MediaMill Blog

Kategorie: Windows

  • PKCS12/P12/PFX-Import auf Windows Server 2016 fehlgeschlagen: „The password you entered is incorrect“/“Das eingegebene Kennwort ist falsch“

    Ich stand kürzlich vor einem Problem, das auf den ersten Blick keinen Sinn ergab. Ich erstelle meine SSL-Zertifikate unter Debian (inzwischen Version 13) und verpacke sie als .pfx (PKCS#12), um sie anschließend auf Windows Servern zu importieren.

    Während der Import auf neueren Systemen problemlos funktionierte, scheiterte er auf Windows Server 2016 konsequent. Der Import-Assistent brach immer mit dem Fehler ab: „Das eingegebene Kennwort ist falsch.“ (bzw. auf Englisch: „The password you entered is incorrect.“)

    Ich habe das Passwort mehrfach überprüft und neu gesetzt – ohne Erfolg. Der Fehler war irreführend, denn das Passwort war korrekt.

    Die Ursache
    Das Problem liegt an der Version von OpenSSL. Mit Debian 13 (und auch schon 12) kommt OpenSSL 3.0+ zum Einsatz. Diese Version nutzt standardmäßig moderne Verschlüsselungsalgorithmen für den PKCS#12-Container, die Windows Server 2016 im Import-Prozess noch nicht verarbeiten kann. Das System kann den Container nicht entschlüsseln und interpretiert dies fälschlicherweise als falsches Passwort.

    Die Lösung Damit Windows Server 2016 die Datei wieder lesen kann, muss man OpenSSL anweisen, die älteren, kompatiblen Algorithmen zu verwenden. Dafür gibt es die Option -legacy.

    Der angepasste Befehl sieht so aus:

    openssl pkcs12 -export \
    -out zertifikat.pfx \
    -inkey private.key \
    -in public.crt \
    -certfile chain.crt \
    -legacy

    Durch den Switch -legacy wird der Container wieder so verschlüsselt, dass auch ältere Systeme wie Server 2016 ihn problemlos akzeptieren. Sicherheitstechnisch betrifft das nur die „Verpackung“ der Datei, die eigentlichen Zertifikats-Schlüssel bleiben unverändert stark.

    Mir diesem Parameter funktioniert der Import auf allen Windows-Versionen wieder problemlos.

  • SSL-Zertifikatstauschs beim Windows Admin Center (WAC)

    Im Gegensatz zu anderen Anwendungen bietet das Windows Admin Center keinen direkten Eintrag im Startmenü an, um einen Konfigurationsdialog zum Zertifikatstausch aufzurufen. Zudem wird es nicht über die IIS-Bindungen verwaltet, was die Sache noch komplizierter macht.

    Beginnen wir damit, wie man zum Konfigurationsdialog gelangt. Dieser befindet sich in den Einstellungen unter „Apps and Features“ oder „Programme hinzufügen und entfernen“. Hier muss man das Windows Admin Center auswählen und auf „Modify“ klicken, um den Setup-Dialog zu starten. Im Setup-Dialog muss man dann erneut auf „Ändern“ klicken.

    In dem folgenden Dialogfenster kann man den Thumbprint des neuen Zertifikats eingeben. Wichtig ist, dass dieses Zertifikat zuvor in den Zertifikatsstore von Windows importiert wurde.

    Nach Abschluss des Installationsassistenten des Windows Admin Centers wird das neue Zertifikat konfiguriert.

    Insgesamt handelt es sich hierbei um einen eher ungewöhnlichen und komplizierten Prozess.

    Es wäre wesentlich praktischer, wenn es einen direkten Eintrag im Startmenü gäbe, der den Konfigurationsassistenten aufruft. Des Weiteren würde eine Auswahl der möglichen Zertifikate anstatt der Eingabe des Zertifikats-Thumbprints den Prozess erleichtern und benutzerfreundlicher gestalten.

  • Identifizieren defekter Disks in einem Storage Spaces Direct Cluster (S2D) mit PowerShell

    Das folgende PowerShell-Skript ermittelt defekte Disks in einem Storage Spaces Direct Cluster und zeigt den Namen des Clusterknotens, in dem die Disk verbaut ist:

    $errordisks=@()

foreach($ed in Get-PhysicalDisk |? Operationalstatus -ne 'OK'|Sort-Object FriendlyName)
{
    $Nodename=($ed|Get-StorageScaleUnit).friendlyname

    $cobject = [PSCustomObject]@{
        FriendlyName = $ed.FriendlyName
        SerialNumber = $ed.SerialNumber
        MediaType=$ed.MediaType
        OperationalStatus=$ed.OperationalStatus
        Size=$ed.Size/1GB
        HealthStatus=$ed.HealthStatus
        Nodename=$Nodename
    }
    $errordisks+=$cobject
}

$errordisks|ft

    Das Skript erstellt ein Array namens $errordisks, das die Informationen zu defekten Disks enthält. Es durchläuft alle physischen Disks, die einen vom Status „OK“ abweichenden OperationalStatus haben. Für jede gefundene Disk wird der zugehörige Clusterknotenname ermittelt und ein benutzerdefiniertes PowerShell-Objekt mit den relevanten Informationen erstellt. Schließlich wird das Array $errordisks ausgegeben, und die Informationen werden im Format einer Tabelle angezeigt.

    Beispiel: Anzeige einer defekten SSD in einem Storage Space Direct Cluster

    Mit einer kleinen Änderung des Scripts lassen sich alle Disks, unabhängig von ihrem Status, in einen Storage Space Direkt Cluster, zugeordnet zu dem jeweiligen Clusternode, anzeigen. 

    $S2Ddisks=@()

foreach($ed in Get-PhysicalDisk)
{
$Nodename=($ed|Get-StorageScaleUnit).friendlyname

 if($nodename)
 { 
 
  $cobject = [PSCustomObject]@{
                    FriendlyName = $ed.FriendlyName
                    SerialNumber = $ed.SerialNumber
                    MediaType=$ed.MediaType
                    OperationalStatus=$ed.OperationalStatus
                    Size=$ed.Size/1GB
                    HealthStatus=$ed.HealthStatus
                    Nodename=$Nodename
                    }


  $S2Ddisks+=$cobject
  }

}

$S2Ddisks|Sort-Object  Nodename,FriendlyName|ft
    Anzeigen aller Disks in einem Storage Space Direct Cluster, mit dem Clusterknoten in dem die Disk verbaut ist.

  • Schneller Zugriff auf den Zertifikatspeicher des lokalen Computers unter Windows

    Obwohl es mehrere Möglichkeiten gibt, auf den Zertifikatspeicher (Certificate Store) von Windows zuzugreifen, möchte ich in diesem Blogbeitrag eine schnelle und effiziente Methode vorstellen und die ich gerne mit euch teilen möchte.

    Die gängige Methode, um auf den Zertifikatspeicher des lokalen Computers zuzugreifen, besteht darin, die Microsoft Management Console (MMC) zu verwenden, das Zertifikat-Snap-In hinzuzufügen und dann den lokalen Computer als Ziel auszuwählen. Dieser Prozess kann jedoch zeitaufwändig sein, insbesondere wenn man regelmäßig auf den Zertifikatspeicher zugreifen muss.

    Glücklicherweise gibt es eine einfachere und schnellere Methode, um direkt auf den Zertifikatspeicher des lokalen Computers zuzugreifen. Anstatt die MMC zu öffnen und manuell das Zertifikat-Snap-In hinzuzufügen, kann man einfach den Befehl certlm.msc verwenden.

    Um den Zertifikatspeicher des lokalen Computers direkt aufzurufen, befolgen Sie die folgenden Schritte:

    1. Drücken Sie die Windows-Taste + R, um das „Ausführen“-Dialogfeld zu öffnen.
    2. Geben Sie certlm.msc ein und drücken Sie Enter.

    Der Zertifikatspeicher des lokalen Computers wird nun geöffnet, und Sie können die Zertifikate einsehen und verwalten.

    „Windows Certifiacte Store Local Machine“ mit dem Befehl certlm.msc direkt aufrufen.
    Windows Zertifikatspeicher lokaler Computer

  • Ändern der Zeitzone / Timezone bei Windows Servern

    Wenn man bei Windows Servern nachträglich die Zeitzone ändern möchte, kommt man auf dem offensichtlichen Weg nicht weiter.

    Wenn man als Administrator in der Systemsteuerung / Control Panel über Change Timezone die Zeitzone ändern möchte kommt eine Fehlermeldung „Unable to Continue“.

    Die Lösung des Problems ist relativ einfach.

    Man öffnet als Administrator eine Powershell und ruft das Systemsteuerungselement Datum und Zeit / Date and Time direkt über die Admin-Powershell auf. Dazu gibt man auf der Shell „timedate.cpl“ ein.

    Jetzt lässt sich die Zeitzone problemlos über „Change Timezone“ ändern.

  • Spotty – Spotify Unterstütung für Logitech Sqeezebox Radio

    Spotty – Spotify Unterstütung für Logitech Sqeezebox Radio

    Nachdem Spotify den Support für Logitech Sqeezebox Radio am 20.07.2017 eingestellt hat, war ich kurz davor meinen Spotify Account zu kündigen. Lediglich die umfangreichen Spotify-Playlists hielten mich vor übereilten Aktionen ab. Nach einer Netzrecherche gab es doch noch Hoffnung Spotify auf der Squeezebox hören zu können.

    Hier die offizielle Meldung von der Spotify FAQ Seite.

    Why can’t I use the Spotify app on my speaker?

    LOGITECH
    The Spotify integration will be completely removed from the Squeezebox and UE Smart Radiospeakers on July 20th, 2017.

    Doch dank eines Entwicklers aus der Squeezebox Community gibt es doch noch eine Möglichkeit Spotify auf der Squeezebox zu hören. Das Plugin heißt Spotty und stammt von Michael Herger.

    Um Spotty auf die Squeezebox zu bringen sind folgende Schritte notwendig:

    • Aktualisieren des Squeezebox Server auf die aktuellste Version
    • Installation der Visual C++ Redistributable für Visual Studio 2015 32bit auf dem Squeezebox Server (Prerequirement für die Installation von Spotty)
    • Hinzufügen des Plugin-Repositories für Spotty
      • Aufrufen der Erweiterten Einstellungen in der Squeezebox Systemsteuerung
    • Hinzufügen von http://www.herger.net/slim-plugins/repo.xml als zusätzliche Plugin Repository.
    • Aktivieren des Spotty Plugins in der Pluginliste

    Konfiguration des Spotty Plugin (Eingabe der Spotify Credentials)

    Danach ist Spotty Auf der Squeezebox unter Eigene Anwendungen zu finden

    Spotty - Spotify Plugin für Logitech Squeezebox

    Das Plugin funktioniert nach ersten Tests besser als das Originalplugin.

    Bleibt nur zu hoffen dass Spotify und Logitech diese letzte Möglichkeit Spotify auf der Squeezebox zu hören nicht auch noch unterbinden. Dann haben mich Spotify und Logitech definitiv das letzte mal gesehen.

    Auf seiner Seite hat Michael Herberger einen Link mit dem man ihm eine Donation via Paypal zukommen lassen kann. Ich finde es mehr als fair wenn man das Plugin verwendet dem Autor eine Anerkennung in Form einer Donation zukommen zu lassen.

  • Fehler 0x80300024 bei der Windows-Installation – Error 0x80300024 Windows is unable to install to the selected location

    Wenn bei der Installation von Windows – bei der Auswahl des Installationsorts – der Fehler „Error 0x80300024 Windows is unable to install to the selected location“ auftritt, dann kann der Fehler möglicherweise dadurch behoben werden, dass man alle weiteren Festplatten vor der Installation von Windows trennt, z. B. durch Abziehen des SATA-Kabels.

    Bei der aktuellen Situation handelte es sich um eine Windows Server 2012 R2 Essentials. Diese sollte neu aufgesetzt werden. Dabei sollte das System auf 2 SSD-Laufwerken, die als Raid 1 Spiegel konfiguriert waren, installiert werden. Mit am SATA-Controller hingen noch drei weitere herkömmliche Festplatten, die bei der ursprünglichen Installation als Storage Pool definiert waren. Anscheinend hat sich Windows bei der Neuinstallation genau an diesen Festplatten gestört. Alle Versuche, Windows Server 2012 R2 Essentials auf die SSDs neu zu installieren, schlugen mit dem  oben genannten Fehler fehl. Man konnte zwar das Raid 1 Laufwerk auswählen – wenn man fortfahren wollte, erschien jedoch der genannte Fehler, dass Windows am ausgewählten Ort nicht installiert werden kann. Erst eine Internetrecherche brachte die Lösung: Einfach alle weiteren Festplattenlaufwerke vor der Installation trennen. Danach ließ sich Windows Server 2012 R2 Essentials problemlos auf den SSD Laufwerken installieren.

     

  • Remotezugriff auf die Windows-Ereignisanzeige entfernter Computer

    Möchte man in einem Windows-Netzwerk von einem Management-Rechner auf die Ereignisanzeige anderer Computer zugreifen, klickt man mit der rechten Maustaste in der Ereignisanzeige auf „Ereignisanzeige“. Im Kontextmenü klickt man dann auf „Verbindung mit anderem Computer herstellen“.

    eventviewer_remote01
    Danach kann man in dem Eingabefeld „Anderer Computer“ den Computernamen des Computers eintragen, auf dessen Ereignisanzeige man zugreifen möchte.

    eventviewer_remote02

    Kommt keine Verbindung mit der Ereignisanzeige des Remotecomputers zustande, ist meistens die lokale Firewall des Remotecomputers daran Schuld.

    eventviewer_remote03
    Damit der Remotezugriff auf das Ereignisprotokoll funktioniert, müssen die Firewallregeln

    • Remote-Ereignisprotokollverwaltung (NP eingehend)
    • Remote-Ereignisprotokollverwaltung (RPC) 
    • Remote-Ereignisprotokollverwaltung (RPC-EPMAP)

    aktiviert werden.

    Für den Rmotezugriff auf die Windows Ereignisanzeige notwendige Firewallregeln
    Für den Remotezugriff auf die Windows-Ereignisanzeige notwendige Firewallregeln

    Nach dem Aktivieren dieser Firewallregeln auf dem Remotecomputer sollte der Zugriff auf die Remote-Ereignisprotokolle funktionieren.

    Erfolgreicher Zugriff auf die Ereignisanzeige eines Remotecomputers
    Erfolgreicher Zugriff auf die Ereignisanzeige eines Remote-Computers

  • System State Backup von Windows Server 2008 mit DPM 2007 (Microsoft System Center Data Protection Manager 2007)

    Trotz Installation von Service Pack 1 für DPM 2007 (Microsoft System Center Data Protection Manager 2007)  konnte keine System State Backup von Windows Server 2008 Maschinen erstellt werden. Als Fehlermeldung erschien folgende Fehler Meldung im DPM Server :

    Betroffener Bereich: Computer\SystemState
    Besteht seit: 29.09.2009 14:53:07
    Beschreibung: Das Replikat von System State Computer\SystemState auf tfp01.uni-kl.de ist nicht mit der geschützten Datenquelle konsistent. Alle Schutzaktivitäten für die Datenquelle scheitern, bis das Replikat mit Konsistenzprüfung synchronisiert wird. Sie können Daten aus vorhandenen Wiederherstellungspunkten wiederherstellen, aber neue Wiederherstellungspunkte können erst erstellt werden, wenn das Replikat konsistent ist (ID 3106).
    DPM-Fehler beim Erstellen der Systemstatussicherung. Wenn Sie versuchen, den Systemstatus eines Windows 2008 Server-Betriebssystems zu erstellen, überprüfen Sie, ob WSB (Windows Server Backup) installiert ist und ob ausreichend freier Speicherplatz auf dem geschützten Server vorhanden ist, um den Systemstatus zu speichern (ID 30214 Details: Interner Fehlercode: 0x809909FB).
    Empfohlene Aktion: Prüfen Sie das Ereignisprotokoll auf dem geschützten Computer COMPUTERNAME und beheben Sie alle gemeldeten Fehler.
    Synchronisieren Sie mit der Konsistenzprüfung.
    Synchronisierungsauftrag mit Konsistenzprüfung ausführen.

    Das Problem ließ sich wie folgt lösen:

    Der Data Protection Manager 2007 Client greift für das System State Backup auf die Backup Funktion des Betriebssystems zurück. Bei Windows Server 2003 war ntbackup standardmäßig installiert. Bei Windows Server 2008 sind die Backup-Funktionen aber ein Feature, das zuerst aktiviert werden. Im Servermanger muss man bei den Features auf „Features hinzufügen“ klicken und dann die Windows Server Sicherungsfeatures installieren.

    Weiterhin ist das DPM 2007 Feature Pack (http://support.microsoft.com/kb/949779) Vorraussetzung für ein Windows Server 2008 Backup. Dieses Feature Pack sollte aber im Data Protection Manager 2007 Service Pack 1 includiert sein.

  • Entfernen des „Versteckt“(hidden)-Attributs von einem Ordner nach einer Robocopy-Aktion

    Wenn man mit Robocopy ein komplettes Laufwerk in ein Verzeichnis auf einem anderen Datenträger kopiert, wird man feststellen, dass der Zielordner plötzlich versteckt ist. Das heißt, das Hidden-Attribut des Ordners ist gesetzt. In den Dateieigenschaften kann man dieses hidden Flag auch nicht deaktivieren. Die Checkbox ist ausgegraut.

    Versteckt Attribut eines Ordners gesetzt aber nicht bearbeitbar
    Versteckt Attribut eines Ordners gesetzt aber nicht bearbeitbar

    Verursacht wird dieses Verhalten, wenn mit Robocopy Systemdateien wie z.B. der Ordner „System Volume Information“  mit in das Zielverzeichnis kopiert werden. Dadurch wird anscheinend im übergeordneten Ordner auch das System-Flag gesetzt und gleichzeitig das Hidden-Flag. Ein erster Versuch mit dem Kommandozeilenprogramm attrib

    attrib -h ORDNERPFAD

    das Hidden-Flag zu entfernen, schlug fehl. Die Fehlermeldung lautete „Systemdatei wird nicht zurückgesetzt“. Also versuchte ich mit

    attrib -s ORDNERPFAD

    das System-Flag des neuen Ordners zu entfernen. Aber auch hier erscheint die Fehlermeldung „Versteckte Datei wird nicht zurückgesetzt“.

    Erst die Kombination der beiden Parameter brachte den gewünschten Erfolg.

    attrib -s -h  /S ORDNERPFAD

    Nun wurde das Hidden-Attribut des Ordners entfernt. Der Parameter /S sorgt dafür, dass auch rekursiv alle Unterordner und Dateien bearbeitet werden.