Server 2016: VSS-Sicherung erzeugt Event 513 - Microsoft-Windows-CAPI2

Problem:
Ich habe eine unschöne Anzeige im Eventlog meiner Server 2016. Immer wenn ein VSS-Backup gezogen wird, erhalte ich folgende unschöne Fehlermeldung, die zwar nichts macht, aber unsauber aussieht:
Protokollname: Anwendung
Quelle: Microsoft-Windows-CAPI2
Ereignis-ID: 513
Aufgabe Kategorie: keine
Ebene: Fehler

Beschreibung
Fehler im Kryptografiedienste beim Verarbeiten der OnIdentity()System Writer-Objekt aufrufen.

Details:
AddLegacyDriverFiles: Nicht binäre Microsoft Link Layer Discovery Protocol Bild zurück.

Systemfehler:
Zugriff wurde verweigert.


Ursache:
Das NT AUTHORITY\SERVICE (Dienstkonto) hat keinen Zugriff auf das VSS Writer System

Lösung:
Man kann dem Dienstkonto diese Berechtigung zukommen lassen:

Öffnen Sie ein administratives Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl zum Überprüfen der aktuellen Berechtigungen:
sc sdshow mslldp

Kopieren Sie die Ausgabe aus Schritt 1 und hängen dahinter noch den Zusatz "(A;;CCLCSWLOCRRC;;;SU)". Führen Sie den folgenden Mslldp-Befehl aus, um die Berechtigung hinzuzufügen:
sc sdset mslldp MSLLDP-STRING

Beispiel:
sc sdset mslldp D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)

Bei erfolgreicher Durchführung erhalten Sie folgende Meldung:
[SC] SetServiceObjectSecurity ERFOLG


Quelle:
Microsoft Support: Event ID 513 when running VSS in Windows Server

WSUS-Server : Server meldet ständig "Verbindunsgfehler: Serverknoten zurücksetzen" (Server 2016)

Problem:
Ich habe auf einem Server 2016 einen neuen WSUS-Dienst installiert. Nachdem sich der Server mit Patches gefüllt hat, ist mir die Anwendung ständig abgestürzt mit dem Hinweis "Verbindungsfehler: Serverknoten zurücksetzen".
Erst habe ich dem Server fleissig RAM gegeben, aber der Fehler blieb bestehen!

Lösung:
Das Problem ist eine Speicherbegrenzung im IIS beim Anwendungspool

- Öffnen Sie den IIS-Manager
- Navigieren Sie zum "Anwendungspool"
- Suchen Sie den "WsusPool"
- Öffnen Sie die "Erweiterten Einstellungen"
- Scrollt nach runter in den Bereich Wiederverwendung
- Setzt Sie den Wert “Limit für den privaten Speicher” auf 0 (unbegrenzt)
- Führen Sie einen iisreset durch und das Problem soltle behoben sein

Windows 10 und Server: SMBv1 wieder aktivieren/deaktivieren

Problem:
Ab Windows 10 1709 wird das SMBv1-Protokoll nicht mehr standardmäßig installiert. Es stehen nur noch SMBv2 und v3 zur Verfügung. Da ich noch Drucker und NAS-Systeme habe, die leider außschließlich SMBv1 verwenden, musste ich das übergangsweise aktivieren.

Lösung:
Hier die Powershell-Befehl um SMBv1 abzufragen, zu akivieren und wieder zu deaktivieren:
Status abfragen:
Get-WindowsFeature FS-SMB1

Deaktivieren:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Aktivieren:
Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

ACHTUNG: ES WIRD NICHT EMPFOHLEN SMBv1 DAUERHAFT ZU AKTIVIEREN AUFGRUND VIELER SICHERHEITSLÜCKEN IN DIESEM PROTOKOL!!!

Quelle: Microsoft Support: Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows und Windows Server

Windows Server 2016 Update Fehler 0x8024500C und 0x8024401c mit WSUS 3.0

Problem:
Einige meiner Server 2016 melden beim Suchen nach Updates die Fehler 0x8024500C oder 0x8024401c. Scheinbar aber nicht alle? Die Server beziehen Ihre Updates von meinem WSUS 3.0 auf einem Server 2008R2.

Lösung:
Um das Problem zu lösen benötigt man einen Microsoft-WSUS-Patch, der unter KB4039929 geführt wird. In den Release Notes des Patches findet sich auch genau die Problembeshreibung:
WSUS update metadata processing can cause clients to time out and return a 0x8024401c error.

Nachdem ich diesen auf meinem WSUS 3.0 installiert hatte, haben die Server 2016 schön brav wieder Ihre Updates abgeholt!
Die neue WSUS Serverversion lautet: 3.2.7600.283
Quelle:
Microsoft Support: An update to improve the performance of update metadata processing on Windows Server Update Services
Microsoft Technet: High CPU/High Memory in WSUS following Update Tuesdays

Terminalserver 2016 (RDS): PDF-Dateien können nicht mit dem Adobe Reader DC geöffnet oder gedruckt werden

Problem:
Nach der Installation des Adobe Readers DC auf einem Terminalserver 2016 konnten die PDFs aus dem eigenen TEMP-Ordner geöffnet werden. Mein erster Verdacht waren die neuen VHD-Profiles.

Lösung:
Des Rätsels Lösung war ganz einfach. Es ist der "Geschütze Modus" (Potected Mode) des Adobe Readers. Scheinbar macht das schon immer Probleme auf einem Terminalserver. Man kann die Funktion testweise bei einem Benutzer mal auscahlten:
- Wählen Sie Bearbeiten > Voreinstellungen.
- Wählen Sie auf der linken Seite unter Kategorien die Option Sicherheit (erweitert).
- Deaktivieren Sie im Abschnitt Sandbox-Schutz die Option Geschützten Modus beim Start aktivieren.

Um das Problem für alle Benutzer zu lösen, kann man einen Registry-Key per GPP ausstreuen:
Keypath: HKLM\SOFTWARE\Wow6432Node\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown
Value name: bProtectedMode
Value type: REG_DWORD
Value data: 0

Damit wird der "geschützte Modus" deaktiviert und das Öffnen und Drucken soltle problemlos funktionieren!

Quelle: FAQ-O-MATIC: Terminalserver: Den Protected Mode des Adobe Reader X abschalten
“Sicher ist, dass nichts sicher ist. Selbst das nicht.”
Joachim Ringelnatz