Kategorie: 2016

Windows Passwort zurücksetzen

Variante 1 – Reset Local Account password mittels Setup-Medium

  1. Boot von Setup-Stick
  2. Shift+F10 um CMD zu öffnen
  3. Auf c:\windows\system32 wechseln
  4. ren utilman.exe utilman.exe.bak
  5. copy cmd.exe utilman.exe
  6. wpeutil reboot
  7. Im Anmeldebildschirm mittels „Eingabehilfe“ die CMD öffnen (Mittleres Symbol re.unten)
  8. net user Administrator /active:yes um Admin. zu aktivieren (falls benötigt), danach Reboot
  9. lusrmgr.msc
  10. Kennwort vom Administrator löschen
  11. utilman.exe löschen
  12. ren utilman.exe.bak utilman.exe

Detailiert:

To reset your local account password and regain access to your account after forgetting your password, you first need to create a Windows installation media (if you don’t have one handy) and then follow the instructions as outlined below.

  • Boot your computer with Windows installation media.
  • In the Windows Setup page, press the Shift + F10 keyboard shortcut to open Command Prompt.
  • Type C: and hit Enter to move from the X:\Sources folder to the root folder of your Windows installation.

Note: If C is not the drive letter for the drive on which Windows 11/10 is installed, you can find the right drive letter by confirming the location using the dir command. If the result shows the Programs Files as well as Windows folders, then you’re in the correct location. Otherwise, type the correct drive letter.

  • Next, type the command below and hit Enter to navigate to the System32 folder:
cd Windows\System32
  • Now, type the commands below and hit Enter (on each line) to replace the Utility Manager button with direct access to Command Prompt from the Sign-in screen:
ren utilman.exe utilman.exe.bak
copy cmd.exe utilman.exe
Reset Local Account password on Windows 10 using installation media-2
  • Next, type the command below and hit Enter to restart your computer normally:
wpeutil reboot
  • In the Sign-in screen, click the Utility Manager (Ease of access) button (the one in the middle of three buttons) in the bottom-right corner to open Command Prompt.
  • Type the command below and hit Enter to enable the built-in Administrator account:
net user Administrator /active:yes
  • Next, click the Power button in the bottom-right corner and select Restart.
  • In the Sign-in screen, select the Administrator account.
  • Next, press Windows key + R to invoke the Run dialog.
  • In the Run dialog box, type lusrmgr.msc and hit Enter to open Local Users and Groups.
  • Expand the Local Users and Groups branch.
  • Expand the Users branch.
  • Right-click the account you want to reset the password and select the Set password option.
Reset Local Account password on Windows 10 using installation media-4
  • Specify the new password.
  • Click OK.
  • Next, to sign out from the Administrator account, press Windows key + X to open Power User Menu, tap U and then I on the keyboard.
  • Sign back in using the account with the new password.
  • Now, shut down the Windows 11/10 PC.

Now, you should restore the utilman.exe file. If not, you won’t be able to use the Utility Manager on Windows 11/10 sign-in screen and on the other hand, others might use the command prompt to change your Windows 11/10 admin password or make other changes to your computer. To restore the utilman.exe file, do the following:

  • Boot the device using the Windows 11/10 installation media again.
  • In the Windows 11/10 Setup page, press Shift + F10 keyboard shortcut to open Command Prompt.
  • Type C: and hit Enter to move to the root folder of your Windows 11/10 installation:
  • Now, type the commands below and hit Enter (on each line) to replace  the direct access to Command Prompt with the Utility Manager button on the sign-in screen:
del utilman.exe
ren utilman.exe.bak utilman.exe
  • Next, type the command below and hit Enter to disable the inbuilt Administrator account:
net user Administrator /active:no

Finally, type the command below and hit Enter to restart your computer normally:

wpeutil reboot

You now have regained access to your device.

Variante 2 – PassFab 4WinKey

  1. Zunächst einmal musst du die Software PassFab 4WinKey herunterladen und installieren.
  2. Anschließend startest du die Software.
  3. Um loszulegen, musst du zu allererst ein Windows-Bootmedium erstellen. Entweder du entscheidest dich dafür, eine CD/DVD zu brennen oder aber du erstellst einen bootfähigen USB-Stick. Wir haben uns an dieser Stelle für Letzteres entschieden.
  4. Nachdem du auf Weiter geklickt hast, weist dich PassFab 4WinKey darauf hin, dass der USB-Stick in neue Partitionen eingeteilt wird und alle darauf befindlichen Daten gelöscht werden, wenn du auf Weiter Sei dir also im Vorfeld sicher, das sich auf dem USB-Stick keine wichtigen Daten befinden. Falls doch, klicke auf Abbrechen und sichere deine Daten zuerst an einem anderen Ort, bevor du fortfährst.
  5. Die erforderlichen ISO-Dateien werden nun heruntergeladen und auf das ausgewählte Medium transferiert. Dieser Vorgang kann je nach Medium ein paar Minuten in Anspruch nehmen.
  6. Sobald das Medium fertiggestellt wurde, erklärt die Software in einem kleinen Tutorial, wie du weiter vorgehen kannst und hält dabei ein paar Tipps bereit.
  7. Im nächsten Schritt musst du deinen Computer neu starten. Stelle dabei sicher, dass sich dein soeben erstelltes Medium im CD/DVD-Laufwerk befindet bzw. an einem USB-Anschluss steckt.
  8. Je nach Markle und Modell deines Computers bzw. Laptops musst du direkt beim Starten einen Hotkey auf deiner Tastatur drücken, um in die Boot-Optionen zu gelangen. Welcher das sein könnte, kannst du der nachfolgenden Tabelle entnehmen.
  9. Bist du im Boot-Menü angelangt, wähle mit den Pfeiltasten das Medium aus, das du erstellt hast und bestätige deinen Vorgang mit der Enter-Taste – wie im Screenshot zu sehen.
  10. In der Regel sollte PassFab 4WinKey nun starten und dir eine Übersicht der Funktionen anzeigen. Je nach Anwendungsfall kannst du nun entscheiden, was du machen möchtest. Keine Sorge, die Vorgänge sind selbsterklärend.

Variante 3 – Offline NT Password & Registry Editor

  1. Laden Sie sich das kostenlose Tool „Offline NT Password & Registry Editor“ herunter und öffnen Sie die ZIP-Datei.
  2. Extrahieren Sie die darin enthaltene ISO-Datei und erstellen einen USB-Stick mit z.B. UNetbootin.
  3. Schalten Sie Ihren Computer aus und starten Sie Ihn erneut. Damit vom USB-Stick gebootet wird, müssen Sie unter Umständen die Boot-Reihenfolge im BIOS ändern.
  4. Wurde das Tool vom USB-Stick gestartet, wählen Sie als erstes die Partition aus, auf der Windows 10 installiert ist. Bestätigen Sie anschließend den Pfad der Registry.
  5. Wählen Sie nun die Option „1 – Password reset with space as delimeter“ sowie anschließend „1 – Edit user data and passwords“.
  6. Entscheiden Sie sich für Ihren Benutzer unter Windows 10 und wählen Sie die Option „1 – Clear (blank) user password“.
  7. Mit der Eingabe von [!] und [Q] wird der Vorgang durchgeführt und bestätigt. Drücken Sie abschließend auf [Z] und starten Sie Windows ohne die CD oder den USB-Stick neu.
  8. Anschließend können Sie sich ohne Passwort anmelden. Aus Sicherheitsgründen sollten Sie aber nach dem Login ein neues Passwort vergeben.

Skripte über GPO mit Adminrechten ausführen

Besonders beim Automatisieren sind Skripte immer wieder hilfreich. Was aber nun, wenn man diese Skripte über eine Gruppenrichtlinie mit erhöhten Rechten ausführen möchte? Wer hier nicht aufpasst, tappt schnell in eine der klassischen Fallen der Gruppenrichtlinien-Verarbeitung. Nämlich dem Unterschied zwischen der Computer- und Benutzerkonfiguration innerhalb einer Richtlinie.

Vorm Anlegen der Richtlinie sollte man sich darüber im Klaren sein, auf welcher Ebene das Skript laufen soll. Also: Benutzer- oder Computerebene? Skripte auf Benutzerebene werden folgerichtig im Kontext des angemeldeten Benutzers ausgeführt und sind dann auch all dessen Einschränkungen unterworfen. Für benutzerspezifische Änderungen gut, sonst wahrscheinlich eher nicht.

Bindet man das Skript jedoch auf Computerebene ein, entfällt der Benutzerkontext und es erfolgt eine Ausführung mit administrativen Rechten. Quasi wie wenn man lokal eine Batch als Administrator ausführt. Um nun Skripte per GPO mit Adminrechten auszuführen, sind folgende Schritte notwendig:

GPO - Skripte Computer Admin
  1. Öffne in der Gruppenrichtlinien-Verwaltung den Gruppenrichtlinien-Editor der entsprechenden Richtlinie
  2. Suche dort den folgenden Pfad auf:
    Computerkonfiguration -> Windows-Einstellungen -> Skripts -> Starten
  3. Füge nun das gewünschte Skript hinzu
  4. Überprüfe abschließend die Richtlinienzuweisung und setze die Änderungen ggf. per gpupdate /force durch

Da die Richtlinie auf der Computerebene greift, wirkt sie natürlich ohne weitere Vorkehrungen nur auf Computer-Objekte im AD. Wer also die GPO auch auf Benutzerobjekte wirken lassen möchte, muss vorher die Loopback-Verarbeitung aktivieren.

Damit sind dann hoffentlich alle Unwägbarkeiten aus dem Weg geräumt. Die in der Computerkonfiguration der Richtlinie eingebundenen Skripte sollten nach einer Aktualisierung der wirkenden Richtlinien beim nächsten PC-Start mit administrativen Rechten ausgeführt werden.

Content retrieved from: https://dashdot.de/2019/01/18/skripte-gpo-admin/.

Auf Client wirkende Gruppenrichtlinien anzeigen lassen

In größeren Active Directory-Infrastrukturen kann die Ordnung der Gruppenrichtlinien schnell verloren gehen. Dies erschwert unter Umständen die Fehlerbehebung, wenn es zu Problemen kommt. Um bei der Recherche trotzdem schnell einen Überblick über die auf einen Client wirkenden GPOs zu erhalten, gibt es diverse Tools, mit denen man die aktiven Gruppenrichtlinien anzeigen lassen kann.

Variante 1: gpresult

Die gängigste Variante der Auswertung ist heutzutage gpresult. Mit diesem Helferlein sieht man recht schnell und übersichtlich, welche aktiven Gruppenrichtlinien auch aktuell greifen. Für dieses Tool gibt es einige verschiedene Ausgabemöglichkeiten, die ich hier mal kurz darstelle.

Ergebnisse in Kommandozeile anzeigen lassen

Das ist der schnellste Weg, um direkt in der Konsole einen Überblick über die wirkenden GPOs zu erhalten. Außerdem erhält man noch weitere Informationen, wie zum Beispiel den Zeitpunkt des letzten Updates, den dabei genutzten Domänen-Controller oder etwaige Gruppenmitgliedschaften. Dafür muss man lediglich den folgenden Befehl absetzen:
gpresult /r

Auswertung auf Computerkonfiguration beschränken

Zur Übersichtlichkeit kann man die Ausgabe auch einschränken, zum Beispiel auf die Richtlinien der Computerkonfiguration. Dazu hängt man einfach ein /scope:computer ran:
gpresult /r /scope:computer

Auswertung auf Benutzerkonfiguration beschränken

Das Gleiche geht natürlich auch für die Benutzerebene:
gpresult /r /scope:user

Remote-Computer abfragen

Auch ganz praktisch: Man kann die Anfrage ebenso an einen entfernten Computer schicken. Dies geschieht durch folgendes Kommando (%PC-NAME% entsprechend abändern):
gpresult /s %PC-NAME% /r

Ergebnisse in Datei exportieren

Wem jetzt allerdings die Kommandozeile etwas zu unübersichtlich ist, dem empfehle ich den Export der Ergebnisse in eine externe Datei. Dafür gibt es diverse Möglichkeiten.

TXT-Datei

Wer’s simpel mag, kann hier zur guten alten Text-Datei greifen. Dafür braucht es den folgenden Befehl:
gpresult /r >C:GPOs.txt

HTML-Datei

Wer jedoch lieber eine grafische Übersicht möchte, sollte auf eine HTML- oder XML-Datei zurückgreifen. Für einen HTML-Export sieht das Kommando wie folgt aus:
gpresult /h C:GPOs.html

XML-Datei

Wer stattdessen zum XML-Export tendiert, muss nicht viel anpassen:
gpresult /x C:GPOs.xml

Detaillierte Informationen ausgeben lassen

Abschließend noch ein kleiner Tipp aus den Kommentaren (danke): Mit dem Parameter /z lassen sich detailliertere Ergebnisse generieren, für komplexere Probleme:
gpresult /z

Variante 2: rsop

Die rsop-Konsole ist schon etwas in die Jahre gekommen, kann sich im Einzelfall aber trotzdem noch als nützlich erweisen, um zu sehen, welche Optionen einer GPO greifen. Im Gegensatz zu gpresult werden die Ergebnisse in einem vom Gruppenrichtlinienen-Editor bekannten Fenster dargestellt. Es gibt allerdings zwei entscheidende Nachteile: Man muss sich zu jeder einzelnen Option durchklicken, um nachzuschauen, wie diese eingestellt ist. Es gibt also keine Übersicht. Zudem werden die Einträge der Rubrik Windows-Einstellungen einer GPO nicht ausgewertet. Wer rsop trotzdem eine Chance geben möchte, gibt folgendes in der Kommandozeile oder im Ausführen-Dialog ein:
rsop.msc
Mit dieser letzten Möglichkeit haben wir jetzt die gängigsten Optionen abgedeckt, um Gruppenrichtlinien anzeigen zu lassen. Es sei denn, jemanden fällt hier noch eine ein. Abschließend sei noch auf die Microsoft Docs verwiesen, wo alle Schalter für gpresult aufgeführt sind.

Content retrieved from: https://dashdot.de/2021/04/08/auf-client-wirkende-gruppenrichtlinien-anzeigen-lassen/.

Aktivieren von IPv6-DHCP Server in einer Domäne

  1. netsh int ipv6 Show int
    dort die Nummer bei Idx für die Netzwerkkarte notieren
  2. netsh int ipv6 set int advertise=enabled
  3. netsh int ipv6 set route fc00:1192:1168:1178::/64 „<Name der Netzwerkkarte“ publish=yes

Nicht notwendig, wenn der Router korrekt konfiguriert ist (Schlagwort Router Advertising)

Ping in Windows erlauben:
GUI, PowerShell, netsh, GPO

Ping-Request mit ping.exeWindows blockiert Ping-Anforderungen durch eine ent­sprechende Konfigu­ration der Firewall. Diese Ein­stellung lässt sich auf mehrere Arten ändern, entweder über die grafische Konsole der Firewall, über die Kommando­zeile sowie PowerShell oder zentral über Gruppenrichtlinien.

Der Grund für das abweisende Verhalten von Windows gegenüber Ping-Requests sind Sicherheitsbedenken von Microsoft. Schließlich wird der Dienst gerne für Angriffe missbraucht, bevorzugt für Denial-of-Service-Attacken.

Änderung der Regeln nur als Administrator

Nichtsdestotrotz hat Ping nach wie vor seine Berechtigung als Diagnosewerkzeug bei Netzwerkproblemen, so dass man diese strikte Konfiguration der Firewall meistens lockern wird. In Firmennetzen kann man die damit verbundenen Risiken reduzieren, indem man die vordefinierte Firewall-Regel nur für das Profil Domäne aktiviert oder zulässige Anfragen auf bestimmte IP-Adressen beschränkt.

Für diesen Zweck stehen mehrere Werkzeuge zur Verfügung. Während Standardbenutzer die vorhandenen Einstellungen mit den Kommandozeilen-Tools ansehen können, setzt die Aktivierung von Firewall-Regeln grundsätzlich administrative Rechte voraus.

Eingehende Pings durchlassen

Das gängigste Programm zur Aktivierung der Firewall-Regeln für eingehende Pings ist die grafische Oberfläche Windows-Firewall mit erweiterter Sicherheit. Hier muss man sich als Administrator anmelden, um überhaupt die Einstellungen angezeigt zu bekommen.

Die Firewall-Regel für eingehende Ping-Anforderungen subsumiert Microsoft unter jenen für die Datei- und Druckerfreigabe.

Dort wechselt man in der linken Spalte zu Eingehende Regeln und sucht anschließend im Hauptfenster nach Datei- und Druckerfreigabe (Echo­anfor­derung – ICMPv4 eingehend). Diese Regel existiert in Ausprägungen für die Profile Domäne sowie für Öffentlich und Privat. Je nach Bedarf aktiviert man sie für ein bestimmtes oder für mehrere Profile (siehe dazu: Windows-Firewall: Regeln für Profile konfigurieren).

Zur Sicherheit lassen sich Ping-Anfragen auf bestimmte IP-Adressen und -Bereiche eingrenzen.

Öffnet man den Dialog Eigenschaften aus dem Kontextmenü dieser Regel, dann kann man dort unter Bereich => Remote-IP-Adresse die Clients, von denen Ping-Anfragen erlaubt sind, weiter einschränken. Existieren auf dem Rechner mehrere NICs, dann besteht zudem die Möglichkeit, über Lokale IP-Adressen jene festzulegen, zu denen Requests durchgelassen werden.

Ping zulassen mit PowerShell

PowerShell verfügt über eine Reihe von Cmdlets, mit denen sich die Firewall vollständig konfigurieren lässt. Für das Management der Regeln eignen sich Get-NetFirewallRule und Set-NetFirewallRule. Ersteres hilft dabei, den Status von Regeln zu ermitteln, Zweiteres kann diesen ändern.

Möchte man sich anzeigen lassen, welche Regeln für Ping zuständig sind, dann filtert man sie nach dem Begriff ICMP4:

Get-NetFirewallRule -name *ICMP4* | select name, DisplayName, Profile, Enabled | fl

Dieser Befehl gibt eine relative kurze Liste aus und zeigt unter anderem auch, für welches Firewall-Profil die Regeln gelten und ob sie aktiviert sind. Für eingehende Ping-Anforderungen in Domänen-Netzwerken ist demnach FPS-ICMP4-ERQ-In-NoScope zuständig, für die Profile Öffentlich und Privat hingegen FPS-ICMP4-ERQ-In.

Konfiguration der Firewall-Regeln für eingehende Pings mit PowerShell.

Nun kann man im nächsten Schritt die gewünschte Regel aktivieren, beispielsweise mit dem Befehl

Set-NetFirewallRule -name FPS-ICMP4-ERQ-In-NoScope -Enabled True -RemoteAddress 192.168.0.66

Er ändert nicht nur den Status der Regel FPS-ICMP4-ERQ-In-NoScope, so dass Ping-Anforderungen durchgelassen werden, sondern grenzt zusätzlich die zulässigen Hosts auf die IP-Adresse 192.168.0.66 ein. Vom Erfolg der Maßnahme kann man sich durch

Get-NetFirewallRule -name FPS-ICMP4-ERQ-In-NoScope | select name, enabled

überzeugen.

Firewall-Regel mit netsh.exe aktivieren

Wie schon in früheren Versionen von Windows steht auch weiterhin das Kommandozeilen-Tool netsh.exe für diese Aufgabe zur Verfügung. Zu seinen Nachteilen gehört nicht nur eine eigenwillige Syntax, sondern auch ein Mix aus übersetzten Namen für die Regeln und englischsprachigen Werten für die meisten Parameter.

Das netsh-Äquivalent zum obigen Aufruf von Set-NetFirewallRule würde so aussehen:

netsh advfirewall firewall set rule profile=Domain name=“Datei- und Druckerfreigabe (Echoanforderung – ICMPv4 eingehend)“ new enable=yes remoteip=192.168.0.66

Möchte man Anfragen von allen Rechnern zulassen, dann verzichtet man auf den Parameter remoteip. Will man hingegen die Regel für die Profile Öffentlich und Privat aktivieren, dann ändert man den Wert für profile auf Private,Public.

Ping erlauben über Gruppenrichtlinien

In zentral verwalteten Umgebungen wird man die Firewall-Einstellungen wahrscheinlich über GPOs konfigurieren wollen, beispielsweise für alle Rechner in einer bestimmten OU. Diese Möglichkeit bestand ebenfalls schon unter Windows 7 / 8.1, das Vorgehen ist dabei gleich geblieben. Siehe dazu meine Anleitung Ping mittels GPO erlauben in Windows 7 / 8.x und Server 2012 (R2).

Content retrieved from: https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gui-powershell-netsh-gpo.

SYSVOL-Replikation auf DFSR umstellen

Domänencontroller replizieren Ihre Skripte und Gruppenrichtlinien untereinander mittels Distributed File Replication Service (DFRS). Das war nicht immer so. Früher war es der File Replication Service (FRS). Dieser wird ab Windows Server 2019 nicht mehr unterstützt. Wer also seine Active Directory-Infrastruktur modernisieren möchte, der sollte von FRS auf DFRS migrieren. Dieser Blog-Artikel zeigt Euch, wie es geht.

Einführung

Jeder Domänencontroller in einem Windows-Netzwerk besitzen eine Ordnerfreigabe namens SYSVOL. Diese dient zur Replikation von Skripten und Gruppenrichtlinien zu anderen Domänencontroller. Der zugrunde liegende Replikationsmechanismus basiert ab Windows Server 2008 auf dem File Distributed File Replication Service (DFRS). Bis Windows Server 2016 wurde auch der ältere Replikationsmechanismus File Replication Service (FRS) unterstützt.

Wer bisher Windows Server 2016 (oder älter) als Domänencontroller im Einsatz hatte, dessen Replikation basiert unter Umständen noch auf FRS. Wer nun einen Windows Server 2019 oder 2022 als sekundären Domänencontroller hinzufügen möchte, der bekommt eine fette Meldung präsentiert, dass das so nicht geht, da der eigene Server kein FSR unterstützt.

In diesem Fall bleibt uns nichts weiter übrig, als den Replikationsmechanismus auf DFRS zu migrieren.

Migration durchführen

Das Werkzeug zur Durchführung der Migration hört auf den Namen Dfsrmig.exe.

Mit Dfsrmig.exe kannst Du die Migration in drei Schritten bei laufendem Betrieb durchführen:

  • Schritt 1 = Übergang zum Migrationsstatus Prepared: In diesem Status wird DFSR parallel zu FRS aktiviert. DFSR legt eine eigene Kopie des SYSVOL-Ordners unter SYSVOL_DFRS an, macht sonsts aber erstmal gar nichts.
  • Schritt 2 = Übergang zum Migrationsstatus Redirected: In diesem Status beginnt DFSR mit der Arbeit und nimmt Replikationsanfragen entgegen. SYSVOL_DFRS wird zum Hauptordner. FRS bleibt aber noch aktiv und arbeitet parallel mit seinem alten SYSVOL-Ordner.
  • Schritt 3 = Übergang zum Migrationsstatus Eliminated: In diesem Status geht DFSR weiter seiner Arbeit nach. FRS wird jedoch deaktiviert und der alte SYSVOL-Ordner gelöscht.

Die Aufteilung in drei separate Schritte erlaubt eine Rollback-Migration im Fall eines Fehlers.

Soweit zur Theorie, wir wollen jetzt die Migration in der Praxis sehen. Wir gehen dabei von folgender Beispielkonfiguration aus:

  • Domäne: intranet.beispiel.at
  • Primärer Domänencontroller: DC01
  • Sekundärer Domänencontroller: DC02

Schritt 1: Vorbereiten (Prepare)

Als erstes prüfen wir, ob die aktuelle Replikation unter FSR in Ordnung ist.

Dazu auf dem Server DC01 die Eingabeaufforderung als Administrator starten und folgendes eintippen:

net share

Die Ausgabe sollte in etwa wie folgt aussehen:

Name         Ressource                       Beschreibung

-------------------------------------------------------------------------------
C$           C:\                             Standardfreigabe
IPC$                                         Remote-IPC
ADMIN$       C:\Windows                      Remoteverwaltung
NETLOGON     C:\Windows\SYSVOL\sysvol\intranet.beispiel.at\SCRIPTS
                                             Ressource für Anmeldeserver
SYSVOL       C:\Windows\SYSVOL\sysvol        Ressource für Anmeldeserver
Der Befehl wurde erfolgreich ausgeführt.

Das sieht gut aus, die Netzwerkfreigabe SYSVOL ist wie gewünscht vorhanden.

Ein weitere Prüfung:

dfsrmig /getglobalstate

Die Ausgabe sollte wie folgt aussehen:

Die DFSR-Migration wurde noch nicht initialisiert. Legen Sie den
globalen Status auf den gewünschten Wert fest, um die Migration zu starten.

Wir haben dfsrmig gestartet und den aktuellen Status der Migration abgefragt. Die Antwort ist wie erwartet, eine Migration wurde also noch nicht durchgeführt.

Jetzt starten wir den Migrationsprozess, in dem wir den Status auf 1 (Prepared) setzen:

dfsrmig /setglobalstate 1

Die Ausgabe sollte wie folgt aussehen:

Aktueller globaler DFSR-Status: "Starten"
Neuer globaler DFSR-Status: "Vorbereitet"

Die Migration wechselt in den Status "Vorbereitet". Der DFSR-Dienst
kopiert den Inhalt von SYSVOL in den Ordner SYSVOL_DFSR.

Falls die Migration von einem Domänencontroller nicht gestartet werden kann, versuchen Sie es mit einem manuellen Abruf.
Alternativ können Sie den Befehl mit der Option "/CreateGlobalObjects" ausführen.
Die Migration kann in einem beliebigen Zeitraum
zwischen 15 Min. und 1 Stunde gestartet werden.
Erfolgreich

Unmittelbar danach überprüfen wir den Migrationsstatus:

dfsrmig /getmigrationstate

Es dauert eine Weile, bis alle Domänencontroller den Status übernommen haben. Daher sieht die Ausgabe wahrscheinlich wie folgt aus:

Die folgenden Domänencontroller haben den globalen Status (""Vorbereitet"") nicht erreicht:

Domänencontroller (lokaler Migrationsstatus) - Domänencontrollertyp
===================================================================

DC01 ("Starten") - Primary DC
DC02 ("Starten") - Writable DC

Die Migration hat noch nicht auf allen Domänencontrollern einen konsistenten Status erreicht.
Möglicherweise sind die Statusinformationen aufgrund der Wartezeit der Active Directory-Domänendienste veraltet.

Diese Abfrage können wir beliebig oft wiederholen. Irgendwann bekommen wir diese Ausgabe:

Alle Domänencontroller wurden erfolgreich zum globalen Status (""Vorbereitet"") migriert.
Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
Erfolgreich

Mit Schritt 1 sind wir fertig.

Schritt 2: Umleiten (Redirect)

Jetzt wollen wir den Status auf 2 (Redirected) setzen:

dfsrmig /setglobalstate 2

Die Ausgabe sollte wie folgt aussehen:

Aktueller globaler DFSR-Status: "Vorbereitet"
Neuer globaler DFSR-Status: "Umgeleitet"

Die Migration wechselt in den Status "Umgeleitet". Die Freigabe "SYSVOL"
wird zum Ordner "SYSVOL_DFSR" geändert,
der mithilfe von DFSR repliziert wird.

Erfolgreich

Wir prüfen wieder den Migrationsstatus:

dfsrmig /getmigrationstate

Zunächst bekommen wir folgende Ausgabe:

Die folgenden Domänencontroller haben den globalen Status (""Umgeleitet"") nicht erreicht:

Domänencontroller (lokaler Migrationsstatus) - Domänencontrollertyp
===================================================================

DC01 ("Vorbereitet") - Primary DC
DC02 ("Vorbereitet") - Writable DC

Die Migration hat noch nicht auf allen Domänencontrollern einen konsistenten Status erreicht.
Möglicherweise sind die Statusinformationen aufgrund der Wartezeit der Active Directory-Domänendienste veraltet.

Wenn alle Domänencontroller den Migrationsstatus übernommen haben, dann diese Ausgabe:

Alle Domänencontroller wurden erfolgreich zum globalen Status (""Umgeleitet"") migriert.
Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
Erfolgreich

Mit Schritt 2 sind wir fertig.

Schritt 3: Beseitigen (Eliminate)

Zu guter Letzt wollen wir den Status auf 3 (Eliminate) setzen:

dfsrmig /setglobalstate 3

Die Ausgabe sollte wie folgt aussehen:

Aktueller globaler DFSR-Status: "Umgeleitet"
Neuer globaler DFSR-Status: "Entfernt"

Die Migration wechselt in den Status "Entfernt". Es ist nicht möglich,
diesen Schritt rückgängig zu machen.

Verwenden Sie die Option "/DeleteRoNtfrsMembers", wenn ein schreibgeschützter Domänencontroller
zu lange im Status "Wird entfernt" verbleibt.
Erfolgreich

Wir prüfen wieder den Migrationsstatus:

dfsrmig /getmigrationstate

Und auch hier, erst so:

Die folgenden Domänencontroller haben den globalen Status (""Entfernt"") nicht erreicht:

Domänencontroller (lokaler Migrationsstatus) - Domänencontrollertyp
===================================================================

DC01 ("Umgeleitet") - Primary DC
DC02 ("Umgeleitet") - Writable DC

Die Migration hat noch nicht auf allen Domänencontrollern einen konsistenten Status erreicht.
Möglicherweise sind die Statusinformationen aufgrund der Wartezeit der Active Directory-Domänendienste veraltet.

Später dann so:

Alle Domänencontroller wurden erfolgreich zum globalen Status (""Entfernt"") migriert.
Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
Erfolgreich

Mit dem letzten Schritt 3 sind wir fertig.

Abschließende Überprüfung

Werfen wir wieder einen Blick auf unsere Netzwerkfreigaben:

net share

Die Ausgabe sollte in etwa wie folgt aussehen:

Name         Ressource                       Beschreibung

-------------------------------------------------------------------------------
C$           C:\                             Standardfreigabe
IPC$                                         Remote-IPC
ADMIN$       C:\Windows                      Remoteverwaltung
NETLOGON     C:\Windows\SYSVOL_DFSR\sysvol\intranet.beispiel.de\SCRIPTS
                                             Ressource für Anmeldeserver
SYSVOL       C:\Windows\SYSVOL_DFSR\sysvol   Ressource für Anmeldeserver
Der Befehl wurde erfolgreich ausgeführt.

Der Name der Netzwerkfreigabe ist gleich geblieben, aber der verknüpfte Ordner lautet nun SYSVOL_DFSR. So war es ja geplant, also alles ok.

Eine abschließende Prüfung soll sicherstellen, dass der Dienst für FSR deaktiviert ist.

sc query NtFrs

Die Ausgabe sollte so aussehen:

SERVICE_NAME: NtFrs
        TYPE               : 10  WIN32_OWN_PROCESS
        STATE              : 1  STOPPED
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Content retrieved from: https://blog.stueber.de/posts/sysvol-dfsr-migration/.

SAN (Subject Alternative Names) Zertifikat erstellen

SAN-Zertifikat von öffentlicher Zertifizierungsstelle erstellen lassen?

CertificateUm also mehrere Server- bzw. Dienstnamen in einem Zertifikat einzubinden, erstellt man ein spezielles Zertifikat, welches um das Datenfeld Subject Alternative Names erweitert wird. Öffentliche Zertifizierungsstellen (Certificate Authority, CA) bieten u.a. Webformulare an, in denen man alle benötigten Namen angibt. Die CA erstellt aus den Angaben den Certificate Signing Request (CSR) sowie den Private Key und signiert das neue Zertifikat. Der private Schlüssel ist streng vertraulich, da mit diesem die Entschlüsselung von Daten erfolgt.

In diesem Szenario besitzt die Zertifizierungsstelle sowohl den öffentlichen als auch den privaten Schlüssel des Zertifikats. Die Sicherheit und Vertraulichkeit ist dadurch nicht mehr gewährleistet. Der private Schlüssel ist vor Zugriffen Dritter, also auch vor Zugriffen öffentlicher Zertifizierungsstellen, zu schützen.

 

Zertifikatsantrag (CSR) und Private Key besser selbst erstellen

Vertraulichkeit und hohe Sicherheitsansprüche sind gute Gründe den CSR, und damit den privaten Schlüssel, selbst zu erstellen. Betreibt man eine eigene, interne PKI, bspw. mithilfe Microsofts AD CS, wird man gelegentlich CSR für interne Dienste bzw. Server erstellen müssen. Im Folgenden wird beschrieben, wie man diese CSR zum Ausstellen neuer Zertifikate mit Windows Bordmitteln recht einfach erstellt. Das Verfahren ist nicht ausschließlich auf SAN-Zertifikate beschränkt, sondern kann auch zum Beantragen von Wildcard- und Single Name-Zertifikaten angewandt werden.

 

Zertifikatsspeicher

Der Zertifikatsspeicher des lokalen Computers.

Zertifikate werden in unterschiedlichen Bereichen aufbewahrt. Es gibt den zentralen Zertifikatsspeicher des Computer. Die in diesem Speicher abgelegten Zertifikate können sowohl von Programmen, Diensten sowie von allen Benutzern des Computers genutzt werden. Zum Verwalten dieser Zertifikate sind jedoch Administratorberechtigungen erforderlich. Die Management Konsole des Computer Certificate Store ruft man über Start –> Ausführen –> certlm.msc auf.

 

 

Der Zertifikatsspeicher des angemeldeten Benutzers.

Jeder Benutzer besitzt seinen eigenen Certificate Store. Auf den benutzerspezifischen Zertifikatsspeicher hat nur der jeweilige Anwender Zugriff. Für die Verwaltung der eigenen Zertifikate sind keine administrativen Berechtigungen erforderlich. Die Management Konsole des eigenen Zertifikatsspeicher startet man über Start –> Ausführen –> certmgr.msc auf.

 

 

 

CSR erstellen

Um den CSR direkt auf dem Windows Gerät zu erstellen, auf dem das neue Zertifikat eingesetzt werden soll, verwendet man idealerweise die Zertifikatsverwaltung des Computers: certlm.msc. Generiert man den CSR stellvertretend, um das Zertifikat nach Erstellung zu exportieren und weiterzugeben, reicht die eigene, benutzerbezogene Zertifikatsverwaltung, da sie keine erhöhten Rechte anfordert: certmgr.msc

 

Für ein SAN-Zertifikat muss eine benutzerdefinierte Anforderung (Custom Request) erstellt werden.

 

Nach dem Start des Assistenten, führt man den Vorgang ohne Registrierungsrichtlinie fort. Active Directory-Registrierungsrichtlinien werden über Gruppenrichtlinien (GPO) verwaltet und stellen in der Regel einfache Benutzer- oder Computerzertifikate aus. Diese Richtlinie ist für unsere Zwecke nicht ausreichend.

 

Sowohl die Wahl der Crypto Engine CNG, als auch das Format PKCS sind vorausgewählt.

 

Den CSR konfiguriert man über Eigenschaften, die durch einen Klick auf Details erscheinen.

 

Sowohl Anzeigename als auch Beschreibung dienen der besseren Übersicht, haben üblicherweise keine technische Relevanz und können frei gewählt werden.

 

Hinweis

Es gibt vereinzelt Anwendungen die den Anzeigenamen nutzen, um Zertifikate zu identifizieren. Beispielsweise greift der Office Online Server auf dieses Feld zurück, um ein Wildcard-Zertifikat einzubinden. Der VMware Connection Server erfordert gar den vordefinierten Wert vdm als Anzeigename, um das richtige Zertifikat zu erkennen, was bei einem Zertifikatswechsel zu beachten ist.

Diese Eigenschaften lassen sich jederzeit nachträglich in der Zertifikatsverwaltung anpassen.

 

Jetzt sind alle relevanten Daten einzugeben. Üblicherweise gibt man als Common Name (Allgemeiner Name) den DNS-Namen an, unter dem der Dienst öffentlich erreichbar ist. Hinzu kommen Angaben zum Ort bzw. Stadt (L=Location), Land/Region (C=Country), was nicht zu verwechseln ist mit (Bundes)Land (S=State). Des Weiteren sind die Angaben Organisation (O), die verantwortliche Organisationseinheit (OU), in der Regel die IT-Abteilung, und die E-Mail-Adresse eines Kontakts. Übliche Kürzel, bspw. Länderkennungen, sind erlaubt.

Die alternativen Namen werden im unteren Abschnitt eingetragen. Neben DNS kann man auch die IP-Adressen eintragen.

 

Welchen Zweck ein Zertifikat erfüllt, gibt man im Reiter Erweiterungen unter Erweiterte Schlüsselverwendung (Anwendungsrichtlinien) an. Für ein Serverzertifikat ist die Option Serverauthentifizierung auszuwählen. Oftmals wird Zertifikaten zusätzlich die Option Clientauthentifizierung hinzugefügt, über die sich ein Server anderen gegenüber als Client authentifiziert. Diese Option ist aber nicht erforderlich.

Bei der Angabe Schlüsselverwendung handelt es sich um Einschränkungen der Verwendung des Zertifikats auf die ausgewählten Optionen. Typischerweise erforderlich für ein Serverzertifikat ist Digitale Signatur, oft in Kombination mit Schlüsselverschlüsselung, was bedeutet, dass der Schlüsselaustausch nur mit Schlüsselverschlüsselung zugelassen ist. Diese Angabe ist optional und wird ggf. durch die signierende CA gesetzt.

 

Die Auswahl und Konfiguration der Cipher Suite erfolgt im Reiter Privater Schlüssel. Je nach Verwendungszweck und Laufzeit des Zertifikats, ist ein geeigneter Algorithmus mit entsprechender Schlüssellänge zu wählen. Nach wie vor häufig im Einsatz ist RSA. Bei Verwendung von RSA sollte der Schlüssel mindestens 2048, besser 4096 Bit lang sein. Neuere Alghorithmen, bspw. auf Basis elliptischer Kurven wie ECDH, kommen mit kleineren Schlüsseln aus.

 

Der Kryptografieanbieter, per default RSA, kann ausgewählt bleiben. Damit verstehen sich die meisten Programme. Möchte man die Sicherheit hochschrauben, greift man zu neueren Cipher Suiten mit Elliptic Curve Cryptography (ECC). Das Perfect Forward Secrecy Verfahren stellt sicher, dass verschlüsselte Kommunikation nicht zu entschlüsseln ist, da sich mit jeder neuen Session der Session Key ändert.

Der Hashalgorithmus sollte unbedingt auf SHA-2 basieren, SHA-1 und MD5 sind unsicher, auf sie sollte man komplett verzichten. In der Praxis werden die Algorithmen SHA-256, SHA-384 und SHA-512 verwendet, aktuelle Browser und Geräte unterstützen SHA-2. Muss das Zertifikat exportiert werden, ist der private Schlüssel als exportierbar zu kennzeichnen.

 

Nach der Angabe aller Daten, schließt und speichert man die Anforderung ab.

 

Den CSR schickt man nun der CA. Der CA Administrator prüft und signiert den Request, um diesen in Form eines Zertifikates zurückzusenden. Dieses Zertifikat muss auf dem Gerät importiert werden, auf dem der CSR erstellt wurde. Und der Import erfolgt in den zuvor genutzten Zertifikatsspeicher. Denn nur dort liegt der generierte private Schlüssel des Zertifikats.

 

 

Windows ordnet den privaten Schlüssel automatisch dem zugeordneten Zertifikat zu. Ob ein Schlüsselpaar komplett ist, zeigt sich in den allgemeinen Informationen des Zertifikats durch ein Schlüsselsymbol.

 

Offene, nicht abgeschlossene Anforderungen sind in der Zertifikatsverwaltung im Abschnitt Zertifikatregistrierungsanforderungen zu finden.

 

Zertifikat über Microsoft Zertifikatsdienste (AD CS) ausstellen

Als Verwalter einer internen PKI oder als Berechtigter zur Ausstellung von Zertifikaten, geht man mittels Browser auf das Web Interface der eigenen CA (https://ca-server/certsrv/). Auf der Webseite klickt man auf Request a certificate.

 

Anschließend navigiert man zur Anforderungseite über den Link Submit a certificate request[…].

 

Den kompletten Inhalt des CSR, die Datei kann mit jedem Texteditor geöffnet werden, überträgt man in das Formular, wählt die gewünschte Zertifikatsvorlage aus und schickt die Anfrage ab.

War der Vorgang erfolgreich, wird das signierte Zertifikat zum Download angeboten, welches dann an den Anforderer zurückgeschickt oder importiert werden kann.

Alternativ zum Web Enrollment, können CSR direkt über die CA Managenment Konsole oder mittel certreq.exe signiert werden.

 

Weiterführende Informationen
Wikipedia: Public-Key-Infrastruktur
Microsoft: Active Directory Certificate Services Overview
Technet: Active Directory-Zertifikatdienste
Technet: AD CS Step by Step Guide: Two Tier PKI Hierarchy Deployment
Technet: Cross-Forest Certificate Enrollment using Certificate Enrollment Web Services
Technet: Active Directory Certificate Services (AD CS) Clustering
Microsoft: PKI Blog Archive
Certutil.exe
Certreq.exe

 

 

Content retrieved from: https://www.privalnetworx.de/create-san-certificate.

Upgrade Windows Server 2022 Evaluation to Full Edition

upgrade server evaluation to production errors product key you entered didnt work 0xC004F069

If you try to convert / upgrade Windows Server Evaluation to a licensed full edition using the normal command line or the CHANGE KEY GUI, you will see errors like: The product key you entered didn’t work, Check the product key and try again or enter a different one

Fortunately, there is an easy fix. You have to change Windows Server Eval editions to a production licensed versions of Standard or Data Center:

  1. Launch a PowerShell as an Administrator
  2. Type dism /online /get-currentedition and press ENTER
  3. Type dism /online /get-targeteditions and press ENTER
  4. Type dism /online /set-edition:ServerDatacenter /productkey:WX4NM-KYWYW-QJJR4-XV3QB-6VM33 /accepteula or dism /online /set-edition:ServerStandard /productkey:VDYBN-27WPP-V4HQT-9VMD4-VMK7H /accepteula and press ENTER
  5. After that you need to restart the server.
  6. Then you will have a changed Windows version, which is unlicensed.
    You can add a valid, licenced Product Key with
    slmgr.vbs /ipk #####-#####-#####-#####-##### and press ENTER

how to upgrade windows server evaluation version to standard datacenter production licensed versions

Key Zwischenschritt:
Server 2016 Standard:      WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
Server 2016 Datacenter:  CB7KF-BWN84-R7R2Y-793K2-8XDDG
Server 2019 Standard:      N69G4-B89J2-4G8F4-WWYCC-J464C
Server 2019 Datacenter:  WMDGN-G9PQG-XVVXX-R3X43-63DFG
Server 2022 Standard:      VDYBN-27WPP-V4HQT-9VMD4-VMK7H
Server 2022 Datacenter:  WX4NM-KYWYW-QJJR4-XV3QB-6VM33
Keys von:
https://www.tenforums.com/tutorials/95922-generic-product-keys-install-windows-10-editions.html
https://learn.microsoft.com/en-us/windows-server/get-started/kms-client-activation-keys#windows-server-2022

Windows Server GUI auf Server Server Core wechseln

Windows Server Core Mode Performance Benefits

The most obvious reason for converting to Core is performance: you get more bang for your buck on the same hardware by reducing unused operating-system components from running. Performance benefits include:

  • Fewer RAM requirements
  • Fewer CPU requirements
  • Fewer patches
  • Faster operation
  • Faster boot time
  • Better Uptime

For Fastvue Reporter running as a syslog server, the uptime is vital because messages can be missed and only caught much later when the historical log archive rolls over at midnight. The more stable and robust your platform is, the lower the potential for lost log data.

Windows Server Core Mode Security Benefits

The additional performance gains and improved uptime is nice, but even without these benefits, some still prefer to run Core from a security perspective. Having less code and tools on a system makes it harder to attack, and once compromised, it makes it less useful to the attacker.

Security benefits of this switch include:

  • Smaller attack surface
  • Windows server RSAT
  • Easily switch from full GUI to Core

Managing Windows Server Core Mode

There are many compelling reasons to switch from Full GUI to Core, but the question that comes up most often involves management. „How would I manage the switch to Core?“. This is normally followed closely by „My staff only know how to use the GUI. What if we need need it for some reason?“.

Back in Windows Server 2008, you selected whether you want Core or Full GUI. It was a one-way trip.

But now in Windows Server 2012, you have the option of switching between modes. Depending on how you switch, your experience is either simple, or requires a bit more time and effort.

Switching Between Modes

I am going to show you how to switch between Windows Server Core Mode and the full GUI mode the easy way, Based on my several years of experience to figuring out the „best way“ of doing it.

The steps include:

  • Configuring your server to take advantage of the reduced requirements
  • Switch to Core mode using PowerShell
  • Manage your core server from a machine with Full GUI using RSAT
  • Switch from Core back to Full GUI mode

Step 1: Configure your server

I am going to configure my Fastvue Reporter Server as a Hyper-V Virtual Machine with dynamic RAM in order to take advantage of the reduced requirements of Windows Core Mode.

Fastvue Reporter is a good candidate for virtualisation and running Windows Core Mode because of its predictable CPU and RAM requirements. It is also more resource-hungry when other servers are typically not because Fastvue Reporter generates reports on a schedule at midnight each day, week, and end of the month.

This works best on host and guest OS of Windows Server 2012 R2. To configure your server:

  1. Open Hyper-V Manager and select the Virtual Server and go to Settings
  2. Enable Dynamic RAM
  3. Set the Minimum RAM to something realistically low (2048)
  4. Set the Maximum RAM to something nice and high
  5. Ensure that Memory Buffer is around 20% because of the predictable resource requirements
  6. Designate the CPU to allocate at least 3 Cores

You may also like to see our article on Understanding Hyper-V Dynamic Memory (Dynamic RAM).

Step 2: Switch from using Full GUI to Core Mode – The Easy Way

Don’t worry. Switching from the full GUI to Windows Core Mode is a reversible step. You can always bring the GUI back.

There are two ways to remove the GUI and switch to Core Mode:

  1. Via the Windows Server GUI using the ‚Remove Roles and Features‘ wizard, or
  2. Using PowerShell

I recommend using PowerShell, as when you use the ‚Remove Roles and Features‘ wizard, it also removes all the binary components instead of simply disabling them. This makes switching back to the full GUI version much more difficult as you need to provide the installation source media.

To switch to Windows Core Mode using PowerShell, open a PowerShell Console as Administrator and execute these two commands

Uninstall-WindowsFeature Server-Gui-Shell Uninstall-WindowsFeature Server-Gui-Mgmt-Infra –Restart

The server will reboot and everything will look normal until you log on. When you log on, you get a command shell, nothing more. Welcome to Windows Server Core!

Step 3: Remotely Managing Windows Server Core using RSAT

You should be using this method for administering your servers already. If you are not, here is a quick intro to using the Windows Remote Server Administration Tools (RSAT). Various RSAT snap-ins can be added to a machine at any stage.

  1. From your management server, open Server Manager
  2. From the Dashboard page, select Add servers to manage
  3. Add your Core server, which is now a manageable object from this server

You can also elect to use a Windows client machine as your management station. If so, download and install the RSAT tools for Windows.

Step 4: Re-enabling the Windows GUI

If you ever need to restore the GUI onto the server, simply reverse the commands we issued earlier at any stage. This works because we did not explicitly use the –Remove flag, like the GUI method would have.

You can do this remotely or by logging onto the server and using the following steps:

To switch back to Full FUI mode, open a PowerShell Console as Administrator and execute these commands:

Install-WindowsFeature Server-Gui-Shell, Server-Gui-Mgmt-Infra –Restart

Then wait for reboot.

Your machine will now boot back with the full Windows GUI.

Conclusion

Using Windows Server Core for back-end infrastructure without requiring a user to login on a console is a great way to maximise your performance on a shared infrastructure. Thanks to the tools available now, it is easier than ever to manage Core through PowerShell or remotely via RSAT.

Using the PowerShell method in this article makes switching back and forth between Core and GUI simple.

Convert pfx file to pem file

Convert pfx file to pem file

Conversion to a combined PEM file

To convert a PFX file to a PEM file that contains both the certificate and private key, the following command needs to be used:
# openssl pkcs12 -in filename.pfx -out cert.pem -nodes

Conversion to separate PEM files

We can extract the private key form a PFX to a PEM file with this command:
# openssl pkcs12 -in filename.pfx -nocerts -out key.pem

Exporting the certificate only:
# openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem

Removing the password from the extracted private key:
# openssl rsa -in key.pem -out server.key

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑