Windows-Updates im Oktober 2017 können zu Bluescreens führen

Durchs Web geht gerade eine Welle von Berichten, dass die Oktober-Updates für Windows gravierende Probleme verursachen. Konkret scheint es sich um „Delta-Updates“ zu handeln, die sich in vielen Konstellationen fehlerhaft auswirken. Diese Updates sollten eigentlich gar nicht veröffentlicht werden.

Microsoft empfiehlt, diese „Delta-Updates“ nicht auszurollen und nicht zu installieren.

Anscheinend werden diese Delta-Updates über WSUS für Windows 10 und Windows Server 2016 angeboten, möglicherweise aber auch für andere Varianten. Wenn die Fehler sich auswirken, kommt es zu Bluescreens „Inaccessible Boot Device“, weil anscheinend die BCD-Einträge zerstört werden. Microsoft hat die Updates zurückgezogen, sie können aber bereits auf WSUS-Servern im Umlauf sein.

Sollte der Fehler bereits auftreten, so kann schnelles und koordiniertes Handeln ihn beheben – es kommt aber auf die richtige Reihenfolge an. Näheres dazu findet sich in diesem Blog-Artikel:

[Quick Fix Publish: VM won’t boot after October 2017 Updates for Windows Server 2016 and Windows 10 (KB4041691) – Working Hard In IT]
https://blog.workinghardinit.work/2017/10/11/quick-fix-publish-vm-wont-boot-after-october-2017-updates-for-windows-server-2016-and-windows-10-kb4041691/

ADFS und User-Zertifikate in Windows Server 2016

ADFS arbeitet typischerweise mit einer “klassischen” Benutzeranmeldung über Benutzername und Kennwort. Hierzu wird in der Regel das AD-Konto des betreffenden Anwenders herangezogen. Seit einigen Versionen bietet ADFS allerdings auch eine zertifikatsbasierte Anmeldung für den Anwender. Diese kann an die Stelle der Kennwortanmeldung treten, man kann sie aber auch als zweiten Faktor nutzen.

Bis einschließlich Windows Server 2012 R2 gab es dabei aber eine gravierende Einschränkung: Damit ADFS die Userzertifikate prüfen kann, musste der Client (also der Rechner des Anwenders) eine parallele Verbindung über Port 49443 herstellen. Das war oft nicht möglich, weil dieser Port in vielen WLANs gar nicht ansprechbar ist (z.B. in Hotels). Daher hat Microsoft das Verfahren geändert. In Windows Server 2016 lässt sich die User-Anmeldung per Zertifikat nun über den (ohnehin verwendeten) Standardport 443 durchführen.

Damit das aber gelingt, muss auf dem ADFS-Server der Endpoint “certauth.farmname.tld” erreichbar sein. Schlauerweise trägt dieser einen separaten Hostnamen, sodass dieser auch in dem TLS-Zertifikat für die ADFS-Farm als zusätzlicher Hostname auftauchen muss (Subject Alternate Name).

Details zu den neuen Anforderungen an die ADFS-Konfiguration liefert dieses Dokument:

[AD FS 2016 Requirements | Microsoft Docs]
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/ad-fs-2016-requirements

Windows-PKI: Computerzertifikat manuell anfordern

Versucht man, auf einer Windows-Enterprise-CA einen Zertifikatsrequest für ein Computerzertifikat aus einer Datei zu bearbeiten, so kann der folgende Fehler auftreten:

Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE)
Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage noch das Anforderungsattribut „CertificateTemplate“.

Die Ursache dafür: Im Request ist keine Zertifikatsvorlage angegeben. Das geht bei einem manuellen Request auch nur mit Umständen, daher kann man sich anders behelfen.

„Windows-PKI: Computerzertifikat manuell anfordern“ weiterlesen

Support für Exchange 2007 endet am 11. April 2017

Auch gute Dinge haben ein Ende: Der Herstellersupport für Exchange Server 2007 endet am Dienstag, dem 11. April 2017. Von diesem Datum an wird Microsoft keine Updates, keine Fehlerkorrekturen und keine Sicherheitspatches mehr für das Produkt bereitstellen. Auch Supportfragen wird der Hersteller dann nicht mehr beantworten.

„Support für Exchange 2007 endet am 11. April 2017“ weiterlesen

Cloud Forum 2017 by michael wessel am 2. März

Die Nutzung von Business Cloud Services ist als Plattform einer digitalen Transformation in der Realität von vielen Firmen bereits angekommen und wandelt die Anforderungen an die IT – auch in Ihrem Unternehmen.

Mit dem Cloud Forum 2017 by michael wessel am 02.03.2017 widmen wir uns intensiv und praxisnah sowohl den Auswirkungen als auch dem Potenzial von Cloud Lösungen und bieten Ihnen einen einfachen Zugang zu Cloud Services. „Cloud Forum 2017 by michael wessel am 2. März“ weiterlesen

Windows-Update kann Gruppenrichtlinien beeinträchtigen

Ein aktuelles Windows-Update vom Juni 2016 kann in manchen Umgebungen dazu führen, dass Gruppenrichtlinien über Active Directory nicht mehr richtig abgearbeitet werden.

Der Patch MS16-072 (https://support.microsoft.com/en-us/kb/3163622) ändert die Anwendungslogik von Gruppenrichtlinien erheblich. Bisher wurden Gruppenrichtlinien für die User-Umgebung im Kontext des angemeldeten Benutzers heruntergeladen. Nach dem Patch geschieht der Download im Kontext des Computers.

„Windows-Update kann Gruppenrichtlinien beeinträchtigen“ weiterlesen

Active Directory: Zirkulär verschachtelte Gruppen finden

Ein PowerShell-Skript, das wir jetzt in der TechNet Gallery veröffentlicht haben, kann Active-Directory-Gruppen ausfindig machen , die Mitglied von sich selbst sind.

Die Beschreibung mag erstmal anmuten, als wäre das selten und unmöglich, aber auch Großunternehmen haben mit diesem Phänomen hin und wieder ihre Problemchen. Häufig können Anwendungen nicht damit umgehen, bleiben stehen, werfen Fehler oder stürzen sogar ab – abgesehen davon, dass es halt auch einfach Quatsch ist.

Die Benutzung ist denkbar einfach: Ausführen, Lesen, Prüfen und manuell korrigieren.

Die Korrektur wäre natürlich auch automatisiert denkbar, würde aber schwerlich sicher das richtige Ergebnis liefern. Benötigt wird das AD-Modul und es kann losgehen, an Zugriffsrechten sind ausschließlich Leserechte vorausgesetzt, da das Script wie gesagt nicht schreibt.

Das Skript findet sich hier:
[TechNet Get Circular Nested AD Groups]
https://gallery.technet.microsoft.com/Get-Circular-Nested-AD-491145d1

PortQRY: Ein Hilfsmittel zum AD-Troubleshooting

In verteilten Active Directory-Umgebungen mit mehreren Standorten tauchen regelmäßig immer wieder die folgenden „Klassiker“ unter den gemeldeten Problemen auf:
  • Replikationsstörungen zwischen den Standorten
  • Probleme bei standortübergreifender Namensauflösung (DNS, sowie NetBIOS (WINS))
  • Probleme bei der Anmeldung
  • etc.
Schnell ist man geneigt, in den Eventlogs der beteitilgten Server zu suchen bzw. bekannte Bordmittel wie „DCDiag“, „NetDiag“ oder „Replmon“ zu bemühen. Oft wird man dort auch fündig, gerade wenn es um die Konnektivität zwischen Standorten oder DCs in verschiedenen Subnetzen geht. Woher diese Verbindungsprobleme letztendlich rühren, verraten die Ausgaben dieser Tools aber oft nicht, oder nur „höchst verklausuliert“.

„PortQRY: Ein Hilfsmittel zum AD-Troubleshooting“ weiterlesen