slacc – slacc

Windows 11 Remotedesktop RDP Client friert ein / schwarzer Bildschirm

Geschrieben am 29. Januar 2026 Von slacc

Wir hatten bei mehreren Windows 11 Clients nach Update KB5074109 das Problem, dass die Remotedesktop-Verbindung zum Terminalserver (Server 2019) nach wenigen Minuten im Hintergrund / Nichtnutzung eingefroren ist. Auch Update KB5078127 hat dies nicht komplett gelöst – nach 10-15 Minuten ist die RDP Verbindung erneut eingefroren bzw war komplett schwarzer Bildschirm.

Workaround ist in der Verbindungsleiste auf das X zum Schließen zu drücken und erneut zu verbinden – bis zum nächsten Einfrieren.

Geholfen hat in unserem Fall ein Registry Eintrag auf dem Win 11 Client, dass die Nutzung von UDP bei der RDP Verbindung deaktiviert (stattdessen wird TCP verwendet):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client
Rechtsklick -> Neu -> Dword-Wert (32bit) -> fClientDisableUDP -> 1

Danach die Remotedesktopverbindung komplett abmelden und neu verbinden – dann sollte in den Verbindungsdetails „Transportprotokoll: TCP“ stehen und die Verbindung nicht mehr einfrieren.

Bei mehreren betroffenen Clients kann man dies per Gruppenrichtlinie ausrollen oder man setzt auf dem Terminalserver folgenden Registry Eintrag um TCP bei der RDP Verbindung zu erzwingen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Rechtsklick -> Neu -> Dword-Wert (32bit) -> SelectTransport -> 1

Anschließend den Dienst Remotedesktopdienste neu starten, damit die Einstellung übernommen wird.

Linux Apache SSL-Zertifikat über Windows Server 2019 PKI anfordern

Geschrieben am 27. Januar 2026 Von slacc

Intranet Linux Apache Server mit SSL-Verschlüsselung die von Domänen-Client-PCs als „sicher“ eingestuft wird.

Windows Server:
servername.firma.intern als DNS Eintrag auf dem DC hinzufügen:
DNS-Manager
DNS -> DC -> Forward-Lookupzonen -> firma.intern
Rechtsklick -> Neuer Host
Name -> Servername
IP-Adresse -> IP vom Server eintragen (für diese Anleitung verwende ich im folgenden 192.168.1.5 als IP)
-> Host hinzufügen

Linux Server:

mkdir /etc/apache2/ssl
cd /etc/apache2/ssl
openssl genrsa 2048 > server.key

openssl req -new -sha256 -key ./server.key > request.csr 

Country Name (2 letter code) [AU]: DE 
State or Province Name (full name) [Some-State]: Bundesland 
Locality Name (eg, city) []: Stadt 
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Firma 
Organizational Unit Name (eg, section) []: 
Common Name (e.g. server FQDN or YOUR name) []: servername.firma.intern 
Email Address []: email@firma.de 
Please enter the following 'extra' attributes to be sent with your certificate request 
A challenge password []: 
An optional company name []:

cat request.csr in die Zwischenablage kopieren oder per WinSCP runterladen (ggf. vorher nach /home/user kopieren)

Windows Server:
Es muss die Rolle Active Directory-Zertifikatdienste aktiv sein (Zertifizierungsstellen-Webregistrierung wird nicht mehr benötigt).

Powershell (dies aktiviert SAN damit auch Chrome das Zertifikat akzeptiert):

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 certutil -setreg ca\csp\CNGHashAlgorithm SHA256 net stop certsvc net start certsvc

SSL-Zertifikat per Powershell anfordern/generieren:

$caServer = "DC\Firma-DC-CA" # Name der CA im Format: Server\CAName
$certTemplate = "WebServer" # Name des Zertifikat-Templates (muss auf CA freigegeben sein)
$csrPath = "C:\Temp\request.csr" # Pfad zur CSR-Datei vom Linux-Server
$certPathDER = "C:\Temp\server_neu.cer" # Pfad / Dateiname vom neu generierten Zertifikat

$dnsName = "servername.firma.intern"
$ipAddress = "192.168.1.5"
$sanAttributes = "CertificateTemplate:$certTemplate`n" + `
                 "san:dns=$dnsName&dns=$ipAddress&ipaddress=$ipAddress"

certreq.exe -submit -config "$caServer" -attrib "$sanAttributes" "$csrPath" "$certPathDER"

server_neu.csr mit WinSCP auf den Linux Server kopieren nach /home/user

Linux Server:

mv /home/user/server_neu.cer /etc/apache2/ssl/server.cer chown root:root server.cer chmod -R 600 /etc/apache2/ssl

vi /etc/apache2/sites-available/default-ssl.conf
neu einfügen: 
SSLCertificateFile /etc/apache2/ssl/server.cer
SSLCertificateKeyFile /etc/apache2/ssl/server.key

a2enmod ssl 
a2ensite default-ssl
service apache2 reload

Dann sollten Edge und Chrome https://servername.firma.intern/ und https://192.168.1.5/ akzeptieren.

Im Firefox muss man noch eine Einstellung setzen damit Domänen-Zertifikate funktionieren:
about:config
security.enterprise_roots.enabled von false auf true setzen (Rechtsklick -> umschalten)

Windows 11 keine Taskleiste nach Update

Geschrieben am 9. Dezember 2025 Von slacc

Bei einem Lenovo Laptop war heute das Problem, dass nach dem Win11 25H2 Update die Taskleiste verschwunden war.

Laptop Neustart, im Task-Manager (Strg+Shift+ESC) den Windows-Explorer mit Rechtsklick Neustarten, Beenden oder Neuen Task ausführen (oder Windows+R): explorer.exe hat auch nicht geholfen.

Windows+R cmd.exe
ggf. Eingabeaufforderung als Admin starten: runas /user:Domäne\Administrator cmd.exe
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
und anschließender Neustart brachte die Taskleiste in diesem Fall auch nicht zurück.

Dann habe ich im Task-Manager bei Autostart alles deaktiviert was nicht unbedingt nötig ist, z.B. AI Meeting Manager (Lenovo), Brother iPrint & Scan, Brother Monitor, Epson Scan, Copilot, Folders, Teams, OneDrive etc und nach Neustart war die Taskleiste endlich wieder da :)

Ggf. muss der Task-Manager als Administrator gestartet werden, damit gewisse Software im Autostart deaktiviert werden kann:
Windows+R cmd.exe
runas /user:Domäne\Administrator taskmgr

Weitere Tipps falls die oben genannten Punkte nicht helfen:
Ggf. funktioniert das Start-Menü mit der Windows-Taste, Fenster wechseln kann man mit Alt+Tab

In den Einstellungen (Windows+I) unter Personalisierung / Taskleiste prüfen ob Taskleiste ausblenden aktiv ist oder bei Personalisierung zwischen den Designs wechseln und neustarten

Mit und ohne externe Monitore / Docking Station testen, ggf. ist die Taskleiste nur auf dem Hauptbildschirm aktiv.

Powershell als Admin starten
runas /user:Domäne\Administrator powershell
Get-AppxPackage Microsoft.Windows.ShellExperienceHost | foreach {Add-AppxPackage -register „$($_. InstallLocation)\appxmanifest.xml“ -DisableDevelopmentMode}
und dann:
Get-AppXPackage | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register „$($_. InstallLocation)\AppXManifest.xml“}
anschließend Neustart durchführen

Wenn Applocker im Einsatz ist, kann die Taskleiste unter Umständen verschwinden, wenn das Paket ShellExperienceHost geblockt wird.

SSL / TLS Zertifikat eines Mailservers testen

Geschrieben am 14. Mai 2024 Von slacc

Wenn man das SSL-Zertifikat (oder TLS-Zertifikat) eines Mail-Servers anschauen möchte, kann man dies über openssl unter Linux mit folgenden Befehlen erledigen:

IMAP SSL auf Port 993:

openssl s_client -showcerts -connect mail.example.com:993 -servername mail.example.com

POP3 SSL auf Port 995:

openssl s_client -showcerts -connect mail.example.com:995 -servername mail.example.com

SMTP SSL auf Port 465:

openssl s_client -showcerts -connect mail.example.com:465 -servername mail.example.com

SMTP TLS/STARTTLS auf Port 587:

openssl s_client -starttls smtp -showcerts -connect mail.example.com:587 -servername mail.example.com

Für die Anzeige der Subject Alternative Names (SAN):

echo | openssl s_client -connect mail.example.com:465 -servername mail.example.com | openssl x509 -noout -text | grep DNS:

Windows DHCP Server Warnlevel einstellen

Geschrieben am 12. September 2023 Von slacc

Irgendwann ist man an dem Punkt, wo man jede Stunde zwei Warnungen im Windows Server Ereignis Log erhält und diese Warnungen dann auch Alerts im Monitoring triggern:

Server Event 1020 Warnung Microsoft-Windows-DHCP-Server System 12.09.2023 14:21:04
Der Bereich „192.168.1.0“ ist zu 83 Prozent ausgelastet. Es stehen nur noch 19 IP-Adressen zur Verfügung.

Server Event 1376 Warnung Microsoft-Windows-DHCP-Server System 12.09.2023 14:21:04
Der IP-Adressbereich des Bereichs „192.168.1.0“ ist zu 83 Prozent voll, und es sind nur noch 19 IP-Adressen verfügbar.

Nun kann man anfangen den IP-Bereich zu vergrößern, die Lease-Time zu verkürzen oder bei genügend freien IP-Adressen diese Warnung (vorerst) zu ignorieren. Den Prozentwert für die Schwelle der Warnung kann man mit einem Registry-Eintrag via regedit.exe setzen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcpserver\Parameters\
einen REG_DWORD (32 Bit) Wert erstellen mit der Bezeichnung DhcpAlertPercentage und den Dezimalwert auf den gewünschten Prozentwert der Warnschwelle einstellen, z.B. 85 oder 90. Alternativ kann man wohl auch 101 eintragen um die Meldungen komplett zu deaktivieren.

Anschließend den DHCP-Server Dienst neu starten.

Windows 10 / 11 Installation ohne Internet mit lokalem Konto

Geschrieben am 4. Mai 2023 Von slacc

Bei der Installation von Windows 10 und auch bei Windows 11 wurde der Punkt „Ich habe kein Internet“ entfernt und man wird quasi gezwungen per LAN/WLAN online zu gehen und ein Microsoft-Konto anzulegen um die Installation fortführen zu können.

Man kann an diesem Punkt allerdings Umschalt/Shift + F10 oder bei Laptops ggf. Umschalt/Shift + Fn + F10 drücken um die Eingabeaufforderung zu öffnen und dann folgenden Befehl eingeben:

oobe\bypassnro

Es häufen sich die Berichte, dass dieses Skript aus neueren ISOs entfernt wurde. Als Alternative funktioniert noch den entsprechenden Registry-Eintrag manuell zu setzen:

regedit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE
Neu -> DWORD32 -> BypassNRO -> 1

Weitere Alternative:

start ms-cxh:localonly

Danach erscheint der Punkt „Ich habe kein Internet“ wieder und man kann die Einrichtung mit einem lokalem Benutzerkonto abschließen.

Alternativ soll es wohl auch funktionieren Strg + F4 zu drücken oder online zu gehen und dann bei der Anmeldung eines bestehenden Windows Kontos auf Anmeldeoptionen klicken oder bei der Anmeldung ungültige Nutzerdaten einzutragen – dann erscheint ggf. auch ein Menü-Punkt mit lokalem Benutzerkonto/Offlinekonto fortfahren.

SAP Business One Elster / Datev Update durchführen

Geschrieben am 28. Februar 2023 Von slacc

Wenn ihr die Elster bzw Datev Update Datei von eurem SAP Consultant vorliegen habt, könnt ihr das Update wie folgt vornehmen:

https://IP-des-HANA-Servers:40000/ExtensionManager/ aufrufen

mit dem B1SiteUser einloggen und dann wie folgt Importieren:

Bei Durchsuchen entsprechend die Datev2LW.zip bzw ELSTERLW.zip auswählen (ggf. erst die erhaltene ZIP-Datei entpacken), dann Hochladen und den Upgrade-Hinweis bestätigen.

Anschließend muss der SAP Business One Client einmal als Administrator gestartet werden, damit das Update installiert wird.

checkmk Monitoring: Windows Server Dienste überwachen

Geschrieben am 1. Juni 2022 Von slacc

Das nächste Thema wo ich eine ganze Weil recherchieren musste, ist das überwachen von Windows Server Diensten mit checkmk 2.0 Raw (CRE). Im Gegensatz zu den Windows Ereignislogs, werden die Dienste nicht automatisch von checkmk discovered.

Erst hatte ich aufgrund Jahre alter checkmk Foren Threads versucht die Übermittlung der Dienste in der checkmk Agent Konfiguration zu aktivieren – aber bei den checkmk 2.0 Agents ist dies bereits aktiviert – aber warum tauchen die Dienste dann nicht auf?!

Man muss dazu eine Windows Service Discovery Rule erstellen:

Bei Setup in der Suchleiste Windows service eingeben und dann Windows service discovery öffnen.

Neue Regel erstellen mit Create rule in folder

Bei Description eine Bezeichnung für die Regel eingeben, Haken setzen bei Create check if service is in start mode und im Dropdown Automatic auswählen (zum Überwachen automatisch startender Dienste) und dann bei Explicit hosts einen oder mehrere Hosts wählen, wo ihr die Dienste überwachen wollt (oder frei lassen für alle Hosts).

Änderungen aktivieren.

Beim Host die Service configuration öffnen.

Jetzt werden alle auf dem Host automatisch startenden Dienste angezeigt (wenn nicht: Full Service Scan ausführen).
Mit einem klick auf das grüne + bei den einzelnen Diensten kann man diese dem Monitoring hinzufügen.

Alternativ können mit einem Klick auf Monitor undecided services oder Fix all alle Dienste auf einmal in das Monitoring übernommen werden – aber wollt ihr wirklich von jedem dieser Dienste benachrichtigt werden? :)

Mit einem Klick bei Actions auf Disable undecided services werden alle Dienste deaktiviert, die nicht hinzugefügt wurden.

Zum Schluss wieder die Änderungen aktivieren.

checkmk Monitoring: Windows Server Log Handling und Einträge ignorieren

Geschrieben am 1. Juni 2022 Von slacc

Vor einigen Wochen habe ich ein Monitoring auf Basis von checkmk 2.0 Raw (CRE) auf einer alten Workstation mit Debian aufgesetzt und bin echt begeistert, wie viel Features schon direkt im Standard abgedeckt werden, indem man nur den Agent auf den Servern installiert und die Hosts in checkmk hinzufügt – ohne erst in config-Dateien basteln zu müssen, was überhaupt im Detail überwacht werden soll.

Aber ein Punkt der mir ein paar Fragezeichen beschert hat: wie geht man korrekt mit Windows Ereignisprotokollen in checkmk um?! In den ganzen Tutorials ist nach Installation des checkmk Agents und hinzufügen des Hosts Schluss. Wie man mit den Windows Logs umgehen soll, bleibt offen.

Ich hatte erst gedacht, man kann bei den Logs auch einfach auf den Service klicken und die einzelne Ereignis Meldung damit aknowledgen – aber damit acknowledged man das Gesamte ausgewählte Log – neue/andere (kritische) Logeinträge werden dann nicht mehr angezeigt/benachrichtigt!

Man muss auf die 3 Striche und dann auf Open Log klicken um die Ereignisse anzuzeigen.

Dort sieht man auch weitere Log-Einträge der Stufe CRIT und WARN – checkmk zeigt im Dashboard immer nur die neueste Meldung der höchsten Warnstufe an („Last worst“).
Wenn man sich sicher ist, dass man die Ursache der Meldung behoben hat oder ignorieren kann :), klickt man auf Clear log um diese Log-Einträge aus checkmk zu löschen. Es kann einige Sekunden dauern, bis die Nachricht aus dem Dashboard verschwindet

Neue Ereignisse, die nach dem leeren des Logs auftreten, werden wieder entsprechend im Dashboard als Kritisch/Warnung angezeigt.

Wenn man dies ein paar Tage gemacht und auch ein paar kleinigkeiten am Windows Server umgestellt oder behoben hat, damit die entsprechenden Meldungen nicht mehr jeden Tag nerven, wird man feststellen, dass es ein paar Meldungen gibt, die man getrost ignorieren kann – wie zum Beispiel DCOM oder perflib Meldungen.

Aber wie ignoriert man einzelne Logeinträge in checkmk?!

Dazu gibt man bei Setup in der Suchleiste logfile ein und klickt dann auf Logfile patterns.

Dort klickt man auf Create rule in folder und schon kann man eine Ignore Regel erstellen:

Bei Description eine Kurzbeschreibung eintragen, dann auf Add pattern klicken, State auf IGNORE setzen und bei Pattern (Regex) einen Teil der Meldung reinkopieren, die ihr ignorieren wollt. In meinem Fall: 10016 DCOM Anwendungsspezifisch Lokal Aktivierung
Da dies ein Regex Feld ist: aufpassen mit Sonderzeichen aus der Meldung, teilweise greift die Regel dann nicht. Am besten gleich Regex konform eintragen (ToDo für später :)). Bei Explicit hosts könnte man die Regel noch auf einzelne Hosts eingrenzen (Haken setzen und auswählen).
Dann die Regel mit Save abspeichern.

Oben rechts im Fenster auf die Meldung klicken.

Mit Activate on selected sites wird die Änderung (die neue Regel) dann in checkmk übernommen und bei neuen Meldungen angewendet. Bereits in checkmk vorhandene Meldungen werden dadurch nicht verworfen.

SAP Business One Apple iOS App / Integration Framework mit selbstsigniertem Zertifikat

Geschrieben am 20. April 2022 Von slacc

Auch nach Update auf SAP Business One 10 und Installation des aktuellen Integration Frameworks, generiert dieser wieder Zertifikate die von Apple iOS Geräten (iPhone/iPad) nicht akzeptiert werden. Sie lassen sich zwar installieren, aber weder Safari noch die SAP Business One App, stufen diese Verbindung als sicher ein.

Seit iOS 13 werden nur noch Zertifikate akzeptiert die als alternative Namen (alternate_names) den Servernamen/IP beinhalten.

Dies lässt sich in der openssl.cfg des Integration Frameworks konfigurieren, die openssl.cfg befindet sich unter (als Admin mit Editor/Notepad öffnen):

C:\Program Files\sap\SAP Business One Integration\IntegrationServer\Tomcat\webapps\B1iXcellerator\openssl\bin\

Unter [ v3_ca ] fügt man folgende neue Zeile hinzu:

subjectAltName      = @alternate_names

unten am Ende der openssl.cfg fügt man folgende Definition hinzu (entsprechend euren Servernamen/IP eintragen):

[ alternate_names ]

DNS.1        = servername
IP.1        = 192.168.1.23

Speichern und dann kann im Integration Framework das neue Zertifikat generiert werden.

Dazu https://servername:8443/ im Browser aufrufen, einloggen und dann unter Tools -> Certificate Tool bei Domain Name nochmal den Servernamen eintragen und auf Create Certificate klicken.

Solltet ihr bereits versucht haben ein Zertifikat zu generieren, muss vorher einmal Reset Certificate angeklickt werden, um das bereits vorhandene Zertifikat zu löschen.

Anschließend auf dem Server den Dienst SAP Business One Integration Service neu starten.

Das neu generierte Zertifikat myCA.cer befindet sich im Ordner:

C:\Program Files\sap\SAP Business One Integration\IntegrationServer\Tomcat\webapps\B1iXcellerator\B1iCert\

Diese myCA.cer muss entweder per E-Mail an das iPhone/iPad gesendet werden oder über Safari herunter geladen werden. Ich habe die Datei per FTP auf meinen Webspace geladen und per Safari die URL zum Zertifikat aufgerufen (Firefox funktioniert nicht).

Anschließend muss das Zertifikat bzw Konfigurationsprofil unter Einstellungen -> Allgemein -> VPN & Geräteverwaltung installiert und unter Einstellungen -> Allgemein -> Info -> Zertifikatvertrauenseinstellungen zusätzlich aktiviert werden.

Jetzt sollte der Aufruf von https://servername:8443/ im Safari und somit auch die Verbindung der App ohne Zertifikat-Fehlermeldung funktionieren.

Ggf. noch in der xcellerator.cfg die Optionen xcl.safemode und xcl.http.localOnly von true auf false ändern.

Nächste Seite »