command to verify the content of the RegBack folder and press Enter:
    dir
    RegBack folder contentRegBack folder content

     

    Warning: After running the dir command, the files’ size (SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT) should be similar to the ones you see in the screenshot. If any of the files shows 0, do NOT continue as you won’t be able to repair your Windows 10 installation, and your device may stop booting.
  8. Type the following command to copy the files from the RegBack folder to the config folder and press Enter and the Y key on every question to confirm:
    copy * ..*
    Restoring Registry from its backupRestoring Registry from its backup on Windows 10
  9. Click the Close (X) button from the top-right.

Once you complete the steps, the computer will reboot, and Windows 10 should start correctly.

We are focusing this guide on Windows 10, but the concept also should work on Windows 8.1 and Windows 7.

How to enable automatic Registry backup on Windows 10

Windows 10 adds option to enable automatic backups for the Registry. In previous releases, Windows 10 used to save a copy of the entire Registry inside the RegBack system folder automatically, but to help reduce storage space, since the April 2018 Update, the operating system has removed the functionality.

As a result, users wanting to recover the system after a corrupt registry hive, quickly found that inside the C:WindowsSystem32configRegBack folder, each registry hive was 0kb in size.

If you want the legacy behavior back, Windows 10 includes a registry key to re-enable automatic backups for the entire Registry every time your computer restarts successfully.

In this guide, you’ll learn the steps to allow Windows 10 to create backups of the Registry every time your computer starts.

  • Enable automatic backup for Registry
  • Create manual backup of Registry

Enable automatic backup for Registry

To enable automatic backups of the Registry, use these steps:

Warning: Modifying system files can further damage your Windows installation if it’s not done correctly. It’s assumed that you know what you’re doing and that you have previously created a full backup of your computer. Proceed with caution and use this as the last course of action.
    1. Open Start on Windows 10.
    2. Search for regedit and click the top result to open the Registry.
    3. Browse the following path:
      HKLMSystemCurrentControlSetControlSession ManagerConfiguration Manager
    4. Right-click the Configuration Manager (folder) key and select New submenu, and click the DWORD (32-bit) Value option.
      Configuration Manager registryConfiguration Manager registry
  1. Name the key EnablePeriodicBackup and press Enter.
  2. Double-click the newly created DWORD and set the value from 0 to 1.
    Configuring EnablePeriodicBackup for automatic Registry backups on Windows 10Configuring EnablePeriodicBackup for automatic Registry backups on Windows 10
  3. Click the OK button.
  4. Restart your computer.

Once you complete the steps, Windows 10 will create a backup of the entire Registry inside the RegBack folder, and it’ll create a “RegIdleBackup” task in the Task Scheduler to manage future backups.

If the time comes when you computer can’t start because of corruption in one of the registry hives, then you can use this guide to restore the registry from backup to allow Windows 10 to start correctly.

Create manual backup of Registry

To run the Windows 10 Registry backup manually, use these steps:

  1. Open Start.
  2. Search for Task Scheduler and click top result to open the console.
  3. Browse the following path:
    Task Scheduler Library > Microsoft > Windows > Registry.
  4. Right-click the RegIdleBackup task and select the Run option.
    Running RegIdleBackup task on Windows 10Running RegIdleBackup task on Windows 10

After you complete the steps, the task will run to create a backup of the entire Registry using five files (Default, Sam, Security, Software, and System) overwriting the previous backup in the RegBack folder.

How to Register Active Directory Schema MMC Snap-In

By default, the Active Directory Schema MMC snap-in is not registered on domain controllers or machines with the Remote Server Administration Tools (RSAT) installed. To use the snap-in for the first time on a new machine, you’ll need to register the DLL. To do this, follow the steps below:

  1. Open an elevated command prompt
  2. Run the following command: regsvr32 schmmgmt.dll
  3. You should receive a success message:
DllRegisterServer in schmmgmt.dll succeeded.

Once you have registered the snap-in, you can add it to an MMC by following these steps:

  1. Open a new MMC Console (Start>Run>mmc)
  2. In the MMC Console, go to File>Add/Remove Snap-in
  3. Add the Active Directory Schema snap-in as shown below:

Once you click OK, you’ll be able to access the snap-in through the MMC Console

Dateisortierung nach Sonderzeichen

_ Unterstrich
۞ Stern mit Loch ?

a A-Z
z Lower case Z

ι Greek letter
Ι Greek letter, capital version of above character, not an „I“)
α alpha U+03B1 Alt 224
Γ gamma U+0393 Alt 226
δ delta U+03B4 Alt 235
ε epsilon U+03B5 Alt 238
Θ theta U+0398 Alt 233
π pi U+03C0 Alt 227
Σ sigma upper U+03A3 Alt 228
σ sigma lower U+03C3 Alt 229
τ tau U+03C4 Alt 231
Φ phi upper U+03A6 Alt 232
φ phi lower U+03C6 Alt 237
Ω omega U+03A9 Alt 234
一 Japanese Character? (Thanks, Jam)
口 Japanese character? (Thanks, Jam)
末 Japanese character „End“ (Thanks, Jam)
 (a private use character) (Thanks, Peter O.)

Und man kann auch tatsächlich (fast) alle Sonder-Zeichen außer \ / : * ? “ < > | verwenden.

So, jetzt zum wirklich Wichtigen, die Buchstaben nach „Z“.

Zuerst habe ich das Ohm-Zeichen Ω gefunden (das griechische Omega).

Dann herausgefunden das alle griechischen Buchstaben α β γ δ ε … φ χ ψ ω nach den deutschen Buchstaben kommen
und danach die kyrillischen Buchstaben Ё Ђ Ѓ Є … Ҳ Ҹ Һ Ә Ө .

Vor der Null kommen anscheinend nur Satzzeichen und Symbole,
den Anfang macht das ! dann # $ % & irgendwann kommt das @ ,
Plus, Minus und Underline sind auch vor Null.

Ein paar schöne Symbole vor Null sind Pik, Kreuz, Herz und Karo ♠ ♣ ♥ ♦ ,
sowie ■ ▲ ▼ ► ◄ wobei diese komischer Weise im Explorer unterschiedlich groß dargestellt werden.

Und noch ein ganz Spezielles, weil ja * nicht erlaubt ist, kann man alternativ den arabischen Stern ٭ verwenden,
der aber hier im Textfenster etwas Probleme macht, ist wohl ein Steuerzeichen für irgend was,
er schaut hier im Text auch nicht so schön aus wie im Explorer.

Die Sortierreihenfolge nach unterschiedlichen Sonderzeichen, speziell Minus, bleibt wohl für ewig ein Rätsel,
hier ein Beispiel:



+
-+
+-
++

Unicode Chart:
https://unicode.org/charts/collation/

Windows Server 2019: Zeitquelle konfigurieren

Den Windows-Dienst W32Time unter Windows Server 2019 konfigurieren und als Zeitquelle innerhalb einer Active Directory Domäne anbieten.

 

Inhaltsverzeichnis

 

  • Vorabinformationen
    • Die richtige Uhrzeit
    • Domänencontroller und Zeitquellen
    • Domänencontroller mit PDC-Betriebsmaster finden
    • Virtuelle Domänencontroller und Hypervisor-Zeitsynchronisation
    • Netzwerkanforderungen
    • Uhrzeit auf einem Core Server anzeigen
  • Zeitquelle auf dem PDC-Betriebsmaster konfigurieren
  • Zeit in der Domäne verteilen
  • Zeit für mobile Geräte verteilen

Vorabinformationen

Die richtige Uhrzeit

Neben dem offensichtlichen praktischen Nutzen einer möglichst korrekten Uhrzeit, gibt es auch eine technische Notwendigkeit. So ist in einer Active-Directory-Domäne das zeitabhängige „Kerberos“ im Hintergrund für die Authentifizierung zuständig. Kerberos erstellt für jede Authentifizierungsanforderung (z.B. Zugriff auf Dateifreigabe) zeitlich begrenzt gültige Tickets, die den angeforderten Vorgang innerhalb weniger Minuten erlauben. Bei entsprechender Zeitdifferenz schlagen die Authentifizierungen fehl und der Zugriff wird blockiert.

Domänencontroller und Zeitquellen

Der Domänencontroller der den PDC-Betriebsmaster ausführt, dient innerhalb einer Active-Directory-Domäne als Zeitquelle für alle anderen Windows Server und Clients. Dadurch genügt es die Zeitquelle auf dem Domänencontroller zu konfigurieren.

Domänencontroller mit PDC-Betriebsmaster finden

Da typischerweise mehrere Domänencontroller in einem Netzwerk ausgeführt werden, kann der Domänencontroller mit dem PDC-Betriebsmaster wie folgt gefunden werden:

  • „Active Directory-Benutzer und -Computer“ öffnen
  • Rechtsklick auf die Domäne → Betriebsmaster
  • Registerblatt PDC anklicken:
    PDC-Betriebsmaster

Virtuelle Domänencontroller und Hypervisor-Zeitsynchronisation

Bei virtuellen Domänencontrollern besteht die Gefahr, dass von außen der jeweilige Hypervisor eine andere falsche Zeit vorgibt. Bei Hyper-V kann dies in den Einstellungen der virtuellen Maschine unter dem Menüpunkt Integrationsdienste → Zeitsynchronisierung deaktiviert werden:

Hyper-V Zeitsynchronisierung

Netzwerkanforderungen

Der Windows Zeitdienst folgt dem NTP-Standard und verwendet für die Synchronisation den UDP Port 123. In restriktiv konfigurierten Netzwerk-Firewalls muss dieser Port daher zumindest vom Domänencontroller ausgehend ins Internet erlaubt werden.
In vielen Fällen kann aber auch die Firewall selbst einen NTP-Zeitserver anbieten und mit einem Internet-NTP-Server abgleichen. In diesem Fall könnte dann der Domänencontroller mit PDC-Rolle die Firewall als Zeitquelle nutzen.

Uhrzeit auf einem Core Server anzeigen

Die Uhrzeit kann über den Befehl sconfig„9) Datum und Uhrzeit“ angezeigt werden:

Datum und Uhrzeit

Datum und Uhrzeit

Zeitquelle auf dem PDC-Betriebsmaster konfigurieren

Eingabeaufforderung als Administrator öffnen und mit folgendem Befehl den öffentlichen NTP-Serverpool „at.pool.ntp.org“ als Zeitquelle festlegen:
w32tm /config /manualpeerlist:“at.pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update net stop w32time && net start w32time
Ein erneuter Zeitabgleich wird mit folgendem Befehl initiiert:
w32tm /resync
Der W32TM-Status kann wie folgt ermittelt werden:
w32tm /query /status

w32tm query status

w32tm /query /status

Zeit in der Domäne verteilen

Im Normalfall verteilt sich die neue Uhrzeit relativ schnell von selbst. Wenn ein Windows Desktop oder Server die Zeit scheinbar nicht übernimmt, ist möglicherweise eine andere Zeitquelle konfiguriert. Mit diesen Befehlen wird wieder der Domänencontroller als Zeitquelle konfiguriert:
w32tm /config /syncfromflags:domhier /update net stop w32time && net start w32time
Ein erneuter Zeitabgleich wird mit folgendem Befehl initiiert:
w32tm /resync

Zeit für mobile Geräte verteilen

Wenn mobile Windows Clients auch extern einen Zeitabgleich mit öffentlichen NTP-Servern durchführen sollen, kann das wie folgt konfiguriert werden:
w32tm /config /manualpeerlist:“at.pool.ntp.org,0x8″ /syncfromflags:manual,domhier /update net stop w32time && net start w32time
Mehr auf Microsoft.com

 

Content retrieved from: https://www.anreiter.at/windows-server-2019-zeitquelle-konfigurieren/.

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑