• Startseite
• Microsoft
  • Windows 11
  • Windows 10
  • Windows 8 / 8.1
  • Windows 7
  • Vista
  • WinXP
  • Windows Server
  • Aktive-Directory
  • Exchange Server
  • Microsoft 365
  • Windows Hyper-V
  • FAQs
  • FAQs - Windows Updates
  • FAQs - LAN
  • Windows IPv6
  • Edge / Internet-Explorer
  • WinPE
  • Kommandozeile
  • PowerShell
  • Scripte
  • Windows Subsystem for Linux
  • Windows Tasten und Verzeichnisse
  • Registry
  • Windows 9x
• Linux
  • Linux_Befehle
  • Programme_einrichten
  • Linux_System
  • Firewall
  • Shell_Scripte
  • FAQs
  • Debian
  • ubuntu
  • ArchLinux
  • OpenSUSE
  • RedHat/Feudora
  • Solus
• andere Betriebssysteme
  • Übersicht
  • NAS / ISCSI
  • Firewall
  • Security
  • Solaris
  • Novell
  • Mac OSX
  • Übersicht
  • BSD FAQs
  • OpenBSD
  • FreeBSD
• Software
  • diverse Software
  • Tobit DvISE
  • Virtualisierung
  • Emulatoren
  • SQL-Server
  • CMS
  • Groupware
  • DMS
  • Cloud-Dienste
  • VoIP
• Hardware
  • diverse Hardware
  • Router / WLAN
  • NAS
  • Mobile Device
  • UEFI
• TCP/IP
  • TCP/IP
  • Subnetting
  • IPv6
  • VoIP
  • Shell Verbindungen
  • VLAN einrichten
• Security Tipps
• Kabelbelegung
  • Ethernet
  • Telefon
  • serielle / V24
  • Mouse / Tastatur
  • paralell
  • SATA
  • SCSI
  • Power
  • USB
  • FireWire
  • Modem / Nullmodem
  • Monitor
  • Kabellängen
• DNS Suffix
• Begriffserläuterung
• sonstiges
  • sonstiges
  • Suchmaschinen
  • ADSL-Tips
  • Suche

Windows Server

---

Remote Server Administration Tools (RSAT)

Remoteserver-Verwaltungstools für Windows 7 SP1
Remoteserver-Verwaltungstools für Windows 8
Remoteserver-Verwaltungstools für Windows 8.1
Remoteserver-Verwaltungstools für Windows 10

TechNet Windows Server Forum
Microsoft Products Support Lifecycle Policy

Windows Server Evaluierungsversion 2012 / 2016 / 2019 / 2022
Windows Admin Center
Windows Server Insider Preview

Windows Server Edition Übersicht

Windows Server 2012 Hardwaremindestanforderung und Limits

Komponente	Anforderung
Prozessorarchitektur	x64
Prozessorgeschwindigkeit	1,4 GHz
Speicher (RAM)	512 MB
Speicherplatz auf der Festplatte	32 GB, bei mehr als 16 GB RAM, ist mehr Festplattenspeicherplatz erforderlich

Edition	Lizenzierungsmodell	Limits
Foundation	max. 15 Benutzerkonten	32 GB RAM
Essentials	max. 25 Benutzerkonten	64 GB RAM
Standard	Prozessor + CAL	4 TB RAM
Datacenter	Prozessor + CAL	4 TB RAM

Windows Server 2008 R2 Hardwaremindestanforderung und Limits

Komponente	Anforderung
Prozessorarchitektur	x64
Prozessorgeschwindigkeit	1,4 GHz
Speicher (RAM)	512 MB, empfohlen 2 GB RAM
Speicherplatz auf der Festplatte	32 GB, bei mehr als 16 GB RAM, ist mehr Festplattenspeicherplatz erforderlich

Edition	Lizenzierungsmodell	Limits
Foundation	max. 15 Benutzerkonten	8 GB RAM
Standard	Prozessor + CAL	32 GB RAM
Enterprise	Prozessor + CAL	2 TB RAM
Datacenter	Prozessor + CAL	2 TB RAM

Windows Server 2008 Hardwaremindestanforderung und Limits

Edition	Lizenzierungsmodell	Limits
Standard	Prozessor + CAL	32 GB RAM
Enterprise	Prozessor + CAL	1 TB RAM
Datacenter	Prozessor + CAL	1 TB RAM

DHCP-Server

DHCP Dienst auf anderen Server umziehen

- auf alten DHCP Server ausführen

netsh dhcp server export c:\Temp\dhcpDB.dat all

DHCP Server Dienst beenden und deaktivieren

- auf neuen Server ausführen

netsh dhcp server import c:\Temp\dhcpDB.dat all

 

Windows Server 2016 über USB-Stick installieren

- ISO-Image entpacken nach C:\Temp, Datei C:\Temp\sources\install.wim nach C:\Temp\install.wim verschieben.

dism /Split-Image /ImageFile:C:\Temp\install.wim /SWMFile:C:\Temp\sources\install.swm /FileSize:3700
del C:\Temp\install.wim

aus der install.wim werden nun die beiden Dateien install.swm und install2.swm im richtigen Unterverzeichnis erzeugt. Danach den Inhalt von C:\Temp auf einen mit FAT32 formatierten USB-Stick kopieren.

- USB-Stick mit FAT32 vorbereiten

diskpart
list disk
select disk 3
detail disk
clean
create partition primary
active
format quick fs=fat32 label="SRV2016-Inst"
assign

 

Windows Server Befehle

Befehl	Beschreibung
ntdsutil	Schnappschuß der AD-Datenbank
dsamain	den gesicherten Schnappschuß als LDAP Verzeichnis bereitstellen
adsiedit	LDAP Browser
ldifde	LDAP Browser
gpupdate /force	Richtlinienänderungen sofort übernehmen, ansonsten werden die Änderungen erst alle 5min übernommen.
gpresult /h c:\Temp\gp.html	Gruppenrichtlinien Zugriff auf dem Client prüfen, HTML Ergebnisdatei wird erstellt
pathping <IP-Adresse oder DomainName> -R -T	ähnlich tracert nur ausführlicher, ab W2k vorhanden
net localgroup Benutzer /delete <BenutzerName>	entfernt <BenutzerName> aus der Localen Gruppe Benutzer
net user <BenutzerName>	zeigt Infos und Gruppenzugehörigkeit von <BenutzerName> an
Systemsteuerung
appwiz.cpl	Programme und Funktionen
desk.cpl	Bildschirmauflösung anpassen
firewall.cpl	Firewall
inetcpl.cpl	Internetoptionen
ncpa.cpl	Netzwerkkonfiguration
sysdm.cpl	Systemeigenschaften
wscui.cpl	Wartungscenter
Verwaltungskonsole
compmgmt.msc	Computerverwaltung
devmgmt.msc	Gerätemanager
diskmgmt.msc	Datenträgerverwaltung
eventvwr.msc	Ereignisanzeige
services.msc	Dienste Manager
wf.msc	Firewall (erweitert)
Windows Update-Einstellungen, Windows Update settings	Windows Update Verwaltung (ab Win8.1)

- per Powershell einer Domain beitreten

Add-Computer -DomainName "domain.tld" -Restart

 

Ereignisse Filtern

Sicherheitsprotokoll filtern

Sicherheitsprotokoll | Aktuelles Protokoll filter | XML
Manuell bearbeiten: aktivieren

<QueryList>
  <Query Id="0" Path="Security">
   <Select Path="Security">* [EventData[Data[@Name='subjectUsername']='benutzername']]</Select>
  </Query>
</QueryList>

- Es werden alle Ereignisse des Benutzers:Benutzername herrausgefiltert.

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
...
Antragsteller:
	Sicherheits-ID:		Domain\Benutzername
	Kontoname:		Benutzername
	Kontodomäne:		Domain

 

Backup

bis Windows Server 2003
ab Windows Server 2008
Fehlersuche
sonstiges

bis Windows Server 2003

Beispiel für ein Backup Job, bei Bandlaufwerken ist die Option /um wichtig, sonst wird der Job nicht ausgeführt.
/n - Name des Bandes
/v - nach Abschluss prüfen
/r - Zugriff aufs Band nur durch Administratoren
/hc - Hardwarekomprimierung
/m - Sicherungsart
/j - Auftragsname
/l - Umfang der Protokolldatei
/p - Medienpool
/UM - nimmt jedes verfügbare Band

Mit rsm refresh (Removable Storage Manager) wird das Laufwerk aktualisiert, nicht jedes Laufwerk bekommt ein Bandwechsel mit und ntbackup kann keine Sicherung durchführen.

start /wait rsm refresh /LF"Hewlett Packard DDS4 drive"
C:\WINDOWS\system32\ntbackup.exe backup "@C:\Dokumente und Einstellungen\Administrator\
Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows NT\NTBackup\data\taegliche Sicherung.bks"
 /v:yes /r:no /rs:no /hc:on /m normal /j "taegliche Sicherung" /l:s /p "4mm DDS" /n "taeglich" /UM

rsm view zeigt die Medien in der Bibliothek an

C:\>rsm view /tphysical_media

PHYSICAL_MEDIA
taeglich - 1
taeglich - 1
taeglich - 1
taeglich - 1
taeglich - 1

Der Befehl wurde ausgeführt.

ab Windows Server 2008

WBADMIN Befehlsübersicht
Wbadmin start backup

- Windows Sicherung Server 2008 R2

@echo off
REM C:\Scripte\backup.bat
for /f "delims=. tokens=1-3" %%a in ('echo %date%') do set datum=%%c-%%b-%%a
SET LOGFILE=C:\Scripte\%datum%-Backup.log
SET QUELLE=C:,E:
SET ZIEL=F:
SET AUSSCHLUSS="C:\$RECYCLE.BIN","E:\$RECYCLE.BIN","E:\Install","E:\Temp"
echo.
echo ------------------------------------------- >> %LOGFILE%
echo Backup-Start: %DATE% um %TIME% Uhr >> %LOGFILE%
echo ------------------------------------------- >> %LOGFILE%
echo.

wbadmin start backup -vssFull -allCritical -systemState -quiet -noVerify -backupTarget:%ZIEL% -include:%QUELLE%
 -exclude:%AUSSCHLUSS% >>%LOGFILE%

echo.
echo ------------------------------------------- >> %LOGFILE%
echo Backup-Ende: %DATE% um %TIME% Uhr >> %LOGFILE%
echo ------------------------------------------- >> %LOGFILE%
echo.

WBADMIN Optionen

Option	Beschreibung
-vssFull	Voll-Backup, Log- bzw. Transaktions-Dateien bei Exchange und SQL werden abgeschnitten und bereinigt
-allCritical	alle kritischen Elemente
-systemState	Systemstate sichern
-quiet	keine Ausgabe auf der Konsole
-noVerify	Backup nicht überprüfen
-backupTarget	Ziel des Backups
-include	Laufwerk, Ordner oder Dateien die gesichert werden sollen
-exclude	Laufwerk, Ordner oder Dateien die nicht gesichert werden. Beim Restore des Backups z.B. über "Computer reparieren" | Systemwiederherstellung werden die ausgeschlossenen Laufwerke, Ordner und Dateien gelöscht.

Syntax für include oder exclude
- Laufwerk

C:,D:

- Verzeichnis

"C:\Temp","D:\Temp"

-Datei

"C:\Temp\*.tmp","D:\Temp\*.log"

- Task für die Aufgabenplanung automatisch anlegen

SCHTASKS /Create /SC DAILY /TN Backup-to-RDX /RL HIGHEST /ST 20:00 /TR "C:\Scripte\backup.bat"

beim Server 2008 wird die Option -systemState noch nicht unterstützt siehe Befehlsübersicht.

LOG Ausgabe von WBAdmin

Logdateien unter C:\Windows\Logs\WindowsServerBackup die .etl Dateien kann man mit der Ereignisanzeige | Gespeicherte Protokolle öffnen anzeigen lassen.
In der Ereignisanzeige unter Anwendungs- und Dienstprotokolle | Microsoft | Windows | Backup und Windows-Protokolle | Anwendungen

!!! Wenn die Option -allCritical (Bare Metal Recovery) gesetzt ist, kann man mit z.B. -exclude:D:\Temp keine Verzeichnisse ausschließen.

- zeigt GUIDs der Sicherungs-Laufwerke an

wbadmin get disks

- Systemstatus Backups löschen

wbadmin delete systemstatebackup -keepversions:N
wbadmin delete systemstatebackup -deleteoldest

- Einstellungen für eine tägliche Vollsicherung

Windows Server Sicherung | Leistungseinstellungen konfigurieren
Immer vollständige Sicherung durchführen

Backup auf RDX Laufwerk

Datei promptc.txt erstellen mit folgendem Inhalt

C
Y

type C:\Script\promptc.txt | WBADMIN START BACKUP -backuptarget:E: -include:C: -allcritical -systemState -quiet

 

Fehlersuche

Fehlermeldung beim Backup auf RDX Laufwerk

Protokollname: Application
Quelle: Microsoft-Windows-Backup
Ereignis-ID: 517
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Beschreibung:
Fehler bei der um XXX gestarteten Sicherung. Fehlercode: "2155347997" (Der Vorgang wurde vor Beendigung abgebrochen.). Suchen Sie in den Ereignisdetails nach einer Lösung, und führen Sie die Sicherung erneut aus, nachdem das Problem behoben wurde.

der Zugriff auf das Laufwerk schlägt fehl.

- Speicherplatz für Schattenkopien anzeigen und festsetzen

vssadmin list shadowstorage
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=15%

- Programme die Schattenkopien unterstützen auf Fehler prüfen

vssadmin list writers

- Backup auf der Kommandozeile ausführen, Ausgabe prüfen

wbadmin start backup -systemState -backupTarget:D:

- Protokolle des Backups auf Fehler prüfen
Ereignisanzeige | Gespeicherte Protokolle | Protokoll öffnen und nach Fehlern suchen, die letzten Einträge prüfen.

\Windows\Logs\WindowsServerBackup\Wbadmin.X.etl

Fehlermeldung: Fehler bei der um XXX gestarteten Sicherung. Fehlercode: "0x8078014B" (Fehler beim Erstellen eines Verzeichnisses am Sicherungsspeicherort.). Suchen Sie in den Ereignisdetails nach einer Lösung, und führen Sie die Sicherung erneut aus, nachdem das Problem behoben wurde.

Lösung: alte Einmal Backups vom Laufwerk vorher löschen

W2k12R2 Fehlermeldung nach Backup Wiederherstellung

Fehlermeldung: Bluescreen: BAD_SYSTEM_CONFIG_INFO

Lösung: Datei \Windows\System32\config\SYSTEM aus Backup überschreiben

Fehlermeldung: vom Backupprogramm:
Detaillierter Fehler: FEHLER - Vorgangsfehler im Volumeschattenkopie-Dienst (0x8004231f)
Es ist nicht gengend Speicher vorhanden, um die Schattenkopie-Speicherdatei oder andere Schattenkopiedaten zu erstellen.

Ereignisanzeige: Fehler bei der um ... gestarteten Sicherung. Beim Erstellen einer Schattenkopie der zu sichernden Volumes durch den Volumeschattenkopie-Diensts ist der folgende Fehler aufgetreten: "2155348249". Suchen Sie in den Ereignisdetails nach einer Lösung, und führen Sie die Sicherung erneut aus, nachdem das Problem behoben wurde.

Lösung: auf dem Volume System-reservierte ist weniger als 50MB frei. Es kann keine Schattenkopie erstellt werden.

chkdsk auf allen Laufwerken laufen lassen

diskmgmt.msc
das Volume System-reservierte wählen | Eigenschaften | Schattenkopien
\\?\Volume{GUID} wählen | Eigenschaften
Speicherbereich
Speicherplatz auf folgendem Volume: C:\
Maximale Größe:
Limit verwenden: 320MB

sonstiges

Taste F8 Boot-Optionen Verzeichnisdienstwiederherstellung

- per Kommandozeile als Administrator in den Verzeichnisdienst-Wiederherstellungsmodus starten

bcdedit /set safeboot dsrepair
shutdown -t 0 -r

- per Kommandozeile als Administrator wieder im Normalmodus starten

bcdedit /deletevalue safeboot
shutdown -t 0 -r

Volume Shadow Copy Service (VSS)

Technet Artikel vssadmin

ab Windows Server 2008

- Konfiguration anzeigen lassen

vssadmin list volumes

- Speicher für alle Volumes anzeigen

vssadmin list shadowstorage

- Speicher nur für Volume C: anzeigen

vssadmin list shadowstorage /for=C:

- Speichergröße für Drive C: auf 10GB setzen/ändern, Prozent Angaben sind auch möglich.

vssadmin resize shadowstorage /for=<Volume> /on=<Volume> /maxsize=<Größe>
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=10GB
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=15%

- zeigt die Schattenkopie selbst

vssadmin list shadows

- zeigt die Dienste an die VSS unterstützen

vssadmin list writers

- Schnapshot erstellen, für das angegebene Volume

vssadmin create shadow /for=<Volume>

- Schnapshot löschen, für das angegebene Volume

vssadmin delete shadows /for=<Volume> /oldest

/oldest - den ältesten Snapshot
/all - alle Snapshot
/quiet - ohne Ausgabe von Meldungen

VSS Konfigurieren

- für ein Volume aktivieren

vssadmin add shadowstorage /for=<Volume> /on=<Volume> /maxsize=<Größe>

vssadmin Add ShadowStorage /For=C: /On=C: /MaxSize=20%

- für ein Volume entfernen

vssadmin delete shadowstorage /for=<Volume> /on=<Volume>

- maximale Größe ändern

vssadmin resize shadowstorage /for=<Volume> /on=<Volume> /maxsize=<Größe>

Technet Artikel Diskshadow

ab Windows Server 2008 R2, (interaktiver Befehl)

Diskshadow
list shadows all
delete shadows oldest C:
exit

VSS TimeOut auf 20 Minuten setzen

wenn beim Backup ein VSS Fehler angezeigt wird. z.B. bei der Abfrage vssadmin list writers

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SPP]
"CreateTimeout"=dword:00124f80

Ereignisse beim Server

• EVENT-ID 213
• EVENT-ID 1015
• EVENT-ID 2019
• EVENT-ID 10016
• EVENT-ID 10048
• EVENT-ID 10154
• EVENT-ID 13568
• Die angegebene Domäne ist nicht vorhanden

EVENT-ID 213

Variante 1

1. Active Directory-Standorte und -Dienste öffnen
2. Den Standort des Server wählen
3. Eigenschaften von Licensing Site Settings wählen
4. unter Lizenzierungscomputer einen Standortlizenzierungsserver auswählen

Variante 2

Folgende Befehle auf dem Domaincontroller der den Fehler in der Ereignisanzeige hat ausführen. Hinweis, einige Dateien gibt es erst ab Win2003

net stop licenseservice
# folgende Dateien verschieben oder löschen
move %Systemroot%\System32\Cpl.cfg c:\Temp
move %Systemroot%\System32\lls\llsuser.lls c:\Temp
move %Systemroot%\System32\lls\llsmap.lls c:\Temp
net start licenseservice

EVENT-ID 1015

Protokollname: Application
Quelle:        MsiInstaller
Ereignis-ID:   1015
Benutzer:      Domain\spfarm
Computer:      Server.domain.tld
Beschreibung:
Es konnte keine Verbindung mit dem Server hergestellt werden. Fehler: 0x80070005

Lösung:

• Den Account Domain\spfarm zur Gruppe Administratoren hinzufügen
• den Dienst "SharePoint 2010 Timer" neustarten

  net stop SPTimerV4
  net start SPTimerV4

• Den Account Domain\spfarm aus der Gruppe Administratoren entfernen

 

EVENT-ID 2019

Ereignistyp: Fehler
Ereigniskennung: 2019
Beschreibung:
Der Server konnte keinen nicht ausgelagerten Poolspeicher reservieren,
da der Pool leer war.

MS KB Artikel

Lösung:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"PagedPoolSize"=dword:ffffffff
"PoolUsageMaximum"=dword:0000003c

Name: PoolUsageMaximum
Datentyp: REG_DWORD
Basis: Dezimal
Wert: 60

Wenn Sie den Wert auf 60 setzen, wird der Speicher-Manager informiert, den Vorgang der Verringerung bei 60 Prozent des maximalen ausgelagerten Poolspeichers (PagedPoolMax) an Stelle der Standardeinstellung von 80 Prozent zu starten. Wenn die Grenze von 60 Prozent bei Spitzenzeiten nicht ausreicht, sollten Sie den Prozentsatz auf 50 oder 40 Prozent reduzieren.

Name: PagedPoolSize
Datentyp: REG_DWORD
Basis: Hex
Wert: 0xFFFFFFFF

Wenn Sie "PagedPoolSize" auf "0xFFFFFFFF" setzen, wird dem Computer der maximale ausgelagerte Poolspeicher an Stelle anderer Ressourcen zugewiesen.

Zur Poolspeicherüberwachung kann das Programm poolmon.exe von der InstallCD unter \Support\Tools benutzt werden, nach dem Start des Programmes Taste P bis die zweite Spalte "Type" den Wert Paged anzeigt, dann Taste B für absteigend sortiert.

poolmon laufen lassen und nach der TAG Bezeichnung mittels strings suchen.

strings \windows\system32\drivers\*.sys | findstr /i Ntff

Download: strings

findstr /m /l R100 C:\WINDOWS\system32\drivers\*.sys

Standard
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"PagedPoolSize"=dword:00000000

EVENT-ID 10016

Protokollname: System
Quelle:        Microsoft-Windows-DistributedCOM
Ereignis-ID:   10016
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      NETZWERKDIENST

Beschreibung:
Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST von Adresse LocalHost (unter Verwendung von LRPC) keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID
{61738644-F196-11D0-9953-00C04FD919C1}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

in der Registry unter [HKEY_CLASSES_ROOT\AppID\{61738644-F196-11D0-9953-00C04FD919C1}] nach sehen welche Dienst das ist. In diesem Fall der IIS Admin Dienst

unter Verwaltung | Komponentendienste | DCOM-Konfiguration | IIS Admin Service
Eigenschaften | Sicherheit | Start- und Aktivierungsberechtigungen bearbeiten
Benutzer NETZWERKDIENST
Lokale Aktivierung Zulassen aktivieren

EVENT-ID 10048

Fehler: auf einem SBS 2003

10048 - IPSEC Dienst kann nicht gestartet werden
Netzwerkzugriff nicht mehr möglich

Ursache: Port 4500 für IPSEC ist belegt.

Lösung: Liste der Reservierten Ports in der Registry aktualisieren

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"ReservedPorts"=hex(7):31,00,36,00,34,00,35,00,2d,00,31,00,36,00,34,00,36,00,\
  00,00,31,00,37,00,30,00,31,00,2d,00,31,00,37,00,30,00,31,00,00,00,31,00,37,\
  00,31,00,38,00,2d,00,31,00,37,00,31,00,39,00,00,00,31,00,37,00,34,00,35,00,\
  2d,00,31,00,37,00,34,00,35,00,00,00,31,00,38,00,31,00,32,00,2d,00,31,00,38,\
  00,31,00,33,00,00,00,32,00,38,00,38,00,33,00,2d,00,32,00,38,00,38,00,33,00,\
  00,00,33,00,33,00,34,00,33,00,2d,00,33,00,33,00,34,00,33,00,00,00,33,00,35,\
  00,30,00,30,00,2d,00,33,00,36,00,31,00,39,00,00,00,34,00,35,00,30,00,30,00,\
  2d,00,34,00,35,00,30,00,30,00,00,00,00,00

EVENT-ID 10154

Protokollname: System
Quelle:        Microsoft-Windows-WinRM
Ereignis-ID:   10154
Beschreibung:
Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/Server.domain.tld; WSMAN/Server. 
 Zusätzliche Daten 

 Empfangener Fehler: 8344: %%8344.
 Benutzeraktion 

 Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.

Lösung:
Verwaltung | ADSI-Editor
Standardmäßiger Namenskontext | DC=domain,DC=tld | OU=Domain Controllers | CN=Server (Domaincontroller mit der Fehlermeldung)
Eigenschaften | Sicherheit
Gruppe: Netzwerkdienst
Berechtigung: Bestätigtes Schreiben an Dienstprinzipal: aktivieren

Änderungen durchführen und neu starten.

 

EVENT-ID 13568

auf dem DomainController

1. net stop ntFRS
2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters \Backup/Restore\Process at Startup]
   BurFlags auf D4 setzen, wenn es der einzige DC in der Domain ist - sonst D2
3. net start ntFRS und warte bis ein 13516 erscheint
4. Problem erledigt
5. Wenn der Event 13568 wieder auftritt, chkdsk c: ausführen und bei 1. starten

KB290762
KB292438
KB315457

Die angegebene Domäne ist nicht vorhanden

- Freigabe NETLOGON ist auf dem Domaincontoller nicht vorhanden, mit dem RegistryEintrag werden di e Freigaben NETLOGON und SYSVOL neu erstellt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters
"SysvolReady"=dword:00000001

Druckserver

- Speicherort der Datei ntprint.inf

C:\Windows\System32\DriverStore\FileRepository\ntprint.inf_xxx

oder Remote auf einem 32Bit System unter

\\x86Client\c$\Windows\System32\DriverStore\FileRepository\ntprint.inf_xxx

- 32Bit Treiber auf einene 64Bit Server als Zusätzlichen Treiber hinzufügen
als Administrator, von einem 32Bit Windows7 oder Vista aus mit dem Drucker verbinden
\\<Server\, Druckerfreigabe anklicken, wenn der Drucker dann auf dem 32Bit System automatisch (über Windows Update) installiert wurde, im Menü auf Drucker | Freigabe | Zusätzlicher Treiber... | x86 wählen. Die Treiber werden dann vom x86 Client auf den Server übertragen und stehen danach zur Installation für WinXP bereit.

 

Key Management Service (KMS)

Microsoft Office 2010 KMS Host License Pack
Bereitstellen der Volumenaktivierung von Office 2010

KMS Einrichtung

Aktivierung durchführen (xxxx ist der KMS Key)

slmgr.vbs /ipk xxxx-xxxx-xxxx-xxxx-xxxx

Schlüssel bei Microsoft registrieren

slmgr.vbs /ato

Zu beachten ist, dass eine bestimmte Mindestanzahl an Servern (5) bzw. Clients (25) installiert sein muss, bevor der KMS die arbeit auf nimmt.

- Bei Problemen mit der Aktivierung eines Servers 2008 R2 folgende Befehle ausführen

slmgr.vbs /ipk YC6KT-GKW9T-YTKYR-T4X34-R7VHC
slmgr.vbs /ato

Konvertierung von Retail-, KMS- und MAK-Versionen von Win7 und Win Srv 2008 R2

 

Arbeitsordner / Workfolder

Arbeitsordner im Überblick

Der Arbeitsordner ist ab Win2012 R2 und Win 8.1 Client (als Domainmitglied/ohne Domainmitgliedschaft) verfügbar.

Der Anwender speichert Daten im Verzeichnis auf dem Client, diese werden dann mit dem Server automatisch syncronisiert. Der Inhalt kann dann vom Server aus gesichert werden und steht allen Rechnern des Anwenders zur Verfügung.

Wenn der Client kein Domainmitglied ist, werden die Kennwortrichtlinien auf Standard gesetzt, als komplexes Kennwort, Min. Länge 7 u.a.

Installation auf dem Server

- als Serverrolle
Datei-/Speicherdienste | Datei- und iSCSI-Dienste | Arbeitsordner

das Feature Hostfähiger Webkern für Internetinformationsdienste wird automatisch mit installiert.

- Installation per Powershell Workfolder und Internetinformationsdienste (IIS)-Manager

Install-WindowsFeature FS-SyncShareService,Web-Mgmt-Console

Selbstsigniertes Zertifikat in der Powershell erstellen

- neues Zertifikat erstellen (ist nur unter "Eigene Zertifikate" möglich), das Zertifikat ist ein Jahr gültig.

New-SelfSignedCertificate -CertStoreLocation cert:Localmachine\My -DnsName <server dns names>
New-SelfSignedCertificate -CertStoreLocation cert:Localmachine\My `
 -DnsName "srv.domain.zz","workfolders.domain.zz"

Thumbprint                                Subject
----------                                -------
58357DF2C425A2FA95B4C9B284F9CAA21C042B52  CN=srv.domain.zz

- Zertifikatsspeicher anzeigen "Eigene Zertifikate"

Get-ChildItem -Path cert:\LocalMachine\My
Get-ChildItem -Path cert:\LocalMachine\My | fl

- Zertifikatsspeicher anzeigen "Vertrauenswürdige Stammzertifizierungsstellen"

Get-ChildItem -Path cert:\LocalMachine\Root

- Zertifikatsspeicher anzeigen "WebHosting"

Get-ChildItem -Path cert:\LocalMachine\WebHosting

Zertifikat muss dann aus dem Zertifikatsspeicher "Eigene Zertifikate" exportiert und nach "Vertrauenswürdige Stammzertifizierungsstellen" importiert werden.

- Zertifikat mit der Powershell exportieren, beim Export muss der Thumbprint angegeben werden.

$pwd = ConvertTo-SecureString -AsPlainText -Force -String "passwort"
Export-PfxCertificate -Cert cert:Localmachine\My\58357DF2C425A2FA95B4C9B284F9CAA21C042B52 `
 -FilePath C:\srv.domain.zz.pfx -Password $pwd

SSL-Zertifikat für die HTTPS Verbindung einrichten

SSL Zertifikat per Powershell erstellen

Verwaltung | Internetinformationsdienste (IIS)-Manager
Server wählen | Serverzertifikate | Importieren
Zertifikatsdatei: server.pfx
Passwort: ...
Zertifikatspeicher: Webhosting

Default Web Site wählen | rechte Maus Bindungen bearbeiten
Typ: https
Hostname: workfolders.domain.zz
SSL-Zertifikat: <das erstellt Zertifikat wählen>

- im DNS einen CNAME Eintrag anlegen
Aliasname: workfolders
FQDN: workfolders.domain.zz
Zielhost: server.domain.zz

Installation auf dem Win8.1 Client

in der Systemsteuerung | Arbeitsordner | Arbeitsordner einrichten
eMail Adresse: user@domain.zz
oder Arbeitsplatzordner-URL: https://workfolders.domain.zz
Speicherort der Arbeitsordner:
Richtlinien übernehmen

Fehlermeldung 0x80072EE7 (Host nicht gefunden) oder 0x80C80338 (Servername nicht im Zertifikat)

Bei der Eingabe der eMail Adresse, versucht sich der Client mit https://workfolders.domain.zz zu verbinden. Der CNAME muss im DNS angelegt sein und das Zertifikat muss den DNS Eintrag workfolders.domain.zz enthalten. Der Client muss das Zertifikat verifizieren können, entweder durch Import in den Zertifikatsspeicher des Zertifikates oder des ROOT Zertifikates der CA.

Der Arbeitsordner wird danach unter Dieser PC angezeigt.

Zugriff auf Arbeitsordner ohne SSL

Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Reg add HKCU\Software\Microsoft\Windows\CurrentVersion\WorkFolders /v ServerUrl /t REG_SZ /d http://<server.domain.zz>

nach dem Import der Registry Einträge, den Rechner neu starten.

Fehlersuche

Ereignisanzeige | Anwendungs- und Dienstprotokolle | Microsoft | Windows | Workfolders

 

Workplace Join

Technet Artikel

Workplace Join ab Win2012 R2 und Win 8.1 (ohne Domainmitgliedschaft, BYOD - Bring Your Own Device)

Installation auf dem Server

- Zertifikat erstellen, Zertifikat muss den DNS Namen des Servers sowie den DNS-Name enterpriseregistration.<FQDN> enthalten.
z.B. Domain: domain.tld
Server: server.domain.tld
DNS2: enterpriseregistration.domain.tld

!! Zertifikate per Powershell mit New-SelfSignedCertificate funktionieren hier nicht !!

- im DNS einen CNAME Eintrag für enterpriseregistration.domain.zz anlegen
Aliasname: enterpriseregistration
FQDN: enterpriseregistration.domain.zz
Zielhost: server.domain.zz

- Gruppenverwaltete Dienstkonten GUID wird angezeigt

ADD-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

- Server Rolle Active Directory-Verbunddienste über den Servermanager hinzufügen
Konfigurations-Assistenten für Active Directory-Verbunddienste
Erstellt den ersten Verbundserver in einer Verbundserverfarm
Domainadmin wählen
SSL Zertifikat wählen
Dienstkonto wählen: Gruppenverwaltete Dienstkonten GUID eingeben
Datenbank erstellen

Verwaltung | AD FS-Verwaltung

Installation auf dem Win8.1 Client

- Zertifikat des Servers importieren

Charms-Bar | Einstellungen | PC-Einstellungen | Netzwerk | Arbeitsplatz
Beitreten

 

Fehlersuche

Ereignisanzeige | Anwendungs- und Dienstprotokolle | Microsoft | Windows | Workplace Join

Das Zertifikat mit dem angegebenen Fingerabdruck "15D258A9F5DF2BD4A4667D5A3234EA8EDC360A92" verfügt über einen privaten CNG-Schlüssel (Cryptography Next Generation). Die Zertifikate mit dem privaten CNG-Schlüssel werden nicht unterstützt. Verwenden Sie ein Zertifikat, das auf einem Schlüsselpaar basiert, das von einem älteren Cryptographic Service Provider generiert wurde.

Server Edition Upgrade/Aktivierung

Windows Server 2008 R2

liefert die aktuell verwendete Windows Edition

DISM /online /Get-CurrentEdition

liefert die möglichen Upgrade-Editionen

DISM /online /Get-TargetEditions

führt das In-Place Upgrade auf eine bestimmte Edition durch

DISM /online /Set-Edition:<edition ID> /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

mögliche Werte für Set-Edition: sind

ServerStandard
ServerEnterprise
ServerDataCenter

Windows Server 2016

- Edition anzeigen, auf die aktualisiert werden kann

dism /online /Get-TargetEditions
Zieledition : ServerStandard
Zieledition : ServerDatacenter

- eine Evaluierungsversion in eine "normale" Standard-Version umwandeln, XXXX durch den eigenen Lizenzkey ersetzen.

dism /online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

KMS Keys

Windows Server 2016 Datacenter:		CB7KF-BWN84-R7R2Y-793K2-8XDDG
Windows Server 2016 Standard:		WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
Windows Server 2016 Essentials:		JCKRF-N37P4-C2D82-9YXRT-4M63B

Servergespeicherte BenutzerProfile

- der Benutzer des Profiles, muß Eigentümer des ServerVerzeichnisses sein, wo das Profil gespeichert wird.

\\Server\Benutzer\%Username%
Zugriffsrechte auf Verzeichnis "Benutzer"
Gruppe
Benutzer -> Nur dieser Ordner, alles ausser Vollzugriff
Ersteller-Besitzer -> Nur Unterordner und Dateien, Vollzugriff

GPO für Servergespeicherte Benutzerprofile
Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Benutzerprofile
Eigentümer von servergespeicherten Profilen nicht prüfen: Aktiviert
Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen: Aktiviert

Storage Spaces Direct

Storage Spaces Direct

kann ab Server 2016 genutzt werden.

 

 

sonstiges / FAQs

• Richtlinien

Verzeichnisdienste und die Defragmentierung des AD kann man beim Server 2008 nach dem beenden des Active-Directory-Dienstes durchführen und nach beendigung der Arbeit den Dienst wieder starten. Ein herunterfahren und im Modus "Verzeichnisdienste wiederherstellen" zu starten ist nicht mehr notwendig.

Terminal IE8 Verstärkte Sicherheit deaktivieren

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"IEHarden"=dword:00000000
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"IEHarden"=dword:00000000

oder verstärkte Sicherheit deinstallieren

rundll32.exe setupapi.dll,InstallHinfSection IESoftenUser 128 %windir%\inf\IEHARDEN.INF

danach den TerminalServer neu starten.

Scalable Networking Pack (SNP)

http://support.microsoft.com/kb/950224/en-us
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=f5d41696-a83d-47cf-a06f-1bf708f6b567
http://technet.microsoft.com/de-de/library/cc164354.aspx
http://www.microsoft.com/technet/security/bulletin/MS09-029.mspx

DNS Probleme bei der Weiterleitung von DNS Anfragen an einen Router oder Server

Extended DNS Test deaktivieren

dnscmd /config /EnableEDNSProbes 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters]
"EnableEDNSProbes"=dword:00000000

DNS-Serverdienst benutzt UDP-Port der anderer Dienste

KB-Artikel

Ereignistyp: Fehler
Ereignisquelle: Server ActiveSync
Ereigniskategorie: Keine
Ereigniskennung: 3015
Beschreibung:
Das IP-basierte AUTD konnte nicht initialisiert werden, da die Verarbeitung von Benachrichtigungen nicht gestartet werden konnte. Fehlercode [0x80004005]. Vergewissern Sie sich, dass derzeit keine anderen Anwendungen mit dem UDP-Port [2883] verbunden sind, oder geben Sie eine andere Anschlussnummer an.

Ereignistyp: Fehler
Ereignisquelle: Server ActiveSync
Ereigniskategorie: Keine
Ereigniskennung: 3024
Beschreibung:
Das IP-basierte AUTD konnte nicht initialisiert werden. Fehlercode: [0x80004005].

Lösung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
ReservedPorts

Ports	Programm, das diese Ports nutzt
1645-1646	IAS
1701-1701	L2TP
1718-1719	H.323 Gatekeeper (nur ISA 2000)
1745-1745	ISA Server 2000 oder ISA Server 2004
1812-1813	IAS
2883-2883	AUTD
3500-3619	Nur ISA Server 2000
4500-4500	IPSEC

Windows 2003 Support Tools

Support Tools Win2003 SP1

netdiag /test:dns
dcdiag /v /c /e

für einen Server mehrere Namen vergeben

Blog Eintrag

- mehrer Netbios Namen für einen Server vergeben, hex(7) ist der Typ: REG_MULTI_SZ

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"OptionalNames"=hex(7):73,00,65,00,72,00,76,00,65,00,72,00,32,00,00,00,73,00,\
  65,00,72,00,76,00,65,00,72,00,31,00,00,00,00,00
"DisableStrictNameChecking"=dword:00000001

- Win2003/2008/2012 Zugriff mit dem alternativen Netbios Namen, KB Artikel

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"DisableLoopbackCheck"=dword:00000001

- mehrer DNS Namen für einen Server vergeben (ab 2003), hex(7) ist der Typ: REG_MULTI_SZ

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters]
"AlternateComputerNames"=hex(7):73,00,65,00,72,00,76,00,65,00,72,00,31,00,00,\
  00,73,00,65,00,72,00,76,00,65,00,72,00,32,00,00,00,00,00

Windows 10 Server

Rolle Network Controller zur Verwaltung von virtuellen und physischen Netzwerken

mit dem ESD Decrypter lässt sich aus der Recovery\install.esd der Preview Version von Windows 10 Server eine neu ISO erstellen.

Windows Remotemanagement aktivieren

winrm quickconfig

Windows Firewall alle Dienste mit Remote*** aktivieren

winrm e winrm/config/listener
Listener
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 192.168.0.1, ::1

Listener [Source="Compatibility"]
    Address = *
    Transport = HTTPS
    Port = 443
    Hostname = srv.domain.tld
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 192.168.0.1, ::1

Applocker (nur unter Enterprise)

Dienst AppIDSvc (Anwendungsidentität) auf "Automatisch" setzen und starten

sc config appidsvc start= auto
sc start appidsvc

GPEDIT oder in der AD-Gruppenrichtlinie
Computerkonfiguration | Windowseinstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | Applocker

DHCP Server migrieren

- in der Powershell auf dem neuen DHCP Server

Export-DhcpServer -ComputerName alter_DHCP_Server -Leases -File C:\Temp\dhcpexp.xml -verbose
Import-DhcpServer -ComputerName Neuer_DHCP_Server -Leases -File C:\Temp\dhcpexp.xml `
 -BackupPath C:\Temp\dhcp\ -Verbose

Richtlinien

Verwaltung | Lokale Sicherheitsrichtlinie | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen
Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto: aktivieren (Default: Deaktiviert)
Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen: deaktivieren (Default: Aktiviert)

Administrative Tools | Local Security Policy | Security Settings | Local Policies | Security Options
User Account Control: Admin Approval Mode for the built-in Administrator account: Enabled (Default: Disabled)
User Account Control: Run all administrators in Admin Approval Mode: Disabled (Default: Enabled)

- Server 2016/2019 zeigt einen Fehler in den Einstellungen, das er nicht auf "C:\Windows\System32\control.exe" zugreifen kann, wenn der Server Mitglied in einer Domain ist.

Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto: aktivieren

- Wenn man mit einem Benutzer (nicht der Administrator) der Mitglied der Gruppe Administratoren ist arbeitet, hat man nicht die vollen Rechte im Dateisystem.

Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen: deaktivieren