Als Dienstleister bewegen wir uns ständig in Kunden-VPNs und nutzen sehr gern den Windows-Integrierten SSTP VPN-Client. Leider lässt dieser standardmäßig nur 2 gleichzeitige Verbindungen zu.
Versucht man eine weitere Verbindung herzustellen bekommt man direkt eine Fehlermeldung:
Verbindung mit VPN nicht möglich. Das Modem (oder ein anderes Gerät) wird bereits verwendet oder ist nicht richtig konfiguriert.
Lösung
Die Anzahl der Miniports kann mittels netsh erhöht werden. Dazu an einer administrativen shell einfach folgendes netsh-Command ausführen:
netsh ras set wanports device="WAN Miniport (SSTP)" maxports=3
Eine Erhöhung auf mehr als 3 Ports ist mittels netsh aber leider auch nicht möglich. (Der Wert für den Parameter „maxports“ ist ungültig.)
Traditionell ist das erste Etikett aus jedem neuen Etikettendrucker das Etikett „Etikettendrucker“ zur eindeutigen Etikettierung des neuen Ettikettiergerätes.
Doch was geschieht wenn da ein Etikettiertippfehler passiert? Auf GAR KEINEN FALL kann hierfür ein neues Etikett gedruckt werden! Es wird hingegen nach alter Admin-Etikette eine immerwärende Warnung an alle zukünftigen etikettierenden Admins zum Etikett hinzugefügt, die Schmach und Scham fehlerhafter Erstetikettierung für Generationen erhält.
Im Bild: Speziell dieses Etikett konnte ohne selbiges Kennzeichen viele Jahre unentdeckt auf dem Etikettendruckertransportkoffer existieren. Doch jüngste wurde der Fehler entdeckt und reiht sich nun stilgerecht in die mahnende Reihe der Etikettiertetiketenetikette ein.
Manchmal gehen Kennwörter oder die Mensche die diese wussten verloren. Dann sollte ein gute Admin trotzdem den Zugriff auf die Hardware sicherstellen – manchmal auch mit „Gewalt“.
Leider hat DELL zwischenzeitlich beschlossen, eine ganze Menge KB-Artikel mit einer Paywall zu blockieren („Dieser Artikel ist berechtigungsbasiert. Suchen Sie einen anderen Artikel.“), so auch die „offiziellen“ Anleitungen 🤬
Wir hatten hier gleich mehrere (Dell) EMC DS-6505B zurückzusetzen. Daher hier die kompakte Anleitung für schnelle Admins. Ganz ohne Paywall.
Lösung
1. Boot-Console verbinden (Switch ist ausgeschaltet)
Sofort nach dem Einschalten kann man den Boot-Prozess live bewundern. Ein paar Sekunden nach dem Start bei der Meldung „Hit ESC to stop autoboot:“ ESC drücken und mit „3“ die command shell starten.
3. Singele-User mode booten
Wenn es hier ein PROM-Kennwort gibt, einfach das Gerät noch einmal booten und selbiges Kennwort mit dem 2. Punkte „Recover password“ zurückesetzen.
An der boot-Shell kann man dem Bootloader jetzt den Parameter für den Single-User-Mode mitgeben und diesen auch gleich starten. Mit printenv sollte man vorher die Boot-Parameter anschauen (und am besten screenshotten). Möglicherweise werden die später noch gebraucht.
Natürlich mountet der Singleuser-Mode alle Laufwerke ReadOnly (RO), daher muss das vor den Änderungen natürlich umgestellt werden. Wir brauchen außerdem das Boot-Medium mit dem Flashfilesystem gemountet. Das bekommen wir aus der printenv Ausgabe der Variable OSRootPartition (der erste Wert, meistens /dev/hda2).
sh-2.04# mount -o remount,rw,noatime /
sh-2.04# mount /dev/hda2 /mnt
5. Kennwörter zurücksetzen
Jetzt kann man an der frisch gebooteten (Linux-) Shell die Kennwörter zurücksetzen und den Switch neu starten.
sh-2.04# /sbin/passwddefault
sh-2.04# reboot -f
6. Neu starten und einloggen
Nach dem jetzt ungestörten Neustart kann sich der Benutzer admin wieder mit dem EMC/Brocade Default Passwort password einloggen.
Bonus: Factory Reset (Zurücksetzen auf Werkseinstellungen)
Wenn man schon mal dabei ist und der Switch „leer“ werden soll, kann man das Gerät jetzt noch direkt auf die Werkseinstellung zurücksetzen.
SWITCHNAME:admin> fosconfig --disable vf
SWITCHNAME:admin> switchcfgpersistentdisable
SWITCHNAME:admin> cfgDisable
[mit y bestätigen]
SWITCHNAME:admin> cfgClear
[mit y bestätigen]
SWITCHNAME:admin> cfgSave
[mit y bestätigen]
SWITCHNAME:admin> configDefault
[mit y bestätigen]
SWITCHNAME:admin> userconfig --change root -e yes
SWITCHNAME:admin> rootaccess --set consoleonly
SWITCHNAME:admin> cfgSave
[mit y bestätigen]
SWITCHNAME:admin> fastBoot
Das Default-Kennwort für den Standartmäßig abgeschalteten Benutzer root lautet übrigens fibranne.
Der IIS mit ARR verhindert „by Default“ den Zugriff auf Adressen (URLs), die reservierte Zeichen enthalten. Genauer gesagt werden Anfragen mit solchen Zeichen von der IIS-Anfragefilterung blockiert und mit einen Fehler 404 beantwortet.
Die IIS-Anforderungsfilterung prüft standardmäßig auf viele verschiedene Dinge. Das Verhalten wird aber durch die Konfiguration gesteuert und kann (muss) pro Site angepasst werden.
Dazu gehören:
Doppelte Escapezeichen (..%25)
Prozent-Zeichen „%“-Zeichen
Plus „+“-Zeichen (Leerzeichen, also auch „%2b“)
Nicht-ASCII-High-Bit-Zeichen (ja, auch Emojies)
Punkt im URI-Pfad, wenn eine Anfrage, die einen anderen Punkt als den für die Ressourcenerweiterung enthält, abgelehnt wird (http://foo/a.b/bar.aspx)
Lösung
In der betreffenden web.config die Ausnahme für Double-Escaping hinzufügen:
Die Windows Remotehilfe (STRG+Win+Q) ist ein ausgezeichnetes, oft unterschätztes und seit Windows 10 allgegenwärtiges Werkzeug. Der Admin kann damit beliebigen Windows (Clients) direkt Hilfe anbieten, ohne Tools wie Teamviewer oder Anydesk herunterladen zu müssen.
Das einzige Problem ist die Rechteausweitung. Die Windows Remotehilfe kann nicht selbstständig „Erweiterte Rechte“ erlangen, man kann also nicht mal eben Dinge „Als Administrator“ starten. Wenn man das versucht, sieht man auf der Helfer-Seite ein „Pause“ Symbol und auf dem Client den „Secure Desktop“ der die Eingabeaufforderung für Admin-Credentials
Die Admin-Seite bleibt schwarzDie Client-Seite zeigt den UAC-Dialog
Selbst wenn man dann bestimmte Anwendungen als Administrator gestartet hat, zum Beispiel via runas oder minirunas, sind Eingaben in diese Fenster für den Helfenden nicht möglich. Der „Sichere Desktop“ verhindert das ein nicht-admin die Administrator-Fenster bedienen kann. Grundsätzlich sicher eine sichere Idee, aber auch etwas unprkatisch.
Lösung
Um es Admins zu ermöglichen, die Anmeldedaten auch in einer Remotehilfesitzung einzugeben, müssen zwei Dinge geschehen. Erstens muss die UAC-Eingabeauffoderung ohne „Sicheren Desktop“ angezeigt werden und zweitens muss die ganze Benutzersitzung zum „Sicheren Desktop“ wechseln dürfen.
Das geht am einfachsten per Gruppenrichtlinie.
Computerkonfiguration > Richtlinien > Lokale Richtlinien > Sicherheitsoptionen > Benutzerkontensteuerung > „Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln“: Deaktiviert
(Gleicher Pfad) „Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind“: Aktiviert
(Gleicher Pfad) „Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern“: Aktiviert
Nach dem nächsten gpupdate können Admins auch in der Windows Remotehilfe wieder Anmeldedaten „für „Als Administrator“ eingeben.
