MyWiki - Benutzerbeiträge [de]

Storage Spaces Direct (S2D) Migration auf neuen Cluster

2025-10-10T14:31:44Z

Rueling: Die Seite wurde neu angelegt: „Hier wird die Einrichtung bzw. Migration eines Storage Spaces Direct (S2D) Clusters beschrieben == Einrichtung Windows Server == Install-WindowsFeature -Name "Hyper-V", "Failover-Clustering", "Data-Center-Bridging", "RSAT-Clustering-PowerShell", "Hyper-V-PowerShell", "FS-FileServer","Hyper-V-Tools","RSAT-Clustering-Mgmt" Test-Cluster -Node server-s2d-p1, server-s2d-p2, server-s2d-p3, server-s2d-p4 -Include "Storage Spaces Direct","inventory","Network"…“

Hier wird die Einrichtung bzw. Migration eines Storage Spaces Direct (S2D) Clusters beschrieben

== Einrichtung Windows Server ==
Install-WindowsFeature -Name "Hyper-V", "Failover-Clustering", "Data-Center-Bridging", "RSAT-Clustering-PowerShell", "Hyper-V-PowerShell", "FS-FileServer","Hyper-V-Tools","RSAT-Clustering-Mgmt"

Test-Cluster -Node server-s2d-p1, server-s2d-p2, server-s2d-p3, server-s2d-p4 -Include "Storage Spaces Direct","inventory","Network","System Configuration"

New-VMSwitch -Name VMNetwork -AllowManagementOS $false -NetAdapterName "VMNetwork1","VMNetwork2" -EnableEmbeddedTeaming $true

- Auf SWITCH-S2D-P1 und P2 auf den jeweiligen Ports MTU auf 9000 setzen und den Port korrekt benennen 
- VLAN konfigurieren

SMB1 Interface als Management und als Cluster SMB verwenden. Das wird erreicht, in den es als virtueller Switch konfiguriert wird und noch ein MGMT Adapter hinzugefügt wird
New-VMSwitch -Name SMB1 -AllowManagementOS $true -NetAdapterName "SMB1"
Add-VMNetworkAdapter –ManagementOS –Name "MGMT" –SwitchName "SMB1"

Enable-NetAdapterRdma -Name "vEthernet (SMB1)"
Enable-NetAdapterRdma -Name SMB2

Set-NetQosDcbxSetting -Willing 0 -Confirm:$false
New-NetQosPolicy "SMBDirect" -NetDirectPortMatchCondition 445 -PriorityValue8021Action 3
Enable-NetQosFlowControl -Priority 3

Set-NetAdapterAdvancedProperty -Name "SMB2" -RegistryKeyword "*JumboPacket" -RegistryValue 9014
Set-NetAdapterAdvancedProperty -Name "SMB2" -RegistryKeyword "*FlowControl" -RegistryValue 3 # = RoCEv1
Set-NetAdapterAdvancedProperty -Name "SMB2" -RegistryKeyword "VlanID" -RegistryValue 72
Set-NetAdapterAdvancedProperty -Name "SMB2" -RegistryKeyword "*NetworkDirectTechnology" -RegistryValue 3

Set-NetAdapterAdvancedProperty -Name "vEthernet (SMB1)" -RegistryKeyword "*JumboPacket" -RegistryValue 9014
Set-NetAdapterAdvancedProperty -Name "vEthernet (SMB1)" -RegistryKeyword "*NetworkDirect" -RegistryValue 1
Set-NetAdapterAdvancedProperty -Name "SMB1" -RegistryKeyword "*JumboPacket" -RegistryValue 9014
Set-NetAdapterAdvancedProperty -Name "SMB1" -RegistryKeyword "*FlowControl" -RegistryValue 3 # = RoCEv1
Set-NetAdapterAdvancedProperty -Name "SMB1" -RegistryKeyword "*NetworkDirectTechnology" -RegistryValue 3

Set-VMNetworkAdapterVlan -ManagementOS -VlanId 11 -VMNetworkAdapterName SMB1 -Access

New-NetIPAddress -InterfaceIndex (Get-NetAdapter -Name "vEthernet (SMB1)").ifIndex -IPAddress 192.168.11.90 -AddressFamily IPv4 -PrefixLength 24
New-NetIPAddress -InterfaceIndex (Get-NetAdapter -Name "SMB2").ifIndex -IPAddress 192.168.12.90 -AddressFamily IPv4 -PrefixLength 24

New-Cluster -Name cluster-s2d-p3 -Node server-s2d-p5, server-s2d-p6, server-s2d-p7, server-s2d-p8 -NoStorage -StaticAddress 192.168.100.129
- Witness zum Witness Fileserver verbinden

Enable-ClusterStorageSpacesDirect -CacheState Disabled -PoolFriendlyName "FMB-NVME-Pool" -CollectPerformanceHistory $true

New-ClusterFaultDomain -Name "Rack 1" -FaultDomainType Rack
New-ClusterFaultDomain -Name "Rack 2" -FaultDomainType Rack
Set-ClusterFaultDomain -Name "server-s2d-p5" -FaultDomain "Rack 1"
Set-ClusterFaultDomain -Name "server-s2d-p6" -FaultDomain "Rack 1"
Set-ClusterFaultDomain -Name "server-s2d-p7" -FaultDomain "Rack 2"
Set-ClusterFaultDomain -Name "server-s2d-p8" -FaultDomain "Rack 2"

=== Replica: ===
New-Volume -FriendlyName SRLogs -FileSystem ReFS -Size 150GB -ResiliencySettingName Mirror -NumberOfDataCopies 3 -AccessPath L:\
!!! Achtung: Die Volumes inkl. Log Volume müssen identisch sein. Selbe Größe, selbe Mirror (2-way oder 3-way) usw.
Hinweis: mit >>>Move-ClusterGroup -Name "Available Storage" -Node "SERVER-S2D-P5"<<< kann man den Knoten festlegen auf dem neue Volumes erstellt werden
Move-ClusterGroup -Name "Available Storage" -Node "SERVER-S2D-P1"
Move-ClusterGroup -Name "Available Storage" -Node "SERVER-S2D-P5"

Grant-SRAccess -ComputerName server-s2d-p1 -Cluster cluster-s2d-p2
Grant-SRAccess -ComputerName server-s2d-p5 -Cluster cluster-s2d-p1
Prüfen mit:
Get-SRAccess --> auf beiden Clustern

Test-SRTopology -SourceComputerName server-s2d-p1 -SourceVolumeName C:\ClusterStorage\VM1 -SourceLogVolumeName L: -DestinationComputerName server-s2d-p5 -DestinationVolumeName C:\ClusterStorage\VM1 -DestinationLogVolumeName L: -ResultPath C:\Temp\ -DurationInMinutes 5
==> Hinweis: Volume VM1 und das Volume L: müssen auf dem gleichen Knoten liegen. Der Befehl muss auch von dem Knoten ausgeführt werden und als Source muss dieser Knoten angegeben werden. Das gleiche gilt für das Ziel. Auch da müssen Volume VM1 und L: auf dem selben Knoten liegen der als Ziel angegeben wird

New-SRGroup -ComputerName cluster-s2d-p1.fm.db.de -Name "SRGroupA" -VolumeName "C:\ClusterStorage\VM1" -LogVolumeName "L:\"
New-SRGroup -ComputerName cluster-s2d-p2.fm.db.de -Name "SRGroupB" -VolumeName "C:\ClusterStorage\VM1" -LogVolumeName "L:\"

New-SRPartnership `
-SourceComputerName cluster-s2d-p1.fm.db.de `
-SourceRGName "SRGroupA" `
-DestinationComputerName cluster-s2d-p2.fm.db.de `
-DestinationRGName "SRGroupB" `
-ReplicationMode Synchronous

Replikation umdrehen:
Set-SRPartnership -NewSourceComputerName cluster-s2d-p2-SourceRGName SRGroupB -DestinationComputerName cluster-s2d-p1 -DestinationRGName SRGroupA

Volume hinzufügen:
Invoke-CimMethod -Namespace 'root/Microsoft/Windows/StorageReplica' `
-ClassName 'MSFT_WvrAdminTasks' `
-MethodName 'SetPartnershipAddVolumes' `
-Arguments @{
SourceComputerName = "cluster-s2d-p1"
SourceRGName = "SRGroupA"
DestinationComputerName = "cluster-s2d-p2"
DestinationRGName = "SRGroupB"
SourceAddVolumePartnership = @("C:\ClusterStorage\Mirror")
DestinationAddVolumePartnership = $asd
}

Wenn es Probleme gibt, hilft ggf. folgendes
* Ziel Offline nehmen
* Clear-SRMetadata -ComputerName cluster-s2d-p2.fm.db.de -AllPartitions -AllLogs -Force
* Clear-SRMetadata -ComputerName cluster-s2d-p1.fm.db.de -AllPartitions -AllLogs -Force
* Restart-Service -Name StorageReplica (auf allen Knoten)
* Danach SRGroup und Partnership neu erstellen

==== Partitionen für Storage Replica erstellen: ====
# Sammelt die Virtual Disk bzw. StoargeTier Größen ein
$storageTable = @()
Get-VirtualDisk | % {
$Mirror=0
$Parity=0
$Name=$_.FriendlyName
if ($_.ResiliencySettingName -eq "Mirror") {
$Mirror=$_.Size
} else {
$tiers = $_ | Get-StorageTier
foreach ($tier in $tiers) {
if ($tier.TierClass -eq "Capacity") {$Parity = $tier.size}
if ($tier.TierClass -eq "Performance") {$Mirror = $tier.size}
}
}
$object = [pscustomobject]@{Name = $name;Mirror = $Mirror;Parity=$Parity}
$storageTable += $object
}

erstellt die Virtual Disks auf dem Ziel Cluster mit 10GB weniger Speicherplatz. Grund ist, dass bei der Erstellung nicht die komplette Größe der Virtual Disk verwendet wird, sondern ein paar MB/GB weniger. Das erweitern um 1GB funktioniert (mit Powershell?) nicht sauber, daher ziehe ich 10GB ab und mach danach ein Resize auf die volle Größe. Das muss bei Mirror und bei Mirror Accelerated gemacht werden

$table = Import-Csv C:\Temp\StorageTable.csv -Delimiter ";"
foreach ($disk in $table) {
if ($disk.Parity -eq 0) {
New-Volume -StoragePoolFriendlyName "FMB-S2D-Pool" -FriendlyName $disk.Name -Size $($disk.Mirror - 10GB) -FileSystem CSVFS_ReFS -ResiliencySettingName Mirror -NumberOfDataCopies 3
Get-VirtualDisk $disk.Name |Resize-VirtualDisk -Size $disk.Mirror
} else {
New-Volume -FriendlyName $disk.Name -FileSystem CSVFS_ReFS -StoragePoolFriendlyName "FMB-S2D-Pool" -StorageTierFriendlyNames MirrorOnSSD, ParityOnSSD -StorageTierSizes $disk.Mirror, $($disk.Parity - 10GB)
Get-StorageTier "$($disk.Name)-ParityOnSSD" | Resize-StorageTier -Size $disk.Parity
}
$partition = Get-VirtualDisk $disk.name | Get-Disk | Get-Partition | where PartitionNumber -eq 2
Start-Sleep -Seconds 2
$partition | Resize-Partition -Size ($partition | Get-PartitionSupportedSize).SizeMax
}

Aufruf der IIS Webseiten mit Domain fremden FQDN vom lokalen Server aus nicht möglich

2025-09-30T07:35:23Z

Rueling: Die Seite wurde neu angelegt: „Es gab das Problem, dass die IIS Seite myapp.publicdomain.de auf dem Server myServer.mydomain.com nicht vom myserver.mydomain.com Server selbst aufgerufen werden konnte. Von anderen Servern z.B. Myserver2.mydomain.com hat es funktioniert. Es trat also nur vom IIS Server selbst auf. Die Ursache hat wohl zwei Gründe. 1. Kerberos Authentifizierung ist aktiv 2. Loopback-Check von Windows. Der Loopback Check soll, wenn ich das richtig verstanden habe, NTL…“

Es gab das Problem, dass die IIS Seite myapp.publicdomain.de auf dem Server myServer.mydomain.com nicht vom myserver.mydomain.com Server selbst aufgerufen werden konnte.
Von anderen Servern z.B. Myserver2.mydomain.com hat es funktioniert. Es trat also nur vom IIS Server selbst auf.

Die Ursache hat wohl zwei Gründe.
1. Kerberos Authentifizierung ist aktiv
2. Loopback-Check von Windows.

Der Loopback Check soll, wenn ich das richtig verstanden habe, NTLM Relay Angriffe verhindern.

Das Problem scheint wohl nur bei Servern aufzutreten, wenn eine Webseite mit .publicdomain.de aufgerufen wird statt mit .mydomain.com, da die Webseiten so eingestellt sind, dass zuerst Kerberos verwendet wird, aber für .publicdomain.de kein Kerberos Ticket ausgestellt werden kann. 
Bei einem lokalen Aufruf wird dann durch den Loopback Check verhindert, dass auf NTLM zurückgegangen wird. Die Authentifizierung wird direkt mit HTTP 401 abgelehnt

Um das Problem zu lösen und zu erreichen, dass die Seite auch vom IIS Server selbst aufgerufen werden kann gibt es folgende Optionen

* die einfache, aber unsichere Option ist, den Loopback Check abschalten. Unter “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa” einen DWORD Value mit “DisableLoopbackCheck“ erstellen und auf 1 setzen. Das kann man auch temporär machen und dann wieder löschen. Es braucht keinen Neustart von Windows oder IIS

* die bessere Option ist, bei der Windows Authentifizierung der Webseite den Provider "Negotiate" entfernen, sodass nur NTLM verwendet wird. Außerdem muss in der Registry unter “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0” ein Multi-String Value „BackConnectionHostNames“ erstellt werden, der die FQDN der Webseiten enthält. Dazu kann man folgende Powershell Befehle verwenden: $array = @(); Get-IISSite | select Name | where Name -ne "Default Web Site" | % {$array += "$($_.Name).publicdomain.de"} New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0" ` -Name "BackConnectionHostNames" -Value $array ` -PropertyType MultiString -Force

WFP Filter

2025-09-17T13:33:33Z

Rueling:

== Geblockte Pakete ohne Windows Firewall Regel ==

Es gab den Fall, dass zwei Programme keine Daten an deren Cloud Server senden konnten. Obwohl in der Windows Firewall und Windows Defender nichts geblockt wurde, kam keine Verbindung zustande. Auch in Wireshark hat man keine Verbindungsversuche gesehen.

Ursache waren mehrere WFP Filter

WFP (Windows Filter Platform) Filter sind Netzwerkfilter, die übergeordnet zur Windows Firewall existieren. Windows Firewall Regeln und andere Security Programme (z.B. Windows Defender EDR) bilden ihre Regeln als WFP Filter ab. 
Filter, die direkt als WFP Filter erstellt werden, können auch nicht in der Windows Firewall gesehen werden. 
Generell ist es auch so, dass diese Filter (und auch Windows Firewall Regeln) greifen, bevor Netzwerkpakete von Tools wie Wireshark gesehen werden können.

WFP Filter können mit folgendem Befehl angezeigt werden: 
"netsh wfp show filter" oder "netsh wfp show state"

Alternativ bietet sich die Software [https://github.com/zodiacon/WFPExplorer WFP Explorer] an. 
Mit dem WFP Explorer können Filter auch gelöscht werden (die FilterID wird hier in HEX dargestellt. Die ID in der XML ist Dezimal). 
Es gibt meines Wissens kein Bordmittel, mit dem Regeln erstellt und gelöscht werden können. Auch mit nativer PowerShell kommt man nicht weiter, da es nur eine C/C++ API gibt und PowerShell das wohl nicht nativ beherrscht. 
Es gibt zwar diverse PowerShell-Module, die man herunterladen kann, aber WFP Explorer ist einfacher.

Geblockte Pakete werden zwar im Windows Firewall Log protokolliert, aber man sieht da keine Details, weswegen diese geblockt werden.
Dafür kann man: 
netsh wfp capture start cab=off 
netsh wfp capture stop 
verwenden. 
Das erzeugt eine .ETL und .XML Datei mit den geblockten Paketen. 
Mit der ETL Datei kann man nicht viel anfangen, aber die XML Datei enthält die relevanten Informationen. 
Die XML Datei enthält Details wie WFP FilterID und wenn man in der XML nach der FilterID weiter sucht, findet man auch die entsprechende Regel.

Alternativ zum netsh wfp capture kann man auch einen Audit Filter über GPO aktivieren: 
Computer > Windows > Security > Advanced Audit > Object Access > Audit Filtering Platform Connection 
Dort entweder "Audit Filtering Platform Connection" oder "Audit Filtering Platform Packet Drop" aktivieren. 
Idealerweise mit "Failure", sonst würden wohl zu viele Events generiert. 
"Platform Connection" liefert noch ein paar Daten mehr als "Packet Drop", die scheinen auf den ersten Blick aber nicht relevant.

=== Beispiel: Geblocktes Event und dessen WFP Filter Regel ===

'''Geblocktes Paket:'''
<netEvent>
<header>
<timeStamp>2025-09-15T10:55:03.145Z</timeStamp>
<flags numItems="9">
<item>FWPM_NET_EVENT_FLAG_IP_PROTOCOL_SET</item>
<item>FWPM_NET_EVENT_FLAG_LOCAL_ADDR_SET</item>
<item>FWPM_NET_EVENT_FLAG_REMOTE_ADDR_SET</item>
<item>FWPM_NET_EVENT_FLAG_LOCAL_PORT_SET</item>
<item>FWPM_NET_EVENT_FLAG_REMOTE_PORT_SET</item>
<item>FWPM_NET_EVENT_FLAG_APP_ID_SET</item>
<item>FWPM_NET_EVENT_FLAG_USER_ID_SET</item>
<item>FWPM_NET_EVENT_FLAG_IP_VERSION_SET</item>
<item>FWPM_NET_EVENT_FLAG_PACKAGE_ID_SET</item>
</flags>
<ipVersion>FWP_IP_VERSION_V4</ipVersion>
<ipProtocol>6</ipProtocol>
<localAddrV4>192.168.0.1</localAddrV4>
<remoteAddrV4>192.168.0.2</remoteAddrV4>
<localPort>49911</localPort>
<remotePort>8080</remotePort>
<scopeId>0</scopeId>
<appId>
<data>irgendein binärer Blob - nicht relevant</data>
<asString>\.d.e.v.i.c.e.\.h.a.r.d.d.i.s.k.v.o.l.u.m.e.3.\.p.r.o.g.r.a.m. .f.i.l.e.s.\.m.e.i.n.\.p.r.o.g.r.a.m.m.\.p.r.o.g.r.a.m.m.e...e.x.e...</asString>
</appId>
<userId>S-1-5-21-xxxx</userId>
<addressFamily>FWP_AF_INET</addressFamily>
<packageSid>S-1-0-0</packageSid>
<enterpriseId/>
<policyFlags>0</policyFlags>
<effectiveName/>
</header>
<type>FWPM_NET_EVENT_TYPE_PUBLIC_CLASSIFY_DROP</type>
<classifyDrop>
<filterId>76580</filterId>
<layerId>48</layerId>
<reauthReason>0</reauthReason>
<originalProfile>3</originalProfile>
<currentProfile>3</currentProfile>
<msFwpDirection>MS_FWP_DIRECTION_OUT</msFwpDirection>
<isLoopback>false</isLoopback>
<vSwitchId/>
<vSwitchSourcePort>0</vSwitchSourcePort>
<vSwitchDestinationPort>0</vSwitchDestinationPort>
</classifyDrop>
<internalFields>
<internalFlags numItems="1">
<item>FWPM_NET_EVENT_INTERNAL_FLAG_FILTER_ORIGIN_SET</item>
</internalFlags>
capabilities/>
<fqbnVersion>0</fqbnVersion>
<fqbnName/>
<terminatingFiltersInfo numItems="2">
<item>
<filterId>76580</filterId>
<subLayer>32768</subLayer>
<actionType>FWP_ACTION_BLOCK</actionType>
</item>
<item>
<filterId>78029</filterId>
<subLayer>FWPP_SUBLAYER_INTERNAL_FIREWALL_WF</subLayer>
<actionType>FWP_ACTION_PERMIT</actionType>
</item>
</terminatingFiltersInfo>
<filterOrigin>Unknown</filterOrigin>
<policyAppId/>
<compartmentId>1</compartmentId>
</internalFields>
</netEvent>

'''WFP Regel zum geblockten Paket:'''
<layers numItems="97">
<item>
<layer>
...
</layer>
<callouts numItems="8">
...
</callouts>
<filters numItems="63">
...
<item>
<filterKey>{9a657e8b-04c2-46c7-8321-e5a3955c08fc}</filterKey>
<displayData>
<name>Custom Outbound Filter</name>
<description/>
</displayData>
<flags numItems="2">
<item>FWPM_FILTER_FLAG_PERSISTENT</item>
<item>FWPM_FILTER_FLAG_INDEXED</item>
</flags>
<providerKey>{608f5011-fb72-4986-a003-8fa1d9a00640}</providerKey>
<providerData/>
<layerKey>FWPM_LAYER_ALE_AUTH_CONNECT_V4</layerKey>
<subLayerKey>FWPM_SUBLAYER_UNIVERSAL</subLayerKey>
<weight>
<type>FWP_EMPTY</type>
</weight>
<filterCondition numItems="1">
<item>
<fieldKey>FWPM_CONDITION_ALE_APP_ID</fieldKey>
<matchType>FWP_MATCH_EQUAL</matchType>
<conditionValue>
<type>FWP_BYTE_BLOB_TYPE</type>
<byteBlob>
<data>irgendein binärer Blob -- nicht relevant</data>
<asString>\device\harddiskvolume3\program files\mein\programm\programm.exe</asString>
</byteBlob>
</conditionValue>
</item>
</filterCondition>
<action>
<type>FWP_ACTION_BLOCK</type>
<filterType/>
</action>
<rawContext>0</rawContext>
<reserved/>
<filterId>76580</filterId>
<effectiveWeight>
<type>FWP_UINT64</type>
<uint64>137438953472</uint64>
</effectiveWeight>
</item>
</filters>
</item>
</layers>

'''PowerShell Code zum Auslesen der geblockten Events:'''
$filterEvents =@()
$wfpXML = [System.Xml.XmlDocument](Get-Content C:\temp\wfpdiag.xml)
foreach ($event in $wfpXML.wfpdiag.events.netEvent) {
$filterEvents += [pscustomobject]@{
filterID = $event.classifyDrop.filterId
localIP = $event.Header.localAddrV4
localPort = $event.Header.localPort
remoteIP = $event.Header.remoteAddrV4
remotePort = $event.Header.remotePort
direction = $event.classifyDrop.msFwpDirection
}
}
$filterEvents |ft

== Neben Anmerkungen ==

Wireshark kann diese Events nicht filtern. (Der Begriff ist glaube ich ''ETW'' Events). 
Möchte man nicht nur die geblockten WFP-Pakete sehen, sondern auch sonstigen Netzwerkverkehr, muss man '''netsh trace''' verwenden.

netsh trace start capture=yes persistent=no tracefile=c:\temp\trace.etl scenario=netconnection 
netsh trace stop

Damit kann man zusätzlich zum Netzwerktraffic auch die ETW/WFP-Events sehen. 
Dafür muss man das erzeugte ETL-File aber in Windows Netmon oder Message Analyzer öffnen. 
Wireshark kann mit ETL nicht umgehen und auch die Umwandlung mit ETL2PCAPNG hilft nicht. 

Netmon und Message Analyzer sind EOL, aber Netmon wird noch offiziell von Microsoft als Download angegeben.

In Netmon und Message Analyzer kann man nach WFP-gebockten Paketen filtern:

'''Netmon:'''
* NetEvent.MicrosoftWindowsWFP.WFP_CLASSIFY_DROP_EVENT
* NetEvent.MicrosoftWindowsWFP.WFP_CLASSIFY_DROP_EVENT.RemoteAddress.IPv4.Address == 192.168.0.2

'''Message Analyzer:'''
* (Microsoft_Windows_WFP)
* (Microsoft_Windows_WFP.RemoteAddress.FlatAddress == 192.168.0.2)

Im Event sieht man dann auch wieder die '''FilterID''' (in HEX).

Powershell:

$wfpXML = [System.Xml.XmlDocument](Get-Content "C:\temp\wfpcapture1.xml")
$filterRules = @{}
foreach ($item in $wfpXML.wfpdiag.initialState.layers.item) {
if ($item.filters -ne "") {
foreach ($filterItem in $item.filters.item) {
$conditions = @()
foreach ($condition in $filterItem.filterCondition.Item) {
$value = ""
switch ($condition.fieldKey) {
"FWPM_CONDITION_ALE_APP_ID" {$value = $condition.conditionValue.byteBlob.asString}
"FWPM_CONDITION_ALE_USER_ID" {$value = $condition.conditionValue.sd}
"FWPM_CONDITION_IP_REMOTE_ADDRESS" {
if ($condition.matchType -eq "FWP_MATCH_RANGE") {
$value = "$($condition.conditionValue.rangeValue.valueLow.uint32) - $($condition.conditionValue.rangeValue.valueHigh.uint32)"
} else {
$value = $condition.conditionValue.uint32
}
}
"FWPM_CONDITION_IP_LOCAL_PORT" {
if ($condition.matchType -eq "FWP_MATCH_RANGE") {
$value = "$($condition.conditionValue.rangeValue.valueLow.uint16) - $($condition.conditionValue.rangeValue.valueHigh.uint16)"
} else {
$value = $condition.conditionValue.uint16
}
}
"FWPM_CONDITION_IP_REMOTE_PORT" {
if ($condition.matchType -eq "FWP_MATCH_RANGE") {
$value = "$($condition.conditionValue.rangeValue.valueLow.uint16) - $($condition.conditionValue.rangeValue.valueHigh.uint16)"
} else {
$value = $condition.conditionValue.uint16
}
}
}

$conditions += [pscustomobject]@{
fieldKey = $condition.fieldKey
match = $value
}
}

$ruleobject = [pscustomobject]@{
filterkey = $filterItem.filterKey
filtername = $filterItem.displayData.name
layer = $filterItem.layerKey
conditions = $conditions
}
$filterRules[$filterItem.filterId] = $ruleobject
}
}
}

$filterEvents =@()
$wfpXML = [System.Xml.XmlDocument](Get-Content C:\temp\wfpdiag4\wfpdiag4.xml)
foreach ($event in $wfpXML.wfpdiag.events.netEvent) {
$filterEvents += [pscustomobject]@{
filterID = $event.classifyDrop.filterId
localIP = $event.Header.localAddrV4
localPort = $event.Header.localPort
remoteIP = $event.Header.remoteAddrV4
remotePort = $event.Header.remotePort
direction = $event.classifyDrop.msFwpDirection
}
}
$filterEvents |ft

WFP Filter

2025-09-16T11:53:46Z

Rueling: Die Seite wurde neu angelegt: „== Geblockte Pakete ohne Windows Firewall Regel == Es gab den Fall, dass zwei Programme keine Daten an deren Cloud Server senden konnten. Obwohl in der Windows Firewall und Windows Defender nichts geblockt wurde, kam keine Verbindung zustande. Auch in Wireshark hat man keine Verbindungsversuche gesehen. Ursache waren mehrere WFP Filter WFP (Windows Filter Platform) Filter sind Netzwerkfilter, die übergeordnet zur Windows Firewall existieren. Windows F…“

Zpool virtuelle Disk erweitern

2025-05-24T05:36:40Z

Rueling: Die Seite wurde neu angelegt: „Quelle: https://schroederdennis.de/tutorial-howto/zfs-virtuelle-disk-in-zfs-vergroessern-resize-zpool-machine/ Der ZFS Pool vom Proxmox Backup Server war voll und musste vergrößert werden Dazu habe ich im Proxmox die virtuelle Disk für den PBS vergrößert. mit lsblk sieht man dann schon, dass die Festplatte selbst (/dev/sdb) die neue Größe hat. Die Partition /dev/sdb1 und der Pool noch nicht. Um die zu vergrößern führt man…“

Quelle: https://schroederdennis.de/tutorial-howto/zfs-virtuelle-disk-in-zfs-vergroessern-resize-zpool-machine/ 
Der ZFS Pool vom Proxmox Backup Server war voll und musste vergrößert werden 
Dazu habe ich im Proxmox die virtuelle Disk für den PBS vergrößert. 
mit lsblk sieht man dann schon, dass die Festplatte selbst (/dev/sdb) die neue Größe hat. Die Partition /dev/sdb1 und der Pool noch nicht. 
Um die zu vergrößern führt man folgende Befehle aus: 
zpool list -v ### zeigt den Disknamen an
find /dev/ -name scsi-0QEMU_QEMU_HARDDISK_drive-scsi1 ### gibt den vollständigen Pfad der Disk zurück
zpool online -e backupstore /dev/disk/by-id/scsi-0QEMU_QEMU_HARDDISK_drive-scsi1 ### vergrößert den ZFS Pool
zpool list ### zeigt nun die neue Größe an

WinSXS Dateien Fehlerhaft

2025-04-09T19:16:11Z

Rueling:

wenn man beim Ausführen von SFC /scannow Fehlerhafte Dateien oder Manifeste auftreten bzw. bei Dism /Online /Cleanup-Image /RestoreHealth die Reparatur fehlschlägt weil die Dateien nicht online heruntergeladen oder lokal gefunden wurden, kann es helfen, eine Windows 10 (oder Server) WIM Datei zu mounten und das entsprechende Update, das diese Dateien enthält in die WIM zu installieren. 
Danach sollte
Dism /Online /Cleanup-Image /RestoreHealth /Source:wim:C:\temp\install.wim:1 /LimitAccess
oder
Dism /Online /Cleanup-Image /RestoreHealth /Source:\\<server>\C$\Windows /LimitAccess
die Dateien wiederherstellen können.

In der C:\Windows\Logs\CBS\cbs.log stehen z.B. folgende Einträge:
2020-04-23 23:28:44, Error CBS Failed to look for file WinSxS\Manifests\x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b.manifest in some alternate sources [HRESULT = 0x80070003 - ERROR_PATH_NOT_FOUND]
2020-04-23 23:28:44, Info CBS Repr: Not able to find replacement manifests for component x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b from any local source

2020-04-23 23:20:08, Info CSI 00000007 Manifest hash for component [l:77 ml:140]'x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b' does not match expected value.
Expected:{l:32 b:57632c7a093132e166a120033b242fa3850cc68a33812946afc646b41f000476}
Found:{l:32 b:aa5d4a93a18a877fd1839669095f0f8b7946d0198a40e16b66c7f60c73dc7538}.
2020-04-23 23:20:08, Info CSI 00000008 Unable to load manifest for component [l:77 ml:140]'x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b'
2020-04-23 23:20:08, Info CSI 00000009 Manifest hash mismatch. Component: [l:77 ml:140]'x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b'
2020-04-23 23:20:08, Info CSI 0000000a Warning: Unable to repair manifest for component ([l:77 ml:140]'x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b') from backups directory with disposition (2). A backup file may not exist or may be corrupt. Falling back to WU.

bzw. bei einem Server 2022 hatte ich folgende Einträge
(F) STATUS_OBJECT_NAME_NOT_FOUND #18524# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = 0, handle = {provider=NULL, handle=0, name= ("null")}, da = (FILE_GENERIC_READ|DELETE), oa = @0xc98b07cfe0->OBJECT_ATTRIBUTES {s:48; rd:NULL; on:[118]'\?? \C:\Windows\Servicing\Packages\Microsoft-Hyper-V-Offline-Common-Package~31bf3856ad364e35~amd64~~10.0.20348.3451.cat'
bzw
Repr: Could not find missing package manifest/cat for package:Microsoft-Windows-SearchEngine-Server-Package-onecoreuap-Package~31bf3856ad364e35~amd64~~10.0.20348.3451 in the sandbox

Anhand der Versionsnummer 4.0.15788.32 (bzw. 10.0.20348.3451) lässt sich evtl ermitteln, um welches Update es sich handelt. 
Im konkreten Beispiel ergab die Suche eine CSV-Datei mit der KB-Nummer und den Dateiennamen als Inhalt. 
Anhand der KB-Nummer konnte das NET-Framework Update von 2020-02 ermittelt werden.

Um zu prüfen ob ein Update (.msu) die benötigten Dateien enthält, kann man das Update entpacken
expand -f:* <Pfad-zu-Update.msu> <Ziel-Pfad>
In der darin enthaltenen .cab Datei findet man die Dateien

Aus einem (speziellen) Windows 10 ISO konnte die install.wim kopiert und gemountet werden (mount-windowsimage). In das gemountete Image wurde dann die Update-Datei (.msu) installiert (Add-WindowsPackage -PackagePath <MSU-Datei> -Path <WIM-Mount-Pfad>). Nach einem Dismount-WindowsImage mit "-Save" hatte man eine angepasste WIM für DISM 
Oder man findet einen Rechner auf dem das entsprechende Update läuft und gibt das dann beim DISM als Source an

Network Capture

2025-03-22T12:26:14Z

Rueling:

= Aufzeichnung =

Um Netzwerktraffic bzw. Datenverkehr oder Pakete aufzuzeichnen gibt es verschiedene Optionen. 
Bei den hier genannten Varianten geht es eigentlich nur darum den Network Traffic mit seiner Größe zu ermitteln. D.h. die Paket Inhalte sind uninteressant 

=== Wireshare/Tshark ===

Die bekannteste Option ist Wireshark mit NPCap Treiber. 
NPCap hat allerdings einen Haken, nämlich bei Kommerzieller Anwendung. Das ist nicht oder nur eingeschränkt (5 Installationen von NpCAP) erlaubt. 
 
Wireshark liefert das CLI Tool TShark mit, um Aufzeichnungen in eine Datei zu speichern und später damit zu analysieren. 
Der Capture Aufruf ist folgender: 
<code>tshark.exe -i 8 -w C:\temp\tsharktrace.pcapng -f "tcp port 445" -s 128 -b filesize:512000000 -b files:1 -q</code> 
''-i 8'' ist das Netzwerk Interface. Die Automatische Ermittlung scheint nicht so gut zu funktionieren 
Mit <code>tshark.exe -D</code> kann man sich die Interfaces anzeigen lassen. Ich musste das “Ethernet” wählen. 
''-f “tcp port 445”'' schränkt die Aufzeichnung auf SMB Pakete ein. 
''-b files:1'' legt fest, dass nur in eine Datei geschrieben werden soll. Normalerweise würde thsark nach erreichen der angegebene filesize in eine neue Datei schreiben. So aber überschreibt er die eigene Datei wieder, womit sichergestellt werden kann, dass nicht zu viel Speicherplatz auf dem Datenträger benutzt wird 
''-s 128'' gibt an, dass die Pakete nach 128 Byte abgeschnitten werden sollen. Damit soll erreicht werden, dass nur Header aufgezeichnet werden. 
Die minimale TCP/IP Header Größe beträgt 54 Byte. IP und TCP Header können aber jeweils noch Optionen enthalten, was die Header vergrößert. Mit 128 Byte ist man auf der sicheren Seite 
 

=== Powershell NetEventSession ===

Powershell bietet auch die Möglichkeit Pakete aufzuzeichnen. Die Möglichkeiten für Filter und Einstellungen sind aber im Vergleich zu Wireshark stark eingeschränkt. 
Hier ein Beispiel, wie man TCP Sessions aufzeichnen kann. Eine Einschränkung auf bestimmte Ports ist nicht möglich 
New-NetEventSession -Name "HeaderOnlySession" -LocalFilePath "C:\temp\PSTrace.etl" -MaxFileSize 512000 
Add-NetEventPacketCaptureProvider -SessionName "HeaderOnlySession" -TruncationLength 128 -IpProtocols 6 
Start-NetEventSession -Name "HeaderOnlySession" 
Stop-NetEventSession -Name "HeaderOnlySession"
''-TruncationLength 128'' gibt an, dass die Pakete nach 128 Byte abgeschnitten werden sollen. 
''-IpProtocols 6'' gibt an, dass nur TCP Pakete aufgezeichnet werden sollen 
 
Die Aufzeichnung wird in ETL Dateien geschrieben. Diese konnte man “früher” mit dem Microsoft Netzwerk Analyse Tool öffnen. Das gibt es aber nicht mehr. 
Um die Daten in Wireshark zu verwenden, muss man die in pcapng Dateien umwandeln. Dafür gibt es von Microsoft einen Konverter “etl2pcapng” 
 

=== netsh trace ===

''netsh trace'' kann ebenfalls Pakete aufzeichnen und ist direkt in Windows integriert (ist das Powershell NetEventSession aber auch) 
Eine Aufzeichnung geht mit
<code>netsh trace start capture=yes tracefile=c:\temp\nettrace.etl maxsize=512000 protocol=TCP</code> 
gestoppt wird das ganze dann mit <code>netsh trace stop</code> 
Gegenüber der Powershell Variante hat es zwei Nachteile. 
1. Man kann die Paketgröße nicht einschränken 
2. Beim stoppen wird ein Merge in eine neue Datei erstellt. Diese wird vermutlich genauso groß, wie die aufgezeichnete Datei. Man benötigt also bei Aufzeichnungen den doppelten Speicherplatz 
Es hat damit keine Vorteile gegenüber Powershell 

= Analyse =

Die Analyse wird mit tshark durchgeführt. 
Es gibt dabei verschiedenen Möglichkeiten 
# tshark -r C:\Temp\tsharktrace.pcapng -q -z conv,ip -Y “tcp.port == 445” Zeigt eine Übersicht mit Datenmenge pro IP Adresse für hier als Beispiel SMB Die Ausgabe zeigt leider keine Ports an, daher sollte auf den Port gefiltert werden Das Ergebnis sieht das so aus: <code>                                    |       <-      | |       ->      | |     Total     |    Relative    |   Duration   |</code> <code>                                    | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |      Start     |              |</code> <code>192.168.1.1 <-> 192.168.1.2         1067249 1196 MB    766444 144 MB     1833693 1341 MB       1,832898000      1920,9941</code> 
# tshark -r C:\Temp\tsharktrace.pcapng -q -z conv,tcp Zeigt eine Übersicht mit Datenmenge pro Port an. Hier ohne Einschränkung auf den Port. Da der Quellport i.d.R. dynamisch ist, sieht man hiermit keine Gesamtübersicht sondern nur pro Verbindung Das Ergebnis sieht das so aus: <code>                                                 |       <-      | |       ->      | |     Total     |    Relative    |   Duration   |</code> <code>                                                 | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |      Start     |              |</code> <code>192.168.1.1:51198  <-> 192.168.1.2:445           369680 551 MB     211039 13 MB      580719 564 MB        2,721871000      1462,5293</code> <code>192.168.1.1:54172  <-> 192.168.1.2:445           2075 568 kB       2066 606 kB       4141 1175 kB      1472,621295000       451,8065</code> 
# tshark.exe -r C:\Temp\tsharktrace.pcapng -T fields -e ip.src -e ip.dst -e ip.len -e tcp.srcport -e tcp.dstport -E separator=“,” Ideal für die Weiterverarbeitung mit Powershell. Hiermit werden die Pakete einzeln ausgegeben mit den notwendigen Informationen, getrennt durch Komma 
 
Bei der Analyse der Powershell Trace (NetEventSession) und nettrace Daten gibt es etwas zu beachten. Ich bin mir nicht sicher, ob es daran liegt, dass die Pakete abgeschnitten sind, aber nach der Konvertierung der ETL Dateien nach PCAPNG mit etl2pcapng funktioniert die Analyse mittels <code>tshark -r C:\Temp\tsharktrace.pcapng -q -z conv,ip -Y "tcp.port == 445"</code> nicht. 
Es werden dabei immer alle Pakete ausgegeben, auch wenn die nicht dem Filter entsprechen. 
Für die Analyse mit Powershell (über <code>tshark.exe -r C:\temp\tsharktrace.pcapng -T fields -e ip.src -e ip.dst -e ip.len -e tcp.srcport -e tcp.dstport -E separator=","</code>) ist das kein Problem. 
Möchte man aber eine Analyse mit “conv,ip” muss man vorher alle Pakete mit dem entsprechenden Port in eine extra Datei rausschreiben: <code>tshark.exe -r .\PSTrace.pcapng -Y "tcp.port == 445" -w .\PSTrace_445_.pcapng</code> 
Danach kann man die Analyse auf die neue Datei machen

Network Capture

2025-03-22T12:23:39Z

Rueling: Die Seite wurde neu angelegt: „= Aufzeichnung = Um Netzwerktraffic bzw. Datenverkehr oder Pakete aufzuzeichnen gibt es verschiedene Optionen. Bei den hier genannten Varianten geht es eigentlich nur darum den Network Traffic mit seiner Größe zu ermitteln. D.h. die Paket Inhalte sind uninteressant === Wireshare/Tshark === Die bekannteste Option ist Wireshark mit NPCap Treiber. NPCap hat allerdings einen Haken, nämlich bei Kommerzieller Anwendung. Das ist nicht oder nur…“

= Aufzeichnung =

Um Netzwerktraffic bzw. Datenverkehr oder Pakete aufzuzeichnen gibt es verschiedene Optionen. 
Bei den hier genannten Varianten geht es eigentlich nur darum den Network Traffic mit seiner Größe zu ermitteln. D.h. die Paket Inhalte sind uninteressant 

=== Wireshare/Tshark ===

Die bekannteste Option ist Wireshark mit NPCap Treiber. 
NPCap hat allerdings einen Haken, nämlich bei Kommerzieller Anwendung. Das ist nicht oder nur eingeschränkt (5 Installationen von NpCAP) erlaubt. 
 
Wireshark liefert das CLI Tool TShark mit, um Aufzeichnungen in eine Datei zu speichern und später damit zu analysieren. 
Der Capture Aufruf ist folgender: 
<code>tshark.exe -i 8 -w C:\temp\tsharktrace.pcapng -f "tcp port 445" -s 128 -b filesize:512000000 -b files:1 -q</code> 
''-i 8'' ist das Netzwerk Interface. Die Automatische Ermittlung scheint nicht so gut zu funktionieren 
Mit <code>tshark.exe -D</code> kann man sich die Interfaces anzeigen lassen. Ich musste das “Ethernet” wählen. 
''-f “tcp port 445”'' schränkt die Aufzeichnung auf SMB Pakete ein. 
''-b files:1'' legt fest, dass nur in eine Datei geschrieben werden soll. Normalerweise würde thsark nach erreichen der angegebene filesize in eine neue Datei schreiben. So aber überschreibt er die eigene Datei wieder, womit sichergestellt werden kann, dass nicht zu viel Speicherplatz auf dem Datenträger benutzt wird 
''-s 128'' gibt an, dass die Pakete nach 128 Byte abgeschnitten werden sollen. Damit soll erreicht werden, dass nur Header aufgezeichnet werden. 
Die minimale TCP/IP Header Größe beträgt 54 Byte. IP und TCP Header können aber jeweils noch Optionen enthalten, was die Header vergrößert. Mit 128 Byte ist man auf der sicheren Seite 
 

=== Powershell NetEventSession ===

Powershell bietet auch die Möglichkeit Pakete aufzuzeichnen. Die Möglichkeiten für Filter und Einstellungen sind aber im Vergleich zu Wireshark stark eingeschränkt. 
Hier ein Beispiel, wie man TCP Sessions aufzeichnen kann. Eine Einschränkung auf bestimmte Ports ist nicht möglich 
New-NetEventSession -Name "HeaderOnlySession" -LocalFilePath "C:\temp\PSTrace.etl" -MaxFileSize 512000 
Add-NetEventPacketCaptureProvider -SessionName "HeaderOnlySession" -TruncationLength 128 -IpProtocols 6 
Start-NetEventSession -Name "HeaderOnlySession" 
Stop-NetEventSession -Name "HeaderOnlySession"
''-TruncationLength 128'' gibt an, dass die Pakete nach 128 Byte abgeschnitten werden sollen. 
''-IpProtocols 6'' gibt an, dass nur TCP Pakete aufgezeichnet werden sollen 
 
Die Aufzeichnung wird in ETL Dateien geschrieben. Diese konnte man “früher” mit dem Microsoft Netzwerk Analyse Tool öffnen. Das gibt es aber nicht mehr. 
Um die Daten in Wireshark zu verwenden, muss man die in pcapng Dateien umwandeln. Dafür gibt es von Microsoft einen Konverter “etl2pcapng” 
 

=== netsh trace ===

''netsh trace'' kann ebenfalls Pakete aufzeichnen und ist direkt in Windows integriert (ist das Powershell NetEventSession aber auch) 
Eine Aufzeichnung geht mit
<code>netsh trace start capture=yes tracefile=c:\temp\nettrace.etl maxsize=512000 protocol=TCP</code> 
gestoppt wird das ganze dann mit <code>netsh trace stop</code> 
Gegenüber der Powershell Variante hat es zwei Nachteile. 
1. Man kann die Paketgröße nicht einschränken 
2. Beim stoppen wird ein Merge in eine neue Datei erstellt. Diese wird vermutlich genauso groß, wie die aufgezeichnete Datei. Man benötigt also bei Aufzeichnungen den doppelten Speicherplatz 
Es hat damit keine Vorteile gegenüber Powershell 

= Analyse =

Die Analyse wird mit tshark durchgeführt. 
Es gibt dabei verschiedenen Möglichkeiten 
# tshark -r C:\Temp\tsharktrace.pcapng -q -z conv,ip -Y “tcp.port == 445” Zeigt eine Übersicht mit Datenmenge pro IP Adresse für hier als Beispiel SMB Die Ausgabe zeigt leider keine Ports an, daher sollte auf den Port gefiltert werden Das Ergebnis sieht das so aus: <code>                                    |       <-      | |       ->      | |     Total     |    Relative    |   Duration   |</code> <code>                                    | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |      Start     |              |</code> <code>192.168.1.1 <-> 192.168.1.2         1067249 1196 MB    766444 144 MB     1833693 1341 MB       1,832898000      1920,9941</code> 
# tshark -r C:\Temp\tsharktrace.pcapng -q -z conv,tcp Zeigt eine Übersicht mit Datenmenge pro Port an. Hier ohne Einschränkung auf den Port. Da der Quellport i.d.R. dynamisch ist, sieht man hiermit keine Gesamtübersicht sondern nur pro Verbindung Das Ergebnis sieht das so aus: <code>                                                 |       <-      | |       ->      | |     Total     |    Relative    |   Duration   |</code> <code>                                                 | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |      Start     |              |</code> <code>192.168.1.1:54172  <-> 192.168.1.2:445           369680 551 MB     211039 13 MB      580719 564 MB        2,721871000      1462,5293</code> <code>192.168.1.1:54172  <-> 192.168.1.2:445           2075 568 kB       2066 606 kB       4141 1175 kB      1472,621295000       451,8065</code> 
# tshark.exe -r C:\Temp\tsharktrace.pcapng -T fields -e ip.src -e ip.dst -e ip.len -e tcp.srcport -e tcp.dstport -E separator=“,” Ideal für die Weiterverarbeitung mit Powershell. Hiermit werden die Pakete einzeln ausgegeben mit den notwendigen Informationen, getrennt durch Komma 
 
Bei der Analyse der Powershell Trace (NetEventSession) und nettrace Daten gibt es etwas zu beachten. Ich bin mir nicht sicher, ob es daran liegt, dass die Pakete abgeschnitten sind, aber nach der Konvertierung der ETL Dateien nach PCAPNG mit etl2pcapng funktioniert die Analyse mittels <code>tshark -r C:\Temp\tsharktrace.pcapng -q -z conv,ip -Y "tcp.port == 445"</code> nicht. 
Es werden dabei immer alle Pakete ausgegeben, auch wenn die nicht dem Filter entsprechen. 
Für die Analyse mit Powershell (über <code>tshark.exe -r C:\temp\tsharktrace.pcapng -T fields -e ip.src -e ip.dst -e ip.len -e tcp.srcport -e tcp.dstport -E separator=","</code>) ist das kein Problem. 
Möchte man aber eine Analyse mit “conv,ip” muss man vorher alle Pakete mit dem entsprechenden Port in eine extra Datei rausschreiben: <code>tshark.exe -r .\PSTrace.pcapng -Y "tcp.port == 445" -w .\PSTrace_445_.pcapng</code> 
Danach kann man die Analyse auf die neue Datei machen

Dienste Remote starten und stoppen ohne Adminrechte

2025-02-25T11:29:28Z

Rueling: Die Seite wurde neu angelegt: „Um Dienste/Services Remote zu ermitteln, starten und stoppen, ohne Admin Rechte auf dem Zielsystem zu haben, muss man folgende Schritte ausführen # Benutzer zur lokalen Gruppe "Remote Management Users" hinzufügen # wmimgmt.msc aufrufen ## Eigenschaften von WMI Control (Local) öffnen ## zu Root\cimv2 wechseln und "Security" öffnen ## Gruppe "Remote Management Users" hinzufügen und die Berechtigung "Remote Enable" geben # in einer commandline (nicht P…“

Um Dienste/Services Remote zu ermitteln, starten und stoppen, ohne Admin Rechte auf dem Zielsystem zu haben, muss man folgende Schritte ausführen
# Benutzer zur lokalen Gruppe "Remote Management Users" hinzufügen
# wmimgmt.msc aufrufen
## Eigenschaften von WMI Control (Local) öffnen
## zu Root\cimv2 wechseln und "Security" öffnen
## Gruppe "Remote Management Users" hinzufügen und die Berechtigung "Remote Enable" geben
# in einer commandline (nicht Powershell) folgendes ausführen
## Servicemanager Berechtigungen sichern: sc sdshow scmanager > C:\Temp\Scmananger.txt
## Zu den Berechtigungen vor dem "S:" folgendes hinzufügen: (A;;CCLCRPRC;;;S-1-5-32-580) Damit bekommt die Gruppe "Remote Management Users" die Rechte mit den Diensten zu interagieren 
## Der Befehl könnte am Ende so aussehen: sc sdset scmanager D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)(A;;CC;;;S-1-15-3-1024-528118966-3876874398-709513571-1907873084-3598227634-3698730060-278077788-3990600205)(A;;CCLCRPRC;;;S-1-5-32-580)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

CC - SC_MANAGER_CONNECT - remotely connect
LC - SC_MANAGER_ENUMERATE_SERVICE - list all services
RP - SC_MANAGER_QUERY_LOCK_STATUS - interogate the status of each
RC - STANDARD_RIGHTS_READ - read the permissions of scmanager and services

Reset Windows Password

2025-02-25T06:48:20Z

Rueling:

Benutzer Passwort von einem Windows System zurücksetzen 
1. Windows vom Setup oder Recovery Console starten 
2. Regedit ausführen und die lokale Windows System Registry Hive nach HKLM laden (Name z.B. Temp) 
3. zu dem geladenen SYSTEM Hive (z.B. Temp wechseln). 
4. darunter gibt es einen Ordner "Setup" 
5. zwei Werte Ändern: CmdLine von "" auf cmd.exe und SetupType von 0 auf 2 
6. Neustart, danach öffnet sich gleich das CMD Fenster 
7. Powershell daraus starten und folgendes Powershell ausführen: 
$Password = Read-Host -AsSecureString
New-LocalUser -Name 'TempAdmin' -Password $Password

Reset Windows Password

2025-02-25T06:48:06Z

Rueling:

Benutzer Passwort von einem Windows System zurücksetzen 
1. Windows vom Setup oder Recovery Console starten 
2. Regedit ausführen und die lokale Windows System Registry Hive nach HKLM laden (Name z.B. Temp) 
3. zu dem geladenen SYSTEM Hive (z.B. Temp wechseln). 
4. darunter gibt es einen Ordner "Setup" 
5. zwei Werte Ändern: CmdLine von "" auf cmd.exe und SetupType von 0 auf 2 
6. Neustart, danach öffnet sich gleich das CMD Fenster 
7. Powershell daraus starten und folgendes Powershell ausführen: 
$Password = Read-Host -AsSecureString 
New-LocalUser -Name 'TempAdmin' -Password $Password

Reset Windows Password

2025-02-25T06:47:51Z

Rueling: Die Seite wurde neu angelegt: „Benutzer Passwort von einem Windows System zurücksetzen 1. Windows vom Setup oder Recovery Console starten 2. Regedit ausführen und die lokale Windows System Registry Hive nach HKLM laden (Name z.B. Temp) 3. zu dem geladenen SYSTEM Hive (z.B. Temp wechseln). 4. darunter gibt es einen Ordner "Setup" 5. zwei Werte Ändern: CmdLine von "" auf cmd.exe und SetupType von 0 auf 2 6. Neustart, danach öffnet sich gleich das CMD Fenster 7. Powershell darau…“

Benutzer Passwort von einem Windows System zurücksetzen
1. Windows vom Setup oder Recovery Console starten 
2. Regedit ausführen und die lokale Windows System Registry Hive nach HKLM laden (Name z.B. Temp)
3. zu dem geladenen SYSTEM Hive (z.B. Temp wechseln).
4. darunter gibt es einen Ordner "Setup"
5. zwei Werte Ändern: CmdLine von "" auf cmd.exe und SetupType von 0 auf 2
6. Neustart, danach öffnet sich gleich das CMD Fenster
7. Powershell daraus starten und folgendes Powershell ausführen:
$Password = Read-Host -AsSecureString
New-LocalUser -Name 'TempAdmin' -Password $Password

Enable local Administrator

2024-03-12T09:16:15Z

Rueling: Die Seite wurde neu angelegt: „Wenn der lokale Administrator Account deaktiviert ist, sollte man eigentlich trotzdem per abgesicherten Modus reinkommen. Bei einem Windows 11 Rechner hat das nicht funktioniert. Dafür gibt es dann folgende Option: <ul> <li>Wiederherstellungsconsole starten</li> <li>Registry öffnen und Hive laden und z.b. den Namen temp geben (nicht SAM!): C:\Windows\System32\config\SAM</li> <li>wechseln zu HKEY_LOCAL_MACHINE\temp\SAM\Domains\Account\Users\…“

Wenn der lokale Administrator Account deaktiviert ist, sollte man eigentlich trotzdem per abgesicherten Modus reinkommen. 
Bei einem Windows 11 Rechner hat das nicht funktioniert. 
Dafür gibt es dann folgende Option: 
<ul>
<li>Wiederherstellungsconsole starten</li>
<li>Registry öffnen und Hive laden und z.b. den Namen temp geben (nicht SAM!): C:\Windows\System32\config\SAM</li>
<li>wechseln zu HKEY_LOCAL_MACHINE\temp\SAM\Domains\Account\Users\000001F4 (01F4) ist i.d.R der lokale Administrator)</li>
<li>den Wert "F" ändern und bei Zeile 38 (bzw. Byte 0x38) den Wert "11" löschen und durch "10" ersetzen</li>
<li>Temp Hive wieder aushängen und neustarten</li>
<li>Anmeldung als lokaler Administrator ist nun (mit entsprechendem Passwort) möglich</li>
</ul>

Linux Software RAID mit EFI

2024-02-14T09:53:36Z

Rueling: Die Seite wurde neu angelegt: „Linux kann nicht mit onBoard RAID von Intel umgehen. Das heißt eine Installation auf ein eingerichtet RAID mit einem onBoard RAID z.B. von Intel wird fehlgeschlagen Die Alternative dazu ist das onBoard RAID aufzulösen und auf AHCI zu stellen und das RAID als Software RAID (mdadm) in Linux zu konfigurieren. Dabei gibt es aber einige Dinge zu beachten. z.B. funktioniert das nicht mit Desktop ISOs von Ubuntu, sondern es benötigt ein Ubuntu Server oder D…“

Linux kann nicht mit onBoard RAID von Intel umgehen. Das heißt eine Installation auf ein eingerichtet RAID mit einem onBoard RAID z.B. von Intel wird fehlgeschlagen

Die Alternative dazu ist das onBoard RAID aufzulösen und auf AHCI zu stellen und das RAID als Software RAID (mdadm) in Linux zu konfigurieren.
Dabei gibt es aber einige Dinge zu beachten. z.B. funktioniert das nicht mit Desktop ISOs von Ubuntu, sondern es benötigt ein Ubuntu Server oder Debian und ein Software RAID über eine EFI Partition funktioniert nicht mit grub (zumindest nicht während der Installation)

Die Konfiguration während der Installation muss dabei wie folgt aussehen.
* auf beiden Datenträgern eine EFI (ESP) und eine root (/) Partition erstellen
* Im nächsten Schritt wird ein RAID 1 ausschließlich für die root Partition erstellt. Das kann über das Setup gemacht werden, vorher verlangt das Setup, dass die in Schritt 1 geplante Konfiguration auf die Datenträger geschrieben wird. manuell kann man das RAID auch mit mdadm einrichten: mdadm --create /dev/md0 --auto md --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2 Die EFI Partition bekommt kein RAID
* Das Setup nun ganz normal abschließen

Nun muss noch der Bootloader auf dem zweiten Datenträger eingerichtet werden.
* prüfen, welches Laufwerk in /boot/efi gemountet ist: mount | grep /boot/efi
* normalerweise wird das /dev/sda1 sein. Die Partition nun unmounten: umount /boot/efi
* nun die EFI Partition des zweiten Datenträgers nach /boot/efi mounten: mount /dev/sdb1 /boot/efi
* Nun den grub bootloader installieren: grub-install --bootloader-id disk2 /dev/sdb
* wieder die default efi Partition mounten: umount /boot/efi; mount /boot/efi
* mit den folgenden Befehlen kann man prüfen und vergleichen, dass die beiden EFI Partitionen korrekt im bootloader konfiguriert sind: ls -l /dev/disk/by-partuuid/ efibootmgr -v eine weitere Option den EFI bootloader zu setzen ist mit dem folgenden Befehl (ungetestet): efibootmgr --create --disk /dev/sdb --part 1 --label "disk2" --loader “\EFI\debian\shimx64.efi”

Nun könnte theoretisch auch mit der zweiten Disk gestartet werden, allerdings wird das im Moment noch Probleme machen, da in der /etc/fstab die EFI Partition vom ersten Datenträger gemountet wird und wenn der nicht vorhanden ist, startet Linux nicht.

Die /boot/efi Partition nicht zu mounten ist leider nur eine temporäre Option, die wird bei verschiedenen Updates benötigt z.B. Kernel Updates oder grub Update. Man könnte nun theoretisch die EFI Partition mit automount in der /etc/fstab konfigurieren (UUID=8E6E-7059 /boot/efi vfat umask=0077,x-systemd.automount) aber trotzdem müsste man dafür sorgen, dass die regelmäßig mit der Kopie synchronisiert wird.

Dazu kann man nachträglich ein RAID über die EFI Partitionen erstellen.
Vorher prüfen, welcher Datenträger gerade den EFI Mount hat. Bei mir war es sdb1. Das RAID wird also mit den nicht gemounteten Datenträger erstellt
* RAID erstellen: mdadm --create /dev/md1 --level 1 --raid-disks 2 --metadata 1.0 /dev/sda1 missing
* als FAT32 formatieren (wird später trotzdem als vfat angezeigt): mkfs.fat -F32 /dev/md1
* neues RAID in temporären Ordner mounten: mkdir /tmp/RAID; mount /dev/md1 /tmp/RAID
* Daten von der aktuellen EFI Partition ins RAID kopieren: rsync -av --progress /boot/efi/ /tmp/RAID/
* ersten Datenträger unmounten und zum RAID hinzufügen: umount /dev/sdb1; mdadm --manage /dev/md1 --add /dev/sdb1
* aktuelle Partition UUID ermitteln und damit in der fstab den efi mount ersetzen: blkid /dev/md1
* das neue RAID in der mdadm Konfiguration hinzufügen: mdadm --detail --scan | grep md1 >> /etc/mdadm/mdadm.conf
* Boot-Image aktualisieren: update-initramfs -u

Linux LVM Volume expand

2024-02-10T13:47:14Z

Rueling:

Vergrößern der Root-Partition 
Es wird growpart benötigt, in Ubuntu ist das Teil des Paketes cloud-guest-utils 

growpart /dev/sda 3
lvextend -l +100%FREE /dev/ubuntu-vg/ubuntu-lv
resize2fs -p /dev/ubuntu-vg/ubuntu-lv

Vergrößern der Daten-Partition ohne LVM
growpart /dev/sdb 1
resize2fs -p /dev/sdb1

Alternative ist mit parted. Hier ein Beispiel inkl. Löschen der Swap Partition, falls diese hinter der root Partition liegt: https://www.golinuxcloud.com/extend-resize-primary-partition-non-lvm-linux/

Firewall GPO mit Powershell bearbeiten

2023-11-09T11:32:42Z

Rueling: Die Seite wurde neu angelegt: „ $GPO = Open-NetGPO -PolicyStore "<DOMAIN>\GPO-Firewall Get-NetFirewallProfile -GPOSession $GPO -Name "Domain" | Get-NetFirewallRule | Set-NetFirewallRule -RemoteAddress @("1.1.1.1-2.2.2.2", "3.3.3.3-4.4.4.4") Save-NetGPO -GPOSession $GPO“

$GPO = Open-NetGPO -PolicyStore "<DOMAIN>\GPO-Firewall
Get-NetFirewallProfile -GPOSession $GPO -Name "Domain" | Get-NetFirewallRule | Set-NetFirewallRule -RemoteAddress @("1.1.1.1-2.2.2.2", "3.3.3.3-4.4.4.4")
Save-NetGPO -GPOSession $GPO

Powershell generic type .net

2023-06-09T20:21:27Z

Rueling: Die Seite wurde neu angelegt: „Wenn man in Powershell eine .NET Methode mit generic type (oder generic method?) aufrufen möchte, gibt es bisher keinen direkten Weg dafür. Es lässt sich aber mit .NET Befehlen eine fertige Methode erstellen: Beispiel Methode: ParquetRowReader<TTuple> CreateRowReader<TTuple>(string path) class myType { [System.Nullable[ParquetSharp.Int96]]$timestamp; [String]$s1 [System.Nullable[System.Boolean]]$bool [string[]]$s2…“

Wenn man in Powershell eine .NET Methode mit generic type (oder generic method?) aufrufen möchte, gibt es bisher keinen direkten Weg dafür. 
Es lässt sich aber mit .NET Befehlen eine fertige Methode erstellen: 
Beispiel Methode: ParquetRowReader<TTuple> CreateRowReader<TTuple>(string path)

class myType
{
[System.Nullable[ParquetSharp.Int96]]$timestamp;
[String]$s1
[System.Nullable[System.Boolean]]$bool
[string[]]$s2
}

$method = [Namespace.Namespace.Class].GetMethod('CreateRowReader',[String]) ## wenn es mehrere Überladungen gibt, kann man die Parameter mit angeben
# $method = [Namespace.Namespace.Class].GetMethod('CreateRowReader') ## gibt es keine mehreren Überladungen, reicht einfach der Methodenname
$m = $method.MakeGenericMethod([myType]) ## Variable für den generic type übergeben. Hier im Beispiel für ein TTuple eine Class
$p = $m.Invoke($null,"Parameter für Methode") ## Methode mit Parameter aufrufen - $p enthält den Rückgabewert der Methode
$p.ReadRows(0) ## mit dem Rückgabe Objekt einfach weiterarbeiten

Smartcard Authentication

2023-06-06T15:35:15Z

Rueling: Die Seite wurde neu angelegt: „Für Smartcard Authentifizierung wird ein Zertifikat mit RSA 2048 mit den folgenden Enhanced Key Usage benötigt: Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2) KDC-Authentifizierung (1.3.6.1.5.2.3.5) Clientauthentifizierung (1.3.6.1.5.5.7.3.2) ausgestellt wird das Zertifikat auf den User Principal name (UPN) Für die Anmeldung von nicht-Domain Rechnern bzw. von Domain-Rechnern fremder Domains ohne Vertrauensstellung, braucht es auf den DCs ein Zerti…“

Für Smartcard Authentifizierung wird ein Zertifikat mit RSA 2048 mit den folgenden Enhanced Key Usage benötigt:
Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)
KDC-Authentifizierung (1.3.6.1.5.2.3.5)
Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
ausgestellt wird das Zertifikat auf den User Principal name (UPN)

Für die Anmeldung von nicht-Domain Rechnern bzw. von Domain-Rechnern fremder Domains ohne Vertrauensstellung, braucht es auf den DCs ein Zertifikat aus der Vorlage "Kerberos Authentication" (Die Vorlage ist veraltet und sollte vorher dupliziert und aktualisiert werden)

Es kommt sonst beim Versuch eine Verbindung herzustellen eine Fehlermeldung, dass das KDC Zertifikat nicht gelesen werden kann. 
im Eventlog steht dann die folgende Meldung:
The Key Distribution Center (KDC) uses a certificate without KDC Extended Key Usage (EKU) which can result in authentication failures for device certificate logon and smart card logon from non-domain-joined devices. Enrollment of a
KDC certificate with KDC EKU (Kerberos Authentication template) is required to remove this warning.

Linux fstab mount disk

2023-05-19T07:50:52Z

Rueling: Die Seite wurde neu angelegt: „Um in Linux eine Disk bzw. Partition in die /etc/fstab einzutragen und damit automatisch beim Start zu mounten, braucht es die UUID der Partition Die ID bekommt man mit folgendem Befehl (Alternativ mit blkid) lsblk -o NAME,FSTYPE,UUID,SIZE,LABEL In der /etc/fstab wird dann folgendes eintragen: UUID="c7b53973-0fcf-4e49-898a-e8d04ef2e7b0" /path/mountpoint ext4 defaults 0 1“

Um in Linux eine Disk bzw. Partition in die /etc/fstab einzutragen und damit automatisch beim Start zu mounten, braucht es die UUID der Partition

Die ID bekommt man mit folgendem Befehl (Alternativ mit blkid)
lsblk -o NAME,FSTYPE,UUID,SIZE,LABEL
In der /etc/fstab wird dann folgendes eintragen:
UUID="c7b53973-0fcf-4e49-898a-e8d04ef2e7b0" /path/mountpoint ext4 defaults 0 1

Linux LVM Volume expand

2023-04-17T08:50:42Z

Rueling:

Vergrößern der Root-Partition 
Es wird growpart benötigt, in Ubuntu ist das Teil des Paketes cloud-guest-utils 

growpart /dev/sda 3
lvextend -l +100%FREE /dev/ubuntu-vg/ubuntu-lv
resize2fs -p /dev/ubuntu-vg/ubuntu-lv

Alternative ist mit parted. Hier ein Beispiel inkl. Löschen der Swap Partition, falls diese hinter der root Partition liegt: https://www.golinuxcloud.com/extend-resize-primary-partition-non-lvm-linux/

alt - mit löschen der Home Partition 
vim /etc/fstab -->/home Mount entfernen
umount /home
lvremove /dev/mapper/VolGroup-lv_home
lvextend -l +100%FREE /dev/mapper/VolGroup-lv_root
resize2fs /dev/mapper/VolGroup-lv_root

Windows Installation Fehler nach Sysprep

2023-02-22T07:37:08Z

Rueling:

Nach Sysprep von Windows kann es zwei Fehlermeldung beim darauffolgenden Starten von Windows geben:
Die Installation konnte nicht abgeschlossen werden. Starten Sie die Installation erneut.
oder
Der Computer wurde unerwartet neu gestartet oder ein unerwarteter Fehler ist aufgetreten. Die Windows-Installation kann nicht fortgesetzt werden. Klicken Sie auf "OK", um den Computer neu zu starten, und führen Sie die Installation dann erneut aus.

Dafür gibt es verschiedene Lösungsansätze 
Versuch 1
# Wenn die Fehlermeldung erscheint, bestätigt man nicht gleich mit “OK”, sondern drückt Shift + F10, um die Kommandozeile zu öffnen.
# In der neu geöffneten Kommandozeile gibt man nun regedit ein. Der Registrierungs-Editor öffnet sich.
# Im Registrierungs-Editor navigiert man zu folgendem Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\ChildCompletion
# Hier ändert man den untergeordneten Wert setup.exe von 0x00000001 (1) auf 0x00000003 (3)
Nach einem Neustart startet Windows wieder im Out of Box Experience Modus.

Versuch 2
# Bei Erscheinen der Fehlermeldung drückt man Shift + F10, um die Kommandozeile zu öffnen.
# In der neu geöffneten Kommandozeile gibt man nun regedit ein. Der Registrierungs-Editor öffnet sich.
# Im Registrierungs-Editor navigiert man zu folgendem Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status
# Folgende Werte müssen angepasst werden, sofern sie nicht mit den hier angegebenen Werten übereinstimmen:
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\AuditBoot 0x00000000 (0)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\ChildCompletion\setup.exe 0x00000003 (3)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\ChildCompletion\audit.exe 0x00000000 (0)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\SysprepStatus\CleanupState 0x00000002 (2)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\SysprepStatus\GeneralizationState 0x00000007 (7)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\UnattendPasses\auditSystem 0x00000000 (0)
Nach einem anschließenden Neustart ist der Audit-Modus beendet und Windows startet wieder regulär – im Out of Box Experience Modus.

Versuch 3
dism /online /cleanup-image /restorehealth

Versuch 4
C:\Windows\System32\oobe\msoobe.exe

Man kann auch mal die Logs prüfen in_
C:\Windows\System32\Sysprep\Panther
bzw.
C:\Windows\Panther

Windows Installation Fehler nach Sysprep

2023-02-22T07:36:53Z

Rueling:

Nach Sysprep von Windows kann es zwei Fehlermeldung beim darauffolgenden Starten von Windows geben:
Die Installation konnte nicht abgeschlossen werden. Starten Sie die Installation erneut.
oder
Der Computer wurde unerwartet neu gestartet oder ein unerwarteter Fehler ist aufgetreten. Die Windows-Installation kann nicht fortgesetzt werden. Klicken Sie auf "OK", um den Computer neu zu starten, und führen Sie die Installation dann erneut aus.

Dafür gibt es verschiedene Lösungsansätze
Versuch 1
# Wenn die Fehlermeldung erscheint, bestätigt man nicht gleich mit “OK”, sondern drückt Shift + F10, um die Kommandozeile zu öffnen.
# In der neu geöffneten Kommandozeile gibt man nun regedit ein. Der Registrierungs-Editor öffnet sich.
# Im Registrierungs-Editor navigiert man zu folgendem Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\ChildCompletion
# Hier ändert man den untergeordneten Wert setup.exe von 0x00000001 (1) auf 0x00000003 (3)
Nach einem Neustart startet Windows wieder im Out of Box Experience Modus.

Versuch 2
# Bei Erscheinen der Fehlermeldung drückt man Shift + F10, um die Kommandozeile zu öffnen.
# In der neu geöffneten Kommandozeile gibt man nun regedit ein. Der Registrierungs-Editor öffnet sich.
# Im Registrierungs-Editor navigiert man zu folgendem Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status
# Folgende Werte müssen angepasst werden, sofern sie nicht mit den hier angegebenen Werten übereinstimmen:
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\AuditBoot 0x00000000 (0)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\ChildCompletion\setup.exe 0x00000003 (3)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\ChildCompletion\audit.exe 0x00000000 (0)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\SysprepStatus\CleanupState 0x00000002 (2)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\SysprepStatus\GeneralizationState 0x00000007 (7)
## HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\UnattendPasses\auditSystem 0x00000000 (0)
Nach einem anschließenden Neustart ist der Audit-Modus beendet und Windows startet wieder regulär – im Out of Box Experience Modus.

Versuch 3
dism /online /cleanup-image /restorehealth

Versuch 4
C:\Windows\System32\oobe\msoobe.exe

Man kann auch mal die Logs prüfen in_
C:\Windows\System32\Sysprep\Panther
bzw.
C:\Windows\Panther

Windows Installation Fehler nach Sysprep

2023-02-21T15:57:22Z

Rueling: Die Seite wurde neu angelegt: „Die Installation konnte nicht abgeschlossen werden. Starten Sie die Installation erneut. oder Der Computer wurde unerwartet neu gestartet oder ein unerwarteter Fehler ist aufgetreten. Die Windows-Installation kann nicht fortgesetzt werden. Klicken Sie auf "OK", um den Computer neu zu starten, und führen Sie die Installation dann erneut aus. Wenn die Fehlermeldung erscheint, bestätigt man nicht gleich mit “OK”, sondern drückt Shift + F10, um di…“

Die Installation konnte nicht abgeschlossen werden. Starten Sie die Installation erneut.

oder

Der Computer wurde unerwartet neu gestartet oder ein unerwarteter Fehler ist aufgetreten. Die Windows-Installation kann nicht fortgesetzt werden. Klicken Sie auf "OK", um den Computer neu zu starten, und führen Sie die Installation dann erneut aus.

Wenn die Fehlermeldung erscheint, bestätigt man nicht gleich mit “OK”, sondern drückt Shift + F10, um die Kommandozeile zu öffnen.
In der neu geöffneten Kommandozeile gibt man nun regedit ein. Der Registrierungs-Editor öffnet sich.
Im Registrierungs-Editor navigiert man zu folgendem Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\ChildCompletion
Hier ändert man den untergeordneten Wert setup.exe von 0x00000001 (1) auf 0x00000003 (3)
Nach einem Neustart startet Windows wieder – allerdings im Out of Box Experience Modus. Ein neuer Benutzer muss eingerichtet werden. Der Benutzername des neuen Benutzers darf noch nicht existieren.

Bei Erscheinen der Fehlermeldung drückt man Shift + F10, um die Kommandozeile zu öffnen.
In der neu geöffneten Kommandozeile gibt man nun regedit ein. Der Registrierungs-Editor öffnet sich.
Im Registrierungs-Editor navigiert man zu folgendem Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status
Folgende Werte müssen angepasst werden, sofern sie nicht mit den hier angegebenen Werten übereinstimmen:
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\AuditBoot
0x00000000 (0)
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\ChildCompletion\setup.exe
0x00000003 (3)
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\ChildCompletion\audit.exe
0x00000000 (0)
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\SysprepStatus\CleanupState
0x00000002 (2)
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\SysprepStatus\GeneralizationState
0x00000007 (7)
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\UnattendPasses\auditSystem
0x00000000 (0)
Nach einem anschließenden Neustart ist der Audit-Modus beendet und Windows startet wieder regulär – im Out of Box Experience Modus.

ODER
dism /online /cleanup-image /restorehealth

LXC SSH Ubuntu/Debian

2022-03-12T09:02:15Z

Rueling: Die Seite wurde neu angelegt: „Bei LXC Containern in Proxmox mit Ubuntu oder Debian wird der SSH Dienst (sshd) als Socket gestartet. Das führt dazu, dass Konfigurationseinstellungen in /etc/ssh/sshd_config ignoriert werden. um den richtigen SSH Dienst zu verwenden muss der ssh.socket Dienst deaktiviert und der reguläre ssh.service Dienst aktiviert werden. sudo systemctl disable ssh.socket sudo systemctl enable ssh.service“

Bei LXC Containern in Proxmox mit Ubuntu oder Debian wird der SSH Dienst (sshd) als Socket gestartet. Das führt dazu, dass Konfigurationseinstellungen in /etc/ssh/sshd_config ignoriert werden. 
um den richtigen SSH Dienst zu verwenden muss der ssh.socket Dienst deaktiviert und der reguläre ssh.service Dienst aktiviert werden. 
sudo systemctl disable ssh.socket
sudo systemctl enable ssh.service

Hauptseite

2022-03-12T08:55:33Z

Rueling:

Dies ist ein Privat Wiki

Die Wiki Einträge findet man im linken Menü unter "'''[https://wiki.wingeav.de/index.php?title=Spezial:Alle_Seiten Alle Seiten]'''"

Hauptseite

2022-02-25T18:26:05Z

Rueling:

Dies ist ein Privat Wiki

Die Wiki Einträge findet man im linken Menü unter "'''[https://wiki.rueling.com/index.php?title=Spezial:Alle_Seiten Alle Seiten]'''"

Hauptseite

2022-02-25T18:24:50Z

Rueling:

Dies ist ein Privat Wiki

Die Wiki Einträge findet man im linken Menü unter "'''[https://wiki.rueling.de/index.php?title=Spezial:Alle_Seiten Alle Seiten]'''"

Windows Proxy für Dienste

2022-01-04T16:19:18Z

Rueling: Die Seite wurde neu angelegt: „Proxy Einstellungen per GPO greifen nicht für den Dienstbenutzer, bzw. generell nicht für Dienste, selbst wenn diese unter einem AD-Benutzer laufen. Dienste…“

Proxy Einstellungen per GPO greifen nicht für den Dienstbenutzer, bzw. generell nicht für Dienste, selbst wenn diese unter einem AD-Benutzer laufen.
Dienste können auf den WinHTTP Proxy zurückgreifen. In Fällen, in denen das nicht möglich ist, z.B. bei Verwendung der Crypto API zum Prüfen von Zertifikaten und deren Sperrlisten (CRL), werden die User-Proxy Einstellungen benötigt.

Die User-Proxy Einstellungen befinden sich in der Registry zwar unter HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings (ProxyServer, ProxyEnable), werden aber von der Crypto API (und Powershell Invoke-WebRequest) nicht verwendet.
Stattdessen wird die REG_BINARY Einstellung von HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings genutzt.
Normalerweise wird diese beim ersten Start vom Internet Explorer gesetzt, was bei einem Dienst natürlich nicht vorkommt.

Um die Proxy Einstellungen nun für einen Dienst-User zu setzen, muss der Registry Wert von einen Benutzer mit den korrekten Einstellungen exportiert und im Service-User importiert werden.
Dazu entweder eine Commandline als Service User öffnen und dort die .reg-Datei importieren oder die entsprechende SID des Users verwenden

Mit bitsadmin kann man die Proxy Einstellungen für LOCALSYSTEM und NETWORKSERVICE und LOCALSERVICE setzen:
bitsadmin /util /setieproxy localsystem MANUAL_PROXY proxy1:80
https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/bitsadmin-util-and-setieproxy

Credential Guard mit UEFI Sperre deaktivieren

2021-09-23T10:11:25Z

Rueling: Die Seite wurde neu angelegt: „Um den Windows Defender Credential Guard, der mit UEFI Sperre aktiviert wurde, zu deaktivieren, müssen EFI Informationen umgeschrieben werden. Natürlich…“

Um den Windows Defender Credential Guard, der mit UEFI Sperre aktiviert wurde, zu deaktivieren, müssen EFI Informationen umgeschrieben werden. 
Natürlich muss vorher die GPO für den Credential Guard deaktiviert werden.
mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d
Nach dem Neustart wird man beim booten aufgefordert, die Deaktvierung zu bestätigen

Windows Update Fehler

2021-09-22T11:52:43Z

Rueling:

Bei Windows Update Fehlern kann folgendes u.U. helfen: 
net stop bits
net stop wuauserv
net stop appidsvc
net stop cryptsvc
ren C:\Windows\SoftwareDistribution SoftwareDistribution.bak
ren C:\Windows\system32\catroot2 catroot2.bak
net start bits
net start wuauserv
net start appidsvc
net start cryptSvc
 
Bei Problemen mit Defender Updates kann folgendes helfen: 
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -SignatureUpdate

Windows Update Dienst stoppen: '''net stop wuauserv'''

u.U. hilft auch folgende Registry Keys zu entfernen (falls sie existieren) 
'''HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate''' 
und 
'''HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate'''

Windows Update Fehler

2021-06-30T08:03:46Z

Rueling:

Bei Windows Update Fehlern kann folgendes u.U. helfen: 
net stop bits
net stop wuauserv
net stop appidsvc
net stop cryptsvc
ren C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistribution.bak
ren C:\Windows\system32\catroot2 C:\Windows\system32\catroot2.bak
net start bits
net start wuauserv
net start appidsvc
net start cryptSvc
 
Bei Problemen mit Defender Updates kann folgendes helfen: 
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -SignatureUpdate

Windows Update Dienst stoppen: '''net stop wuauserv'''

u.U. hilft auch folgende Registry Keys zu entfernen (falls sie existieren) 
'''HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate''' 
und 
'''HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate'''

Windows Internal Database (WID)

2020-09-29T10:53:02Z

Rueling: Die Seite wurde neu angelegt: „WSUS und RDS (Remote Desktop Services / Terminal Services) verwenden eine Windows Internal Database. Dabei handelt es sich um eine spezielle MSSQL Instanz…“

WSUS und RDS (Remote Desktop Services / Terminal Services) verwenden eine Windows Internal Database. 
Dabei handelt es sich um eine spezielle MSSQL Instanz. 
Um diese zu konfigurieren, z.B. um MaxMemory anzupassen kann man mit dem Management Studio, Powershell oder den SQL Commandline Utility (sqlcmd Utility) + ODBC Treiber sich über eine Pipe mit der SQL Instanz verbinden
Powershell:
$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()

SQLcmd:
sqlcmd -E -S \\.\pipe\Microsoft##WID\tsql\query

SSMS:
np:\\.\pipe\MICROSOFT##WID\tsql\query

Der Befehl zum ändern von MaxMemory ist wie folgt:
exec sp_configure 'show advanced option', '1';
reconfigure;
go

#Anzeigen der Konfiguration:
exec sp_configure;
go

Um die Einstellung anzupassen:
exec sp_configure ‚max server memory‘, 32768;
reconfigure with override;
go

Bash-Script mit Samba und Regex

2020-08-06T16:13:53Z

Rueling: Die Seite wurde neu angelegt: „Hier ein Script, dass per smbclient das Erstell-Datum von der ersten Datei/Verzeichnis von einem Share abfragt. Es wird von einem Share Ordner (also Ordner…“

Hier ein Script, dass per smbclient das Erstell-Datum von der ersten Datei/Verzeichnis von einem Share abfragt. 
Es wird von einem Share Ordner (also Ordner unterhalb vom Share) der erste Eintrag (Datei oder Verzeichnis) geholt. 
Dann wird per Regex mit 'sed' alles außer dem Namen enfernt. 
sed ohne Parameter '-r' muss vor einem "+" ein "\" Schreiben um das zu escapen 
bei '-r' ist das wohl nicht notwendig. Das -r (bei einigen Version auf -e) benötigt man um eine Zeichenkette innerhalb des Strings einzusetzen

#!/bin/bash
#
# Parameter
HOSTNAME=$1
SHARE=$2
SHAREDIR=$3
DOMAIN=$4

# Settings
RET=0
STRING="reading from share $SHARE on $HOSTNAME with sharedir $SHAREDIR ok"
FAILSTRING="Error reading from share $SHARE on $HOSTNAME with sharedir $SHAREDIR"
SMBCLIENT="/usr/bin/smbclient -A /etc/icinga2/auth.cfg -mSMB3 "
date1=$(date +"%s%2N")

# Lies den ersten Eintrag im ShareDir (Verzeichnis oder Datei) und ermittle dessen create_time
# dazu muss die Zeile mit dem Eintrag so ersetzt werden, dass nur der Dateiname uebrig bleibt
#FIRST_ENTRY=$($SMBCLIENT "//$HOSTNAME/$SHARE" -c "ls $SHAREDIR/*" | head -n 3 | tail -n 1
#echo $FIRST_ENTRY |sed 's/\s\+[N|D|DH]\s[0-9]\+.\+//g' >> /tmp/smb.log

FIRST_ENTRY=$($SMBCLIENT "//$HOSTNAME/$SHARE" -c "ls $SHAREDIR/*" | head -n 3 | tail -n 1 | sed -r 's/\s+(.+)\s+[N|D|DH]\s+[0-9]+.+/\1/g')
ALL_INFO=$($SMBCLIENT "//$HOSTNAME/$SHARE" -c "allinfo $SHAREDIR/$FIRST_ENTRY" | head -n 2 | tail -n 1 )
#echo $FIRST_ENTRY >> /tmp/smb.log

#FIRST_ENTRY=$($SMBCLIENT "//$HOSTNAME/$SHARE" -c "ls $SHAREDIR/*" | head -n 3 | tail -n 1
#echo $FIRST_ENTRY |sed 's/\s\+[N|D|DH]\s[0-9]\+.\+//g' >> /tmp/smb.log
#echo $ALL_INFO >> /tmp/smb.log
#echo $'\n' >> /tmp/smb.log
date2=$(date +"%s%2N")
diff=$(($date2-$date1))
#
# Pruefe auf "create_time"
#
if [[ $ALL_INFO = create_time* ]]; then
RET=0;
else
RET=2;
STRING="$FAILSTRING\n$ALL_INFO";
fi

#
# Returnwert und Text ausgeben
#
echo "$STRING\n$ALL_INFO | time="$diff"ms"
exit $RET

SQL Powershell Module installieren

2020-06-26T08:11:02Z

Rueling: Die Seite wurde neu angelegt: „ Install-Module -Name SqlServer -Proxy '<Proxy Server>' -ProxyCredential (Get-Credential) [-AllowClobber] #Allow Clobber wird auf SQL Servern benötigt, wenn…“

Install-Module -Name SqlServer -Proxy '<Proxy Server>' -ProxyCredential (Get-Credential) [-AllowClobber]
#Allow Clobber wird auf SQL Servern benötigt, wenn schon das SQLPS Modul installiert ist.

Falls Kein Repository installiert ist, muss das PSGallery Repo installiert werden. 
Hinter einem Proxy muss zuvor folgendes ausgeführt werden:
[system.net.webrequest]::defaultwebproxy = new-object system.net.webproxy('<Proxy Server>')
[system.net.webrequest]::defaultwebproxy.credentials = (Get-Credential)
[system.net.webrequest]::defaultwebproxy.BypassProxyOnLocal = $true

Register-PSRepository -Default
Install-Module -Name SqlServer

LSI preboot Client

2020-06-18T12:03:59Z

Rueling:

LSI Controller bieten einen Preboot Client (neben dem WebBios) 
Das bietet scheinbar keine Hilfe-Option daher hier ein paar wichtige Befehle 
-PDList -aALL --> listet alle physischen Disks
-LDInfo -Lx|L0,1,2|Lall -aN|a0,1,2|aALL
-CfgLDDel -Lx|L0,1,2|Lall -aN|a0,1,2|aALL (bsp: -CfgLDDel -L1,2,3 -a0) --> löscht ein oder mehrere Virtual Disks. Beispiel löscht Disk 1 bis 3. Disk 0 bleibt erhalten
-AdpBootDrive -Set -Lx aN --> macht eine Virtual Disk Bootfähig
weitere Befehle gibt es unter: https://www.alteeve.com/w/MegaCli64_Cheat_Sheet

-h -aN --> zeigt Hilfe an
-v -aN --> zeigt Version
q --> verlässt Preboot CLI

LSI preboot Client

2020-06-18T09:32:49Z

Rueling:

LSI Controller bieten einen Preboot Client (neben dem WebBios) 
Das bietet scheinbar keine Hilfe-Option daher hier ein paar wichtige Befehle 
-PDList -aALL --> listet alles P
-CfgLDDel -Lx|L0,1,2|Lall -aN|a0,1,2|aALL (bsp: -CfgLDDel -L1,2,3 -a0) --> löscht ein oder mehrere Virtual Disks. Beispiel löscht Disk 1 bis 3. Disk 0 bleibt erhalten
-AdpBootDrive -Set -Lx aN --> macht eine Virtual Disk Bootfähig
weitere Befehle gibt es unter: https://www.alteeve.com/w/MegaCli64_Cheat_Sheet

-h -aN --> zeigt Hilfe an
-v -aN --> zeigt Version
q --> verlässt Preboot CLI

LSI preboot Client

2020-06-18T09:26:44Z

Rueling:

LSI Controller bieten einen Preboot Client (neben dem WebBios) 
Das bietet scheinbar keine Hilfe-Option daher hier ein paar wichtige Befehle 
-PDList -aALL --> listet alles P
-CfgLDDel -Lx|L0,1,2|Lall -aN|a0,1,2|aALL (bsp: -CfgLDDel -L1,L2,L3 -a0) --> löscht ein oder mehrere Virtual Disks. Beispiel löscht Disk 1 bis 3. Disk 0 bleibt erhalten
-AdpBootDrive -Set -Lx aN --> macht eine Virtual Disk Bootfähig
weitere Befehle gibt es unter: https://www.alteeve.com/w/MegaCli64_Cheat_Sheet

-h -aN --> zeigt Hilfe an
-v -aN --> zeigt Version
q --> verlässt Preboot CLI

LSI preboot Client

2020-06-18T09:23:39Z

Rueling:

LSI Controller bieten einen Preboot Client (neben dem WebBios) 
Das bietet scheinbar keine Hilfe-Option daher hier ein paar wichtige Befehle 
-PDList -aALL --> listet alles P
-CfgLDDel -Lx|L0,1,2|Lall -aN|a0,1,2|aALL (bsp: -CfgLDDel -L1,L2,L3 -a0) --> löscht ein oder mehrere Virtual Disks. Beispiel löscht Disk 1 bis 3. Disk 0 bleibt erhalten
-AdpBootDrive -Set -Lx aN --> macht eine Virtual Disk Bootfähig
weiter Befehle gibt es unter: https://www.alteeve.com/w/MegaCli64_Cheat_Sheet

LSI preboot Client

2020-06-18T09:14:17Z

Rueling: Die Seite wurde neu angelegt: „LSI Controller bieten einen Preboot Client (neben dem WebBios) Das bietet scheinbar keine Hilfe-Option daher hier ein paar wichtige Befehle -PDList -a…“

LSI Controller bieten einen Preboot Client (neben dem WebBios) 
Das bietet scheinbar keine Hilfe-Option daher hier ein paar wichtige Befehle 
-PDList -aALL --> listet alles P
-CfgLDDel -Lx|L0,1,2|Lall -aN|a0,1,2|aALL (bsp: -CfgLDDel -L1,L2,L3 -a0) --> löscht ein oder mehrere Virtual Disks
-AdpBootDrive -Set -Lx aN --> macht eine Virtual Disk Bootfähig
weiter Befehle gibt es unter: https://www.alteeve.com/w/MegaCli64_Cheat_Sheet

Raspberry Pi als digitaler Bilderrahmen

2020-05-10T13:40:50Z

Rueling:

Folgendes beschreibt die Software und Einstellungen um einen Raspberry Pi (Raspi) als digitalen Bilderrahmen zu verwenden.

Es wird der CLI Bildbetrachter „FEH“ verwendet
sudo apt install feh

Nun muss noch in der Autostart angegeben werden, dass das Programm automatisch starten und alle 3600 Sekunden ein neues, zufälliges Bild laden und das Bild füllend anzeigen soll.
== Raspberry 3 mit einem Bildschirm ==
vim ~/.config/lxsession/LXDE-pi/autostart
@lxpanel --profile LXDE-pi
@pcmanfm --desktop --profile LXDE-pi
@xscreensaver -no-splash
@point-rpi
@xset s noblank
@xset s off
@xset -dpms
@feh -F -Y -z -r -D 3600 --zoom fill /backup/fotos/

== Raspberry Pi 4 unterschied ==
Beim Raspi 4 liegt die Konfigurationsdatei woanders (liegt sicherlich an der Raspbian Version) 
Da an dem Raspi 4 zwei Bildschirme angebunden sind (mit je 2560x1440) und für den Raspberry Pi diese zwei Bildschirme nur 1 großer Bildschirm ist (mit 5120x1440px), muss das zweite mal der FEH Betrachter ab Pixel 2560/0 mit einer Auflösung von 2560x1440px angezeigt werden. 
Damit die Bilder nicht auf allen Bildschirmen gleichzeitig wechseln, ist die Zeit mit 3300 und 3000 Sekunden angegeben.

sudo vim /etc/xdg/lxsession/LXDE-pi/autostart
@lxpanel --profile LXDE-pi
@pcmanfm --desktop --profile LXDE-pi
@xscreensaver -no-splash
@xset s noblank
@xset s off
@xset -dpms
@feh -F -Y -r -z -D 3300 --zoom fill /home/pi/fotos
@feh --scale-down --geometry 2560x1440+2560+0 -Y -r -z -D 3000 --zoom fill /home/pi/fotos

Raspberry Pi als digitaler Bilderrahmen

2020-05-10T13:22:25Z

Rueling: Die Seite wurde neu angelegt: „Folgendes beschreibt die Software und Einstellungen um einen Raspberry Pi (Raspi) als digitalen Bilderrahmen zu verwenden. Es wird der CLI Bildbetrachter „…“

Windows 10 ISO mit WIM

2020-04-23T23:10:08Z

Rueling: Die Seite wurde neu angelegt: „Die Windows 10 ISO Dateien, die man direkt laden kann, enthalten keine WIM-Datei sondern eine ESD-Datei. für einige Anwendungsfälle braucht man aber ein…“

Die Windows 10 ISO Dateien, die man direkt laden kann, enthalten keine WIM-Datei sondern eine ESD-Datei. 
für einige Anwendungsfälle braucht man aber ein WIM-File. 
Mit einem Trick kommt man an eine ISO mit WIM. 
Quelle: https://www.bleepingcomputer.com/news/microsoft/how-to-download-the-windows-10-1909-iso-from-microsoft/
Man startet einen Browser (Firefox, Chrome oder Edge) und ruft die normale Download Seite auf: https://www.microsoft.com/en-us/software-download/windows10 
Nun startet man die Entwickler Optionen im Browser (entweder über das Menü oder mit Strg+Shift+M in Firefox) 
Bei Edge ruft man diese mit F12 auf und hat in der Menü Leiste des Tool-Frames ein Dropdown Menü mit Emulation 
Als Gerät wählt man ein Smartphone (Windows oder iPhone) aus und lädt die Seite mit F5 neu. 
Nun ändert sich die Seite und man kann eine Edition (i.d.R. die aktuelle) und Sprache auswählen. 
Die heruntergeladene ISO enthält nun eine WIM statt ESD

WinSXS Dateien Fehlerhaft

2020-04-23T22:51:38Z

Rueling: Die Seite wurde neu angelegt: „wenn man beim Ausführen von SFC /scannow Fehlerhafte Dateien oder Manifeste auftreten bzw. bei Dism /Online /Cleanup-Image /RestoreHealth die Re…“

wenn man beim Ausführen von SFC /scannow Fehlerhafte Dateien oder Manifeste auftreten bzw. bei Dism /Online /Cleanup-Image /RestoreHealth die Reparatur fehlschlägt weil die Dateien nicht online heruntergeladen oder lokal gefunden wurden, kann es helfen, eine Windows 10 (oder Server) WIM Datei zu mounten und das entsprechende Update, das diese Dateien enthält in die WIM zu installieren. 
Danach sollte
Dism /Online /Cleanup-Image /RestoreHealth /Source:wim:C:\temp\install.wim:1 /LimitAccess
die Dateien wiederherstellen können.

In der C:\Windows\Logs\CBS\cbs.log stehen z.B. folgende Einträge:
2020-04-23 23:28:44, Error CBS Failed to look for file WinSxS\Manifests\x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b.manifest in some alternate sources [HRESULT = 0x80070003 - ERROR_PATH_NOT_FOUND]
2020-04-23 23:28:44, Info CBS Repr: Not able to find replacement manifests for component x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b from any local source

2020-04-23 23:20:08, Info CSI 00000007 Manifest hash for component [l:77 ml:140]'x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b' does not match expected value.
Expected:{l:32 b:57632c7a093132e166a120033b242fa3850cc68a33812946afc646b41f000476}
Found:{l:32 b:aa5d4a93a18a877fd1839669095f0f8b7946d0198a40e16b66c7f60c73dc7538}.
2020-04-23 23:20:08, Info CSI 00000008 Unable to load manifest for component [l:77 ml:140]'x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b'
2020-04-23 23:20:08, Info CSI 00000009 Manifest hash mismatch. Component: [l:77 ml:140]'x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b'
2020-04-23 23:20:08, Info CSI 0000000a Warning: Unable to repair manifest for component ([l:77 ml:140]'x86_netfx4-globalserifcf_b03f5f7f11d50a3a_4.0.15788.328_none_1e9f7453db8db61b') from backups directory with disposition (2). A backup file may not exist or may be corrupt. Falling back to WU.
Anhand der Versionsnummer 4.0.15788.32 lässt sich evtl ermitteln, um welches Update es sich handelt. 
Im konkreten Beispiel ergab die Suche eine CSV-Datei mit der KB-Nummer und den Dateiennamen als Inhalt. 
Anhand der KB-Nummer konnte das NET-Framework Update von 2020-02 ermittelt werden.

Um zu prüfen ob ein Update (.msu) die benötigten Dateien enthält, kann man das Update entpacken
expand -f:* <Pfad-zu-Update.msu> <Ziel-Pfad>
In der darin enthaltenen .cab Datei findet man die Dateien

Aus einem (speziellen) Windows 10 ISO konnte die install.wim kopiert und gemountet werden (mount-windowsimage). In das gemountete Image wurde dann die Update-Datei (.msu) installiert (Add-WindowsPackage -PackagePath <MSU-Datei> -Path <WIM-Mount-Pfad>). Nach einem Dismount-WindowsImage mit "-Save" hatte man eine angepasste WIM für DISM

Linux Firewalld

2020-04-08T14:47:23Z

Rueling:

In Centos wurde iptables durch firewalld abgelöst. 
Die Konfiguration funktioniert wie folgt: 
<code>firewall-cmd --list-all</code>
zeigt alle aktiven Zonen (i.d.R. nur "public") und die dazugehörigen Services an 
 
Default-Services liegen unter 
<code>/usr/lib/firewalld/services</code> 
 
Eigene Services werden unter 
<code>/etc/firewalld/services</code> 
abgelegt


 
Services werden mit 
<code> firewall-cmd --zone=public --add-service=<servicename> </code> 
hinzugefügt. 
Diese sind aber nach dem Restart wieder verschwunden. 
Dauerhaft werden die mit dem Parameter "'''--permanent'''" hinzugefügt. ABER: durch den '''--permanent''' Parameter werden die nicht sofort aktviert sondern erst nach einem reload 
<code>firewall-cmd --reload</code> 
Wenn das mit einer Fehlermeldung "INVALID_SERVICE" nicht erfolgreich ist, kann ggf. ein firewalld-Dienst Neustart helfen 
 
man kann aber auch einzelne Portfreigaben hinzufügen 
<code>firewall-cmd --zone=public --add-port=443/tcp</code>

Windows CA Recovery Agent

2020-03-20T15:46:34Z

Rueling: Die Seite wurde neu angelegt: „Um Private Keys für Zertifikate einer Windows CA wiederherstellen zu können, muss der Recovery Agent konfiguriert werden. 1. Vorlage "Key Recovery Agent" ak…“

Um Private Keys für Zertifikate einer Windows CA wiederherstellen zu können, muss der Recovery Agent konfiguriert werden.
1. Vorlage "Key Recovery Agent" aktivieren
2. als (Domain)Admin ein Zertifikat mit dem Template "Key Recovery Agent" erstellen
3. ggf. Zertifikat von CA genehmigen
4. Zertifikat von CA exportieren und auf Server von dem beantragt wurde importieren - der Private Key des Zertifikates sollte dabei automatisch mit importiert werden
5. Eigenschaften der CA bearbeiten und Recovery Agent aktivieren - Zertifikate zum wiederherstellen auswählen

Nun müssen die Vorlagen entsprechend angepasst werden, dass diese den Key Archivieren.

Die Wiederherstellung eines Archivierten Keys funktioniert wie folgt:
1. Seriennummer des Zertifikates kopieren
2. Certutil -getkey <seriennummer> recoveryblob
3. Certutil -recoverkey recoveryblob <dateiname>.pfx --> dieser Schritt funktioniert nur auf Servern auf denen das Recovery Agent Zertifikat mit Private Key installiert ist.

WinRM

2020-01-23T11:44:21Z

Rueling:

Wenn Remote Administration über Servermanager und Powersell nicht funktionieren, könnte es an WinRM liegen.
Mit WinRM quickconfig kann man grundlegend die Remote Administration aktivieren. 
Sollte es dennoch Probleme geben, kann man mit folgendem Befehl prüfen, ob WinRM tatsächlich auch auf seiner IP Adresse lauscht
winrm e winrm/config/Listener
Die Ausgabe sollte wie folgt aussehen 
Listener [Source="GPO"]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 127.0.0.1, <IPv4 Adresse der Netzwerkkarte>, ::1, <linklocal IPv6 Adresse>

Wenn die IPv4 Adresse nicht auftaucht, könnte das an einer Firewall Einstellung liegen oder Gruppenrichtlinie liegen.

winrm get winrm/config gibt alle Infos zu WinRM aus

WAV to MP3 mit Lame und Powershell

2019-07-23T20:23:35Z

Rueling:

$localpath = (get-location).path
$output = "D:\hdd\mp3converted"
get-childitem -filter *.wav -Recurse | % {
$NewPath = $_.Directory.Fullname -Replace [regex]::escape($localpath), $output
$OutFile = $_.Fullname -Replace [regex]::escape($localpath), $output -Replace "\.wav",".mp3"
if (-not (Test-Path $NewPath)) {New-Item -Path $NewPath -ItemType Directory }
& D:\hdd\Programme\lame\lame.exe -V 0 -b 128 --priority 3 --tt $_.BaseName --preset standard $_.Fullname $OutFile
}

Alle WAV Dateien unterhalb vom aktuellen Pfad werden konvertiert. 
Der Pfad unterhalb wird dabei mit übernommen und der Teil vom aktuellen Pfad (also Start-Pfad) wird durch $output ersetzt 
Bsp: Aktueller Pfad ist D:\HDD\Musik 
"D:\HDD\Musik\Brass\Interpret1\Titel1.wav" wird zu "D:\HHD\mp3converted\Brass\Interpret1\Titel1.mp3"

WAV to MP3 mit Lame und Powershell

2019-07-23T20:23:15Z

Rueling: Die Seite wurde neu angelegt: „ $localpath = (get-location).path $output = "D:\hdd\mp3converted" get-childitem -filter *.wav -Recurse -Path "d:\hdd\Music\BPh Horn Quartet" | % { $New…“

$localpath = (get-location).path
$output = "D:\hdd\mp3converted"
get-childitem -filter *.wav -Recurse -Path "d:\hdd\Music\BPh Horn Quartet" | % {
$NewPath = $_.Directory.Fullname -Replace [regex]::escape($localpath), $output
$OutFile = $_.Fullname -Replace [regex]::escape($localpath), $output -Replace "\.wav",".mp3"
if (-not (Test-Path $NewPath)) {New-Item -Path $NewPath -ItemType Directory }
& D:\hdd\Programme\lame\lame.exe -V 0 -b 128 --priority 3 --tt $_.BaseName --preset standard $_.Fullname $OutFile
}

Alle WAV Dateien unterhalb vom aktuellen Pfad werden konvertiert. 
Der Pfad unterhalb wird dabei mit übernommen und der Teil vom aktuellen Pfad (also Start-Pfad) wird durch $output ersetzt 
Bsp: Aktueller Pfad ist D:\HDD\Musik 
"D:\HDD\Musik\Brass\Interpret1\Titel1.wav" wird zu "D:\HHD\mp3converted\Brass\Interpret1\Titel1.mp3"

RDP Zertifikate

2019-05-08T09:31:13Z

Rueling: Die Seite wurde neu angelegt: „für RDP Verbindungen werden automatisch selbstsignierte Zertifikate ausgestellt (TLS/SSL). Diese haben aber nur eine relativ kurze Laufzeit. Das für…“

für RDP Verbindungen werden automatisch selbstsignierte Zertifikate ausgestellt (TLS/SSL). Diese haben aber nur eine relativ kurze Laufzeit. 
Das für RDP gebundene Zertifikat kann man mit folgendem Befehl auslesen: 
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting get SSLCertificateSHA1Hash
Zu Ändern des Zertifikates benötigt man den Thumbprint vom Zertifikat und ändert es dann mit folgendem Befehl
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=<ThumbPrint>

Powershell Proxy

2019-01-31T10:22:46Z

Rueling:

Um in Powershell mit der PSGallery zu arbeiten und z.b: Docker zu installieren (auf WindowsServer) muss bei einem Unternehmensproxy folgendes gesetzt werden: 
notepad $PROFILE 
[system.net.webrequest]::defaultwebproxy = new-object system.net.webproxy('http://YourProxyHostNameGoesHere:ProxyPortGoesHere') 
[system.net.webrequest]::defaultwebproxy.credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials 
[system.net.webrequest]::defaultwebproxy.BypassProxyOnLocal = $true 
Datei Speichern und Powershell neu öffnen
 
 
Für Docker selbst: 
[Environment]::SetEnvironmentVariable("HTTP_PROXY", "http://server:port", [EnvironmentVariableTarget]::Machine) 
[Environment]::SetEnvironmentVariable("HTTPS_PROXY", "http://server:port", [EnvironmentVariableTarget]::Machine) 
Restart-Service -Name docker 

Um PSGallery zu verwenden muss folgendes ausgeführt werden: 
Register-PSRepository -Default