Lösung

Installieren der SharePoint Online Management Shell

Verbindung mit SharePoint Online via PowerShell herstellen. Dazu ein PowerShell-Fenster öffnen und den nachfolgenden Befehl eingeben. Im Anmeldefenster einen Benutzer mit Administrationsrechten verwenden und anmelden

Connect-SPOService

Als nächstes muss die URL des gewünschten OneDrives des gelöschten Benutzers herausgefunden werden.

Generell setzt sich die URL aus dem Azure Tenant Namen und dem Benutzernamen zusammen

https://<tenant name>-my.sharepoint.com/personal/<user principal name> 

Diese URL fügt man nun in den nachfolgenden Befehl ein. zusätzlich wird noch ein Benutzerkonto mit Berechtigungen zum Zugriff auf das OneDrive benötigt. Der vollständigen UPN muss ebenfalls in den Befehl integriert werden. Anschließend den Befehl ausführen

Set-SPOUser -Site URLDERONEDRIVESEITE -IsSiteCollectionAdmin $true -LoginName BENUTZERMITBERECHTIGUNG

Nach absetzen des Befehls ist dem Benutzer der Zugriff auf das OneDrive erteilt und er kann über den vorher herausgesuchten Link darauf zugreifen.

Der Beitrag Auf OneDrive eines gelöschten Benutzers zugreifen erschien zuerst auf Daniel Gutermuth.

Windows Bluescreen (BSOD)

• SYSTEM_SERVICE_EXCEPTION
• wnpdriver.sys

Die Wurzel allen Übels ist (wahrscheinlich) die aktuelle Intel Management Engine Firmware.

Hinweis 1: Das Update der Intel Management Engine ist ein optionales Update und wird nicht automatisch installiert (sofern bereits ein vorheriger Treiber installiert ist). Daher vorerst sicherstellen, dass dieses Update NICHT installiert wird!

Hinweis 2: Auch wenn das Update für die Intel Management Engine ein optionales Update ist, so muss sichergestellt werden, dass in den Windows-Update-Einstellungen das automatische Installieren von Treibern via Windows-Update deaktiviert ist. Ansonsten wird der Treiber für das jedem Neustart und Windows-Update-Suchdurchlauf wieder installiert und der Workaround funktioniert nicht!

Wer das Update bereits installiert hat, dem kann durch den folgenden Workaround geholfen werden (ehe ein Patch veröffentlicht wurde).

Lösung

Update 02.2023

Es gibt nun endlich einen permanenten Fix.

Dazu in das BIOS wechseln und sicherstellen, dass unter Security –> Virtualization der Punkt Enhanced Windows Biometric Security deaktiviert ist.

Danach in Windows booten und über Lenovo System Update nach Treibern suchen und diese installieren ( Intel Management Engine). Anschließend tritt das Problem nicht mehr auf.

Um den Windows WNPDriver.sys Bluescreen zu beheben, müssen alle installierten Intel Management Engine Treiber vollständig aus dem System entfernt werden.

In den Geräte-Manager wechseln und unter Systemgeräte einen Eintrag mit „Management Engine Interface“ finden. Es wird schnell auffallen, da ein gelbes Warndreieck ein Problem signalisiert.

Anschließend unter Ansicht die Filterung „Geräte nach Treiber“ wählen.

In dieser Ansicht werden alle einzelnen Treiber und die dazugehörigen Geräte aufgelistet.

Nun gilt es alle Einträge mit dem Gerät „Intel Management Engine Interface“ herauszusuchen. Je nach installierten Treibern können das mehrere Einträge sein (In diesem Fall waren es zwei Einträge).

Bei jedem einzelnen Eintrag einen Rechtsklick auf den Treiber machen und „Treiber entfernen“ wählen. Beide Optionshaken setzen und mit „Entfernen“ bestätigen.

Anschließend die Ansicht des Geräte-Managers wieder auf „Geräte nach Typ“ umstellen. Hier ist nun ein „neues“ Gerät in der Kategorie „Andere Geräte“ zu finden. Hierbei handelt es sich um die Intel Management Engine. Da die Treiber aber komplett aus Windows entfernt wurden, ist das Gerät für Windows jetzt unbekannt (–> Gut so!). Im letzten Schritt einen Rechtsklick auf den Eintrag „PCI-Kommunikationscontroller“ machen und „Gerät deaktivieren“ wählen.

Damit ist das Problem des WNPDriver.sys Bluescreen vorerst behoben. Natürlich handelt es sich hier nur um einen temporären Workaround bis Intel einen aktualisierten Treiber veröffentlicht hat.

Der Beitrag FIX Windows 10 / 11 Bluescreen (BSOD) WNPDriver.sys auf Lenovo Notebooks erschien zuerst auf Daniel Gutermuth.

Generelle Voraussetzungen:

• Eine existierende AD-Umgebung welche korrekt mittels Azure-AD-Sync nach Azure AD synchronisiert
• Mindestens einen der Domäne beigetretenen Computer
• Regionale Verfügbarkeit des Dienstes
• Sicherheit darüber, dass Azure Files prinzipiell funktioniert. Als Test kann eine Dateifreigabe mittels Speicherkontenschlüssel erstellt und getestet werden. Diese muss funktionieren!

Der Beitrag ist extra so kurz wie möglich gehalten und beschreibt nur die wichtigsten Schritte. Weitere, sowie tiefgründigere Informationen, sind der Microsoft Dokumentation zu entnehmen.

Lösung

Vorhandenes Speicherkonto auswählen oder ein neues erstellen.

Das Archiv „AzureFilesHybrid“ von GitHub herunterladen und entpacken.

Hinweis: Dies und das Nachfolgende auf einem Computer durchführen, welcher der lokalen Domäne beigetreten ist. Außerdem sicherstellen, dass ein AD-Konto verwendet wird, welches mindestens das Recht besitzt einen Dienstbenutzer (service log on account) zu erstellen.

PowerShell-Terminal öffnen und folgende Befehle ausführen und bestätigen:

Install-Module -Name az -AllowClobber -Scope CurrentUser
Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser

In der PowerShell-Sitzung in den Ordner des entpackten „AzureFilesHybrid“ Archives wechseln und folgende Befehle ausführen und bestätigen:

.\CopyToPSPath.ps1
Import-Module -Name AzFilesHybrid -Verbose

Eine Verbindung mit dem Azure-Online-Dienst aufbauen. Dazu mit dem gewünschten Azure-Konto anmelden und sicherstellen, dass das korrekte Abo ausgewählt wurde. Sollte das falsche Abo vorausgewählt sein, kann es mit einem optionalen Befehl gewechselt werden.

Connect-azaccount

Optional bei falschem Abo:
Select-AzSubscription -SubscriptionId "ID"

Erstellung und Zuweisung eines Service-Benutzers zur Authentifizierung des Azure Speicherkontos. Dabei eine OU angeben unter welcher der Benutzer erstellt werden soll.

Hinweis: Darauf achten, dass das Passwort des Dienstbenutzers nicht abläuft! (Sollte „Kennwort läuft nie ab“ nicht verwendet werden)

Join-AzStorageAccountForAuth -ResourceGroupName "Ressourcengruppenname" -Name "Speicherkontoname" -Domain "lokale Domäne" -DomainAccountType ServiceLogonAccount -OrganizationalUnitDistinguishedName "Gewünschte OU"

Anschließend kann der erstellte Benutzer in der angegebenen OU des ADs gefunden werden.

Als nächstes sollte die Konfiguration überprüft werden. Dazu ggf. ein zweites PowerShell-Fenster öffnen und folgende Informationen auslesen lassen und temporär merken.

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot
$domainGuid
$domainName

Die nachfolgenden Befehle in das erste PowerShell-Fenster eingeben und prüfen, ob die angezeigten Informationen passen.

$storageacccount = Get-AzStorageAccount -ResourceGroupName "Ressourcengruppenname" -Name "Speicherkontoname"
$storageacccount | Get-AzStorageAccountKey -ListKerbKey | Format-Table Keyname
# Es sollten Schlüsselnamen angezeigt werden
$storageacccount.AzureFilesIdentityBasedAuth.DirectoryServiceOptions
# Ergebnis sollte "AD" sein
$storageacccount.AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
# Die informationen sollten mit denen aus dem zweiten PowerShell-Fenster übereinstimmen(DomainName und DomainGUID)

Über das Azure-Portal können, in der Konfiguration des Speicherkontos, die Freigabeberechtigungen (via IAM) vorgenommen werden. Folgende Rollen sind hierfür relevant:

Hinweis: Alternativ können Berechtigungen auch direkt über die Freigabe im Windows-Explorer (ACL) vorgenommen werden.

Zuletzt den Azure Fileshare via CMD mounten damit er über den Explorer verwendet werden kann.

net use LAUFWERKBUCHSTABE: \\SPEICHERKONTONAME.file.core.windows.net\FREIGABENAME

Hinweis: Die Eingabeaufforderung muss als „normaler“ Benutzer ausgeführt werden und nicht als Administrator!

Der Beitrag Azure Files – Hybrid AD-Authentifizierung für Azure File Shares erschien zuerst auf Daniel Gutermuth.

Kontakte anlegen 

Outlook starten und in Kontakte wechseln. Sicherstellen, dass die Kontakte des eigenen Benutzerpostfaches ausgewählt wurden. Anschließend sind im rechten Fenster alle bereits hinzugefügten Kontakte zu finden.  

Weitere Kontakte können entweder manuell oder über das Exchange Adressbuch hinzugefügt werden. 

Dazu im Kontakte-Fenster bleiben und im oberen Menüband Start wählen. Anschließend auf Adressbuch klicken und per Mehrfachauswahl (STRG + klick) die Kontakte auswählen, welche hinzugefügt werden sollen. Zuletzt einen Rechtsklick auf einen selektierten Kontakt tätigen und „Zu den Kontakten hinzufügen“ klicken. (Outlook kann für einen Moment nicht reagieren. Daher warten, bis der Vorgang abgeschlossen wurde) 

Danach werden die Kontakte aus dem Adressbuch den Outlook-Kontakten hinzugefügt und sind auch in Teams sichtbar. 

Die Teams-App vorsorglich einmal vollständig beenden (über die Taskleiste) und neu starten. 

Der Beitrag Microsoft Teams – Kontakte aus Outlook synchronisieren erschien zuerst auf Daniel Gutermuth.

Lösung

Im Endpoint Protection Manager Portal anmelden und ein neues Konfigurationsprofil erstellen.

• Platform: Windows 10 and later
• Profile type: Templates
• Template name: Custom

Unter Basics einen Namen vergeben.

Im Reiter Configuration settings auf Add klicken und die untenstehenden OMA-URI Daten eintragen. Mit save schließen.

• Name: Beliebig
• Description: Beliebig (optional)
• OMA-URI: ./Device/Vendor/MSFT/Policy/Config/InternetExplorer/DisableInternetExplorerApp
• Data Type: String
• Value: <enabled/><data id=“NotifyDisableIEOptions“ value=“2″/>

Weiter mit Next.

Nun der Konfiguration eine Gruppe zuweisen für welche diese Einstellung gelten soll.

Weiter mit Next.

Unter Applicability Rules können optional Filter gesetzt werden. Dadurch kann die Zuweisung noch genauer (auf Betriebssystemebene) gesteuert werden.

Zum Abschluss des Assistenten alle Eingaben überprüfen und mit Create bestätigen.

Anschließend wird die Richtlinie mit den zuvor zugewiesenen Gruppen synchronisiert und dort aktiv.

Versuchen Benutzer den Internet Explorer zu starten, werden sie mit einer Fehlermeldung begrüßt und an der Ausführung gehindert.

Der Beitrag Internet Explorer via Intune (Endpoint Protection Manager) deaktivieren erschien zuerst auf Daniel Gutermuth.

Dieser Beitrag beschäftigt sich bei Zeitproblemen von Windows Computern im Zusammenspiel mit VMware.

„Quick and Dirty“ – Im Notfall

Ist es sehr dringend und zeitkritisch, kann diese Lösung verwendet werden, bis eine vollständige Problemanalyse und Problembehebung durchgeführt wurde.

Dazu auf die Domänencontroller (bzw. gewünschten Server) aufschalten, die Eingabeaufforderung als Administrator starten und folgenden Befehl eingeben:

time XX:XX:XX AM

„XX XX XX“ durch die gewünschte Uhrzeit ersetzen und AM oder PM entsprechend anhängen.

Hinweis: Dies ist keine permanente Lösung bei Zeitproblemen. Nach einem Neustart können die gemachten Einstellungen ggf. wieder verworfen sein!

Lösung

VMware Zeitkonfiguration

Sicherstellen, dass in VMware (vCenter oder ESXI) die richtige Uhrzeit entweder manuell oder via NTP-Server konfiguriert ist. Ist kein NTP-Server angegeben, bezieht sich die manuelle Zeit im Standard auf die CMOS-Clock des jeweiligen Hosts. Die Uhrzeitkonfiguration des Hosts in VMware entspricht wiederum der CMOS-Clock der VMs.

Dazu via vCenter den entsprechenden Host auswählen und über den Reiter Konfiguration auf den Punkt System wechseln und dort Uhrzeitkonfiguration klicken. Ebenso prüfen, ob das vCenter an sich mit der korrekten Uhrzeit konfiguriert wurde (vCenter Server Appliance Management).

Alle VMs sollten, wenn möglich, mit der aktuellsten VMware-Tools Version ausgestattet sein.

Gruppenrichtlinie für die Domänencontroller erstellen und zuweisen

Bei aktivierter GPO wird die Zeit extern standardmäßig von time.windows.com aus dem Internet synchronisiert. Natürlich ist es auch möglich die Zeit ausschließlich lokal vom Computer zu beziehen (CMOS). Eine andere Möglichkeit wäre die Firewall oder das Internet-Gateway als Synchronisationspunkt zu verwenden. Das ist vor allem für diejenigen Interessant, die dem Computer keine Verbindung in das Internet gestatten wollen.

Hinweis: Computer innerhalb einer Domäne synchronisieren sich automatisch mit dem Zeitgeber (DC). Eine separate Gruppenrichtlinie ist nicht nötig, kann bei Bedarf aber erstellt und zugewiesen werden.

Windows Server Konfiguration

Anschließend auf die Domänencontroller aufschalten und folgende Befehle nacheinander als Administrator in die Eingabeaufforderung eingeben:

gpupdate /force
w32tm /config /reliable:yes
net stop w32time && net start w32time
w32tm /resync /rediscover

Nach kurzer Synchronisationzeit kann geprüft werden, ob die Uhrzeit des Servers mit den eingestellten Parametern übereinstimmt. Als Hilfe kann eine Website wie https://www.uhrzeit.org/atomuhr.php als Abgleich verwendet werden.

Hinweis: Durch die definierte Karenz in der Gruppenrichtlinie kann die Tatsächliche Uhrzeit von der Uhrzeit innerhalb des Netzwerkes ein paar Sekunden abweichen

Client-Systeme aktualisieren sich automatisch im konfiguriertem Intervall.

Manuell kann dieser Vorgang über die Eingabeaufforderung wie folgt angestoßen werden :

w32tm /resync

Der Beitrag Zeitprobleme in Windows & VMware Umgebungen erschien zuerst auf Daniel Gutermuth.

Um einen generellen Fehler auszuschließen, empfiehlt sich zuerst eine Überprüfung via WebApp.

• Office 365: https://outlook.office.com/mail/

Sollte hier alles problemlos funktionieren, liegt der Fehler höchstwahrscheinlich lokal.

Die hier gezeigt Lösung bezieht sich auf Office 365, ist aber deckungsgleich mit Office 2021, 2019 oder 2016. Alles auf eigene Gefahr!

Lösung

Dazu Outlook starten und Datei ➔ Informationen ➔ Kontoeinstellungen ➔ Kontoeinstellungen.. wählen.

Im Reiter E-Mail das entsprechende Postfach auswählen und Ändern klicken.

Weitere Einstellungen wählen.

Im Reiter Erweitert den Optionspunkt „Exchange-Cache-Modus verwenden“ aktivieren und mit OK alles bestätigen.

Hinweis: Sollte der Unterpunkt „Freigegebene Ordner herunterladen“ aktiv ein, diesen deaktivieren.

Anschließend muss Outlook neu gestartet werden.

Nach dem Neustart die identischen Schritte wie zuvor vornehmen, bis zum letzten Punkt. Hier muss nun der Unterpunkt „Freigegebene Ordner herunterladen“ aktiviert werden.

Outlook ein letztes Mal neu starten.

Hinweis: Dauert der Neustart von Outlook länger als zwei Minuten, kann Outlook einfach geschlossen und nochmals gestartet werden.

Sollte der Fehler weiter bestehen, empfiehlt es sich das Outlook-Profil neu zu erstellen.

Der Beitrag Outlook – Freigegebenes Postfach zeigt neuen Ordner oder verschobenes Element nicht an erschien zuerst auf Daniel Gutermuth.

Die Konfiguration ist in Windows Server oder Windows 10 / Windows 11 möglich.

Hinweis: Auch wenn Schattenkopien eine super Sache sind, ersetzen sie keine klassischen Backups! Alles auf eigene Gefahr!

Lösung

Auf das entsprechende System aufschalten, einen Rechtsklick auf das zu konfigurierende Laufwerk machen und den Punkt Schattenkopien konfigurieren wählen.

Hinweis: Schattenkopien könne nicht auf Ordnerebene konfiguriert werden, sondern immer nur auf Volumen/Laufwerk-Ebene! Weitere Informationen beim Punkt Ausnahmen.

Es öffnet sich nun das Menu zur Konfiguration der Schattenkopien.

Das Volumen auswählen und auf Einstellungen klicken. Dort muss zunächst das Speicherlimit gesetzt werden. Die Vorauswahl kann ggf. beibehalten werden. Kein Limit zu setzten ist nicht empfehlenswert!

Zuletzt sollte noch ein benutzerdefinierter Zeitplan erstellt werden, welcher die eigenen Anforderungen erfüllt.

Abschließend die Schattenkopien mit einem Klick auf Aktivieren starten.

Damit sind die Schattenkopien auch schon konfiguriert und einsatzbereit.

Möchte man nicht alle Dateien eines Laufwerkes mit Schattenkopien verwenden, so können Ausnahmen gesetzt werden. Diese Daten werden anschließend nicht von den Schattenkopien berücksichtigt.

Dazu Regedit starten und in folgenden Pfad wechseln:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot

Einen Rechtklick auf FilesNotToSnapshot tätigen und unter New den Punkt String Value wählen.

Dem String einen Namen vergeben und den Pfad zur auszuschließenden Datei mit der entsprechenden Syntax eintragen. Mit OK bestätigen.

Syntax

Mit der Wildcard * und dem Parameter /s (rekursiv) können Ordner und Dateien beliebig ausgeschlossen werden.

Beispiele:

Alle Dateien im Ordner, rekursiv:

 D:\div\*.* /s

Bestimmte Dateitypen in einem Ordner:

 D:\div\*.txt

Dateien mit bestimmten Namensmustern in einem Ordner, rekursiv :

 D:\div\datei*.* /s

Über die Variable $UserProfile$ oder $AllVolumes$  kann zusätzlich auf alle Userprofile und Volumes zugegriffen und Ausschlüsse gesetzt werden.

$UserProfile$\Downloads\*.* /s

$AllVolumes$\Temp\*.* /s

Damit wurden Schattenkopien unter Windows Server konfiguriert und Ausnahmen dazu gesetzt.

Der Beitrag Windows Server – Schattenkopien konfigurieren und Ausnahmen definieren erschien zuerst auf Daniel Gutermuth.

Hier eine andere Möglichkeit zur Prüfung.

Hinweis: Diese Methode soll als schneller Check auf Log4j dienen, eignet sich aber nicht für embedded Log4j.

Lösung

In Windows die Eingabeaufforderung oder auf Linux ein Terminal öffnen und den entsprechenden Befehl einfügen.

Hinweis: Der Laufwerkbuchstabe kann angepasst werden.

dir c:\*log4j*.jar /s

find / -iname "*log4j*.jar"

Sollte der Befehl Log4j Dateien finden, kann über deren Dateinamen die Bibliothekversion abgeleitet werden.

Im unteren Beispiel wäre log4j-1.2.12.jar die Version 1.2.12 und damit nicht von der Sicherheitslücke CVE-2021-44228.

Hinweis: Um ganz sicher zu gehen, sollte die Version im Manifest der Datei geprüft werden.

Der Beitrag Windows und Linux Systeme auf Log4j Bibliothek überprüfen erschien zuerst auf Daniel Gutermuth.

Als Beispiel dient die SAP Logon GUI 7.20. Andere Version sind aber nahezu deckungsgleich.

Lösung

Zuerst den SAP GUI Installer starten und durchlaufen. Sollte es um eine standardmäßige Installation handeln, können die Default-Einstellungen meistens beibehalten werden.

Sobald die Installation abgeschlossen wurde, den Installer mit Fertig beenden.

Anschließend die SAP Logon GUI initial starten. Am einfachsten geht das über die Windows-Suche mit dem Suchbegriff SAP.

In der SAP GUI auf den Punkt Verbindungen klicken und das Programm danach wieder schließen.

Im nächsten Schritt werden bestehende SAP Konfigurationen / Verbindungen importiert.

Dazu in den Pfad C:\Users\BENUTZERNAME\AppData\Roaming\SAP\Common\ wechseln und die vorhandenen Daten daraus löschen.

Hinweis: BENUTZERNAME muss mit dem eigenen Benutzernamen ersetzt werden!

Anschließend die Daten der zu importierenden SAP Konfigurationen / Verbindungen dort hinein kopieren.

Hinweis: Die bestehende Konfiguration muss natürlich bereits vorhanden sein (z. B. aus einem Backup oder einer anderen SAP Logon GUI).

Am Ende sollte es ungefähr wie folgt aussehen:

Nun kann die SAP Logon GUI wieder gestartet werden und sollte unter Verbindungen die importierten Verbindungen anzeigen.

Damit ist die SAP Logon GUI Installation und Konfiguration abgeschlossen.

Der Beitrag SAP Logon GUI – Installation und Konfiguration erschien zuerst auf Daniel Gutermuth.