Kategorie-Archiv: Windows

Windows 10/11 und Windows Server meinen es eigentlich gut, wenn Sie nach jeweils zwei „unerwarteten Neustarts“ (z.B. Strom aus) in die „Automatische Reparaturumgebung“ booten, anstatt das eigentlich Betriebssystem zu starten. Die Automatische Reparatur kann man zwir überspringen, aber nur wenn man eine Taste drücke.

Im Prinzip eine nette Idee, denn bei plötzlichen Stromausfällen könnte ja das Dateisystem beschädigt worden sein.

Manchmal braucht man aber ein System, das IMMER bootet. Beispielsweise für POS-Geräte die nur Informationen anzeigen sollen oder Geräte die gar keine Tastatur angeschlossen haben. Solche Geräte werden gerne öfter mal „hart“ ohne „herunterfahren“ ausgeschaltet und starten dann nicht mehr alleine.

Lösung

Um den freundlichen „Automatic Repair“ Assistenten vollständig loszuwerden, sind mehrere Schritte notwendig. Alles natürlich an der Administrator („Als Admin“) CMD Kommandozeile.

1. Die WinRE Umgebung komplett abschalten

reagentc /disable

2. Ruhezustand („Fastboot“) grundsätzlich abschalten

powercfg -h off

3. Die Recovery-Umgebung im Windows Bootlaufwerk abschalten
{current} ist dabei die Windows-Installation um die es geht. Eine Liste aller Installationen gibt bcdedit aus.

bcdedit /set {current} recoveryenabled no

4. Alle Startfehler beim booten ignorieren (auch das „dirty“ flag von NTFS)

bcdedit /set {current} bootstatuspolicy IgnoreAllFailures

Ab jetzt startet die Reparaturumgebung wirklich nicht mehr und man benötigt einen bootfähigen USB-Stick um das System im ernstfall zu prüfen.

Zertifikate sind eigentlich vom Ablaufverständnis her einfach – aus privatem Teil und öffentlichem Teil kann man ein PFX erzeugen, das sich für dem schnellen Import in Windows-Server eignet. Der Weg über einen bestehenden PK ist deutlich einfacher und schneller als ein neues CSR mit neuem PK und ein neuer Signierungsvorgang.

(Wenn möglich sollte aber natürlich ein neuer Key bevorzugt werden.)

Wie befreie ich den privaten Schlüssel (private Key, PPK) aus einer alten *.PFX Datei?

openssl pkcs12 -in EXAMPLE.pfx -nocerts -out EXAMPLE.key

Nach der Kennworteingabe für die Extraktion und der Kennworteingabe für die verschlüsselte Ablage des Keys liegt die EXAMPLE.key Datei vor.

Wie erstelle ich aus privatem Schlüssel (*.key) und neuem Zertifikat (*.cer) ein neues PFX (PKCS #12 Archivdatei)?

openssl.exe pkcs12 -export -out EXAMPLE-NEU.pfx -inkey EXAMPLE-PRIVATE-KEY.key -in EXAMPLE-CERTIFICATE.cer

Wenn die CA mehrere Intermediate Zertifikate und/oder ihre eigene Root-CA Zertifikate als eigene Dateien mitliefert, kann man diese mit mehreren -in Parametern in das PFX auch gleich mit einpacken (die Kette sollte in der richtigen Reihenfolge, angefangen mit dem Root-CA-Zertifikat angegeben werden):

openssl.exe pkcs12 -export -out EXAMPLE-NEU.pfx -inkey EXAMPLE-PRIVATE-KEY.key -in EXAMPLE-RootCA.cer -in EXAMPLE-CA.crt -in EXAMPLE-CERTIFICATE.crt

Alternativ kann auch eine CA-Kette in einer Datei mit dem Parameter -certfile verwendet werden:

openssl.exe pkcs12 -export -out EXAMPLE-NEU.pfx -inkey EXAMPLE-PRIVATE-KEY.key -in EXAMPLE-CERTIFICATE.crt -certfile CA-CHAIN.cer

Lösung

0x8007000e (E_OUTOFMEMORY) meint wörtlich „Es steht nicht genügend Speicherplatz zur Verfügung, um diesen Vorgang abzuschließen“ (Not enough memory resources are available to complete this operation).

Mit „Speicher“ ist hier nicht zwingend die Festplatte gemeint, das kann auch RAM, GDI-Speicher oder eine zu kleine Pagefile sein. Oft passiert das auf Servern wo der RAM vollgelaufen ist.

1. Systemlaufwerk prüfen. Auf %SystemDrive% sollten etwa 12GiB Platz frei sein.
2. Arbeitsspeicher prüfen. Für ein Windows-Update sollten ~4GiB Platz frei sein.
3. Dritt-Tools (Virenscanner, Firewall, Dateisystemfilter (DropBox, HiDrive, …) entfernen/deaktivieren

Sobald die Maschine genug RAM und Platz hat läuft das Upate wieder durch. In seltenen Fällen mussten wir auch mal Windows Update zurücksetzen (Dienste beenden, SoftwareDistribution löschen) und neu starten.

Abgesehen von der interessanten Schreibweise des Wortes „windowsdefender“ ist diese Meldung innerhalb der Windows „Einstellungen“ verwirrend. Ein Klick auf „Viren- & Bedrohungsschutz“ erzeugt ein neues In-App-Windows das unverrückbar behauptet:

Sie benötigen eine neue App zum Öffnen von windowsdefender

Die genaue Ursache dafür kennen wir nicht, aber wir haben diesen Effekt schon unter Windows 10, 11, Windows Server 2016, 2019 und 2022 gesehen. Es hilft in der Regel aber, einfach das zugehörige Appx-Paket neu zu registrieren.

Lösung (Windows Server, Windows 10)

Alle (!) Fenster der „Einstellungen“ App (auch von anderen Nutzern) schliessen, dann an der PowerShell „Als Administrator“ ausführen:

Add-AppxPackage -Register -DisableDevelopmentMode C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppxManifest.xml

Danach funkioniert der Zugriff sofort wieder.

Lösung (Windows 11, seltener)

Unter Windows 11 ist der Fehler manchmal etwas widerspenstiger und braucht zwischen Reset und Configure einen zusätzlichen Neustart:

Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage

Reboot 💬

Add-AppxPackage -Register -DisableDevelopmentMode C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppxManifest.xml