Convert pfx file to pem file

Convert pfx file to pem file

Conversion to a combined PEM file

To convert a PFX file to a PEM file that contains both the certificate and private key, the following command needs to be used:
# openssl pkcs12 -in filename.pfx -out cert.pem -nodes

Conversion to separate PEM files

We can extract the private key form a PFX to a PEM file with this command:
# openssl pkcs12 -in filename.pfx -nocerts -out key.pem

Exporting the certificate only:
# openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem

Removing the password from the extracted private key:
# openssl rsa -in key.pem -out server.key

SBS 2011 und Zertifikate

Problem:

Sie betreiben einen SBS 2011 mit einem selbstsigniertem Zertifikat (z.B. weil der Server nur intern betrieben wird). Das erstellte (Webserver) Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und steht vor dem Ablauf.

Im Systemprotokoll erhalten Sie u.a. folgende Meldungen:

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet “New-ExchangeCertificate“ aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx

Das Zertifikat stammt vom Webserver (IIS) und ist u.a. für OWA zuständig.

Lösung:

Um das Zertifikat für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

  • Öffnen Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
  • Lassen Sie den Wizard durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Wizard fertig ist (kann einige Zeit dauern)
  • Wenn der Wizard fertig ist und Sie nun das Zertifikat doppelt klicken, sollte dort der neue Gültigkeitszeitraum zu sehen sein (ab heute / bis in zwei Jahren)

Danach können Sie Ihren SBS 2011 wie gewohnt weiter verwenden.

Nachtrag:

Sollte Sie danach im Protokoll weiterhin Meldungen haben, dass das Zertifikat abgelaufen, oder nicht mehr gültig ist, machen Sie am besten folgendes:

  • Löschen Sie zunächst in der Exchange Management Konsole das abgelaufene Zertifikat
  • Öffnen Sie danach die zentrale Zertifikatverwaltung und sperren Sie das abgelaufene Zertifikat.

Durch die Sperrung haben Sie zusätzlich alles besser im Überblick.

Variante 2:

Wenn Sie den Einrichtungswizard nicht nutzen wollen, oder falls es dort zu einem Problem kam, können Sie versuchen die Zertifikate auch direkt über den IIS zu erneuern. Hierfür gehen Sie wie folgt vor:

  • Im Menü Verwaltung öffnen Sie dem Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus (Domainserver)
  • Rechts daneben (im Fenster mittig) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat gewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum und dem neuen Hashwert sehen. Prüfen Sie dies aber bitte zusätzlich durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmen, müssen Sie ggf. im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

Hinweis:

Sollte sich das Zertifikat nicht verlängern lassen (Anforderung abgelehnt o.ä.), bzw. nach der Verlängerung/Erneuerung der Zeitraum ungewöhnlich kurz sein, so müssen Sie ggf. zunächst das Zertifizierungsstellenzertifikat erneuern:

  • Im Menü Verwaltung öffnen Sie die Zertifizierungsstelle
  • Wählen Sie Ihre Zertifizierungsstelle
  • Klicken Sie sie mit der rechten Maustaste an und wählen Sie Alle Aufgaben > Zertifizierungsstellenzertifikat erneuern
  • Sollte nicht ein zwingender Grund vorliegen, können Sie den alten Signaturschlüssel behalten (nein anwählen)
  • Zertifikat erneuern lassen

Danach können Sie mit den obigen Schritten fortfahren.

Server 2011 SBS Stammzertifikat erneuern

So installieren wir ein vertrauenswürdiges Zertifikat

  1. Wir bzw. der Kunde kauft ein SSL-Zertifikat.
  2. Wir öffnen die Windows SBS-Konsole.
  3. Klicken auf der Navigationsleiste auf Netzwerk, und dann auf Konnektivität.
  4. Klicken im Aufgabenbereich auf Vertrauenswürdiges Zertifikat hinzufügen und anschließend auf Weiter.
  5. Klicken auf Ich verfüge über ein Zertifikat von meinem Zertifikatanbieter, und dann auf Weiter.
  6. Fügen auf der Seite Vertrauenswürdiges Zertifikat importieren die Information ein, die wir vom Anbieter erhalten haben, oder navigieren zum Speicherort der Datei mit dem vertrauenswürdigen Zertifikat, und klicken dann auf Weiter.
  7. Dann klicken wir auf der Seite Die Zertifikatdatei wird installiert auf Fertig stellen.

Selbst erstelltes Zertifikat (nicht gekauft) durch reparieren verlängern

  1. Wir öffnen die Windows SBS-Konsole.
  2. Klicken auf der Navigationsleiste auf Netzwerk, und dann auf Konnektivität.
  3. Klicken im Aufgabenbereich auf Beheben von Netzwerkproblemen und starte den Assistent der Probleme im Netzwerk ausfindig macht.
  4. Am Ende lasen wir das abgelaufene Zertifikat automatisch reparieren.
  5. Unter Systemsteuerung – Verwaltung – Zertifizierungsstelle sieht man nun in “Ausgestellte Zertifikate” einen neuen Eintrag mit dem neu ausgestellten Zertifikat.

Abgelaufene Zertifikate am Small Business Server 2011 erneuern

Wenn Sie einen Small Business Server 2011 (SBS 2011) mit einem selbstsigniertem Zertifikat betreiben, hat dieses Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und muss daher regelmäßig erneuert werden.

Im Ereignisprotokoll in den Anwendungen auf dem SBS2011 erhalten Sie u.a. folgende Meldungen:

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet “New-ExchangeCertificate“ aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx
  • MSExchangeTransport (12016):Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für den FQDN von ‚<Domain>‘ vorhanden. Das vorhandene Zertifikat für diesen FQDN ist abgelaufen. Die fortgesetzte Verwendung dieses FQDNs wird Nachrichtenübermittlungsprobleme verursachen. Ein neues Zertifikat, das den FQDN von ‚<Domain>‘ enthält, sollte so bald wie möglich auf diesem Server installiert werden. Sie können ein neues Zertifikat mithilfe des Tasks ‚New-ExchangeCertificate‘ erstellen.
  • MSExchange Web Services (25): Das Exchange-Zertifikat ‚[Subject]
    CN='<Domain>‘ [Thumbprint] läuft sehr bald ab
  • MSExchange Web Services (26): Das Exchange-Zertifikat ‚[Subject]
    CN='<Domain>‘ [Thumbprint] läuft am <Datum und Uhrzeit> ab.

Um das abgelaufene Zertifikat am Small Business Server 2011 für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
    Sollten Sie den Fehler:
    Windows SBS Internetadressenverwaltung
    Angezeigt bekommen, so führen Sie zuerst unter Task den Punkt Mit dem Internet verbinden aus
  • Lassen Sie den Assistenten durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Assistent fertig ist
  • Wenn der Assistent fertig ist und Sie nun das Zertifikat mit einem doppelklick öffnen, sollte dort der neue Gültigkeitszeitraum angezeigt werden (von heute / bis in zwei Jahren)

Anschließend können Sie Ihren Small Business Server 2011 wie gewohnt verwenden. Ein Neustart ist nicht notwendig.

Variante 2:

Wenn Sie den Einrichtungsassistent nicht nutzen wollen, oder falls es dort zu einem Problem gekommen ist, können Sie versuchen die Zertifikate auch direkt über den IIS-Manager zu erneuern. Hierfür gehen Sie wie folgt vor:

  • Im Menü Verwaltung öffnen Sie den Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus
  • Rechts daneben (im Fenster in der Mitte) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf das Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat ausgewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.
    Solltet Ihr bei diesem Vorgang den Fehler: „Die Zertifikatsanforderung wurde an die Online-Zertifizierungsstelle gesendet, das Zertifikat jedoch nicht ausgestellt.
    Die Anforderung wurde abgelehnt.“ erhalten, so können Sie versuchen die Uhrzeit auf Ihrem Server auf das Datum vor dem Ablauf des Zertifikates zurückzusetzen. In einigen Fällten konnte so dieses Problem umgangen werden.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum sowie dem neuen Hashwert sehen können. Überprüfen Sie dies jedoch bitte zusätzlich noch durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmt, müssen Sie gegebenenfalls im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

Variante 3:

Sollten die beiden Varianten nicht funktionieren, so können Sie noch einen Assistenten starten. Gehen Sie dazu wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Beheben von Netzwerkproblemen aus
  • Überprüfen Sie dass der Haken bei Das selbst ausgegebene Zertifikat ist abgelaufen gesetzt ist und lassen Sie den Wizard durchlaufen

Sollten Sie einen Exchange 2007 oder einen Small Business Server 2008 im Einsatz haben, dann schauen Sie einmal hier vorbei: msxfaq.de

In der Windows SBS Console fehlen einige Benutzer

Prinzipiell sollten alle Benutzer auf einem Windows Small Business Server in der Console angelegt werden. Hat man aber im Eifer des Gefechtes einige Benutzer in „Active Directory User und Computer“ angelegt, dann erscheinen diese nicht in der Konsole unter „Benutzer und Gruppen“.

Lösung

  • „Windows SBS Console“ aufrufen
  • „Benutzer und Gruppen“ aufrufen
  • Irgendeinen vorhandenen Benutzer anklicken
  • Rechts „Benutzerrolle für Benutzerkonten ändern“ anklicken
  • Rolle des Benutzers anwählen (z.B. Standardbenutzer)
  • Option darunter „Benutzerberechtigungen oder Einstellungen ersetzen“ wählen
  • „Weiter“ wählen
  • In der nächsten Maske unten „Alle Benutzerkonten in Active Directory anzeigen“ anwählen
  • Jetzt den oder die fehlenden Benutzer auswählen und „Hinzufügen“ wählen
  • „Benutzerrolle ändern“ wählen

Die betreffenden Benutzer werden jetzt mit der entsprechenden SBS Rolle vershen und erscheinen fortan in der „Windows SBS Console“.

Dabei ist allerdings zu beachten, dass eventuell vorhandene spezielle Gruppenzugehörigkeiten zurückgesetzt werden.

Quellen:

http://blogs.technet.com/b/sbs/archive/2008/09/22/why-are-some-of-my-users-not-displaying-in-the-sbs-console.aspx

Das Hinzufügen des ARP-Eintrags ist fehlgeschlagen: Der Zugriff wird verweigert: arp -s geht nimmer

Stattdessen wir jetzt netsh verwendet:

netsh interface ipv4 add neighbors „Name der LAN-Verbindung“ [IP] [MAC]

für Copy & Paste:
netsh interface ipv4 add neighbors LAN-Verbindung 10.11.1.5 00-11-32-B7-00-E9
netsh interface ipv4 add neighbors Local Area Connection 192.168.0.1 00-24-01-d2-3a-bd
netsh interface ipv4 add neighbors Ethernet 10.11.1.5 00-11-32-B7-00-E9

Netzwerkkarten anzeigen:
netsh interface show interface

How to restore Registry from its secret backup on Windows 10

On Windows 10, it is never a good idea to modify the Registry because the database contains low-level settings necessary for the system and certain apps to operate correctly, and the slightest mistake can prevent the device from booting again.

If you recently made system setting changes or installed a buggy update that caused the computer to stop working, you can still recover Windows 10 using the secret Registry backup.

However, there is one caveat, since the operating system no longer creates these backups automatically, you have to re-enable it manually before you can use it.

In this guide, you will learn the steps to restore the previous version of the Registry manually from its automated backup on Windows 10.

Important: Remember that modifying system files can further damage the installation if it is not done correctly. It is assumed that you know what you’re doing and that you have previously created a full backup of your computer. Use these steps at your own risk.

Restore Registry manually on Windows 10

To manually restore the Registry on Windows 10, use these steps:

    1. Start computer with the Advanced startup options.
    2. Click on Troubleshoot.
    3. Click on Advanced options.
    4. Click on Command Prompt.

When your device starts in Command Prompt, it will start on X:WindowsSystem32. Now you need to move to the drive letter where Windows is installed. While the operating system is installed on the C: drive, when you boot your computer on recovery mode, this drive letter could change to something else. However, in most cases, the drive letter is D:. Type the following command to enter into the correct drive where Windows 10 is installed and press Enter:

  1. d:
  2. Type the following command to verify you are in the correct drive and press Enter:
    dir
    Command Prompt in Advanced startupCommand Prompt in Advanced startup
    If you see the Windows folder, you are in the correct drive letter. If not, return to step No. 5 and try another letter.
  3. Type the following command to enter into the System32 folder and press Enter:
    cd d:windowssystem32
    Change D in the command with the correct drive letter for your scenario.
    Windows 10 Config folderWindows 10 Config folder
  4. Type the following command to create a folder to temporary backup of files on the config folder, which also happens to store a copy of the Registry, and press Enter:
    mkdir configBak
  5. Type the following command to create a temporary backup of the files in the config folder, and press Enter:
    copy config configBak
    Making a backup copy of the Registry on Windows 10Making a backup copy of the Registry on Windows 10
  6. Type the following command to move inside the RegBack, which contains a backup of the Registry, and press Enter:
    cd configRegBack
  7. Type the following command to verify the content of the RegBack folder and press Enter:
    dir
    RegBack folder contentRegBack folder content

     

    Warning: After running the dir command, the files’ size (SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT) should be similar to the ones you see in the screenshot. If any of the files shows 0, do NOT continue as you won’t be able to repair your Windows 10 installation, and your device may stop booting.
  8. Type the following command to copy the files from the RegBack folder to the config folder and press Enter and the Y key on every question to confirm:
    copy * ..*
    Restoring Registry from its backupRestoring Registry from its backup on Windows 10
  9. Click the Close (X) button from the top-right.

Once you complete the steps, the computer will reboot, and Windows 10 should start correctly.

We are focusing this guide on Windows 10, but the concept also should work on Windows 8.1 and Windows 7.

How to Register Active Directory Schema MMC Snap-In

By default, the Active Directory Schema MMC snap-in is not registered on domain controllers or machines with the Remote Server Administration Tools (RSAT) installed. To use the snap-in for the first time on a new machine, you’ll need to register the DLL. To do this, follow the steps below:

  1. Open an elevated command prompt
  2. Run the following command: regsvr32 schmmgmt.dll
  3. You should receive a success message:
DllRegisterServer in schmmgmt.dll succeeded.

Once you have registered the snap-in, you can add it to an MMC by following these steps:

  1. Open a new MMC Console (Start>Run>mmc)
  2. In the MMC Console, go to File>Add/Remove Snap-in
  3. Add the Active Directory Schema snap-in as shown below:

Once you click OK, you’ll be able to access the snap-in through the MMC Console

Dateisortierung nach Sonderzeichen

_ Unterstrich
۞ Stern mit Loch ?

a A-Z
z Lower case Z

ι Greek letter
Ι Greek letter, capital version of above character, not an „I“)
α alpha U+03B1 Alt 224
Γ gamma U+0393 Alt 226
δ delta U+03B4 Alt 235
ε epsilon U+03B5 Alt 238
Θ theta U+0398 Alt 233
π pi U+03C0 Alt 227
Σ sigma upper U+03A3 Alt 228
σ sigma lower U+03C3 Alt 229
τ tau U+03C4 Alt 231
Φ phi upper U+03A6 Alt 232
φ phi lower U+03C6 Alt 237
Ω omega U+03A9 Alt 234
一 Japanese Character? (Thanks, Jam)
口 Japanese character? (Thanks, Jam)
末 Japanese character „End“ (Thanks, Jam)
 (a private use character) (Thanks, Peter O.)

Und man kann auch tatsächlich (fast) alle Sonder-Zeichen außer \ / : * ? “ < > | verwenden.

So, jetzt zum wirklich Wichtigen, die Buchstaben nach „Z“.

Zuerst habe ich das Ohm-Zeichen Ω gefunden (das griechische Omega).

Dann herausgefunden das alle griechischen Buchstaben α β γ δ ε … φ χ ψ ω nach den deutschen Buchstaben kommen
und danach die kyrillischen Buchstaben Ё Ђ Ѓ Є … Ҳ Ҹ Һ Ә Ө .

Vor der Null kommen anscheinend nur Satzzeichen und Symbole,
den Anfang macht das ! dann # $ % & irgendwann kommt das @ ,
Plus, Minus und Underline sind auch vor Null.

Ein paar schöne Symbole vor Null sind Pik, Kreuz, Herz und Karo ♠ ♣ ♥ ♦ ,
sowie ■ ▲ ▼ ► ◄ wobei diese komischer Weise im Explorer unterschiedlich groß dargestellt werden.

Und noch ein ganz Spezielles, weil ja * nicht erlaubt ist, kann man alternativ den arabischen Stern ٭ verwenden,
der aber hier im Textfenster etwas Probleme macht, ist wohl ein Steuerzeichen für irgend was,
er schaut hier im Text auch nicht so schön aus wie im Explorer.

Die Sortierreihenfolge nach unterschiedlichen Sonderzeichen, speziell Minus, bleibt wohl für ewig ein Rätsel,
hier ein Beispiel:



+
-+
+-
++

Unicode Chart:
https://unicode.org/charts/collation/

Windows Server 2019: Zeitquelle konfigurieren

Den Windows-Dienst W32Time unter Windows Server 2019 konfigurieren und als Zeitquelle innerhalb einer Active Directory Domäne anbieten.

 

Inhaltsverzeichnis

 

  • Vorabinformationen
    • Die richtige Uhrzeit
    • Domänencontroller und Zeitquellen
    • Domänencontroller mit PDC-Betriebsmaster finden
    • Virtuelle Domänencontroller und Hypervisor-Zeitsynchronisation
    • Netzwerkanforderungen
    • Uhrzeit auf einem Core Server anzeigen
  • Zeitquelle auf dem PDC-Betriebsmaster konfigurieren
  • Zeit in der Domäne verteilen
  • Zeit für mobile Geräte verteilen

Vorabinformationen

Die richtige Uhrzeit

Neben dem offensichtlichen praktischen Nutzen einer möglichst korrekten Uhrzeit, gibt es auch eine technische Notwendigkeit. So ist in einer Active-Directory-Domäne das zeitabhängige „Kerberos“ im Hintergrund für die Authentifizierung zuständig. Kerberos erstellt für jede Authentifizierungsanforderung (z.B. Zugriff auf Dateifreigabe) zeitlich begrenzt gültige Tickets, die den angeforderten Vorgang innerhalb weniger Minuten erlauben. Bei entsprechender Zeitdifferenz schlagen die Authentifizierungen fehl und der Zugriff wird blockiert.

Domänencontroller und Zeitquellen

Der Domänencontroller der den PDC-Betriebsmaster ausführt, dient innerhalb einer Active-Directory-Domäne als Zeitquelle für alle anderen Windows Server und Clients. Dadurch genügt es die Zeitquelle auf dem Domänencontroller zu konfigurieren.

Domänencontroller mit PDC-Betriebsmaster finden

Da typischerweise mehrere Domänencontroller in einem Netzwerk ausgeführt werden, kann der Domänencontroller mit dem PDC-Betriebsmaster wie folgt gefunden werden:

  • „Active Directory-Benutzer und -Computer“ öffnen
  • Rechtsklick auf die Domäne → Betriebsmaster
  • Registerblatt PDC anklicken:
    PDC-Betriebsmaster

Virtuelle Domänencontroller und Hypervisor-Zeitsynchronisation

Bei virtuellen Domänencontrollern besteht die Gefahr, dass von außen der jeweilige Hypervisor eine andere falsche Zeit vorgibt. Bei Hyper-V kann dies in den Einstellungen der virtuellen Maschine unter dem Menüpunkt Integrationsdienste → Zeitsynchronisierung deaktiviert werden:

Hyper-V Zeitsynchronisierung

Netzwerkanforderungen

Der Windows Zeitdienst folgt dem NTP-Standard und verwendet für die Synchronisation den UDP Port 123. In restriktiv konfigurierten Netzwerk-Firewalls muss dieser Port daher zumindest vom Domänencontroller ausgehend ins Internet erlaubt werden.
In vielen Fällen kann aber auch die Firewall selbst einen NTP-Zeitserver anbieten und mit einem Internet-NTP-Server abgleichen. In diesem Fall könnte dann der Domänencontroller mit PDC-Rolle die Firewall als Zeitquelle nutzen.

Uhrzeit auf einem Core Server anzeigen

Die Uhrzeit kann über den Befehl sconfig„9) Datum und Uhrzeit“ angezeigt werden:

Datum und Uhrzeit

Datum und Uhrzeit

Zeitquelle auf dem PDC-Betriebsmaster konfigurieren

Eingabeaufforderung als Administrator öffnen und mit folgendem Befehl den öffentlichen NTP-Serverpool „at.pool.ntp.org“ als Zeitquelle festlegen:
w32tm /config /manualpeerlist:“at.pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update net stop w32time && net start w32time
Ein erneuter Zeitabgleich wird mit folgendem Befehl initiiert:
w32tm /resync
Der W32TM-Status kann wie folgt ermittelt werden:
w32tm /query /status

w32tm query status

w32tm /query /status

Zeit in der Domäne verteilen

Im Normalfall verteilt sich die neue Uhrzeit relativ schnell von selbst. Wenn ein Windows Desktop oder Server die Zeit scheinbar nicht übernimmt, ist möglicherweise eine andere Zeitquelle konfiguriert. Mit diesen Befehlen wird wieder der Domänencontroller als Zeitquelle konfiguriert:
w32tm /config /syncfromflags:domhier /update net stop w32time && net start w32time
Ein erneuter Zeitabgleich wird mit folgendem Befehl initiiert:
w32tm /resync

Zeit für mobile Geräte verteilen

Wenn mobile Windows Clients auch extern einen Zeitabgleich mit öffentlichen NTP-Servern durchführen sollen, kann das wie folgt konfiguriert werden:
w32tm /config /manualpeerlist:“at.pool.ntp.org,0x8″ /syncfromflags:manual,domhier /update net stop w32time && net start w32time
Mehr auf Microsoft.com

 

Content retrieved from: https://www.anreiter.at/windows-server-2019-zeitquelle-konfigurieren/.

Automatically Log off Disconnected User Sessions on Windows

Many times users connect to remote Windows systems, do work and close the remote session without properly logoff the account. In that case multiple applications, which are still running with that login session uses system resources. Some times it causes slow response of our servers and create pain for us. So this will be good to auto log off disconnected sessions from Windows system.

This tutorial will help you to log all the disconnected remote sessions on the Windows system. This tutorial has been tested with Windows Server 2019.

Setup Auto Log Off Disconnected Sessions

We are making changes in Local group policy of systems. So be careful with the changes.

First of all, open the ‘Group Policy Editor‘ on your server. Start run window by pressing “Win + R” and type gpedit.msc on run window.

The local group policy editor will be opened on your system. Then navigate to the following location as the below given instructions:
Local Computer Policy => Computer Configuration => Administrative Templates => Windows Components => Remote Desktop Services => Remote Desktop Session Host => Session Time Limits
Windows remote session timeout limit

You will find a list of options on the right-side. Then Double click on “Set time limit for disconnected sessions” to open it.

Disconnected User Sessions on Windows

By default, it is configured a ‘Not configured. Change this to ‘Enabled. Now you will see an option “End a disconnected session” in the lower-left side. Set this value to the desired time. I have set this to 1 hour, so any disconnected user is logged off after 1 hour.

Conclusion

In this tutorial, you have learned to configure your Windows system to auto logout disconnected remote sessions.

Content retrieved from: https://tecadmin.net/windows-logoff-disconnected-sessions/.

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑