Kategorie-Archiv: Allgemein

Windows Server 2022 Boot-Menü („F8“) für den abgesicherten Modus einschalten

Veröffentlicht am von 2 Kommentare ↓

Microsoft hat der Windows Server Familie mit Version 2019 die Anzeige des Boot-Menüs für den „Abgesicherten Modus“ abgewöhnt. Vermutlich um die Systemsicherheit zu erhöhen, denn jetzt kann man nicht „so einfach“ den guten alten „utilman.exe“ Trick zum Zurücksetzen eines Kennwortes anwenden. Der eine oder andere Admin braucht aber den Zugriff auf das Bootmenü.

Bootmenü einschalten

Der Windows-Server muss von einem Installationsmedium booten und das Systemlaufwerk natürlich auch erkennen. Mit diskpart und „list disk“ kann man das prüfen.

Nun muss man das Bootmenü nur noch aktivieren und die Sicherheitsrichtlinie auf „klassisch“ umstellen:

bcdedit /set {bootmgr} displaybootmenu yes
bcdedit /set {bootmgr} timeout 10
bcdedit /set {default} bootmenupolicy legacy

Windows 11 22H2 Update bleibt bei 96% stehen

Veröffentlicht am von 1 Kommentar ↓

Windows 11 hat bekanntermaßen mit großen Updates so seine Schwierigkeiten. Die Cummulativen Patches scheinen eher gut zu funktionieren, aber besonders „Upgrades“ wie 22H2 hängen scheinbar überdurchschnittlich oft fest.

Die Ursache dafür kennen wir auch (noch) nicht.

  • Windows 11 Update 22H2 bleibt bei „96% Herunterladen“ stehen
  • Nach einem Neustart steht windows Update wieder bei „Herunterladen und installieren“
  • BITS zeigt keine aktiven Übertragungen an
  • Es gibt keinerlei Systemlast oder anzeichen für eine laufende Prüfung oder Installation

Wir beobachten aber häufiger, das das Update bei verschiedenen Ständen beim „Herunterladen“ in der Einstellungen > Windows Update App stehen bleinbt. Auch Neustarts oder das zurücksetzen des Download-Caches scheinen hier nicht zu helfen, es geht wider nur bis zu dem betroffenen „Stand“. Neustart helfen nicht, weder Dienste noch der ganze PC.

Immer wieder an der selben Stelle stehen geblieben?

Kurzum, wir haben dafür auch keine „richtige“ Lösung 🙂 aber einen Workaround, der bisher immer funktioniert hat (es sei denn es war etwas kaputt).

Lösung

  1. Die Dienste „Windows-Update“ und „Übermittlungsoptimierung“ beenden
    1. net stop wuauserv
    2. net stop DoSvc
  2. Den Windows-Update Download Cache komplett leeren (%windir%\SoftwareDistribution\download)
  3. Windows-Update Dienste und die Übermittlungsoptimierung wieder starten
    1. net start wuauserv
    2. net start DoSvc
  4. Die „PC-Integritätsprüfung“ herunterladen, installieren, starten und wieder beenden (ja, genau so …)
  5. Windows 11 Installation Assistant herunterladen, aufrufen und das Update damit sauber installieren

Und schon hat man nach wenigen Installations-Momenten ein Windows 11 22H2 auf der Maschine.

HPE ProCurve und Aruba Switches NTP Konfiguration und Einstellungen

Veröffentlicht am von Keine Kommentare ↓

HPE Aruba (managed) Switches sowie HPE ProCurve Switches kommen im Auslieferungszustand ohne NTP-Einstellungen. Genauer gesagt mit inaktivem NTP-Modul. Das Eventlog (log -r) zeigt daher ab stets das „erste“ Datum 01.01.1980 an und die Syslogs sehe immer etwas wirsch aus.

Das hier ist wieder so eine „Notiz an uns selbst“, denn wenn man weiß wo es steht ist das ja schon fast gewusst wie es geht.

NTP-Einstellungen Aruba Switches

Konsole zum Switch öffnen (SSH oder Seriell)

HP-2530-24G# configure
(In den Config-Kontext wechseln)
HP-2530-24G(config)# time daylight-time-rule western-europe
(Sommerzeit-Regel aktivieren)
HP-2530-24G(config)# time timezone 60
(Die deutsche Zeitzone „MEZ“ ist UTC+60m)
HP-2530-24G(config)# timesync ntp
(Zeitsynchronisation auf NTP stellen)
HP-2530-24G(config)# ntp unicast
(NTP unicast aktivieren)
HP-2530-24G(config)# ntp server 192.168.x.x iburst
(Den NTP-Server konfigurieren und initialen burst aktivieren)
HP-2530-24G(config)# ntp enable
(NTP Modul einschalten)
HP-2530-24G# write memory
(Konfiguration in die Startup-Config übernehmen)

NTP auf Aruba Switches testen

Das Ergebnis der Einstellungen kann man nach ein paar Sekunden (schlimmstenfalls Minuten) überprüfen.

Zeigt die nun aktuelle Zeit des Gerätes:

HP-2530-24G(config)# show time

Zeigt den Status des NTP-Clients:

HP-2530-24G(config)# show ntp status

Zeigt die vollständige laufende Konfiguration an:

HP-2530-24G(config)# show running config

Veeam Repository Firewall Regeln

Veröffentlicht am von Keine Kommentare ↓

Um einen Veeam-Repository-Server mit der Veeam Infrastruktur zu verbinden, braucht man ein paar Firewall-Regeln. Die sind zum Glück auch hier ganz gut dokumentiert.

Um mir die Arbeit jedesmal aufs neue zu ersparen 🫡 hier eine schnelle Copypasty für die notwendigen Ports.

Repository-Services, Datamover und NFS-Server:

netsh advfirewall firewall add rule name="VEEAM Repository" dir=in action=allow protocol=tcp localport=2500-3300
netsh advfirewall firewall add rule name="VEEAM Datamover" dir=in action=allow protocol=tcp localport=6162
netsh advfirewall firewall add rule name="VEEAM vPower NFS" dir=in action=allow protocol=tcp localport=6161
netsh advfirewall firewall add rule name="VEEAM Backup Proxy" dir=in action=allow protocol=tcp localport=6160

# Nur wenn Veeam-Agenten auf das Repository sollen
netsh advfirewall firewall add rule name="VEEAM Backup Repository-Agents" dir=in action=allow protocol=tcp localport=10001

Daz braucht man dann nur noch 139/445 für das Deployment und Updates (für ein deutsches Windows 2019/2022). Dazu enablen wir einfach die „default“ Regeln und bauen keine zusätzlichen:

netsh advfirewall firewall set rule name="COM+-Netzwerkzugriff (DCOM-In)" new enable=yes
netsh advfirewall firewall set rule name="Datei- und Druckerfreigabe (SMB eingehend)" new enable=yes

RRAS weniger DHCP-Leases für VPN-Clients verbrauchen

Veröffentlicht am von Keine Kommentare ↓

Problem:

In einem Netz ist ein Windows Routing- und RAS-Server (RRAS) für den VPN-Zugriff konfiguriert, welcher für die IP-Adressvergabe an VPN-Clients den DHCP-Server im Netz nutzt.

Standardmäßig werden beim Start des RRAS-Dienstes dafür 10 Adressen im DHCP „reserviert“.

In kleineren Umgebungen sind das eventuell bereits zu viele und der DHCP-Bereich wird mit unnötigen Leases belastet.

Lösung:

Der RRAS holt sich DHCP-Adressen in Blöcken der „AddressPoolSize“ – Standardmäßig 10. Diese Blockgröße lässt sich mittels folgendem Registry-Eintrag auf dem RRAS-Server einfach Konfigurieren:

Pfad: HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip
Wertname: InitialAddressPoolSize (REG_DWORD)

Danach muss der Routing und RAS Dienst („RemoteAccess“) einmal neu gestartet und bereits vorhandene Leases bei bedarf manuell aus dem DHCP entfernt werden.

Die Größe der Adress-Blöcke lässt sich somit beliebig verkleinern (oder vergrößern).