Kategorie: 2008

SAN (Subject Alternative Names) Zertifikat erstellen

SAN-Zertifikat von öffentlicher Zertifizierungsstelle erstellen lassen?

CertificateUm also mehrere Server- bzw. Dienstnamen in einem Zertifikat einzubinden, erstellt man ein spezielles Zertifikat, welches um das Datenfeld Subject Alternative Names erweitert wird. Öffentliche Zertifizierungsstellen (Certificate Authority, CA) bieten u.a. Webformulare an, in denen man alle benötigten Namen angibt. Die CA erstellt aus den Angaben den Certificate Signing Request (CSR) sowie den Private Key und signiert das neue Zertifikat. Der private Schlüssel ist streng vertraulich, da mit diesem die Entschlüsselung von Daten erfolgt.

In diesem Szenario besitzt die Zertifizierungsstelle sowohl den öffentlichen als auch den privaten Schlüssel des Zertifikats. Die Sicherheit und Vertraulichkeit ist dadurch nicht mehr gewährleistet. Der private Schlüssel ist vor Zugriffen Dritter, also auch vor Zugriffen öffentlicher Zertifizierungsstellen, zu schützen.

 

Zertifikatsantrag (CSR) und Private Key besser selbst erstellen

Vertraulichkeit und hohe Sicherheitsansprüche sind gute Gründe den CSR, und damit den privaten Schlüssel, selbst zu erstellen. Betreibt man eine eigene, interne PKI, bspw. mithilfe Microsofts AD CS, wird man gelegentlich CSR für interne Dienste bzw. Server erstellen müssen. Im Folgenden wird beschrieben, wie man diese CSR zum Ausstellen neuer Zertifikate mit Windows Bordmitteln recht einfach erstellt. Das Verfahren ist nicht ausschließlich auf SAN-Zertifikate beschränkt, sondern kann auch zum Beantragen von Wildcard- und Single Name-Zertifikaten angewandt werden.

 

Zertifikatsspeicher

Der Zertifikatsspeicher des lokalen Computers.

Zertifikate werden in unterschiedlichen Bereichen aufbewahrt. Es gibt den zentralen Zertifikatsspeicher des Computer. Die in diesem Speicher abgelegten Zertifikate können sowohl von Programmen, Diensten sowie von allen Benutzern des Computers genutzt werden. Zum Verwalten dieser Zertifikate sind jedoch Administratorberechtigungen erforderlich. Die Management Konsole des Computer Certificate Store ruft man über Start –> Ausführen –> certlm.msc auf.

 

 

Der Zertifikatsspeicher des angemeldeten Benutzers.

Jeder Benutzer besitzt seinen eigenen Certificate Store. Auf den benutzerspezifischen Zertifikatsspeicher hat nur der jeweilige Anwender Zugriff. Für die Verwaltung der eigenen Zertifikate sind keine administrativen Berechtigungen erforderlich. Die Management Konsole des eigenen Zertifikatsspeicher startet man über Start –> Ausführen –> certmgr.msc auf.

 

 

 

CSR erstellen

Um den CSR direkt auf dem Windows Gerät zu erstellen, auf dem das neue Zertifikat eingesetzt werden soll, verwendet man idealerweise die Zertifikatsverwaltung des Computers: certlm.msc. Generiert man den CSR stellvertretend, um das Zertifikat nach Erstellung zu exportieren und weiterzugeben, reicht die eigene, benutzerbezogene Zertifikatsverwaltung, da sie keine erhöhten Rechte anfordert: certmgr.msc

 

Für ein SAN-Zertifikat muss eine benutzerdefinierte Anforderung (Custom Request) erstellt werden.

 

Nach dem Start des Assistenten, führt man den Vorgang ohne Registrierungsrichtlinie fort. Active Directory-Registrierungsrichtlinien werden über Gruppenrichtlinien (GPO) verwaltet und stellen in der Regel einfache Benutzer- oder Computerzertifikate aus. Diese Richtlinie ist für unsere Zwecke nicht ausreichend.

 

Sowohl die Wahl der Crypto Engine CNG, als auch das Format PKCS sind vorausgewählt.

 

Den CSR konfiguriert man über Eigenschaften, die durch einen Klick auf Details erscheinen.

 

Sowohl Anzeigename als auch Beschreibung dienen der besseren Übersicht, haben üblicherweise keine technische Relevanz und können frei gewählt werden.

 

Hinweis

Es gibt vereinzelt Anwendungen die den Anzeigenamen nutzen, um Zertifikate zu identifizieren. Beispielsweise greift der Office Online Server auf dieses Feld zurück, um ein Wildcard-Zertifikat einzubinden. Der VMware Connection Server erfordert gar den vordefinierten Wert vdm als Anzeigename, um das richtige Zertifikat zu erkennen, was bei einem Zertifikatswechsel zu beachten ist.

Diese Eigenschaften lassen sich jederzeit nachträglich in der Zertifikatsverwaltung anpassen.

 

Jetzt sind alle relevanten Daten einzugeben. Üblicherweise gibt man als Common Name (Allgemeiner Name) den DNS-Namen an, unter dem der Dienst öffentlich erreichbar ist. Hinzu kommen Angaben zum Ort bzw. Stadt (L=Location), Land/Region (C=Country), was nicht zu verwechseln ist mit (Bundes)Land (S=State). Des Weiteren sind die Angaben Organisation (O), die verantwortliche Organisationseinheit (OU), in der Regel die IT-Abteilung, und die E-Mail-Adresse eines Kontakts. Übliche Kürzel, bspw. Länderkennungen, sind erlaubt.

Die alternativen Namen werden im unteren Abschnitt eingetragen. Neben DNS kann man auch die IP-Adressen eintragen.

 

Welchen Zweck ein Zertifikat erfüllt, gibt man im Reiter Erweiterungen unter Erweiterte Schlüsselverwendung (Anwendungsrichtlinien) an. Für ein Serverzertifikat ist die Option Serverauthentifizierung auszuwählen. Oftmals wird Zertifikaten zusätzlich die Option Clientauthentifizierung hinzugefügt, über die sich ein Server anderen gegenüber als Client authentifiziert. Diese Option ist aber nicht erforderlich.

Bei der Angabe Schlüsselverwendung handelt es sich um Einschränkungen der Verwendung des Zertifikats auf die ausgewählten Optionen. Typischerweise erforderlich für ein Serverzertifikat ist Digitale Signatur, oft in Kombination mit Schlüsselverschlüsselung, was bedeutet, dass der Schlüsselaustausch nur mit Schlüsselverschlüsselung zugelassen ist. Diese Angabe ist optional und wird ggf. durch die signierende CA gesetzt.

 

Die Auswahl und Konfiguration der Cipher Suite erfolgt im Reiter Privater Schlüssel. Je nach Verwendungszweck und Laufzeit des Zertifikats, ist ein geeigneter Algorithmus mit entsprechender Schlüssellänge zu wählen. Nach wie vor häufig im Einsatz ist RSA. Bei Verwendung von RSA sollte der Schlüssel mindestens 2048, besser 4096 Bit lang sein. Neuere Alghorithmen, bspw. auf Basis elliptischer Kurven wie ECDH, kommen mit kleineren Schlüsseln aus.

 

Der Kryptografieanbieter, per default RSA, kann ausgewählt bleiben. Damit verstehen sich die meisten Programme. Möchte man die Sicherheit hochschrauben, greift man zu neueren Cipher Suiten mit Elliptic Curve Cryptography (ECC). Das Perfect Forward Secrecy Verfahren stellt sicher, dass verschlüsselte Kommunikation nicht zu entschlüsseln ist, da sich mit jeder neuen Session der Session Key ändert.

Der Hashalgorithmus sollte unbedingt auf SHA-2 basieren, SHA-1 und MD5 sind unsicher, auf sie sollte man komplett verzichten. In der Praxis werden die Algorithmen SHA-256, SHA-384 und SHA-512 verwendet, aktuelle Browser und Geräte unterstützen SHA-2. Muss das Zertifikat exportiert werden, ist der private Schlüssel als exportierbar zu kennzeichnen.

 

Nach der Angabe aller Daten, schließt und speichert man die Anforderung ab.

 

Den CSR schickt man nun der CA. Der CA Administrator prüft und signiert den Request, um diesen in Form eines Zertifikates zurückzusenden. Dieses Zertifikat muss auf dem Gerät importiert werden, auf dem der CSR erstellt wurde. Und der Import erfolgt in den zuvor genutzten Zertifikatsspeicher. Denn nur dort liegt der generierte private Schlüssel des Zertifikats.

 

 

Windows ordnet den privaten Schlüssel automatisch dem zugeordneten Zertifikat zu. Ob ein Schlüsselpaar komplett ist, zeigt sich in den allgemeinen Informationen des Zertifikats durch ein Schlüsselsymbol.

 

Offene, nicht abgeschlossene Anforderungen sind in der Zertifikatsverwaltung im Abschnitt Zertifikatregistrierungsanforderungen zu finden.

 

Zertifikat über Microsoft Zertifikatsdienste (AD CS) ausstellen

Als Verwalter einer internen PKI oder als Berechtigter zur Ausstellung von Zertifikaten, geht man mittels Browser auf das Web Interface der eigenen CA (https://ca-server/certsrv/). Auf der Webseite klickt man auf Request a certificate.

 

Anschließend navigiert man zur Anforderungseite über den Link Submit a certificate request[…].

 

Den kompletten Inhalt des CSR, die Datei kann mit jedem Texteditor geöffnet werden, überträgt man in das Formular, wählt die gewünschte Zertifikatsvorlage aus und schickt die Anfrage ab.

War der Vorgang erfolgreich, wird das signierte Zertifikat zum Download angeboten, welches dann an den Anforderer zurückgeschickt oder importiert werden kann.

Alternativ zum Web Enrollment, können CSR direkt über die CA Managenment Konsole oder mittel certreq.exe signiert werden.

 

Weiterführende Informationen
Wikipedia: Public-Key-Infrastruktur
Microsoft: Active Directory Certificate Services Overview
Technet: Active Directory-Zertifikatdienste
Technet: AD CS Step by Step Guide: Two Tier PKI Hierarchy Deployment
Technet: Cross-Forest Certificate Enrollment using Certificate Enrollment Web Services
Technet: Active Directory Certificate Services (AD CS) Clustering
Microsoft: PKI Blog Archive
Certutil.exe
Certreq.exe

 

 

Content retrieved from: https://www.privalnetworx.de/create-san-certificate.

Convert pfx file to pem file

Convert pfx file to pem file

Conversion to a combined PEM file

To convert a PFX file to a PEM file that contains both the certificate and private key, the following command needs to be used:
# openssl pkcs12 -in filename.pfx -out cert.pem -nodes

Conversion to separate PEM files

We can extract the private key form a PFX to a PEM file with this command:
# openssl pkcs12 -in filename.pfx -nocerts -out key.pem

Exporting the certificate only:
# openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem

Removing the password from the extracted private key:
# openssl rsa -in key.pem -out server.key

SBS 2011 und Zertifikate

Problem:

Sie betreiben einen SBS 2011 mit einem selbstsigniertem Zertifikat (z.B. weil der Server nur intern betrieben wird). Das erstellte (Webserver) Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und steht vor dem Ablauf.

Im Systemprotokoll erhalten Sie u.a. folgende Meldungen:

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet “New-ExchangeCertificate“ aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx

Das Zertifikat stammt vom Webserver (IIS) und ist u.a. für OWA zuständig.

Lösung:

Um das Zertifikat für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

  • Öffnen Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
  • Lassen Sie den Wizard durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Wizard fertig ist (kann einige Zeit dauern)
  • Wenn der Wizard fertig ist und Sie nun das Zertifikat doppelt klicken, sollte dort der neue Gültigkeitszeitraum zu sehen sein (ab heute / bis in zwei Jahren)

Danach können Sie Ihren SBS 2011 wie gewohnt weiter verwenden.

Nachtrag:

Sollte Sie danach im Protokoll weiterhin Meldungen haben, dass das Zertifikat abgelaufen, oder nicht mehr gültig ist, machen Sie am besten folgendes:

  • Löschen Sie zunächst in der Exchange Management Konsole das abgelaufene Zertifikat
  • Öffnen Sie danach die zentrale Zertifikatverwaltung und sperren Sie das abgelaufene Zertifikat.

Durch die Sperrung haben Sie zusätzlich alles besser im Überblick.

Variante 2:

Wenn Sie den Einrichtungswizard nicht nutzen wollen, oder falls es dort zu einem Problem kam, können Sie versuchen die Zertifikate auch direkt über den IIS zu erneuern. Hierfür gehen Sie wie folgt vor:

  • Im Menü Verwaltung öffnen Sie dem Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus (Domainserver)
  • Rechts daneben (im Fenster mittig) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat gewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum und dem neuen Hashwert sehen. Prüfen Sie dies aber bitte zusätzlich durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmen, müssen Sie ggf. im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

Hinweis:

Sollte sich das Zertifikat nicht verlängern lassen (Anforderung abgelehnt o.ä.), bzw. nach der Verlängerung/Erneuerung der Zeitraum ungewöhnlich kurz sein, so müssen Sie ggf. zunächst das Zertifizierungsstellenzertifikat erneuern:

  • Im Menü Verwaltung öffnen Sie die Zertifizierungsstelle
  • Wählen Sie Ihre Zertifizierungsstelle
  • Klicken Sie sie mit der rechten Maustaste an und wählen Sie Alle Aufgaben > Zertifizierungsstellenzertifikat erneuern
  • Sollte nicht ein zwingender Grund vorliegen, können Sie den alten Signaturschlüssel behalten (nein anwählen)
  • Zertifikat erneuern lassen

Danach können Sie mit den obigen Schritten fortfahren.

Server 2011 SBS Stammzertifikat erneuern

So installieren wir ein vertrauenswürdiges Zertifikat

  1. Wir bzw. der Kunde kauft ein SSL-Zertifikat.
  2. Wir öffnen die Windows SBS-Konsole.
  3. Klicken auf der Navigationsleiste auf Netzwerk, und dann auf Konnektivität.
  4. Klicken im Aufgabenbereich auf Vertrauenswürdiges Zertifikat hinzufügen und anschließend auf Weiter.
  5. Klicken auf Ich verfüge über ein Zertifikat von meinem Zertifikatanbieter, und dann auf Weiter.
  6. Fügen auf der Seite Vertrauenswürdiges Zertifikat importieren die Information ein, die wir vom Anbieter erhalten haben, oder navigieren zum Speicherort der Datei mit dem vertrauenswürdigen Zertifikat, und klicken dann auf Weiter.
  7. Dann klicken wir auf der Seite Die Zertifikatdatei wird installiert auf Fertig stellen.

Selbst erstelltes Zertifikat (nicht gekauft) durch reparieren verlängern

  1. Wir öffnen die Windows SBS-Konsole.
  2. Klicken auf der Navigationsleiste auf Netzwerk, und dann auf Konnektivität.
  3. Klicken im Aufgabenbereich auf Beheben von Netzwerkproblemen und starte den Assistent der Probleme im Netzwerk ausfindig macht.
  4. Am Ende lasen wir das abgelaufene Zertifikat automatisch reparieren.
  5. Unter Systemsteuerung – Verwaltung – Zertifizierungsstelle sieht man nun in “Ausgestellte Zertifikate” einen neuen Eintrag mit dem neu ausgestellten Zertifikat.

Abgelaufene Zertifikate am Small Business Server 2011 erneuern

Wenn Sie einen Small Business Server 2011 (SBS 2011) mit einem selbstsigniertem Zertifikat betreiben, hat dieses Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und muss daher regelmäßig erneuert werden.

Im Ereignisprotokoll in den Anwendungen auf dem SBS2011 erhalten Sie u.a. folgende Meldungen:

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet “New-ExchangeCertificate“ aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx
  • MSExchangeTransport (12016):Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für den FQDN von ‚<Domain>‘ vorhanden. Das vorhandene Zertifikat für diesen FQDN ist abgelaufen. Die fortgesetzte Verwendung dieses FQDNs wird Nachrichtenübermittlungsprobleme verursachen. Ein neues Zertifikat, das den FQDN von ‚<Domain>‘ enthält, sollte so bald wie möglich auf diesem Server installiert werden. Sie können ein neues Zertifikat mithilfe des Tasks ‚New-ExchangeCertificate‘ erstellen.
  • MSExchange Web Services (25): Das Exchange-Zertifikat ‚[Subject]
    CN='<Domain>‘ [Thumbprint] läuft sehr bald ab
  • MSExchange Web Services (26): Das Exchange-Zertifikat ‚[Subject]
    CN='<Domain>‘ [Thumbprint] läuft am <Datum und Uhrzeit> ab.

Um das abgelaufene Zertifikat am Small Business Server 2011 für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
    Sollten Sie den Fehler:
    Windows SBS Internetadressenverwaltung
    Angezeigt bekommen, so führen Sie zuerst unter Task den Punkt Mit dem Internet verbinden aus
  • Lassen Sie den Assistenten durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Assistent fertig ist
  • Wenn der Assistent fertig ist und Sie nun das Zertifikat mit einem doppelklick öffnen, sollte dort der neue Gültigkeitszeitraum angezeigt werden (von heute / bis in zwei Jahren)

Anschließend können Sie Ihren Small Business Server 2011 wie gewohnt verwenden. Ein Neustart ist nicht notwendig.

Variante 2:

Wenn Sie den Einrichtungsassistent nicht nutzen wollen, oder falls es dort zu einem Problem gekommen ist, können Sie versuchen die Zertifikate auch direkt über den IIS-Manager zu erneuern. Hierfür gehen Sie wie folgt vor:

  • Im Menü Verwaltung öffnen Sie den Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus
  • Rechts daneben (im Fenster in der Mitte) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf das Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat ausgewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.
    Solltet Ihr bei diesem Vorgang den Fehler: „Die Zertifikatsanforderung wurde an die Online-Zertifizierungsstelle gesendet, das Zertifikat jedoch nicht ausgestellt.
    Die Anforderung wurde abgelehnt.“ erhalten, so können Sie versuchen die Uhrzeit auf Ihrem Server auf das Datum vor dem Ablauf des Zertifikates zurückzusetzen. In einigen Fällten konnte so dieses Problem umgangen werden.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum sowie dem neuen Hashwert sehen können. Überprüfen Sie dies jedoch bitte zusätzlich noch durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmt, müssen Sie gegebenenfalls im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

Variante 3:

Sollten die beiden Varianten nicht funktionieren, so können Sie noch einen Assistenten starten. Gehen Sie dazu wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Beheben von Netzwerkproblemen aus
  • Überprüfen Sie dass der Haken bei Das selbst ausgegebene Zertifikat ist abgelaufen gesetzt ist und lassen Sie den Wizard durchlaufen

Sollten Sie einen Exchange 2007 oder einen Small Business Server 2008 im Einsatz haben, dann schauen Sie einmal hier vorbei: msxfaq.de

In der Windows SBS Console fehlen einige Benutzer

Prinzipiell sollten alle Benutzer auf einem Windows Small Business Server in der Console angelegt werden. Hat man aber im Eifer des Gefechtes einige Benutzer in „Active Directory User und Computer“ angelegt, dann erscheinen diese nicht in der Konsole unter „Benutzer und Gruppen“.

Lösung

  • „Windows SBS Console“ aufrufen
  • „Benutzer und Gruppen“ aufrufen
  • Irgendeinen vorhandenen Benutzer anklicken
  • Rechts „Benutzerrolle für Benutzerkonten ändern“ anklicken
  • Rolle des Benutzers anwählen (z.B. Standardbenutzer)
  • Option darunter „Benutzerberechtigungen oder Einstellungen ersetzen“ wählen
  • „Weiter“ wählen
  • In der nächsten Maske unten „Alle Benutzerkonten in Active Directory anzeigen“ anwählen
  • Jetzt den oder die fehlenden Benutzer auswählen und „Hinzufügen“ wählen
  • „Benutzerrolle ändern“ wählen

Die betreffenden Benutzer werden jetzt mit der entsprechenden SBS Rolle vershen und erscheinen fortan in der „Windows SBS Console“.

Dabei ist allerdings zu beachten, dass eventuell vorhandene spezielle Gruppenzugehörigkeiten zurückgesetzt werden.

Quellen:

http://blogs.technet.com/b/sbs/archive/2008/09/22/why-are-some-of-my-users-not-displaying-in-the-sbs-console.aspx

How to Register Active Directory Schema MMC Snap-In

By default, the Active Directory Schema MMC snap-in is not registered on domain controllers or machines with the Remote Server Administration Tools (RSAT) installed. To use the snap-in for the first time on a new machine, you’ll need to register the DLL. To do this, follow the steps below:

  1. Open an elevated command prompt
  2. Run the following command: regsvr32 schmmgmt.dll
  3. You should receive a success message:
DllRegisterServer in schmmgmt.dll succeeded.

Once you have registered the snap-in, you can add it to an MMC by following these steps:

  1. Open a new MMC Console (Start>Run>mmc)
  2. In the MMC Console, go to File>Add/Remove Snap-in
  3. Add the Active Directory Schema snap-in as shown below:

Once you click OK, you’ll be able to access the snap-in through the MMC Console

Dateisortierung nach Sonderzeichen

_ Unterstrich
۞ Stern mit Loch ?

a A-Z
z Lower case Z

ι Greek letter
Ι Greek letter, capital version of above character, not an „I“)
α alpha U+03B1 Alt 224
Γ gamma U+0393 Alt 226
δ delta U+03B4 Alt 235
ε epsilon U+03B5 Alt 238
Θ theta U+0398 Alt 233
π pi U+03C0 Alt 227
Σ sigma upper U+03A3 Alt 228
σ sigma lower U+03C3 Alt 229
τ tau U+03C4 Alt 231
Φ phi upper U+03A6 Alt 232
φ phi lower U+03C6 Alt 237
Ω omega U+03A9 Alt 234
一 Japanese Character? (Thanks, Jam)
口 Japanese character? (Thanks, Jam)
末 Japanese character „End“ (Thanks, Jam)
 (a private use character) (Thanks, Peter O.)

Und man kann auch tatsächlich (fast) alle Sonder-Zeichen außer \ / : * ? “ < > | verwenden.

So, jetzt zum wirklich Wichtigen, die Buchstaben nach „Z“.

Zuerst habe ich das Ohm-Zeichen Ω gefunden (das griechische Omega).

Dann herausgefunden das alle griechischen Buchstaben α β γ δ ε … φ χ ψ ω nach den deutschen Buchstaben kommen
und danach die kyrillischen Buchstaben Ё Ђ Ѓ Є … Ҳ Ҹ Һ Ә Ө .

Vor der Null kommen anscheinend nur Satzzeichen und Symbole,
den Anfang macht das ! dann # $ % & irgendwann kommt das @ ,
Plus, Minus und Underline sind auch vor Null.

Ein paar schöne Symbole vor Null sind Pik, Kreuz, Herz und Karo ♠ ♣ ♥ ♦ ,
sowie ■ ▲ ▼ ► ◄ wobei diese komischer Weise im Explorer unterschiedlich groß dargestellt werden.

Und noch ein ganz Spezielles, weil ja * nicht erlaubt ist, kann man alternativ den arabischen Stern ٭ verwenden,
der aber hier im Textfenster etwas Probleme macht, ist wohl ein Steuerzeichen für irgend was,
er schaut hier im Text auch nicht so schön aus wie im Explorer.

Die Sortierreihenfolge nach unterschiedlichen Sonderzeichen, speziell Minus, bleibt wohl für ewig ein Rätsel,
hier ein Beispiel:



+
-+
+-
++

Unicode Chart:
https://unicode.org/charts/collation/

Automatically Log off Disconnected User Sessions on Windows

Many times users connect to remote Windows systems, do work and close the remote session without properly logoff the account. In that case multiple applications, which are still running with that login session uses system resources. Some times it causes slow response of our servers and create pain for us. So this will be good to auto log off disconnected sessions from Windows system.

This tutorial will help you to log all the disconnected remote sessions on the Windows system. This tutorial has been tested with Windows Server 2019.

Setup Auto Log Off Disconnected Sessions

We are making changes in Local group policy of systems. So be careful with the changes.

First of all, open the ‘Group Policy Editor‘ on your server. Start run window by pressing “Win + R” and type gpedit.msc on run window.

The local group policy editor will be opened on your system. Then navigate to the following location as the below given instructions:
Local Computer Policy => Computer Configuration => Administrative Templates => Windows Components => Remote Desktop Services => Remote Desktop Session Host => Session Time Limits
Windows remote session timeout limit

You will find a list of options on the right-side. Then Double click on “Set time limit for disconnected sessions” to open it.

Disconnected User Sessions on Windows

By default, it is configured a ‘Not configured. Change this to ‘Enabled. Now you will see an option “End a disconnected session” in the lower-left side. Set this value to the desired time. I have set this to 1 hour, so any disconnected user is logged off after 1 hour.

Conclusion

In this tutorial, you have learned to configure your Windows system to auto logout disconnected remote sessions.

Content retrieved from: https://tecadmin.net/windows-logoff-disconnected-sessions/.

Make Device Manager show Non present devices in Windows

  1. CMD als Admin
  2. set devmgr_show_nonpresent_devices=1
  3. start devmgmt.msc
  4. Device Manager Ausgeblendete Geräte anzeigen

Problembeschreibung

Der Geräte-Manager zeigt nur Plug&Play-Geräte, -Treiber und -Drucker an, wenn Sie im Menü Ansicht auf Ausgeblendete Geräte anzeigen klicken. Nicht an den Computer angeschlossene Geräte, die Sie installieren (z. B. USB-Geräte oder „verwaiste“ Geräte), werden im Geräte-Manager nicht angezeigt, auch dann nicht, wenn Sie auf Ausgeblendete Geräte anzeigen klicken.

Abhilfe

Gehen Sie folgendermaßen vor, um dieses Verhalten zu umgehen und Geräte mit der Option Ausgeblendete Geräte anzeigen anzuzeigen:

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Zubehör, und klicken Sie anschließend auf Eingabeaufforderung.
  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie anschließend die EINGABETASTE:set devmgr_show_nonpresent_devices=1
  3. Geben Sie an der Eingabeauforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:start devmgmt.msc
  4. Führen Sie eine Problembehandlung für die Geräte und Treiber im Geräte-Manager durch.

    HINWEIS: Klicken Sie im Menü Ansicht im Geräte-Manager auf Ausgeblendete Geräte anzeigen, um Geräte sehen zu können, die nicht an den Computer angeschlossen sind.
  5. Wenn Sie die Problembehandlung abgeschlossen haben, schließen Sie den Geräte-Manager.
  6. Geben Sie an der Eingabeaufforderung exit ein.

    Wenn Sie das Eingabeaufforderungsfenster schließen, deaktiviert Windows die Variable devmgr_show_nonpresent_devices=1 zurück, die Sie in Schritt 2 erstellt haben, und verhindert, dass verwaiste Geräte bei Anklicken von Ausgeblendete Geräte anzeigen angezeigt werden.

[Fix] Remote Desktop DPI scaling issues

Do you have a computer with High-DPI screen? A very high resolution display? And is everything too small to see within your Remote Desktop Connection, try this solution…

screreso

This issue is caused by lack of not being DPI scaling aware of the Remote Desktop Client. If you open a Remote Desktop connection to a server or other computer the native resolution of the computer is used instead of the scaling to 1920×1080, so you’ll get very small icons etc.

Some other blogs mention to fix the issue with using Remote Desktop Connection Manager 2.7 or using RD Tabs.

Another solution where you don’t need extra tools or programs is to make a manifest file, see the steps below.

First tell Windows to look for a manifest file for an application by default. This can be done by setting a registry entry.

Open regedit and navigate to the registry key:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSideBySide
Right-click, select NEW -> DWORD (32 bit) Value
Type PreferExternalManifest and then press ENTER.
Right-click PreferExternalManifest, and then click Modify.
Enter Value Data 1 and select Decimal.
Click OK. Exit Registry Editor.

Next step is to make the manifest file, mstsc.exe.manifest. Copy the contents below and put it in Notepad or similar tool and save it to a file as %SystemRoot%System32mstsc.exe.manifest. Download of the file is also available, here. Important is that you save the file in the same directory as the Remote Desktop Client executable (mstsc.exe).
<?xml version=“1.0″ encoding=“UTF-8″ standalone=“yes“?> <assembly xmlns=“urn:schemas-microsoft-com:asm.v1″ manifestVersion=“1.0″ xmlns:asmv3=“urn:schemas-microsoft-com:asm.v3″> <dependency> <dependentAssembly> <assemblyIdentity type=“win32″ name=“Microsoft.Windows.Common-Controls“ version=“6.0.0.0″ processorArchitecture=“*“ publicKeyToken=“6595b64144ccf1df“ language=“*“> </assemblyIdentity> </dependentAssembly> </dependency> <dependency> <dependentAssembly> <assemblyIdentity type=“win32″ name=“Microsoft.VC90.CRT“ version=“9.0.21022.8″ processorArchitecture=“amd64″ publicKeyToken=“1fc8b3b9a1e18e3b“> </assemblyIdentity> </dependentAssembly> </dependency> <trustInfo xmlns=“urn:schemas-microsoft-com:asm.v3″> <security> <requestedPrivileges> <requestedExecutionLevel level=“asInvoker“ uiAccess=“false“/> </requestedPrivileges> </security> </trustInfo> <asmv3:application> <asmv3:windowsSettings xmlns=“http://schemas.microsoft.com/SMI/2005/WindowsSettings“> <ms_windowsSettings:dpiAware xmlns:ms_windowsSettings=“http://schemas.microsoft.com/SMI/2005/WindowsSettings“>false</ms_windowsSettings:dpiAware> </asmv3:windowsSettings> </asmv3:application> </assembly>
Note that you can use the manifest for other applications also that aren’t scaling aware.

 

 

Siehe auch https://www.brankovucinec.com/fix-remote-desktop-dpi-scaling-issues/

oder https://www.windowspro.de/wolfgang-sommergut/anzeige-rdp-sitzungen-fuer-hochaufloesende-monitore-anpassen

Content retrieved from: https://www.brankovucinec.com/fix-remote-desktop-dpi-scaling-issues/.

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑