Fingerabdruckscanner für Windows 10 Domänenbenutzer aktivieren

Veröffentlicht f.puernerVeröffentlicht in Computer

Unter früheren Betriebssystemen mußte für die Funktionalität eines Fingerabdruckscanners eine Software mitgeliefert und installiert werden. Heute reicht ein (zertifizierter!) Treiber, der Rest ist in Windows 10 eingebaut. Unter Start -> Einstellungen -> Konten -> Anmeldeoptionen befinden die die Einstellungen für den Windows Hello-Fingerabdruck.

Heute hatte ich das Problem, dass diese Einstellungen an einem Laptop nur nach Anmeldung mit einem lokalen Konto angezeigt wurden. Bei Anmeldung mit einem Domänenkonto fehlten die ganzen Windows Hello Einstellungen einfach. Mit Google findet man relativ schnell die Information, dass für die Verwendung eines Fingerabdruckscanners in einer Domäne drei Biometrie Gruppenrichtlinien aktiviert werden müssen:

  • Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Biometrics ->
    • Allow the use of biometrics
    • Allow users to log on using biometrics
    • Allow domain users to log on using biometrics

Nach einem Neustart des Laptops und der Anmeldung mit dem Domänenkonto wurden die Windows Hello Einstellungen dann auch angezeigt. Allerdings deaktiviert (grau) mit dem Hinweis „Diese Option ist zur Zeit nicht verfügbar“. Nach einiger Suche habe ich in einem Blogeintrag den zusätzlichen Hinweis gefunden, dass eine weitere Gruppenrichtlinie aktivert werden muß:

  • Computer Configuration -> Policies -> Administrative Templates -> System -> Logon ->
    • Turn on convenience PIN sign-in

Nach einem weiteren Neustart stand die Einstellung für den Windows Hello-Fingerabdruck dann auch endlich unter dem Domänenkonto zur Verfügung

Datastore-Laufwerkstyp in VMware manuell auf SSD umstellen

Veröffentlicht f.puernerVeröffentlicht in Computer

Wenn man in einem Server zwei SSDs hinter einem RAID-Controller als RAID1 konfiguriert, wird dieses virtuelle Laufwerk von VMware nicht als SSD erkannt. Man muß den Laufwerstyp also manuell umstellen wenn man möchte dass VMware das Laufwerk als SSD behandelt. Ob das bei einem SSD-RAID1 wirklich sinnvoll ist konnte mir noch niemand final erklären, aber bisher habe ich die Umstellung immer vorgenommen.

Es gibt einen VMware-Knowledgebase Artikel zu dem Thema der aber etwas verwirrend formuliert ist. Die in anderen Artikeln angesprochene Umstellung des Laufwerktyps im GUI ist auf jeden Fall im Webinterface von VMware 6.7 nicht vorhanden und wird auch immer nur im Zusammenhang mit der Konfiguration von vSAN genannt. Ich habe mich an einen Artikel gehalten, der die Umstellung via SSH wie folgt erklärt:

Zuerst natürlich SSH am ESX aktivieren und dann per SSH (unter Windows üblicherweise mit Putty) zugreifen und als root anmelden. Anschließend kann man sich mit

esxcli storage core device list

die Liste aller VMware bekannten Laufwerke anzeigen lassen. In dieser Liste sucht man sich dann den Laufwerksnamen des umzustellenden Laufwerks, der in Klammern am Ende der Zeile „Display Name“ angezeigt wird. Anschließend führt man die folgenden beiden Befehle aus:

esxcli storage nmp satp rule add -s VMW_SATP_LOCAL -d xxx.xxxxxxxxxxxxxxxxxx -o enable_ssd
esxcli storage core claiming reclaim -d xxx.xxxxxxxxxxxxxxxxxx

Dabei ist xxx.xxxxxxxxxxxxxxxxxx der mit dem ersten Befehl ermittelte Laufwerksname. Damit ist die Umstellung erledigt.

Man kann sich jetzt durch nochmalige Ausführung des ersten Befehls die Laufwerksliste erneut anzeigen lassen, wobei jetzt bei dem umgestellten Laufwerk die Zeile „Is SDD: true“ angezeigt werden sollte. Aus Sicherheitsgründen sollte man abschließend SSH am ESX wieder deaktivieren.

 

Installiertes Office einem anderen Office 365 Konto zuweisen

Veröffentlicht f.puernerVeröffentlicht in Computer

Mal wieder ein Posting der Sorte „Jedesmal muß ich das wieder suchen…„:

Auf einem Rechner ist Office (aus Office 365) installiert. Dies wird auf der Office 365 Website beim entsprechenden Benutzerkonto auch sauber unter „Office-Installationen“ angezeigt. Jetzt verläßt dieser Mitarbeiter das Unternehmen, weshalb auch sein Office 365 Benutzerkonto gelöscht werden soll. Dadurch würde auch (nach einer Graceperiod von 30 Tagen) das auf dem Rechner installierte Office nicht mehr laufen.

Die Aufgabe war jetzt das auf dem Rechner installierte Office einem anderen/neuem Office 365 Benutzerkonto zuzuweisen. Dies ist zwar durch eine komplette Deinstallation/Neuinstallation von Office auf dem Rechner möglich, aber dies soll wegen des hohen Zeitaufwands vermieden werden.

In einem Blogeintrag habe ich eine gute Beschreibung gefunden wie dies durchzuführen ist:

    • Zuerst auf der Office 365 Website in dem alten Benutzerkonto die Office-Installation „deaktivieren“
    • Dann auf dem Rechner eine Eingabeaufforderung mit Administratorrechten öffnen und in das Office-Installationsverzeichnis wechseln. Aktuell wäre das üblicherweise 
      cd "c:\Program Files (x86)\Microsoft Office\Office16"
    • Dort kann man sich dann mit dem Befehl 
      cscript.exe ospp.vbs /dstatus

      die letzten 5 Zeichen des aktuell verwendeten Office Product Keys anzeigen lassen. Es werden einige Zeilen Text ausgegeben, darunter „Last 5 characters of installed product key: XXXXX

    • Jetzt kann man mit (XXXXX durch die fünf vom ersten Befehl ausgegebenen Buchstaben ersetzen) 
      cscript.exe ospp.vbs /unpkey:XXXXX

      den Product Key von der Office Installation entfernen. Die Eingabeaufforderung kann dann wieder geschlossen werden.

    • Anschließend sollte man zur Sicherheit noch in der Systemsteuerung unter Anmeldeinformationsverwaltung -> Windows-Anmeldeinformationen alle Einträge löschen die mit Office zu tun haben und den Rechner neu starten.
    • Wenn man dann ein Office-Programm (z.B. Word) startet, ist das Verhalten identisch wie nach einer Neuinstallation: Man wird nach einem Office 365 Benutzerkonto gefragt dem dieses Office zugewiesen werden soll.

Lange Verzögerung bei Anmeldung an Windows Server 2012 R2

Veröffentlicht f.puernerVeröffentlicht in Computer

Schon länger ist mir aufgefallen, dass bei der Anmeldung (mit RemoteDesktop) an verschiedenen Windows Server 2012 R2 über eine Minute lang „Willkommen“ auf blauem Hintergrund angezeigt wurde bevor der Desktop zugänglich war. Heute habe ich mir angesehen was die Ursache für diese Verzögerung ist:

Bei jeder dieser Anmeldungen wurden die folgenden drei Events in das Systemprotokoll geschrieben:

  • 7011 – Service Control Manager – Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst UmRdpService erreicht.
  • 7011 – Service Control Manager – Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst ScDeviceEnum erreicht.
  • 7000 – Service Control Manager – Der Dienst „Smartcard-Geräteaufzählungsdienst“ wurde aufgrund folgenden Fehlers nicht gestartet: Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

Die Lösung (oder eher Umgehung) des Problems habe ich in einem Thread auf serverfault.com gefunden: Offensichtlich gibt es ein Problem mit der Smartcard-Authentifizierung wenn man sich via RDP anmeldet. Da wir hier keine Smartcards verwenden war die Lösung einfach:

Die Startart für den Dienst „Smartcard-Geräteaufzählungsdienst“ von „Manuell“ auf „Deaktiviert“ ändern und schon gibt es keine Verzögerung bei der Anmeldung mehr!

Speicherkonfiguration eines PCs einfach ermitteln

Veröffentlicht f.puernerVeröffentlicht in Computer

Ein PC hat laut Windows 8 GB Arbeitsspeicher und laut Handbuch zwei RAM-Steckplätze. Aber was genau steckt jetzt drin? 1*8 GB oder 2*4 GB? Das muß ich wissen, wenn ich eine Speichererweiterung auf 16 GB bestellen möchte.

Eine Lösung ist den PC zu öffnen und reinzuschauen, aber das ist natürlich nicht immer möglich und mit Aufwand verbunden. Oder man installiert ein Tool wie z.B. CPU-Z, aber für so eine schnelle Info extra ein Tool zu installieren ist auch übertrieben.

Auf How-To Geek habe ich eine sehr einfache Lösung gefunden. Einfach den folgenden Befehl in eine Eingabeaufforderung eintippen und schon bekommt man Informationen über die aktuell installierten Arbeitsspeichermodule angezeigt:

wmic MEMORYCHIP get BankLabel,DeviceLocator,Capacity,Tag, Manufacturer

„Downloads“ Ordner wird sehr langsam angezeigt

Veröffentlicht f.puernerVeröffentlicht in Computer

Ein altes Ärgernis, das sich sehr einfach beheben läßt:

Wenn man sich im Windows-Explorer durch die Ordner klickt, werden die in den Ordnern enthaltenen Dateien (insbesondere wenn man eine SDD eingebaut hat) ohne Zeitverzögung angezeigt. Nur nicht im Downloads-Ordner – Hier wächst der Fortschrittsbalken in der Adresszeile endlose Sekunden lang nach rechts, bis dann irgendwann mal die Dateien angezeigt werden.

Um dies zu vermeiden einfach im Windows Explorer in der linken Spalte mit der rechten Maustaste auf „Downloads“ klicken und dann „Eigenschaften“ wählen. Dort dann auf dem Reiter „Anpassen“ bei „Diesen Ordner optimieren für“ auf „Allgemeine Elemente“ umstellen und mit OK bestätigen. Schon werden die Dateien normal schnell angezeigt.

Der Standardwert für den Downloads-Ordner ist „Bilder“, weshalb der Windows Explorer für jede Datei versucht ein Vorschaubild zu erzeugen was natürlich bei Nicht-Bildern schiefgeht und bei einer größeren Anzahl von Dateien entsprechend ewig dauert.

Outlook „Cloud Attachments“ funktionieren nicht mit S/MIME Signaturen!

Veröffentlicht f.puernerVeröffentlicht in Computer

Outlook „Cloud Attachments“ sind etwas hochpraktisches! Man verschickt Dateien nicht als Mailanhang sondern kopiert Sie auf seinen OneDrive und fügt nur einen Link auf die Datei in die E-Mail ein. Damit entfällt erstens die Größenbeschränkung und zweitens bläht man den Posteingang und die Gesendeten Elemente nicht so auf.

Im aktuellen Outlook Office 365 erzeugt man dazu eine neue E-Mail und klickt dann im Ribbon auf „Datei anfügen“.

  • Wenn die anzuhängende Datei bereits auf dem OneDrive liegt wählt man in dem Menü den Befehl „Webspeicherorte durchsuchen“ und im Submenü dann OneDrive bzw. OneDrive for Business. Im folgenden Öffnen-Dialog wählt man dann die anzuhängende Datei. Sofern man die Outlook-Standardeinstellung nicht verändert hat erscheint jetzt die Frage wie man die Datei anfügen möchte: „Link teilen“ oder „Als Kopie anfügen“. Wenn man hier „Link teilen“ wählt wird das Dateisymbol wie gewohnt in die E-Mail eingefügt, allerdings mit einem kleinen Cloudsymbol.
  • Wenn die anzuhängende Datei noch nicht auf dem OneDrive liegt fügt man sie zuerst ganz normal der E-Mail als Anhang hinzu und klickt dann auf den kleinen DropDown-Pfeil neben dem Dateisymbol und wählt in dem Menü zuerst „Hochladen“ und im Submenü dann OneDrive bzw. OneDrive for Business. Damit wird die Datei auf den OneDrive hochgeladen und anschließend dem Dateisymbol ein kleines Cloudsymbol hinzugefügt.

Anschließend sollte man noch mit dem kleinen DropDown-Pfeil neben dem Dateisymbol zuerst auf „Berechtigungen ändern“ klicken und dann im Submenü z.B. „Jeder kann anzeigen“ wählen. So verhindert man, dass die Datei auf dem OneDrive verändert werden kann.

Zumindest in der Theorie funktioniert das alles so – In der Praxis gibt es zwei Probleme die mich heute viele Stunden beschäftigt haben:

  • Auf allen PCs wurde ich in Outlook nie gefragt ob ich einen „Link teilen“ möchte und auch auf den OneDrive hochgeladene lokale Dateien wurden als ganz normale Anhänge zur E-Mail hinzugefügt. In Outlook Online hat dies wie gedacht funktioniert, aber nicht im lokalen Outlook. Nach ewigem Suchen habe ich herausgefunden, dass dies an meinen S/MIME-Einstellungen lag. Ich füge allen meine E-Mails eine elektronische Signatur hinzu, was ganz offensichtlich die Funktionalität der „Cloud Attachments“ verhindert. Kaum hatte ich in der neuen E-Mail (vor dem Hinzufügen der anzuhängenden Datei!) die Signatur deaktiviert, konnte ich wie oben beschrieben mit „Cloud Attachments“ arbeiten. Auch eine mehrstündige Recherche hat nirgends einen Hinweis auf diese Problematik ergeben.
  • Das oben im zweiten Punkt beschriebene nachträgliche Hochladen eines Anhangs auf den OneDrive funktioniert problemlos, allerdings wird bei mir dabei der Dateiname verstümmelt: Mehrere (scheinbar zufällig gewählte) Zeichen werden durch Unterstriche ersetzt. Auch hier tritt das Problem in Outlook Online nicht auf und Google liefert keinerlei Hinweise. Im Moment bleibt (zumindest hier bei mir) wohl nur die anzuhängende Datei zuerst manuell auf den OneDrive zu kopieren und dann wie oben im ersten Punkt beschrieben über „Link teilen“ anzuhängen.

UEFI/SecureBoot nachträglich aktivieren

Veröffentlicht f.puernerVeröffentlicht in Computer

Ich habe vor ein paar Tagen einen Windows 7 Laptop mit dem Media Creation Tool und Windows 10 neu installiert. Dabei habe ich leider vergessen vorher UEFI und SecureBoot zu aktivieren.

Einfach nachträglich im BIOS umstellen geht nicht, denn um mit aktivierem UEFI booten zu können muß die SSD den Partitionsstil „GPT“ verwenden. Tat sie aber nicht, es wurde noch der alte „MBR“ verwendet. In einem Artikel habe ich den Hinweis gefunden, dass es seit Windows 10-1703 (Creators Update) möglich ist den Partitionsstil nachträglich ohne Datenverlust zu konvertieren. Dazu muß man (vorher BitLocker deaktivieren!) den Rechner in der Eingabeaufforderung des Recovery Environments starten, dort zuerst mit

mbr2gpt /validate

überprüfen ob irgendwelche Probleme vorliegen und dann mit

mbr2gpt /convert

in wenigen Sekunden den Partitionsstil ändern. Beim anschließend erforderlichen Neustart sollte man dann gleich auf UEFI und SecureBoot umstellen. Das hat bei mir alles problemlos geklappt. Das ThinkPad hat interessanterweise nach der Umstellung auf UEFI beim Starten nicht mehr den „ThinkPad“- sondern einen „Lenovo“-Splashscreen angezeigt.

Dummerweise wurde mir beim anschließenden Aktivieren von BitLocker der Fehler „The system cannot find the file specified“ angezeigt, was natürlich nicht sehr hilfreich war. In einem TechNet-Thread bin ich auf den Hinweis gestoßen, dass durch die Konvertierung des Partitionsstils der Inhalt der Datei C:\Windows\System32\Recovery\REAgent.xml nicht mehr stimmt. Durch einfaches Umbenennen der Datei mit anschließendem Neustart wird die Datei mit den Standardwerten neu erstellt. Anschließend lies sich dann auch BitLocker ohne weitere Probleme aktivieren.

Beim Vergleichen der neu erstellten REAgent.xml mit der umbenannten alten Version ist mir aufgefallen dass in der neuerstellten Version sämtliche Werte auf Null bzw. leer standen, was mich befürchten lies dass das Recovery Environment dadurch nicht mehr funktionieren würde. Ich habe dann einen Artikel gefunden der sich mit genau dieser Frage beschäftigt und als einfachste Lösung anbietet mit (normal gebootet, nicht im Recovery Environment)

reagentc /disable
reagentc /enable

das Recovery Environment zu deaktivieren/aktivieren, wodurch die entprechenden Pfade und GUIDs in die REAgent.xml geschrieben werden sollten. Das war auch so, jetzt sieht die REAgent.xml beruhigenderweise wieder vernünftig aus.

Bilder in Outlook-Signaturen einbetten nicht verlinken

Veröffentlicht f.puernerVeröffentlicht in Computer

Seit Outlook 2013 (und damit auch beim aktuellen Outlook 365) ist es nicht mehr so einfach wie früher möglich Outlook-Signaturen zentral zu erstellen und zu verteilen.

Die in den üblicherweise manuell erstellten HTML-Dateien verlinkten Bilder (Firmenlogo, Werbebanner, …) werden beim Versenden mit Outlook nicht mehr automatisch „eingebunden“ sondern bleiben „verlinkt“. Da der Empfänger natürlich keinen Zugriff auf den lokalen Server hat, werden die Bilder dort nicht angezeigt!

Die übliche Lösung die Bilder auf einen Webserver zu stellen und von dort zu verlinken hat den großen Nachteil, dass Outlook beim Empfänger diese Bilder aus Datenschutzgründen erst nach einem zusätzlichen Mausklick anzeigt – was natürlich kaum jemand macht.

Die Lösung durch manuelles Anlegen eines Registry-Keys auf jedem Outlook-PC das alte Outlook-Verhalten (einbetten statt verlinken) wiederherzustellen (wie z.B. hier beschrieben) erscheint mir nicht zielführend und vor allem wird diese Lösung sicher nicht dauerhaft zur Verfügung stehen.

Interessanterweise werden Bilder in Signaturen, die mit dem in Outlook eingebauten Signatur-Editor (Datei -> Optionen -> E-Mail -> Signaturen) erstellt werden wie früher eingebunden verschickt und daher bei Empfänger problemlos angezeigt. So erzeugte Signaturen bestehen aus drei Dateien

  • Signaturname.htm
  • Signaturname.rtf
  • Signaturname.txt

und einem Verzeichnis mit einigen weiteren Dateien

  • Signaturname-Dateien

Diese drei Dateien und das Verzeichnis werden in folgendem Verzeichnis erstellt:

%AppData%\Roaming\Microsoft\Signatures

Sobald sich diese Dateien und das Verzeichnis in dem oben erwähnten Verzeichnis „Signatures“ befinden, wird die Signatur in Outlook angezeigt und kann dort verwendet werden. Sie können auch problemlos auf einen anderen PC kopiert werden.

Die so erzeugte Datei Signaturname.htm ist so umfangreich und komplex aufgebaut, dass sie nicht sinnvoll manuell bearbeitet werden kann. Der Weg ist also alle (!) Signaturen lokal mit dem Outlook-Signatureditor zu erstellen und anschließend die so erzeugten Dateien und Verzeichnisse auf eine Serverfreigabe zu verschieben. Von dort können Sie dann z.B. mit einem Logonscript (Beispiel) oder mit einer Gruppenrichtlinie auf die jeweiligen PCs kopiert werden.

Auf dem gleichen Weg sind auch spätere Änderungen an den Signaturen durchzuführen: Die drei Dateien und das Verzeichnis der zu bearbeitenden Signatur in das lokale „Signatures“ Verzeichnis kopieren, die Signatur in Outlook bearbeiten (und sichern) und anschließend die drei Dateien und das Verzeichnis wieder zurück auf die Serverfreigabe verschieben.

Fehlende Geräte in der Netzwerkumgebung von Windows 10

Veröffentlicht f.puernerVeröffentlicht in Computer

Bei PCs mit Windows 10 (1709 und neuer) fällt auf, dass in der Netzwerkumgebung im Windows Explorer nur noch ein geringer Teil der im Netzwerk vorhandenen Geräte (Server, andere PCs, …) angezeigt wird.

Auf älteren PCs im gleichen Netz werden nach wie vor alle Geräte angezeigt, also muß es an der Windows-Version liegen. Nach längerer Suche bin ich auf diesen Microsoft-Artikel gestoßen, in dem das Problem erklärt wird: Seit dem Funktionsupdate 1709 wird das veraltete und unsichere Protokoll SMBv1 nicht mehr standardmäßig installiert. Da die Netzwerkumgebung den Computerbrowser-Dienst nutzt(e) um die Geräte anzuzeigen und dieser auf SMBv1 basiert, funktioniert die Netzwerkumgebung seit dem Funktionsupdate 1709 nur noch eingeschränkt.

In dem Microsoft-Artikel wird von der weiteren Verwendung der Netzwerkumgebung abgeraten. Wenn man sie („in kleinen Netzen“) trotzdem weiter nutzen möchte wird als Lösung empfohlen auf allen PCs die in der Netzwerkumgebung auf anderen PCs angezeigt werden sollen die beiden Dienste „Funktionssuchanbieter-Host“ und „Funktionssuche-Ressourcenveröffentlichung“ zu starten und den Starttyp auf „Automatisch (Verzögerter Start)“ zu stellen.

Das funktioniert auch problemlos, PCs werden sofort in der Netzwerkumgebung angezeigt sobald die beiden Dienste gestartet wurden. Allerdings gehören diese beiden Dienste zur Funktionalität der „Windows-Heimnetzgruppe“, die mit dem Funktionsupdate 1803 ebenfalls abgeschafft wurde. Die beiden Dienste gibt es zwar aktuell (1809) noch, aber es würde mich nicht wundern wenn sie mit einem der nächsten Funktionsupdates ebenfalls verschwinden würden.