Server 2019 – slacc

Windows 11 Remotedesktop RDP Client friert ein / schwarzer Bildschirm

Geschrieben am 29. Januar 2026 Von slacc

Wir hatten bei mehreren Windows 11 Clients nach Update KB5074109 das Problem, dass die Remotedesktop-Verbindung zum Terminalserver (Server 2019) nach wenigen Minuten im Hintergrund / Nichtnutzung eingefroren ist. Auch Update KB5078127 hat dies nicht komplett gelöst – nach 10-15 Minuten ist die RDP Verbindung erneut eingefroren bzw war komplett schwarzer Bildschirm.

Workaround ist in der Verbindungsleiste auf das X zum Schließen zu drücken und erneut zu verbinden – bis zum nächsten Einfrieren.

Geholfen hat in unserem Fall ein Registry Eintrag auf dem Win 11 Client, dass die Nutzung von UDP bei der RDP Verbindung deaktiviert (stattdessen wird TCP verwendet):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client
Rechtsklick -> Neu -> Dword-Wert (32bit) -> fClientDisableUDP -> 1

Danach die Remotedesktopverbindung komplett abmelden und neu verbinden – dann sollte in den Verbindungsdetails „Transportprotokoll: TCP“ stehen und die Verbindung nicht mehr einfrieren.

Bei mehreren betroffenen Clients kann man dies per Gruppenrichtlinie ausrollen oder man setzt auf dem Terminalserver folgenden Registry Eintrag um TCP bei der RDP Verbindung zu erzwingen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Rechtsklick -> Neu -> Dword-Wert (32bit) -> SelectTransport -> 1

Anschließend den Dienst Remotedesktopdienste neu starten, damit die Einstellung übernommen wird.

Linux Apache SSL-Zertifikat über Windows Server 2019 PKI anfordern

Geschrieben am 27. Januar 2026 Von slacc

Intranet Linux Apache Server mit SSL-Verschlüsselung die von Domänen-Client-PCs als „sicher“ eingestuft wird.

Windows Server:
servername.firma.intern als DNS Eintrag auf dem DC hinzufügen:
DNS-Manager
DNS -> DC -> Forward-Lookupzonen -> firma.intern
Rechtsklick -> Neuer Host
Name -> Servername
IP-Adresse -> IP vom Server eintragen (für diese Anleitung verwende ich im folgenden 192.168.1.5 als IP)
-> Host hinzufügen

Linux Server:

mkdir /etc/apache2/ssl
cd /etc/apache2/ssl
openssl genrsa 2048 > server.key

openssl req -new -sha256 -key ./server.key > request.csr 

Country Name (2 letter code) [AU]: DE 
State or Province Name (full name) [Some-State]: Bundesland 
Locality Name (eg, city) []: Stadt 
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Firma 
Organizational Unit Name (eg, section) []: 
Common Name (e.g. server FQDN or YOUR name) []: servername.firma.intern 
Email Address []: email@firma.de 
Please enter the following 'extra' attributes to be sent with your certificate request 
A challenge password []: 
An optional company name []:

cat request.csr in die Zwischenablage kopieren oder per WinSCP runterladen (ggf. vorher nach /home/user kopieren)

Windows Server:
Es muss die Rolle Active Directory-Zertifikatdienste aktiv sein (Zertifizierungsstellen-Webregistrierung wird nicht mehr benötigt).

Powershell (dies aktiviert SAN damit auch Chrome das Zertifikat akzeptiert):

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 certutil -setreg ca\csp\CNGHashAlgorithm SHA256 net stop certsvc net start certsvc

SSL-Zertifikat per Powershell anfordern/generieren:

$caServer = "DC\Firma-DC-CA" # Name der CA im Format: Server\CAName
$certTemplate = "WebServer" # Name des Zertifikat-Templates (muss auf CA freigegeben sein)
$csrPath = "C:\Temp\request.csr" # Pfad zur CSR-Datei vom Linux-Server
$certPathDER = "C:\Temp\server_neu.cer" # Pfad / Dateiname vom neu generierten Zertifikat

$dnsName = "servername.firma.intern"
$ipAddress = "192.168.1.5"
$sanAttributes = "CertificateTemplate:$certTemplate`n" + `
                 "san:dns=$dnsName&dns=$ipAddress&ipaddress=$ipAddress"

certreq.exe -submit -config "$caServer" -attrib "$sanAttributes" "$csrPath" "$certPathDER"

server_neu.csr mit WinSCP auf den Linux Server kopieren nach /home/user

Linux Server:

mv /home/user/server_neu.cer /etc/apache2/ssl/server.cer chown root:root server.cer chmod -R 600 /etc/apache2/ssl

vi /etc/apache2/sites-available/default-ssl.conf
neu einfügen: 
SSLCertificateFile /etc/apache2/ssl/server.cer
SSLCertificateKeyFile /etc/apache2/ssl/server.key

a2enmod ssl 
a2ensite default-ssl
service apache2 reload

Dann sollten Edge und Chrome https://servername.firma.intern/ und https://192.168.1.5/ akzeptieren.

Im Firefox muss man noch eine Einstellung setzen damit Domänen-Zertifikate funktionieren:
about:config
security.enterprise_roots.enabled von false auf true setzen (Rechtsklick -> umschalten)

Windows DHCP Server Warnlevel einstellen

Geschrieben am 12. September 2023 Von slacc

Irgendwann ist man an dem Punkt, wo man jede Stunde zwei Warnungen im Windows Server Ereignis Log erhält und diese Warnungen dann auch Alerts im Monitoring triggern:

Server Event 1020 Warnung Microsoft-Windows-DHCP-Server System 12.09.2023 14:21:04
Der Bereich „192.168.1.0“ ist zu 83 Prozent ausgelastet. Es stehen nur noch 19 IP-Adressen zur Verfügung.

Server Event 1376 Warnung Microsoft-Windows-DHCP-Server System 12.09.2023 14:21:04
Der IP-Adressbereich des Bereichs „192.168.1.0“ ist zu 83 Prozent voll, und es sind nur noch 19 IP-Adressen verfügbar.

Nun kann man anfangen den IP-Bereich zu vergrößern, die Lease-Time zu verkürzen oder bei genügend freien IP-Adressen diese Warnung (vorerst) zu ignorieren. Den Prozentwert für die Schwelle der Warnung kann man mit einem Registry-Eintrag via regedit.exe setzen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcpserver\Parameters\
einen REG_DWORD (32 Bit) Wert erstellen mit der Bezeichnung DhcpAlertPercentage und den Dezimalwert auf den gewünschten Prozentwert der Warnschwelle einstellen, z.B. 85 oder 90. Alternativ kann man wohl auch 101 eintragen um die Meldungen komplett zu deaktivieren.

Anschließend den DHCP-Server Dienst neu starten.