Kategorie-Archiv: Allgemein

Seit Windows 2000 hat Microsoft den eingehenden „Gastzugriff“ auf Freigaben deaktiviert. Die Kennwortlose Gastauthentifizierung wurde dann in SMB2- und SMB3- ab Windows 10 vollständig verhindert.

Manche (Stein-)alten Geräte wie stumpfe NAS-Geräte, irre teure (Trumpf-) Beabeitungsmaschinen, alt Samba-Server oder ähnliches „brauchen“ das aber dringend.

Greift man beispielsweise von Windows Server 2019 (oder höher) auf eine solche Freigabe zu, erhält man diese Meldung:

Sie können nicht auf diesen freigegebenen Ordner zugreifen, weil der Zugriff nicht
authentifizierter Gäste durch die Sicherheitsrichtlinien Ihrer Organisation blockiert werden.
Diese Richtlinien helfen, Ihren PC vor unsicheren oder bösartigen Geraten im Netzwerk zu schützen.

Lösung

Auf dem zugreifenden Server kann man die Guest-Anmeldung schnell und schmezlos an der Admin-PowerShell wieder einschalten:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force

Ohne Neustart ist der Zugriff sofort wieder möglich.

Mehr zum wie und warum gibt es in „Learn“ (ehemals Knowledgebase).

Update: Seit Windows 11 24H2 funktioniert der netsh befehlt leider nicht mehr, inzwischen haben wir aber die zugehörigen Registry-Settings gefunden.

Problem

Als Dienstleister bewegen wir uns ständig in Kunden-VPNs und nutzen sehr gern den Windows-Integrierten SSTP VPN-Client. Leider lässt dieser standardmäßig nur 2 gleichzeitige Verbindungen zu.

Versucht man eine weitere Verbindung herzustellen bekommt man direkt eine Fehlermeldung:

Verbindung mit VPN nicht möglich. Das Modem (oder ein anderes Gerät) wird bereits verwendet oder ist nicht richtig konfiguriert.

Lösung (bis Windows 11 23H2)

Die Anzahl der Miniports kann mittels netsh erhöht werden. Dazu an einer administrativen shell einfach folgendes netsh-Command ausführen:

netsh ras set wanports device="WAN Miniport (SSTP)" maxports=3

Eine Erhöhung auf mehr als 3 Ports ist mittels netsh aber leider auch nicht möglich. (Der Wert für den Parameter „maxports“ ist ungültig.)

Lösung (ab Windows 11 24H2)

Unter Windows 11 (24H2) und Windows Server 2025 funktioniert der netsh befehl leider nicht mehr.. Stattdessen bekommt man nur den wenig hilfreichen Fehler „Die Bindungsnummer ist unzulässig.“ (Englisch: „The binding handle is invalid.“)

Daher muss man das nun manuell hart in der Registry ändern.

Der Key (für SSTP) ist in der Regel:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}\0008

In den „nachfolgenden“ Keys (0009 usw.) finden sich die Einstellungen für die weiteren Miniports für die anderen VPN-Typen

Hier gibt es den Parameter WanEndpoints (DWORD), das ist der „effektive“ Wert, der bisher via netsh gesetzt werden konnte.

Damit die Änderungen aktiv werden muss der PC neu starten. Der Kerneltreiber lässt sich leider nicht im laufenden Betrieb neu laden.

Eine Erhöhung de Parameter WanEndpoints und MaxWanEndpoints auf mehr als 3 ist leider trotzdem nicht möglich. Beim Neustart werden diese automatisch wieder auf 3 reduziert.

Problem

Ein nagelneu erstelltes Zertifikatstemplate in der Windows CA mag nicht so recht Zertifikate an die Benutzer ausgeben. Wenn ein Benutzer ein neues Zertifikat nach diesem Template anfordert, hagelt es die Fehlermeldung 0x80094800:

“The requested certificate template is not supported by the CA. Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Active Directory Certificate Services CRTSRV_E_UNSUPPORTED_CERT_TYPE”

Lösung

Die Lokale Gruppe „Authentifizierte Benutzer“ auf der CA-Maschine (SID S-1-5-11), muss die Berechtigung „Lesen“ auf dem Template besitzen. Sonst klappt das automatische Ausrollen nicht. Es reicht nicht aus, wenn der Benutzer (oder eine Gruppe mit diesem Benutzer) die Berechtigung besitzt, weil der Request von dem Objekt ausgelöst wird.

Wie das gelöst wird, wenn eine alte CA mal auf einem DC laufen sollte, konnten wir nich testen. Ein ServerFault Nutzer schrieb aber etwas von „Everyone“ …