W2K19 : w32time für ntp konfigurieren

Da ich mir das nie merken kann, mach ich hier mal einen Eintrag.

Konfiguration auf dem PDC
cmd immer als Administrator starten
w32tm /config /manualpeerlist:"NTP-SERVER,0x8" /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
w32tm /resync

Konfiguration auf einem Member der Domain
Sollte ein Server nach ein paar Std. immer noch die falsche Zeit haben ist evtl. die w32tm falsch konfiguriert. Das kann man zurücksetzten mit
w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time
w32tm /resync

weitere nützliche Befehle
ntp quelle überprüfen kann man mit dem Befehl
w32tm /stripchart /computer:NTP-SERVER
den Status überprüfen kann man mit
w32tm /query /status
die configuration kann man sich mit diesem Befehl anzeigen
w32tm /query /configuration

Quellen :
https://www.anreiter.at/windows-server-2019-zeitquelle-konfigurieren/#Zeit_in_der_Domaene_verteilen
https://docs.microsoft.com/de-de/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings

NPS : Event 6273 Ursachencode 16

Problem : Auf einem NPS wird dieser Fehler im Eventlog angezeigt.
Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie:    Company Wifi - Domain Users
    Netzwerkrichtlinienname:        Company Wifi - Domain Users
    Authentifizierungsanbieter:        Windows
    Authentifizierungsserver:        FQDN-DES-SERVERS
    Authentifizierungstyp:        PEAP
    EAP-Typ:            -
    Kontositzungs-ID:        46xxxxxxxxxxxx30
    Protokollierungsergebnisse:            Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    Ursachencode:            16
    Ursache:                Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. 
Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

Lösung : Entweder der NPS oder die Meraki Endgeräte kommen nicht mit dem Wildcard Zertifikat klar. Ich hab die Einstellungen im NPS auf ein AD CA generiertes, direkt auf den FQDN des Servers, ausgestelltes Zertifikat geändert und schon lief alles.

Windows 2019 Domainadmin hat keine Berechtigung für control.exe oder/und rundll32.exe

Problem : Bei einem frisch aufgesetzten Windows 2019 Server können als Domain Administrator diverse Einstellungen nicht vorgenommen werden. Ich konnte das bei den Desktop Icons und bei den Einstellungen für das Netzwerk beobachten
( Windows Icon -> Zahnrad -> Netzwerk und Internet -> Ethernet -> Adapteroptionen ändern )

control.exe BerechtigungGrund hierfür ist scheinbar die Default Einstellung der UAC

Lösung : Setzen einer GPO auf die Benutzerkontensteuerung

Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto diesen Wert auf "Aktiviert" setzen

GPO UAC

ActiveDirectory: Clients in Domäne können keine biometrische Anmeldung einrichten (Fingerabdruck, Gesichtserkennung)

Problem:
Sobald ein Client der Domäne joined sind die Biometrie-Einstellugnen deaktiviert, außer man arbeitet mit Microsoft-Konto und Hello for Business! Der Benutzer kann keinen Fingerabdruck oder Gesichtserkennung zur Anmeldung aktivieren - Es kommt immer die Meldung: "Da hat etwas nicht geklappt" und der Button "Einrichten" ist ausgegraut.

Lösung:
Um die Biometrie-Anmeldung zu aktiviern muss man folgende vier Gruppenrichtlinien setze UND es darf keine "Hello for Business"-Richtlinei aktiv sein bze. aktiv gesetz werden:
1. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Verwendung von Biometrie zulassen > aktivieren
2. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Benutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
3. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Domänenbenutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
4. Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Anmelden > Komfortable PIN-Anmeldung aktivieren > aktivieren

Nach Aktivierung dieser GPOs und einem Reboot konnte der Fingerabdruckssensor verwendet werden.
Quelle der Lösung:
Windows 10 Anmeldung mit Fingerabdruck in Active-Directory Domäne via GPO erlauben

Server 2016: VSS-Sicherung erzeugt Event 513 - Microsoft-Windows-CAPI2

Problem:
Ich habe eine unschöne Anzeige im Eventlog meiner Server 2016. Immer wenn ein VSS-Backup gezogen wird, erhalte ich folgende unschöne Fehlermeldung, die zwar nichts macht, aber unsauber aussieht:
Protokollname: Anwendung
Quelle: Microsoft-Windows-CAPI2
Ereignis-ID: 513
Aufgabe Kategorie: keine
Ebene: Fehler

Beschreibung
Fehler im Kryptografiedienste beim Verarbeiten der OnIdentity()System Writer-Objekt aufrufen.

Details:
AddLegacyDriverFiles: Nicht binäre Microsoft Link Layer Discovery Protocol Bild zurück.

Systemfehler:
Zugriff wurde verweigert.


Ursache:
Das NT AUTHORITY\SERVICE (Dienstkonto) hat keinen Zugriff auf das VSS Writer System

Lösung:
Man kann dem Dienstkonto diese Berechtigung zukommen lassen:

Öffnen Sie ein administratives Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl zum Überprüfen der aktuellen Berechtigungen:
sc sdshow mslldp

Kopieren Sie die Ausgabe aus Schritt 1 und hängen dahinter noch den Zusatz "(A;;CCLCSWLOCRRC;;;SU)". Führen Sie den folgenden Mslldp-Befehl aus, um die Berechtigung hinzuzufügen:
sc sdset mslldp MSLLDP-STRING

Beispiel:
sc sdset mslldp D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)

Bei erfolgreicher Durchführung erhalten Sie folgende Meldung:
[SC] SetServiceObjectSecurity ERFOLG


Quelle:
Microsoft Support: Event ID 513 when running VSS in Windows Server

Windows 10 und Server: SMBv1 wieder aktivieren/deaktivieren

Problem:
Ab Windows 10 1709 wird das SMBv1-Protokoll nicht mehr standardmäßig installiert. Es stehen nur noch SMBv2 und v3 zur Verfügung. Da ich noch Drucker und NAS-Systeme habe, die leider außschließlich SMBv1 verwenden, musste ich das übergangsweise aktivieren.

Lösung:
Hier die Powershell-Befehl um SMBv1 abzufragen, zu akivieren und wieder zu deaktivieren:
Status abfragen:
Get-WindowsFeature FS-SMB1

Deaktivieren:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Aktivieren:
Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

ACHTUNG: ES WIRD NICHT EMPFOHLEN SMBv1 DAUERHAFT ZU AKTIVIEREN AUFGRUND VIELER SICHERHEITSLÜCKEN IN DIESEM PROTOKOL!!!

Quelle: Microsoft Support: Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows und Windows Server
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)