Passwortrücksetzung unter Windows 11

Es muss nicht immer ein kostenpflichtiges Tool dafür gekauft werden.

In der Regel hat jeder die Möglichkeit mit Windowsboardmitteln dies zu bewerkstelligen.

Hier ist eine Anleitung zur Passwortzurücksetzung unter Windows 11 inklusive der Schritte, wie man das Windows 11 ISO herunterladen und auf einen USB-Stick oder eine DVD brennen kann:

Schritte zur Passwortzurücksetzung unter Windows 11

1. Windows 11 ISO-Datei herunterladen

Um ein bootfähiges Installationsmedium für Windows 11 zu erstellen, muss man zuerst die ISO-Datei von der offiziellen Microsoft-Website herunterladen.

Zur offiziellen Microsoft-Website gehen:
- Einfach den Browser öffnen und die Microsoft Windows 11 Download-Seite aufrufen.
Windows 11 Installation Media Tool nutzen:
- Dort gibt es den Abschnitt Windows 11 Installationsmedien erstellen.
- Auf Tool jetzt herunterladen klicken und das Programm MediaCreationTool starten, sobald es heruntergeladen wurde.
ISO-Datei auswählen:
- Den Anweisungen im Tool folgen, die Sprache, Edition und Architektur (64-Bit) wählen.
- Dann die Option ISO-Datei wählen, um die Installationsdatei auf dem PC zu speichern.

2. ISO-Datei auf USB-Stick oder DVD brennen

USB-Stick erstellen:

Um die ISO-Datei auf einen USB-Stick zu übertragen, braucht man einen USB-Stick mit mindestens 8 GB Speicherplatz. Am besten nutzt man dafür das Media Creation Tool oder ein Programm wie Rufus.

Rufus nutzen (empfohlen):
- Zuerst Rufus von rufus.ie herunterladen.
- Den USB-Stick an den PC anschließen.
ISO-Datei auf den USB-Stick übertragen:
- Rufus öffnen und den USB-Stick auswählen.
- Neben „Boot-Auswahl“ auf Auswahl klicken und die heruntergeladene ISO-Datei auswählen.
- Danach auf Start klicken, um den bootfähigen USB-Stick zu erstellen.

DVD erstellen:

Wer lieber eine DVD brennen möchte, braucht einen DVD-Brenner und eine leere DVD.

Windows-eigene Brennfunktion verwenden:
- Eine leere DVD ins DVD-Laufwerk einlegen.
- Mit der rechten Maustaste auf die heruntergeladene ISO-Datei klicken.
- Dann Datenträgerabbild brennen wählen.
- Das DVD-Laufwerk auswählen und auf Brennen klicken.

3. PC mit Installationsmedium starten

Nach dem Erstellen des USB-Sticks oder der DVD kann man den PC von diesem Medium starten:

Den PC ausschalten und den USB-Stick oder die DVD einlegen.
Den PC einschalten und ins Boot-Menü gehen (oft durch Drücken von F2, F12, ESC oder DEL beim Start).
Im Boot-Menü den USB-Stick oder die DVD als Boot-Medium auswählen.

4. Windows-Installationsprozess starten

Jetzt den Windows-Installationsprozess starten und im ersten Schritt einfach auf Weiter klicken.
Dann NICHT auf „Installieren“ klicken, sondern unten links auf Computerreparatur.
Weiter zu Problembehandlung -> Eingabeaufforderung.

5. Laufwerk mit Windows finden

In der Eingabeaufforderung den Befehl diskpart eingeben und Enter drücken.
Mit dem Befehl list volume alle Partitionen anzeigen lassen und nachsehen, auf welchem Laufwerk Windows installiert ist (meistens das größte Volume, oft Laufwerk D:).
Diskpart mit dem Befehl exit verlassen.

6. Dateien verschieben und kopieren

Nun folgende Befehle ausführen, um den Dateinamen des Bildschirmtastaturprogramms (ultman.exe) durch die Eingabeaufforderung zu ersetzen:

bash

move d:\windows\system32\ultman.exe d:\ copy d:\windows\system32\cmd.exe d:\windows\system32\ultman.exe

(Achtung: Wenn Windows auf einem anderen Laufwerk liegt, muss „d:“ entsprechend angepasst werden.)

7. PC neu starten

Den Befehl wpeutil reboot eingeben, um den Computer neu zu starten.
Darauf achten, dass der PC jetzt normal von der Festplatte und nicht vom Installationsmedium startet.

8. Eingabeaufforderung am Anmeldeschirm öffnen

Am Anmeldebildschirm einfach auf das mittlere Icon unten rechts (sieht aus wie eine Uhr) klicken.
Statt der Bildschirmtastatur öffnet sich jetzt die Eingabeaufforderung.

9. Passwort zurücksetzen

Den folgenden Befehl eingeben, um das Administrator-Passwort zurückzusetzen:

bash

net user "Administrator" neuespasswort

(Anstelle von „neuespasswort“ das gewünschte neue Passwort eingeben.)
Sollte ein anderer Benutzername angezeigt werden, kann auch dessen Passwort zurückgesetzt werden:

bash

net user "Benutzername" neuespasswort

(Den richtigen Benutzernamen anstelle von „Benutzername“ einsetzen.)
Sobald die Meldung erscheint, dass der Befehl erfolgreich war, einfach exit eingeben, um die Eingabeaufforderung zu schließen.

10. Anmeldung

Jetzt mit dem neuen Passwort anmelden.

11. Änderungen rückgängig machen

Nach der erfolgreichen Passwortzurücksetzung sollte die ursprüngliche ultman.exe wieder an ihren Platz verschoben werden:

Den PC wieder mit dem Installationsmedium starten und erneut die Eingabeaufforderung öffnen.
Den folgenden Befehl eingeben, um die Originaldatei zurückzuholen:

bash

copy d:\ultman.exe d:\windows\system32\ultman.exe
Den PC dann normal neu starten.

Hinweise:

Während der Erstellung des USB-Sticks oder der DVD wird der Inhalt gelöscht, also vorher Daten sichern.
Es ist wichtig, den richtigen Laufwerksbuchstaben zu verwenden. Während der Wiederherstellung ist Windows oft auf D:, kann aber je nach System anders sein.

Verbindungsversuch / Kontaktaufnahme Excel und Outlook O365

Das Problem

Beim Speichern von Dokumenten in Excel oder Outlook O365 kommt nahezu permanent die lästige Meldung, dass ein Verbindungsaufbau stattfindet, solange man sein Homeverzeichnis / Eigene Dateien in einem Netzwerk-Share umgeleitet hat.

Die Lösung

Seitens Microsoft gibt es derzeit (10/2022) noch keinen Fix. Allerdings gibt es zwei mögliche Workarounds, die wirksam sind.

Aus meiner Sicht der Bessere
Office 365 Downgraden / Rollbackup auf die Version vom Juli 2022

"C:\Program Files\Common Files\Microsoft Shared\ClickToRun\officec2rclient.exe" /update user updatetoversion=16.0.15225.20288

Um später auch wieder auf den Aktuellen Kanal zu kommen oder um manuell die Update durchzuführen (Autoupdate muss dann im Tenanat deaktiviert werden) hier der Link zu den Versionen vom O365

https://learn.microsoft.com/en-gb/officeupdates/update-history-microsoft365-apps-by-date

Funktioniert auch, aber kann andere Nebeneffekte hervorrufen
Deaktivieren des Dienstes „WebClient“

Als zentrale Lösung wohl sinnvoller über GPO zu steuern.

(No Ratings Yet)

Loading... 156 views

Windows Wiederherstellungspartition löschen

Manchmal geht es nicht anders und die Wiederherstellungspartition muss gelöscht werden.

Ich hatte ein Problem mit einem virtuellen Windows, wo mir der Speicher ausgegangen ist. Am Hyper-V-Host ist die Festplatte schnell vergrößert / erweitert, aber unter Windows lies sich die Systempartition nicht erweitern, weil direkt hinter diese eine Wiederherstellungspartition (vermutlich durch Upgrade von Win10 auf Win11) lag.

Die Wiederherstellungspartition kann durchaus gelöscht werden. Bei Problemen mit Starten von Windows benötigt man dann eine Windows-Start-CD und gut ist.

Man Startet die Datenträgerverwaltung und schaut auf welcher Partition bzw. Datenträger die zu löschende Partition liegt. In der Regel handelt es sich um den „Datenträger 0“.
Über die Commandbox startet man den Befehl diskpart

select disk 0 (Wenn es auf Datenträger 0 liegt)
list partition (zeigt alle Partitionen vom ausgewählten Datenträger)
select partition 1 (muss der zu löschenden Partition entsprechen!!)
delete partition override (Kein Rückgängig machen möglich)

Danach konnte ich über die Datenträgerverwaltung die Systempartition vergrößern und alles lief ohne Probleme weiter.

Fritz!Dect / Comet Dect

Ich nutze Comet Dect Heizkörperthermostate zur Steuerung des Heizverhaltens und zum senken der Energiekosten.

In Verbindung von ioBroker und Shelly WindowDoor lassen sich erweiterte Funktionalitäten schaffen.

Das Heizen bei geöffneten Fenster zu Beenden kann man bereits im Comet Dect einrichten. Allerdings muss dazu das Thermostat den Temperaturabsturz erkennen und dann schaltet sich die Heizung nur für eine fest hinterlegte Zeit ab. Möchte man in der Nacht mal bei abgeklappten Fenster schlafen, so würde dieser Status vom Thermostat nicht erkannt werden und somit die Heizung fleißig heizen, wenn das Thermostat auf Absenken oder Komfort programmiert wurde.

Abhilfe schafft hier ein Erkennen, dass das Fenster geöffnet wurde. Geräte hierfür gibt es viele. Ich habe hier mal Shelly dw v2 probiert, da Shelly sich sehr einfach in ioBroker integrieren lässt.

Über ioBroker (Hausautomat) kann das Erkennen eines geöffneten Fensters an ioBroker übergeben werden und dieser schaltet dann die ebenfalls über ioBroker laufenden Comet Dect.

Der Comet Dect hat vier Schaltzustände, welche unter fritzdect.0.DECT_xxxx.operationmode hinterlegt werden.

Zustand	ioBroker
Aus (Frostschutz 8 C°)	Off
Absenkung (16 C° editierbar)	Night
Komfort (21 C° editirbar)	Comfort
MAX (>28 C°)	On

Verzeichnet ioBrocker über den Shelly dw ein geöffnetes Fenster z.B. im Schlafzimmer, so wird der Befehl zum Ausschalten der Heizung im Schlafzimmer übergeben.

on({id: 'shelly.0.SHDW-2#xxxx#1.sensor.door', change: 'any'}, function (obj) {
    var dw01 = getState('shelly.0.SHDW-2#xxxx#1.sensor.door').val;
    if (dw01){
        setState("fritzdect.0.DECT_xxxx.operationmode","Off",false /*ACK*/);
    } else {
        setState("fritzdect.0.DECT_xxxx.operationmode","Night",false /*ACK*/);
    }
});

Damit wird sichergestellt, dass die Heizung nicht die Nacht durchheizt.

So dachte ich mir es 😉

Leider lässt sich der Operationmode nicht schreibend an die FritzBox bzw. Comet Dect zurücksenden. Damit es nun dennoch geht, muss man die Parameter der Temperatur steuern. Hierfür muss der Wert für fritzdect.0.DECT_xxxx.tsoll gesetzt werden.

Ich schalte nun tsoll auf 0, wenn das Fenster auf geht und merke mir den Wert von fritzdect.0.DECT_xxxx.lasttarget. Geht das Fenster wieder zu, so wird die tsoll auf den Wert von lasttarget gesetzt.

var lastTarget;

on({id: 'shelly.0.SHDW-2#xxxx#1.sensor.door', change: 'any'}, function (obj) {
    var dw01 = getState('shelly.0.SHDW-2#xxxx#1.sensor.door').val;
 
    log("Fensterstatus: " + dw01 + " | LastTemp: " + lastTarget + " °C");
    if (dw01){
        setState("fritzdect.0.DECT_xxxx.tsoll","0",false /*ACK*/);
        lastTarget = getState("fritzdect.0.DECT_xxxx.lasttarget").val;
        log("Schalte Heizung aus");
    } else {
        setState("fritzdect.0.DECT_xxxx.tsoll",lastTarget,false /*ACK*/);
        lastTarget = undefined;
        log("Schalte Heizung ein");
    }
});

Und zu guter Letzt fehlt noch eine automatischer Erkennung, wenn man zwischenzeitlich die Temperatur anderweitig verändert, aber immer noch das Fenster offen ist. Dafür muss ein Script auf Änderungen von tsoll reagieren und bei geöffnetem Fenster die tsoll wieder auf 0 setzen.

on({id: 'fritzdect.0.DECT_xxxx.tsoll', change: 'any'}, function (obj) {
    var dw01 = getState('shelly.0.SHDW-2#xxxx#1.sensor.door').val;

    if (dw01){
        setState("fritzdect.0.DECT_xxxx.tsoll","0",false /*ACK*/);
        lastTarget = getState("fritzdect.0.DECT_xxxx.lasttarget").val;
        if (logging){log("Schalte Heizung wieder aus");}
    }
});

nslookup

Mit nslookup lassen sich DNS-Einträge und Ziele von Namensauflösungen anzeigen.

Unter Windows öffnet man dazu die Commandbox (CMD.exe) gibt nur den Befehl nslooup gefolgt mit Taste ENTER.

Wenn jetzt eine Domain wie help.mod2509.de eingegeben wird, sieht man die IP-Adresse des eigentlichen Ziels.

Wer auf Nummer sicher gehen möchte, dass seine DNS-Änderungen im WWW angekommen sind, der setzt zum Abfragen einen public DNS-Server wie Google ein.

Hierfür lautet der Befehl: server 8.8.8.8

Fragt man nun erneut help.mod209.de ab, so kommt die Antwort direkt vom Google-DNS-Server und nicht dem eigenen lokalen.

Mit dem Befehl „set q=any“ erhöht man die Infos, welche bei Abfragen zurück gegeben werden soll.

Shelly 3EM – smarter Energiemesser

Der Shelly 3EM ist ein smarter WLAN-fähiger Energiemesser. Damit lässt sich Problemlos der gesamte Stromverbrauch, aber auch die gesamte Stromeinspeisemenge messen und bequem ansehen.

Die Bequemlichkeit hat den Nachteil, dass man die Hersteller-Cloud verwenden sollte. Aber man muss es nicht und muss auch nicht unnötig flashen.

Ich nutze als Home-Zentrale ioBroker auf einem Rasperri Pi4 und habe dort einen Shelly-Adapter installiert. Über diesen Adapter kann man wahlweise sich die Daten von der Cloud des Herstellers holen oder man stellt den Shelly auf MQTT und so sendet der Shelly direkt an den ioBroker. In diesem Fall verzichtet man jedoch auf die gute Darstellung und Statistiken der App.

Installation

Die Installation ist eigentlich Plug&Play, dennoch empfehle ich einen Elektriker dafür. Hier gebe ich nur ein paar Tipps, anhand dessen kann jeder für sich den Elektriker-Einsatz abwägen.

Für den Gesamtverbrauch muss man mit den Wandlern A-C um die drei Hauptleitungen, welche in der Regel vom Stromzähler aus dem Keller zum FI-Schalter im Wohnungssicherungskasten führen.

Üblicher Sicherungskasten, unten kommen schwarz, grau und braun und gehen zum FI-Schalter

Farben spielen hier eine untergeordnetere Rolle, wichtig ist zu erkennen, welche der Leitungen ist Phase 1, 2 oder 3

Vom FI-Schalten gehen drei Kabel zur Sammelschiene der einzelnen Leitungsschalter (Sicherungen). Man schaut nun in welche Sicherung die Kabel gehen.

Drei schwarze Kabel gehen vom FI-Schalter zur drei-phasigen Sammelschiene.

Deutlich zu erkennen das erste Kabel von Links (Verlängerung von Schwarz) geht auf Sicherung F5.

Das zweite Kabel (Verlängerung von Grau) geht auf Sicherung F6.

Das dritte Kabel (Verlängerung von Braun) geht auf Sicherung F7.

Ich habe insgesamt 10 Sicherungen und bei mir gehen die drei Kabel auf die Sicherung 5, 6 und 7. Die Sammelschiene ist ebenso auf drei Phasen ausgelegt und so ist immer auf Sicherung 1 auch Phase 1, auf Sicherung 2 demnach Phase 2 und Sicherung 3 letztlich Phase 3. Diese Reihenfolge führt sich so fort, so dass Sicherung 4 auch Phase 1 nutzt. Die Sicherung 5 wäre sodann auf Phase 2 und Sicherung 6 auf Phase 3, die Sicherung 7 beginnt wieder auf Phase 1 ….

Nebenbei erwähnt, der Herdanschluss läuft in der Regel auf allen drei Phasen. Grund ist der hohe Stromverbrauch, der über ein normale Leitung nicht gehen sollte. Daher verteilt sich das auf die drei Phasen.

ACHTUNG
Sorgt dafür, dass kein Strom mehr über die Sicherungen gehen!
Am besten legt man den FI-Schalter um. So ist oberhalb alles tot.
Aber die Zuleitung bis zum FI-Schalter sind weiterhin unter Spannung!

Jetzt klippst man Wandler A am Shelly auf die Buchse A und legt den Wandler um die Phase 1, also das Kabel was in meinem Fall von Sicherung 7 zum FI-Schalter geht und an der Stelle am FI-Schalter wieder rauskommt. Der Wandler kommt um das Kabel vor dem FI-Schalter. Bei mir ist das das dickere braune Kabel.

Bei den Wandlern ist die Richtung wichtig, damit die Werte korrekt als positive Zahl / Verbrauch angezeigt werden kann. Hierzu schaut man auf den Wandler „K -> L“.
K ist der Kunde und L der Lieferant. K zeigt hierbei zum FI-Schalter, weil wir der Kunde sind. Der Pfeil ist dabei etwas verwirrend, weil er vom Kunde zum Lieferant zeigen muss.

Der Wandler B kommt auf die Buchse B und wird um das Kabel gelegt, welches Phase 2 ist. In meinem Fall ist das das dickere schwarze Kabel, welches zur Sicherung 5 gegangen ist.

Wandler C kommt auf die Buchse C am Shelly und muss um das Kabel für Phase 3. In meinem Fall ist es das dickere graue Kabel, dass letztlich zur Sicherung 6 geht.

Damit die Wandler korrekte Werte anzeigt, benötigt man zu jeder Phase bzw. Wandler die passenden Volt-Werte. Dazu verbindet man N vom Shelly an die N-Leiste vom Sicherungskasten. In der Regel nimmt man dafür ein blaues Kupferkabel.

Nun hat der Shelly auch drei Eingänge für die Volts der drei Phasen. AV kommt oben mit an die Sicherung, wo Phase 1 benutzt wird. In meinem Fall war es Sicherung 7. BV kommt oben mit an die Sicherung, welche über Phase 2 läuft. In meinem Fall ist es die Sicherung 5. Bleibt noch CV, welche für Phase 3 übrig bleibt. In meinem Fall oben mit an die Sicherung 6 angeschlossen.

Über die Volt-Anschlüsse und N bekommt der Shelly auch seinen Strom.

Jetzt aktiviert man den Strom wieder und der Shelly startet auch. Der Shelly ist kinderleicht über die App „Shelly“ einzurichten, so dass ich hier nicht weiter darauf eingehen möchte.

In der App sieht man nun seinen Shelly und den Gesamtverbrauch in Watt. Geht man weiter in die App rein, so sieht man genau was auf Phase A, B oder C verbraucht wird. Über die Zählweise der Sicherungen von vorne mit 123,123,123 … hat man ganz schnell raus, welches Zimmer oder Steckdose auf welche Phase läuft.

Speist man z.B. über Solar ein, so wird auch dies vom Shelly erkannt und als Negativ-Wert angezeigt. Wenn man seinen Solar-Ertrag ebenfalls kennt, weil der Wechselrichter es ausgibt oder weil man das einspeisen mittels Messgerät (Fritz!Dect) misst, hat man sehr schnell raus, was genau an Strom erzeugt wurde und was man davon tatsächlich selbst nutzt oder eben dem Netzbetreiber einspeist / schenkt.

Anhand dieses Beispielbildes würde man jetzt erkennen, dass man zum Zeitpunkt der Solarenergieerzeugung einen zu niedrigen Eigenverbrauch hatte und so knapp 1kWh verschenkte.

Durch Optimierung des eigenen Stromverbrauchs oder durch Verwendung einer Speicherlösung kann man den Stromüberschuss verringern oder auffangen und zu einem späteren Zeitpunkt verwenden. Es gilt je höher der Grundstrom ist, weil z.B. ein Aquarium betreibt oder eine Tiefkühltruhe im Keller um so wahrscheinlicher ist es, dass man keinen Überschuss hat. In diesem Fall würde sich ein Balkonkraftwerk auch deutlich schneller amortisieren.

Einspeisung als Insel-Lösung mit Blueetti AC200 Max (aber definitiv nichts für Sparfüchse)

S/MIME-Zertifikate zur sicheren E-Mail-Kommunikation

Damit man sicher E-Mail austauschen kann, sollten die Gesprächspartner über S/MIME-Zertifikate verfügen.

Hierüber können Mails mit einem Stempel/Signum versehen werden und bescheinigen einen vertrauenswürdigeren Eindruck, da der Stempel/ Signum bescheinigt, dass die E-Mail auch tatsächlich von der E-Mail-Adresse (Class1) oder der echten Person mit seiner E-Mail-Adresse (Class2) stammt. E-Mails mit Signum können an jede andere Person/ E-Mail-Adresse versendet werden.

Zudem kann man aber auch untereinander verschlüsselte E-Mails schicken. Hierbei wird der E-Mail-Text (Body) und deren Anlagen verschlüsselt und kann nur vom Gesprächspartner geöffnet/ gelesen werden. Zu beachten ist jedoch, dass der Betreff einer E-Mail NIE verschlüsselt wird.

Dies grob zur Verwendung von E-Mail-Zertifikaten. Nun kommt es zum spezifischen …

Egal ob mit eigener CA und über Drittanbieter (z.B. Certum), unter Office 365 lassen sich die .pfx-Zertifikate nicht gleichermassen nutzen.

In Microsoft Office Outlook als Desktop-App ist das Einrichten und Verwenden von S/Mime-Zertifikaten recht schnell und einfach umgesetzt.
Auch das Einrichten auf mobilen Geräten (z.B. iPad/ iPhone) gestaltet sich einfach, solange man dort nur die Apple-Mail-App verwendet.

Möchte ich jedoch die Microsoft Outlook App für iOS oder Android nutzen und soll dort ein S/Mime-Zertifikat zum Einsatz kommen, fangen die Probleme an!!

Wie sehen die Probleme aus?

Zum einem reicht das Installieren eines Zertifikates über die Profile von Apple nicht aus. So installierte Zertifikate werden in der Outlook iOS-App nicht gefunden.

Desweiteren unterscheidet Outlook iOS zwischen Business- und privaten Mail-Accounts. Wer sich bei Microsoft eine *@outlook.com-Adresse privat zulegt, der kommt innerhalb der Outlook iOS-App nie in das Vergnügen ein Zertifikat sich einrichten zu können. Die Installation selbst funktioniert, aber für das Aktivieren fehlt der Menüpunkt „Sicherheit“ unter den Mailkonten-Einstellungen.

Anders bei geschäftlichen Account. Dort steht der Menüpunkt „Sicherheit“ zur Verfügung und man kann beginnen sich das Zertifikat zu Installieren/ Einzurichten.

Zum Installieren in Outlook für iOS muss man sich am besten das .pfx-Zertifikat selbst per Mail an sich selbst senden. Erst jetzt kann man es durch Öffnen der Datei so installieren, dass es in Outlook für iOS zu sehen und einzurichten geht.

Über den Menüpunkt „Sicherheit“ aktiviert man die generelle Funktion S/MIME. Danach sieht man unter Zertifikate alle Zertifikate, welche zu seiner E-Mail-Adresse installiert worden sind. Hier findet demnach ein Abgleich statt, so dass man kein Zertifikat für eine andere ausgestellte E-Mail-Adresse aktivieren kann.

Leider kam nun die nächste böse Überraschung! Das aktivieren von Signieren und Verschlüsseln war nicht möglich, weil im Zertifikat bei Überprüfung „nicht vertrauenswürdig“ stand?

Laut Microsoft und Telekom-Support ist mal wohl gezwungen sich eine Office 365-Liznez zu erwerben, in der Intune mit enthalten ist 🙁
Aus meiner Sicht ist dies aber eine FEHLINFORMATION, weil es mit einem kleinen Zusatzschritt doch möglich wird.

Outlook für iOS prüft das S/Mime-Zertifikat mit seinem in O365 hinterlegten Stamm-Zertifikaten. Passen diese nicht zusammen, so wird IMMER innerhalb der App die Validierung des S/Mime-Zertifikates schiefgehen.

Was muss man also machen?

Man benötigt eine .SST-Datei, in der das Root- & die Zwischenzertifizierungsstellen eingebunden sind. Diese .SST muss dann nur noch nach O365 importiert werden. Den Usern schiebt man noch schnell das öffentliche Zertifikat im O365 unter und fügt bei AD-Connect-Nutzung auch das öffentliche Zertifikat (.cer) über den lokalen Domain-Controller das Zertifikat hinzu. Und dann wird am Client das Zertifikat als gültig angezeigt und kann für das Signieren und Verschlüsseln verwendet werden.

1. Root- & Intermediante-Zertifikate als .SST-File nach O365 exportieren

Eigene Windows-CA

Hier exportiert man aus dem Zertmanager die erforderlichen Root- und Zwischenzertifikate als .SST

Fremde CA

Hat man Zertifikate von Drittdienstleistern wie Certum, dann schaut man in einem bereits erstellen S/Mime-Zertifikat und analysiert hier die Zischen- und das Root-Zertifikat.

Im Normalfall findet man diese bereits auf jedem Win10/11-PC im Zertifikatsspeicher unter Zwischenzertifikate oder Stammzertifikate. Die gesamte Kette der Zertifikate wird selektiert und als .SST exportiert.

Wenn die Zertifikate nicht im Zertspeicher sind, dann werden die darüber ausgestellten (S/Mime)-Zertifikate bei Nutzung oft nicht als vertrauenswürdig angesehen.

Es hilft hier diese Zertifikate manuell zu importieren/ installieren und dann als .SST zu exportieren.

Unterschiedliche CA’s

Im Prinzip kann man jedes Austellerzertifikat als .SST exportieren. Hat man eine Mischung aus mehreren Anbietern, dann markiert man alle benötigten Stammzertifikate und exportiert diese als Bundle in eine .SST.

Certum

[Root]

Certum Trusted Network CA

S/N 0444c0

22.10.2008 – 31.12.2029

[Zwischenhändler]

Austeller: Certum Trusted Network CA

Certum Digital Identification CA SHA2

S/N 66daef03db8461916b25ba83fb174e13

21.04.2015 – 09.06.2027

[User]

Austeller: Certum Digital Identification CA SHA2

[UserMail-Adresse] (S/Mime-Class2)

S/N 5732e6eaaf1468660cc0d3bd04e29b05

01.02.2022 – 24.01.2025

Import .SST in O365

Mit Exchange verbinden (Powershell)

$sst = Get-Content -path „c:\temp\firmenca.sst“ -Encoding Byte

Set-SmimeConfig -SMIMECertificateIssuingCA $sst

1. Im AD die öffentlichen Zertifikate hinterlegen

Da wir AD-Connect nutzen, sollte bei jedem User das öffentliche Zertifikat (.cer) hinterlegt werden.

Im Attribut-Editor sollte dann auch unter userCertificate ein Eintrag pro hinterlegten Zertifikat stehen.

1. In O365 die öffentlichen Zertifikate dem User hinterlegen

Mit Exchange verbinden (Powershell)

$cert=New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(„D:\_tmp\cert.cer“)

$certArray = New-Object System.Collections.ArrayList

$certArray.Insert(0,$cert.GetRawCertData())

Set-Mailbox -Identity <Mail-Adresse des Users> -UserCertificate $certArray -UserSMimeCertificate $certArray

Windows Defender öffnet sich nicht

Windows Defender reparieren:

Den Windows Defender sollte man reparieren, wenn man beim Öffnen der Viren- & Bedrohungsschutz APP von Windows eine der folgenden Meldung erhält:

„Sie benötigen eine neue App zum Öffnen dieses windowsdefender-Links.“ (deutsche Windows Version)
„You’ll need a new app to open this windowsdefender“ (englishe Windows Version)

Sie benötigen eine neue App zum Öffnen dieses windowsdefender-Links.

Beachtet dabei insbesondere folgendes:
Der Hinweis in der Meldung zur Suche im Windows App-Store macht überhaupt keinen Sinn, da im Windows App-Store überhaupt kein Windows Defender zu finden ist.
Auch ist der Windows Defender ein fester Bestandteil von Windows der immer mit installiert wird – man kann ihn daher nicht nachinstallieren.
Den Windows Defender kann man normalerweise auch nicht einfach so deaktivieren oder löschen. Nur bei einer Installation eines anderen Virenscanners (von einem anderen Hersteller) wird der Windows Defender deaktiviert (entsprechend ersetzt).
Sonst im normalen Standardbetrieb sollte der Windows Defender immer aktiv sein.

Man kann den Windows-Defender mit folgendem Befehl in der Windows PowerShell reparieren:
Add-AppxPackage -Register -DisableDevelopmentMode „C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppXManifest.xml“

Fügen Sie diese Zeile wie hier gezeigt in einer Windows PowerShell aus:
$Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"$

Ergänzende Hinweise:
Der Aufruf ohne Administratorrechte reichte bei mir aus. Je nach Umgebung können ggf. Administratorrechte notwendig sein.
Bei einem weiteren PC musste ich den Befehl 2-mal eingeben bis es wirkte (vielleicht hatte ich mich auch vertippt).
Daher der Tipp: Kopiert die Zeile oben am besten mit Copy & Paste um Tippfehler zu vermeiden.
Der PC muss nicht neu gestartet werden. Der Windows Defender ließ sich nach der Reparatur direkt wieder starten. Man sollte trotzdem kurz prüfen, ob der Windows Defender Virenscanner auch nach einem Neustart noch korrekt funktioniert.
Der Fehler trat bei mir auf, als ich gezwungen war das Benutzer-Profil auf dem PC (welches dennoch als servergespeichertes Profil galt) löschen musste. Bei mir hängte sich das Druckmenü im Edge auf.

ioBroker unter Windows Server 2019 as Docker

Docker in Windows Server 2019

Auf dem Windows Server 2019 habe ich bestimmte Features zu Linux etc. bereits installiert gehabt.

Nun installierte ich das Docker für Windows von Install Docker Desktop on Windows | Docker Documentation

Danach lief der Docker, aber bestimmte Sachen schienen nicht zu funktionieren. Auch das installieren eine Images von ioBrocker für Docker klappte nicht. Nach etwas Googlen bekam ich die Info, dass man den Deamon umswitchen muss. Das habe ich über CMD-Command erledigen können:

"C:\Program Files\Docker\Docker\DockerCli.exe" -SwitchDaemon

Das nächste Problem ließ nicht länger auf sich warten …

Hier half es in den Docker-Settings in der Docker Engine den Experimental-Mode zu aktivieren:

{ "experimental": true }

Docker wurde neu gestartet und der Pull-Befehl konnte nun erfolgreich ablaufen:

Randnotizen (für mich)

https://docs.microsoft.com/de-de/virtualization/windowscontainers/quick-start/set-up-environment?tabs=Windows-Server

https://docs.microsoft.com/de-de/virtualization/windowscontainers/manage-containers/container-base-images

PowerShell-Command: docker pull mcr.microsoft.com/windows/iotcore:1809

ca. 310MB werden heruntergeladen und als Basisimage für den Container herangezogen

Domain-User und Domain-Gruppen exportieren/ importieren

Domainmigration

Ich hatte die ehrenvolle Aufgabe eine seit 20 Jahren existierende Domain, die in der Vergangenheit mehrfache Migrationen und Upgrades mitmachte, im Parallelbetrieb komplett neu aufzubauen. Es war beabsichtigt, alles neu zu machen, da nur so alte Einträge wie von einem damals betriebenen Exchange/ Sharepoint-Server nicht übernommen werden.

Zum Glück war alles an einem Standort und zum Glück war auch der File-Server virtualisiert, aber dazu später mehr …

Es erfolgen vorerst nur Stichpunkte meiner Herangehensweise, ich werde hier bei Gelegenheit das Ganze mit ausführlicheren Texten und visuellen Bilder aufhübschen 😉

Generell sei gesagt, dass man eine solche Umstellung nicht übers Knie Brechen sollte. Es ist selten möglich alles von einer Sekunde zur anderen umzustellen ohne das Probleme auf einen zukommen.

Meine gestecktes Ziel war es, dass die Umstellung mit sowenig Störungen wie Möglich umgesetzt wird. Hierbei muss man neben dem Alltagsgeschäft der Mitarbeiter auch die diversen Dienste/ Taskplaner einbeziehen, die über die Jahre angelegt wurden.

Es empfiehlt sich auch Zwischenschritte und Pausen einzubauen, damit man bei aufkommenden Problemen noch eine Vorstellung hat, woran es liegen könnte.

Meine Stichpunkte

Neue Domain auf neuem Server (unter selber Netzmaske/ IP-Bereich) installiert. Hier nun Windows Server 2019, aber noch OHNE DHCP-Server, da dies noch der alte Domain-Controller übernimmt.
zwei neue Hyper-V-Host ebenso unter Windows Server 2019 im Clusterverbund eingerichtet und der neuen Domain beigetreten
Vertrauensstellungen zwischen der alten und neuen Domain eingerichtet
alle virtuellen Maschinen (Windows Server 2012R2) zum neuem Hyper-V-Cluster migriert
Nach und nach diverse Server, die ohne Domain-User der alten Domain auskommen, neu unter Windows Server 2019 installiert und nach Abbild des entsprechenden abzulösenden Server eingerichtet und in die neue Domain eingetreten.
z.B. WSUS-Server -> durch GPO-Anpassung in der alten Domain konnten alle Workstations ganz bequem auf den neuen WSUS-Server umgestellt werden. Den alten WSUS-Server außer Betrieb genommen und Funktionalität des neuen WSUS-Server beobachtet.
In die neue Domain Gruppen und User anlegen, wenn man diese 1:1 umsetzen möchte. Ich habe die Chance genutzt und gerade die Gruppen neu überdacht. Daher habe ich nur die vorhandenen Benutzer durch Export/Import in der neuen Domain neu anlegen lassen. Es gibt hierfür aber auch Migrationstool, aber ich wollte komplett neu und somit auch neue ID’s für die User.Das Zauberwort für Import/Export heißt „csvde“, damit kann man alles aber auch gezielte Exports von Benutzern und Gruppen machen.

csvde -r „(&(objectCategory=person)(sn=*))“ -f D:\Patches\User-Transfer\export_Users.csv

csvde -r „(&(objectCategory=Computer))“ -f D:\Patches\User-Transfer\export_Computers.csv

Problematisch ist das Handling von Excel mit dieser CSV und das Umspeichern in eine neue Import-Datei. Wichtig ist auch, dass nur neue Benutzer importiert werden. Es ist damit kein Update vorhandener Benutzer möglich und es wird kein Passwort mit übertragen.

– Excel Öffnen und Daten aus CSV einlesen, darauf achten, dass Semikolon als Trenner verwendet wird.
– Unnötige Spalten löschen, wobei ein paar Pflichtfelder wie DN, objectClass, sAMAccountName erforderlich sind
-Alle Felder wo ei „,“ in der Spalte vorkommt wurde durch Anwendung einer Formel dupliziert, weil die Einträge im Import in Hochkommas stehen müssen. (Excel: =““““&[alterSpaltenname]&““““)
– Suchen nach DC=[ALTEDOMAIN] und durch DC=[NEUEDOMAIN] ersetzen
– Als CSV-Trennzeichengetrennt exportiert und durch neu Öffnen von Excel wieder als CSV eingelesen. Nun konnte man die alten Spalten löschen, da in der neuen nun der Text in Hochkomma steht und nicht mehr die Excel-Formel. Das Ganze als weitere neue CSV abgespeichert und mittels Editor zwei Suche-Ersetzen-Befehle abgesetzt:
Suche „““ ersetze “
Suche ; ersetze ,
Fertig ist die Import-Datei 🙂
Bis es aber wirklich lief, habe ich einige CSV-Dateien hin- und her konvertiert.

Der Import selbst ist dann aber einfach:
csvde -i -k -f D:\Patches\User-Transfer\import_07.csv

Damit aber der Import passt, muss in der GPO der neuen Domain darauf geachtet werden, dass das Anlegen von Benutzern mit leeren-Kennwörtern erlaubt ist.

Passwörter kann man per Befehl oder händisch vergeben und danach die GPO-Regeln zur Passwort-Sicherheit wieder aktivieren.
Die angelegten Benutzer haben nun kein Passwort und sind deaktiviert, tragen auch den Befehl, dass man sich bei der nächsten Anmeldung ein Passwort vergeben muss. Dies macht sinn, wenn bei Domainbeitritt in die neue Domain der User sich selbst ein neues Passwort geben soll.

FileServer