blog.bartlweb - a technologist's external brain

Thema: Windows Server

Sonderzeichen in VPN-Passwort verhindern erfolgreichen Aufbau einer VPN-Verbindung

Ich nutze für den Zugriff auf mein Heimnetzwerk den Standard-VPN-Server der "Routing und RAS-Server"-Funktion meines Windows Servers und die Verbindung wird von Windows-oder OS X-Geräten mit den vom Betriebssystem mitgebrachten Clients hergestellt. Dabei ist mir aufgefallen, dass mit meinem Benutzer in Verbindung mit dem genutzten supersicheren Passwort der Verbindungsaufbau immer fehlschlägt. Eine kurze Internetrecherche zeigt, dass auch andere Nutzer immer wieder Probleme beim Verbindungsaufbau in Verbindung mit bestimmten Sonderzeichen in deren Kennwörtern haben. Das Problem betrifft dabei sowohl PPTP- als auch L2TP/IPSec-Verbindungen.

Definitiv Probleme machen bei den von mir versuchten Passwörtern die Zeichen ? und §.

VPN-Client von Windows Server 2008 VPN-Verbindung erhält keinen DNS-Server

Wer eine VPN-Verbindung mittels Routing und RAS und Windows Server konfiguriert, kann dort einen statischen Pool an IP-Adressen für die Vergabe der IP-Adressen an die VPN-Clients hinterlegen. Aus dieser Einstellung ergibt sich damit automatisch der Umstand, dass als DNS-Server jener DNS-Server an die Clients weitergegeben wird, der auch in der Netzwerkkarte des Servers eingetragen ist. Dies ist meist auch kein Problem, gut zu wissen ist nur der Umstand, dass wenn der Routing und RAS Service einer dezidierten Netzwerkschnittstelle zugewiesen wird, die keinen DNS-Server eingetragen hat auch kein DNS-Server an die VPN-Clients weitergegeben wird. Windows Server sieht hier leider auch keine Möglichkeit vor die DNS-Server für die Clients selbst zu bestimmen.

Verstärkte Sicherheitskonfiguration des Internet Explorer unter Windows Server deaktivieren

Um auch unter Windows Server "normal" mit dem Internet Explorer surfen zu können, muss zunächst die Verstärkte Sicherheitskonfiguration für IE deaktiviert werden.

  • Öffnen Sie dazu den Server-Manager (zu finden im Startmenü unter Verwaltung).
  • Wählen Sie auf der Übersichtsseite unter dem Punkt Sicherheitsinformationen die Option Verstärkte Sicherheitskonfiguration für IE konfigurieren aus.
  • Setzen Sie den Wert für Administratoren bzw. Benutzer auf Aus.

WSUS-Konsole zeigt nur den Punkt Optionen

Wenn nach dem Starten der Konsole für die Update Services, nur mehr der Punkt Optionen anstelle des gesamten Baums angezeigt wird, lässt sich dieses Fehlverhalten ganz einfach durch Löschen der Datei %appdata%\Microsoft\MMC\wsus (z.B. C:\Users\admin\AppData\Roaming\Microsoft\MMC\wsus) lösen.

Windows SMTP-Server als Relayhost verwenden

Die folgenden Einstellungen sind notwendig um den mit Windows Server mitgelieferten SMTP-Server als Relayhost zu konfigurieren. Ziel ist es, dass alle internen Rechner Mails über diesen Server mit Hilfe eines externen SMTP-Servers versenden können.

Eigenschaften des Servers

  • Allgemein - IP-Adresse: (Keine zugewiesen)
  • Zugriff - Authentifizierung - "Anonymer Zugriff"
  • Zustellung - Ausgehende Sicherheit - Benutzername: Benutzername des externen Mailservers
  • Zustellung - Ausgehende Sicherheit - Kennwort: Kennwort des externen Mailservers
  • Zustellung - Ausgehende Sicherheit - TLS-Verschlüsselung
  • Zustellung - Erweitert - Smarthost: IP/DNS-Name des externen Mailservers

Eigenschaften der Domäne

  • Allgemein - "Relay eingehender Nachrichten an diese Domäne erlauben"

WSUS ohne ActiveDirectory konfigurieren

WSUS (WindowsServerUpdateServices) ist auch für kleine Netze interessant, allerdings wird die Konfiguration meistens über ActiveDirectory erledigt. In kleineren Netzen ohne Domänenkontroller kann die Konfiguration allerdings auch manuell durchgeführt werden.

WSUS-Client per Gruppenrichtlinen konfigurieren

Auf allen Professional/Enterprise-Versionen von Windows gibt es den so genannten GruppenRichtlinen-Editor. Dieser ist in jedem Fall der Konfiguration per Registry vorzuziehen.

Zu finden sind die Konfigurationsoptionen unter Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update.

Eine sinnvolle Konfiguration setzt folgende Optionen auf den Status "Aktiviert" (die restlichen Optionen bleiben auf dem Status "Nicht konfiguriert"):

  • Automatische Update konfigurieren
  • Internen Pfad für den Microsoft Updatedienst angeben

ForegroundPriorty von Downloads in WSUS setzen

Sollte WSUS neue Updates nicht automatisch Downloaden hilft es eventuell die Priorität der an den BITS-Dienst übergebenen Downloads zu erhöhen:

WSUS mit externer MySQL-Datenbank

net stop WSUSService 
 
"C:\Programm Files\Update Services\Setup\ExecuteSQL.exe" -S SERVER -d "SUSDB" -Q "update tbConfigurationC set BitsDownloadPriorityForeground=1"
 
net start wsusservic
e

WSUS mit Windows-Datenbank

net stop WSUSService 
 
C:\Programm Files\Update Services\Setup\ExecuteSQL.exe-S SERVER\MICROSOFT##SSEE-d "SUSDB" -Q "Update TbConfigurationC BitsDownloadPriorityForeground festlegen = 1"
 
net start wsusservice

Automatischer Download von neuen Updates in WSUS 3.0 funktioniert nicht richtig

Der WindowsServerUpdateServices-Server (WSUS) benutzt für den Download der Updates den Windows-Dienst BITS (Intelligente Hintergrundübertragung). Leider funktioniert der automatische Download nicht immer korrekt und die Downloads verbleiben fehlerhaft in der Warteschlange von BITS.

Abhilfe schafft der Neustart des BITS-Dienstes. Dabei wird der Status aller Downloads zurückgesetzt und BITS kann seine Arbeit wieder aufnehmen.

Für den täglichen Betrieb von WSUS empfiehlt es sich daher per Batch und "Aufgabenplanung" den BITS-Dienst einmal pro Tag neuzustarten.

BITS-Dienst per Konsole neu starten

net stop bits
net start bits

BITS-Aufträge auflisten

bitsadmin /list /allusers

Windows XP Professional in einen Terminalserver verwandeln

Die folgenden beiden Methoden erlauben es Windows XP Professional als RemoteDesktop-Server zu nutzen. Dabei wird die Limitierung von max. 1 gleichzeitigen Verbindung aufgehoben.

Universal TermsrvPatch

Der Universal Termsrvpatch erlaubt es die Limitierung von max. 1 Verbindung unter Windows XP, Windows Vista und Windows 7 komfortabel aufzuheben.

Starten Sie dazu die enthaltene exe-Datei entweder für 32-bit oder für 64-bit als Administrator, führen Sie danach für Windows XP die Datei xp.reg und für Windows Vista und Windows 7 die Datei vista.reg aus. Nach einem Neustart sollte alles funktionieren. Vergessen Sie nicht in den Systemeinstellungen die Remotedesktopverbindung zu aktivieren, den Zugriff für Ihren Benutzer zu erlauben und die Firewall entsprechend zu konfigurieren.