Schlagwort-Archive: windows

Windows-Profil kann nicht geladen werden.

Es konnte ein Windows-Profil nicht geladen werden. Über die erweiterten Systemeinstellungen konnte das Profil nicht gelöscht werden bzw. wurde dort nicht angezeigt.

Lösung:
In der Registry unter

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

nach dem Benutzerprofil suchen und löschen. Sicherheitshalber den Rechner neu starten.

Windows 10 Update-Probleme

Windows 10 hatte das Problem, dass Updates nicht vom internen WSUS-Server heruntergeladen wurden. Der Fehlercode war 0x8024500c.

Lösung:
Per GPO Dual-Scan ausschalten. Die Richtlinie lautet „Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird.“ Die Richtlinie muss auf „Aktiviert“ gesetzt werden.

Quellen:
https://www.escde.net/blog/windows-update-richtlinien-und-dual-scan
https://social.technet.microsoft.com/Forums/windows/en-US/bcfa00b1-63aa-497d-b5dc-cde62db72469/client-failing-to-update-from-wsus-server-failed-8024500c-method-failed?forum=winserverwsus
Stand: 27.01.2022

Powershell hinter Proxy

Ausgangssituation:
In der Powershell sollen zusätzliche Module nachinstalliert werden. Der Rechner ist über einen Proxy mit dem Internet verbunden.

Als Benutzer mit Admin-Rechten die Powershell starten und folgendes ausführen

notepad $profile

Es wird Notepad mit der Profildatei des Benutzers geöffnet. Falls die Datei nicht vorhanden ist, wird nachgefragt, ob die Datei erstellt werden soll. In die Datei schreibt man folgendes:

[system.net.webrequest]::defaultwebproxy = new-object system.net.webproxy('http://<Name-des-Proxy>:<Port-des-Proxy>')
[system.net.webrequest]::defaultwebproxy.credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials
[system.net.webrequest]::defaultwebproxy.BypassProxyOnLocal = $true

Quelle: https://spaghettidba.com/2017/12/19/recovering-the-psgallery-repository-

behind-a-corporate-proxy/

Falls der Benutzer mit Admin-Rechten keinen Zugriff über den Proxy auf das Internet hat, kann man die zweite Zeile durch folgendes ersetzen:

[system.net.webrequest]::defaultwebproxy.credentials = get-credential

Es erscheint dann ein Anmeldefenster in das man alternative Zugangsdaten eintragen kann. Jetzt kann man die entsprechenden Module nachinstallieren.

Windows PKI Zertifikate erneuern

Die Laufzeit der zweistufigen PKI war zu kurz gewählt.

Die Datei %windir%\capolicy.inf auf dem Offline-CA Server anlegen. Inhalt:

[Version]
 Signature="$Windows NT$"
 [PolicyStatementExtension]
 Policies=AllIssuancePolicy
 Critical=FALSE
 [AllIssuancePolicy]
 OID=2.5.29.32.0
 [Certsrv_Server]
 RenewalKeyLength=2048
 RenewalValidityPeriod=Years
 RenewalValidityPeriodUnits=23


Mit dem Befehl auf der Offline-CA

certutil -setreg CA\ValidityPeriodUnits 23

die Laufzeit auf 23 Jahre ändern (doppelte Laufzeit der Sub-CA + 1 Jahr). Anschließend von der Offline-CA das Zertifikat erneuern.

Die Datei %windir%\capolicy.inf auf der Sub-CA anlegen. Inhalt:

[Version]
 Signature="$Windows NT$"
 [PolicyStatementExtension]
 Policies=AllIssuancePolicy
 Critical=FALSE
 [AllIssuancePolicy]
 OID=2.5.29.32.0
 [Certsrv_Server]
 RenewalKeyLength=2048
 RenewalValidityPeriod=Years
 RenewalValidityPeriodUnits=11

Danach die Laufzeit der Zertifikate, die von der Sub-CA ausgestellt werden können, mit dem Befehl

certutil -setreg CA\ValidityPeriodUnits 11

verlängern (doppelte Laufzeit der Zertifikate + 1 Jahr).

Das Zertifikat der Sub-CA erneuern. Befehl:

certutil -renewcert

Die resultierende Datei auf den Offline-CA Server kopieren und mit dem Befehl:

certreq -submit <Pfad zur kopierten Datei von vorher>.req

Auf der Offline-CA den CA Manager starten und in „Ausstehende Anforderungen“ die Anforderung auswählen und per Rechtsklick „Ausstellen“ auswählen (hier die ID merken). Anschließend den Befehl

certreq -retrieve <ID> <Pfad zum ausgestellten Zertifikat>.crt

Den Zertifizierungsdienst stoppen

net stop certsvc

Diese Datei dann auf die Sub-CA kopieren und den Befehl

certutil -installcert <Pfad zum ausgestellten Zertifikat>.crt

ausführen. Das dauert einen Moment. Anschließend den Zertifizierungsdienst wieder starten:

net start certsvc

Multidomain-CSR für Windows-Server

1. Private-Key von Windows exportieren MMC öffnen

Lokaler Computer
Eigene Zertifikate
Zertifikate
Rechtklick – Exportieren
Privaten Schlüssel mit exportieren (am besten mit Kennwort)

2. Konvertieren von .pfx in .pem um CSR mit openSSL zu machen

openssl pkcs12 -in export_datei.pfx -out schluessel.pem -nodes

(wenn vorher ein Kennwort eingeben wurde, wird dies jetzt abgefragt)

3. CSR erstellen mit Multidomain
– req.conf erstellen

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
C = DE
ST = Rheinland-Pfalz
L = Ort
O = Organisation
OU = Abteilung
CN = server.example.net

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

# DNS-Namen entsprechend anpassen!
[alt_names]
DNS.1 = server.example.net
DNS.2 = server

– CSR erstellen

openssl req -new -out .csr -key schluessel.pem -config req.conf

4. Inhalt der CSR-Datei auf srv-vm-zert01 einfügen und erstelltes Zertifikat als BASE64-kodiert herunterladen

5. Zertifikat aus 4. in .pfx-Datei umwandeln

openssl pkcs12 -export -out export_datei.pfx -inkey schluessel.pem -in schluessel.pem -certfile export_base64.cer

6. MMC von 1. öffnen und export_datei.pfx importieren

7. IIS-Manager aufrufen und auf „Default Web Site“ ganz rechts „Bindungen“ auswählen, Eintrag mit „https“ bearbeiten und das neue Zertifikat auswählen –> falls die Fehlermeldung „Eine angegebene Anmeldesitzung ist nicht vorhanden. Sie wurde gegebenenfalls bereits beendet. (Ausnahme von HRESULT: 0x80070520)“ erscheint, dann muss das Zertifikat aus der MMC einmal exportiert und direkt wieder importiert werden. Dann kann die Bindung zum Zertifikat erstellt werden. Quelle: https://www.computerhilfen.de/hilfen-8-323665-0.html

8. Webseite neu starten