ActiveDirectory: Clients in Domäne können keine biometrische Anmeldung einrichten (Fingerabdruck, Gesichtserkennung)

Problem:
Sobald ein Client der Domäne joined sind die Biometrie-Einstellugnen deaktiviert, außer man arbeitet mit Microsoft-Konto und Hello for Business! Der Benutzer kann keinen Fingerabdruck oder Gesichtserkennung zur Anmeldung aktivieren - Es kommt immer die Meldung: "Da hat etwas nicht geklappt" und der Button "Einrichten" ist ausgegraut.

Lösung:
Um die Biometrie-Anmeldung zu aktiviern muss man folgende vier Gruppenrichtlinien setze UND es darf keine "Hello for Business"-Richtlinei aktiv sein bze. aktiv gesetz werden:
1. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Verwendung von Biometrie zulassen > aktivieren
2. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Benutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
3. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Domänenbenutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
4. Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Anmelden > Komfortable PIN-Anmeldung aktivieren > aktivieren

Nach Aktivierung dieser GPOs und einem Reboot konnte der Fingerabdruckssensor verwendet werden.
Quelle der Lösung:
Windows 10 Anmeldung mit Fingerabdruck in Active-Directory Domäne via GPO erlauben

WSUS-Server: Content-Bereinigung und Optimierung - WSUS-Reset

Problem:
Ich habe versehentlich eine verraltete Kategorie im WSUS hinzugefügt und die Synchronisation hat dann alle Patches für diese Kategorie heruntergeladen und mir dabei auch noch die Platte vollgeschrieben. Da meine WSUS-Content NICHT Auf der Systemplatte liegt, war das für den Server kein Problem, aber ich wollte die überflüssigen Patches wieder von der Platte haben und gleichzeitig für die Zukunft das Problem lösen

Lösung:
Zuerst einmal musst der Content berreinigt werden. Das habe ich wie folgt gemacht:
- Als erstes alle unerwünschten Patches ablehnen bzw. nicht genehmigen
- In den Einstellungen unter "Dateien und Sprchen aktualisieren" wechseln
- Hier den Punkt "Updatedateien auf diesem Server nur herunterladen, wenn Updates genehmigt" aktivieren
- WSUS-Dienst stoppen
- Content-Ordner z.B. D:\WSUS\WsusContent\ leeren (nicht löschen)
- WSUS-Dienst wieder starten

Durch das vorherige Ablehnen der ungewünschten Patches und der Download-Einstellung nur für genehmigte Updates werden beim nachfolgenden Befehl nur noch die genehmigten Updates heruntergeladen (Die Einträge in der DB bleiben erhalten):

- Wechseln Sie in das Verzeichnis "C:\Program Files\Update Services\Tools\"
- Führen Sie hier den folgenden Befehl aus: WsusUtil.exe reset
- Nach eingien Minuten wird sich der Content-Ordner wieder mit Patches füllen

Mit dem RESET-Befehl prüft der WSUS-Dienst, welche Patches er haben sollte und verifiziert, ob er diese auf der Festplatte korrekt vorfindet. Wenn nicht, wird der Patch neu heruntergeladen.

HINWEIS:
Sollten sie Drittsoftware mittels Drittanbieter-Software über den WSUS verteilen (WSUS Package Publisher o.ä.), dann müssen Sie diese Patches ebenfalls noch mal neu erstellen, da diese ebenfalls im Content-Ordner liegen und gelsöcht wurden.

WSUS-Server : Server meldet ständig "Verbindunsgfehler: Serverknoten zurücksetzen" (Server 2016)

Problem:
Ich habe auf einem Server 2016 einen neuen WSUS-Dienst installiert. Nachdem sich der Server mit Patches gefüllt hat, ist mir die Anwendung ständig abgestürzt mit dem Hinweis "Verbindungsfehler: Serverknoten zurücksetzen".
Erst habe ich dem Server fleissig RAM gegeben, aber der Fehler blieb bestehen!

Lösung:
Das Problem ist eine Speicherbegrenzung im IIS beim Anwendungspool

- Öffnen Sie den IIS-Manager
- Navigieren Sie zum "Anwendungspool"
- Suchen Sie den "WsusPool"
- Öffnen Sie die "Erweiterten Einstellungen"
- Scrollt nach runter in den Bereich Wiederverwendung
- Setzt Sie den Wert “Limit für den privaten Speicher” auf 0 (unbegrenzt)
- Führen Sie einen iisreset durch und das Problem soltle behoben sein

WSUS Server: Komplett zurücksetzen und löschen ohne Deinstallation

Problem:
Ich habe meinen WSUS fehlerhaft konfiguriert und er hat sich Patches gezogen, die ich so nicht wollte.
Gleichzeitig wollte ich den Dienst nicht deinstallieren und neuinstallieren, da ich den Server nicht neu starten wolte.

Lösung:

- Den Dienst WSUSService und W3SVC beenden
- Mit dem SQL Server Management Studio auf die Internal Database verbinden
- Sicherheitshalber die WSUSDB vorher sichern
- WSUSDB löschen
- WSUS-Content-Verzeichnis löschen oder umbenennen
- WSUS-Content-Verzeichnis wieder erstellen (WICHTIG, Sonst startet der Dienst nicht mehr)
- WSUSService und W3SVC wieder starten
- Ins Verzeichnis C:\Program Files\Update Services\Tools wechslen
- Hier den Befehl Wsusutil.exe postinstall ausführen

Hinweis für SQL-Verbindung zur Internal Database
Der Verbindungsstring ist bei den Betriebssystemen unteschiedlich:

Server 2012/2012 R2/2016:
\.\pipe\MICROSOFT##WID\tsql\query

Server 2003/2008/2008R2:
\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query


Windows Server 2016 Update Fehler 0x8024500C und 0x8024401c mit WSUS 3.0

Problem:
Einige meiner Server 2016 melden beim Suchen nach Updates die Fehler 0x8024500C oder 0x8024401c. Scheinbar aber nicht alle? Die Server beziehen Ihre Updates von meinem WSUS 3.0 auf einem Server 2008R2.

Lösung:
Um das Problem zu lösen benötigt man einen Microsoft-WSUS-Patch, der unter KB4039929 geführt wird. In den Release Notes des Patches findet sich auch genau die Problembeshreibung:
WSUS update metadata processing can cause clients to time out and return a 0x8024401c error.

Nachdem ich diesen auf meinem WSUS 3.0 installiert hatte, haben die Server 2016 schön brav wieder Ihre Updates abgeholt!
Die neue WSUS Serverversion lautet: 3.2.7600.283
Quelle:
Microsoft Support: An update to improve the performance of update metadata processing on Windows Server Update Services
Microsoft Technet: High CPU/High Memory in WSUS following Update Tuesdays
“Sicher ist, dass nichts sicher ist. Selbst das nicht.”
Joachim Ringelnatz