ActiveDirectory: Clients in Domäne können keine biometrische Anmeldung einrichten (Fingerabdruck, Gesichtserkennung)

Problem:
Sobald ein Client der Domäne joined sind die Biometrie-Einstellugnen deaktiviert, außer man arbeitet mit Microsoft-Konto und Hello for Business! Der Benutzer kann keinen Fingerabdruck oder Gesichtserkennung zur Anmeldung aktivieren - Es kommt immer die Meldung: "Da hat etwas nicht geklappt" und der Button "Einrichten" ist ausgegraut.

Lösung:
Um die Biometrie-Anmeldung zu aktiviern muss man folgende vier Gruppenrichtlinien setze UND es darf keine "Hello for Business"-Richtlinei aktiv sein bze. aktiv gesetz werden:
1. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Verwendung von Biometrie zulassen > aktivieren
2. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Benutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
3. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Domänenbenutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
4. Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Anmelden > Komfortable PIN-Anmeldung aktivieren > aktivieren

Nach Aktivierung dieser GPOs und einem Reboot konnte der Fingerabdruckssensor verwendet werden.
Quelle der Lösung:
Windows 10 Anmeldung mit Fingerabdruck in Active-Directory Domäne via GPO erlauben

WSUS-Server: Content-Bereinigung und Optimierung - WSUS-Reset

Problem:
Ich habe versehentlich eine verraltete Kategorie im WSUS hinzugefügt und die Synchronisation hat dann alle Patches für diese Kategorie heruntergeladen und mir dabei auch noch die Platte vollgeschrieben. Da meine WSUS-Content NICHT Auf der Systemplatte liegt, war das für den Server kein Problem, aber ich wollte die überflüssigen Patches wieder von der Platte haben und gleichzeitig für die Zukunft das Problem lösen

Lösung:
Zuerst einmal musst der Content berreinigt werden. Das habe ich wie folgt gemacht:
- Als erstes alle unerwünschten Patches ablehnen bzw. nicht genehmigen
- In den Einstellungen unter "Dateien und Sprchen aktualisieren" wechseln
- Hier den Punkt "Updatedateien auf diesem Server nur herunterladen, wenn Updates genehmigt" aktivieren
- WSUS-Dienst stoppen
- Content-Ordner z.B. D:\WSUS\WsusContent\ leeren (nicht löschen)
- WSUS-Dienst wieder starten

Durch das vorherige Ablehnen der ungewünschten Patches und der Download-Einstellung nur für genehmigte Updates werden beim nachfolgenden Befehl nur noch die genehmigten Updates heruntergeladen (Die Einträge in der DB bleiben erhalten):

- Wechseln Sie in das Verzeichnis "C:\Program Files\Update Services\Tools\"
- Führen Sie hier den folgenden Befehl aus: WsusUtil.exe reset
- Nach eingien Minuten wird sich der Content-Ordner wieder mit Patches füllen

Mit dem RESET-Befehl prüft der WSUS-Dienst, welche Patches er haben sollte und verifiziert, ob er diese auf der Festplatte korrekt vorfindet. Wenn nicht, wird der Patch neu heruntergeladen.

HINWEIS:
Sollten sie Drittsoftware mittels Drittanbieter-Software über den WSUS verteilen (WSUS Package Publisher o.ä.), dann müssen Sie diese Patches ebenfalls noch mal neu erstellen, da diese ebenfalls im Content-Ordner liegen und gelsöcht wurden.

Server 2016: VSS-Sicherung erzeugt Event 513 - Microsoft-Windows-CAPI2

Problem:
Ich habe eine unschöne Anzeige im Eventlog meiner Server 2016. Immer wenn ein VSS-Backup gezogen wird, erhalte ich folgende unschöne Fehlermeldung, die zwar nichts macht, aber unsauber aussieht:
Protokollname: Anwendung
Quelle: Microsoft-Windows-CAPI2
Ereignis-ID: 513
Aufgabe Kategorie: keine
Ebene: Fehler

Beschreibung
Fehler im Kryptografiedienste beim Verarbeiten der OnIdentity()System Writer-Objekt aufrufen.

Details:
AddLegacyDriverFiles: Nicht binäre Microsoft Link Layer Discovery Protocol Bild zurück.

Systemfehler:
Zugriff wurde verweigert.


Ursache:
Das NT AUTHORITY\SERVICE (Dienstkonto) hat keinen Zugriff auf das VSS Writer System

Lösung:
Man kann dem Dienstkonto diese Berechtigung zukommen lassen:

Öffnen Sie ein administratives Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl zum Überprüfen der aktuellen Berechtigungen:
sc sdshow mslldp

Kopieren Sie die Ausgabe aus Schritt 1 und hängen dahinter noch den Zusatz "(A;;CCLCSWLOCRRC;;;SU)". Führen Sie den folgenden Mslldp-Befehl aus, um die Berechtigung hinzuzufügen:
sc sdset mslldp MSLLDP-STRING

Beispiel:
sc sdset mslldp D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)

Bei erfolgreicher Durchführung erhalten Sie folgende Meldung:
[SC] SetServiceObjectSecurity ERFOLG


Quelle:
Microsoft Support: Event ID 513 when running VSS in Windows Server

WSUS-Server : Server meldet ständig "Verbindunsgfehler: Serverknoten zurücksetzen" (Server 2016)

Problem:
Ich habe auf einem Server 2016 einen neuen WSUS-Dienst installiert. Nachdem sich der Server mit Patches gefüllt hat, ist mir die Anwendung ständig abgestürzt mit dem Hinweis "Verbindungsfehler: Serverknoten zurücksetzen".
Erst habe ich dem Server fleissig RAM gegeben, aber der Fehler blieb bestehen!

Lösung:
Das Problem ist eine Speicherbegrenzung im IIS beim Anwendungspool

- Öffnen Sie den IIS-Manager
- Navigieren Sie zum "Anwendungspool"
- Suchen Sie den "WsusPool"
- Öffnen Sie die "Erweiterten Einstellungen"
- Scrollt nach runter in den Bereich Wiederverwendung
- Setzt Sie den Wert “Limit für den privaten Speicher” auf 0 (unbegrenzt)
- Führen Sie einen iisreset durch und das Problem soltle behoben sein

WSUS Server: Komplett zurücksetzen und löschen ohne Deinstallation

Problem:
Ich habe meinen WSUS fehlerhaft konfiguriert und er hat sich Patches gezogen, die ich so nicht wollte.
Gleichzeitig wollte ich den Dienst nicht deinstallieren und neuinstallieren, da ich den Server nicht neu starten wolte.

Lösung:

- Den Dienst WSUSService und W3SVC beenden
- Mit dem SQL Server Management Studio auf die Internal Database verbinden
- Sicherheitshalber die WSUSDB vorher sichern
- WSUSDB löschen
- WSUS-Content-Verzeichnis löschen oder umbenennen
- WSUS-Content-Verzeichnis wieder erstellen (WICHTIG, Sonst startet der Dienst nicht mehr)
- WSUSService und W3SVC wieder starten
- Ins Verzeichnis C:\Program Files\Update Services\Tools wechslen
- Hier den Befehl Wsusutil.exe postinstall ausführen

Hinweis für SQL-Verbindung zur Internal Database
Der Verbindungsstring ist bei den Betriebssystemen unteschiedlich:

Server 2012/2012 R2/2016:
\.\pipe\MICROSOFT##WID\tsql\query

Server 2003/2008/2008R2:
\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query


“Sicher ist, dass nichts sicher ist. Selbst das nicht.”
Joachim Ringelnatz