Hallo Zusammen,

ich habe aktuell das "Problem" das mich gerade wurmt:

Ich habe eine Infrastruktur aufgebaut, die aus 6 DCs besteht - 3 Root DCs und 3 Child DCs. 

Egal, ob ich aus der Root Domain heraus, oder der Child Domain heraus Benutzer anlege, wenn ich die Benutzer in der Child Domäne (die produktive Domäne) zur Gruppe der Domänen Admins hinzufüge (in der ich ebenfalls Mitglied bin), sehen diese neuen User nicht alles, was ich mit meinem User sehen kann, obwohl die Rechte identisch sind!

So können diese Benutzer zwar OUs erstellen, diese aber nicht wieder entfernen, da sie in den Eigenschaften der OU, den Haken für versehentliches Löschen nicht entfernen können, weil sie den Reiter dafür überhaupt nicht sehen.

Ich habe bereits die Berechtigungen geprüft - diese sind mit meinen identisch. Ich habe ebenfalls geprüft, ob vllt. eine GPO oder GPP dazwischenfunkt - dies ist ebenfalls nicht der Fall.

Woran kann es liegen, dass Domänen Admins offensichtlich unterschiedliche Berechtigungen haben, ohne dass dies explizit eingestellt wurde?

Besten Gruß,

Fred

"Der Benutzername oder das Kennwort ist falsch. Versuchen Sie es erneut."

Wir haben eine neue Serverumgebung mit MSServer2012R2 aufgesetzt. Die Domäne haben wir aus einer SBServer2003R2 migriert. Desweiteren wird der neue DC mit einem zweiten DC repliziert. Eigentlich funkitoniert alles sehr gut.! ? ABER !!! Seit einigen Tagen wird immer mal wieder die Anmeldung per RDP auf dem DC als Domänen Administrator nicht zugelassen. Zuerst war die Befürchtung, das es ein Problem mit IPv6 ist und wir hatten nochmal kontrolliert das alle IPv6 Adapter ausgeschaltet sind. Die Verbidnungen laufen alles über IPv4. Nach einem Neustart ist wieder alles in Ordnung. In den Ereignissen wird nichts konstruktives angezeigt.

Auch mit einem anderen User funktioniert die Anmeldung nicht. Es läßt vermuten, das zu diesem Zeitpunkt die Berechtigungen im AD nicht gelesen werden können!?

Kennt jemand das Problem und wie kann die Lösung aussehen?

Hallo zusammen,

ist es mit CSVDE oder einem anderem Tool möglich in diversen Subdomains nach Usernamen zu suchen und bestimmte Attributen dazu zu exportieren?

Ich habe eine Liste mit 500 Usern welche Mitglied in einem von 10 Subdomains sind. Ich brauche zu diesen Usern bestimmte Attribute. Da ich die nötigen Informationen nicht bei allen Usern einzeln raussuchen möchte, dachte ich an einem Script, welche mittels einer Schleife die einzelnen User bei den Subdomains abfrägt und die nötigen Informationen dazu in eine Datei ablegt.

Ich bedanke mich im Voraus für eure Hilfe.

Gruß, Enis

Hallo zusammen,

ich habe hier ein merkwürdiges Problem mit meinem Radius-Server + WLAN-Authentifizierung. Im Netz unserer Hauptniederlassung funktioniert alles, auch aus einem anderen per VPN-Tunnel angebundenem Office kann der Accesspoint  den Radius-Server kontaktieren und den User am WLAN authentifizieren. Aus einem anderen Branch Office jedoch nicht, obwohl beide Firewalls/Accesspoints identisch konfiguriert sind. Die VPN-Tunnel sind über Watchguards abgebildet, zwischen den Tunnelendpunkten ist alles an Traffic erlaubt und ich sehe auch keine denys.

Network Policy Server denied access to a user.

 

Contact the Network Policy Server administrator for more information.

 

User:

Security ID: domain\NPC047$

Account Name: host/NPC047.domainc.de

Account Domain: domain

Fully Qualified Account Name:  domain\NPC047$

 

Client Machine:

Security ID: NULL SID

Account Name: -

Fully Qualified Account Name: -

OS-Version: -

Called Station Identifier: 00-90-7F-A1-1E-86:domain

Calling Station Identifier: 00-24-D6-24-31-CA

 

NAS:

NAS IPv4 Address: -

NAS IPv6 Address: -

NAS Identifier: -

NAS Port-Type: Wireless - IEEE 802.11

NAS Port: 1

RADIUS Client:

Client Friendly Name: WLAN Berlin

Client IP Address: 192.168.52.1

 

Authentication Details:

Connection Request Policy Name: Secure WLAN

Network Policy Name: -

Authentication Provider: Windows

Authentication Server: dc.domain.de

Authentication Type: EAP

EAP Type: -

Account Session Identifier: -

Logging Results: Accounting information was written to the local log file.

Reason Code: 48

Reason: The connection request did not match any configured network policy.

Es gibt aber natürlich eine Network Policy, in der nur geprüft wird, ob der User in einer bestimmten Gruppe ist. Aber diese Policy wird hier scheinbar gar nicht benutzt. In der Connection policy steht habe ich eingetragen: NAS Port Type Ethernet or Wireless 

Der einzige Unterschied zwischen den Standorten: bei dem einen (funktionierenden) Standort ist eine Fritzbox im "DMZ-Modus" vor der Hardware-Firewall mit einem Transfernetz, das alles zur Firewall weiterleitet, bei dem anderen Standort ist es eine Vodafone Easybox, ebenfalls mit DMZ.

Ich habe natürlich zunächst diese Box im Auge gehabt, aber mit einem Radius-Test-Tool (NTradping) kann ich mich problemlos authentifizieren ... also sollte es eigentlich nicht an geblockten Paketen etc. liegen. 

Was ich seltsam finde - der Eintrag User:Security ID: domain\NPC047$ ... hier wird kein Username eingetragen, sondern der Hostname des Notebooks. 

Danke für euren Input :)

Marcel

Hallo zusammen

Wir sind daran unser AD zu redesignen und sind daran ein Namenskonvention für User und Gruppen Objekte zu definieren. Geplant ist in ferner Zukunft auch die Integration von UNIX oder anderen Systemen in AD.

UNIX hat leider einpaar unschöne Restruktionen wie z.B. eine Gruppe oder User darf nur 8 Stellen "lang" sein und keine Bindestriche "-" haben. Unsere Gruppennamen haben aber z.T. längere Namen und Bindestriche. Bei x 1000 Gruppen ist dies für die Übersicht sowie für Auswertungen etwas einfacher.

Nun sind wir daran eine Namenskonvention zu finden, was sich als nicht ganz einfach herausstellt.

Hat jemand Erfahrung damit? Gibt es eine mögliche Lösung? Gibt es evlt. eine Lösung mit "Aliase" zu erabeiten?

Beispiel einer globalen Gruppe im Windows Umfeld: G-ABC-XYZ-Applikationsname
UNIX Namen (Alias): ABCXYZ (ohne Bindestrich und max. 8 Stellen).

Danke für Euren Input, Dani

Hallo,

auf unseren beiden DC's ist das Computer Zertifikat abgelaufen und bevor ich das Problem "verschlimmbesser" brauche ich bitte eure Unterstützung.

Kurz zur Vorgeschichte/Konfiguration:

• 2x DC + eigener Server mit AD CS
• die beider DC's haben von dieser CA Zertifikate aus der "DomainController" Vorlage

Da die CA nicht so Optimal konfiguriert war und ersetzt werden sollte habe ich eine neue Zweistufige (offline+ AD CA) aufgesetzt.
Auf der Alten CA habe ich alle Vorlagen deaktiviert damit diese keine neuen Zertifikate mehr ausstellt und nur noch die CRL aktualisiert bis das letzte Zertifikat ausläuft um dann abgeschaltet werden kann.

Auf der neunen CA habe ich nur die Vorlagen aktiviert die ich gebraucht habe (Exchange, Websrv, WLAN).

Nun zum Problem, aufgefallen ist das ganze nur weil wir uns am VMWare V-Center nicht mit AD Cred. anmelden können, der Rest funktioniert (noch).
Bei der Fehlersuche habe ich im eventlog des DC alle par sec. Schannel Fehler 46 Event-ID 36887 gesehen. (TLS1_ALERT_CERTIFICATE_UNKNOWN)

Frage(n):

- Wofür wird das DC Zertifikat verwendet?
- kann ich einfach ein neues über die neue CA erstellen und das alte löschen?
- das alte Zertifikat hat sich früher wohl über die alte CA automatisch verlängert, das geht natürlich durch die fehlende Vorlage nicht mehr, jedoch sehe ich keine Fehlgeschlagene Anforderung oder so was.
- wird das neue Zertifikat wieder automatisch verlängert?

Und wenn wir schon dabei sind, sollte ich noch andere Vorlagen auf der neuen CA aktivieren damit die AD weiter rund läuft?

sorry das ist mal wieder viel Text geworden :/

Hallo,

ich glaube ich bin etwas falsch vorgegangen ...

Ich wollte den SBS2011 durch einen 2012R2 ablösen. Nachdem ich den 2012R2 eingebunden habe, habe ich die FSMO Rollen übertragen und den SBS2011 anschließend zurückgestuft (dcpromo /forceremoval)

Nun komme ich beim neuen Server nicht mehr aufs AD. Hab ich was vergessen?

Im Ereignisprotokoll des 2012R2 Servers ist folgender Eintrag:

Für die Domäne ist kein Domänencontroller verfügbar.

Vielen Dank!

Hi,

unsere Domäne ist schon über 10 Jahre alt und nun würde mich mal interessieren,
ob es Gründe geben kann, diese komplett neu aufzusetzen
oder welche Vorteile hätte eine frische gegenüber einer alten Domäne.

Vorweg: das AD läuft.

Ich wünsche mir nur manchmal, alles neu zu machen, da gewachsene Strukturen und Änderungen in der Firmenstruktur sowie verschiedene Vorstellungen von Administratoren über die Jahre hinweg natürlich Spuren hinterlassen haben.

Momentan bin ich noch der Überzeugung, lieber die alte Domäne gründlichst aufzuräumen und umzukonfigurieren als mit einer neuen Domäne im Zweifelsfall den gesamten Betrieb lahm zu legen.

Ich freue mich über Eure Erfahrung.

greetz MM

Hallo,

ich glaube ich bin etwas falsch vorgegangen ...

Ich wollte den SBS2011 durch einen 2012R2 ablösen. Nachdem ich den 2012R2 eingebunden habe, habe ich die FSMO Rollen übertragen und den SBS2011 anschließend zurückgestuft (dcpromo /forceremoval)

Nun komme ich beim neuen Server nicht mehr aufs AD. Hab ich was vergessen?

Im Ereignisprotokoll des 2012R2 Servers ist folgender Eintrag:

Für die Domäne ist kein Domänencontroller verfügbar.

Vielen Dank!

Kurze Frage:

Wie heißt das Attribut der "Beschreibung" eines Computerkontos? Benötigt wird dies im Rahmen der Systemermittlung des SCCM und der Anzeige der Geräte im Bestand.

Danke für eure Unterstützung...

Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

Hallo,

folgendes Szenario.

Windows 7 x 64 bit Service Pack 1 Laptop. Das Laptop meldet sich über einen Domänenaccount am Laptop an,

dies dauert ca. 60 Sekunden. Wenn man sich auf dem Laptop über einen lokal angelegt Useraccount anmeldet,

dauert ca. 10 Sekunden.

Kann ich auf dem Laptop einstellen, dass der Domänenuser sich genauso schnell anmeldet oder wenigstens schneller

als bisher. Das Problem ist man muss sich sehr oft ab- und neuanmelden auf diesem Laptop.

Danke für Eure Antworten schon im voraus.

Mit freundlichen Grüßen

Türkay Caglayan

Hallo zusammen,

wie kann man beim Login die beiden Klicks umgehen (erst Auswahl und dann Fingerprint), so dass als 1. Option gleich der Fingerprint zur Verfügung steht. Und zwar so, dass man keine Maus in die Hand nehmen muss.

Ich möchte bei der Windows-eigenen Fingerprintanmeldung bleiben, denn mit der Dell-Lösung hatte ich immer mal Schwierigkeiten.

Dell Latitude E6520
W 8.11, 64 Bit

Besten Dank schon mal!

MfG
Willy

Im Netzwerk kann ich mich per Kerberos an einen Server anmelden. Sehr gut... aber, das geht nur, wenn ich den DC erreichen kann. Wenn ich jetzt aber z.B. mich auf einen Server mit Dienst XY verbinde und der eine Impersonation durchführen will, ich mich aber nicht per Kerberos an ihm anmelden kann, dann muss ich 'ne andere Lösung haben.

Die Frage ist jetzt welche. NTLM soll ja nicht sicher sein... also dachten wir, zuerst verschlüsseln per RSA/DH und so und dann NTLM nutzen... oder wir senden über diese verschlüsselte Verbindung dann ... was? Klartext? Oder ich nutze den Schannel oder den Digest oder Negotiate oder... CredSSP ?? ... was ist die beste Idee um einen "security context" zu haben auf dem Server? ... kann ich das überhaupt ohne eine AcceptSecurityContext Funktion erreichen um eine Impersonation zu machen? (LogonUser ginge noch, erzeugt aber glaub ich andere security context Token...) ...

Gibt's da Erfahrungswerte? Was ist am besten?

danke...

Rudolf

Hallo Ihr.

Ich hätte mal ein paar Verständnis Fragen an einen DNS Spezialisten.

Ich habe folgendes Scenario :

2 Domain Controller Read/Write
2 Domain Controller Read/Only

Alle Server sind auch DNS Server.

Die Konfiguration der DC´s ist unten zu sehen.

Controller 1
IP : 192.168.200.3
Standort : Hauptstandort

Controller 2
IP : 192.168.200.4
Standort : Haupstandort

Controller 3
IP : 10.16.16.1
Standort : Haupstandort (Anderer Sicherheitsbereich (VLAN))

Contoller 4
IP : 10.8.2.1
Standort : Aussen Standort verbunden über ein MPLS Netzwerk.

Eigentlich suche ich nach einem Best Practice zum DNS.

Die Konfiguration des DNS an den DC´s funktioniert so weit, ich bin mir nur
nicht sicher ob es die beste Lösung darstellt.

Vieleicht kann mir jemand ein paar Ideen dazu liefern, bzw.

würdet Ihr die DNS Einträge auch so konfigurieren?

Wenn mehr Details gebraucht werden kann ich die gern liefern.

Danke schon mal im voraus.

Hallo zusammen,

eine AD Domäne (Windows Server 2008/2012) wird von 2 auf 3 Standorte erweitert.

Also bisher Standort A und B und neu jetzt Standort C.

Auf Grund der Netzwerkinfrastruktur soll der neue Standort C sich mit A verbinden.

Standort eingerichtet und einen DC installiert. Beim Heraufstufen zum DC habe ich angegeben, dass sich der neue Standort C sich mit einem DC in Standort A synchronisieren soll.

Was macht der aber: Es erstellt einen Inter-Site-Replikatinoseintrag, der von Standort C nach B zeigt. Das geht aber nicht, weil hier keine Verbindung existiert. Also: Verbidnung gelöst. Manuellen eintrag von C nach A erzeugt. repadmin /replstatus und alles ist gut. Aber repamin /kcc und das Ding ist wieder da (oder halt nach 15 Minuten von alleine).

a) wieso macht er das? Kann ich das beeinflussen?!

b) ich habe gelesen: repadmin /siteoptions /site:<my site> +IS_AUTO_TOPOLOGY_DISABLED

Aber es kommt nur "LDAP-Fehler 81 (Server heruntergefahren) Win32 Err 58."

Help is needed...

Greetings/Grüße Gernot

Hallo zusammen,

wir haben verschiedene Sicherheitsgruppen. Wir wollen diese Sicherheitsgruppen nutzen für das Logon-Script.

Das heißt wenn ein User Mitglied der Sicherheitsgruppe "Admisn" ist dann soll bei der Anmeldung jedes Users in der Gruppe "Admin" das Anmeldescript "Admin.bat" gestartet werde. Wenn der User Mitglied in der Sicherheitsgruppe"HR" ist dann soll das LogonScript "HR.bat" bei der Anmeldung ausgeführt werden.

Geht sowas und wenn ja wie?

Vielen Dank für Eure Hilfe im Voraus.

Viele Grüße

Tom

Hallo,

ich stelle diese frage hier ins Forum mit dem glauben das das schon jemand so probiert hat....

Zu meinem Vorhaben:

Wir haben 3 DC (DC4, DC5, DC6) mit W2K8 R2 Sp1, Funktionsebene 2008

DC4 hat die FSMO Rollen und dient als DHCP Server, DNS Zonen Master, KMS Server für Windows Lizenzen und KMS für Office 2013 Lizenzen und er dient als

Lizenzserver für den TS.

DC5 macht auch DHCP und DNS, er vergibt aber andere Ranges

DC6 ist in unserer Site in Essen und macht DNS und DHCP für die Range vor Ort

Jetzt hab ich folgendes vor:

Ich habe einen DC 2012 (kein R2) als DC1 hinzugefügt.

RDP Lizenzmanager installiert und aktiviert (erledigt, läuft nicht mehr auf DC4)

KMS Server umziehen auf DC1

FSMO Rollen übertragen auf DC1

DC1 zum Zonenmaster machen

DHCP (muss von DC4 und DC5 auf einem dedizierten 2012 DHCP Server zusammengefasst werden)

Wenn das getan ist möchte ich den DC4 runterstufen und aus der Domäne entfernen.

Jetzt kommt der Teil wo ich mir nicht so sicher bin:

Ich möchte dann wieder einen Domänencontroller unter Server 2012 mit dem selben Namen und der gleichen IP in die Domäne aufnehmen.

Also sprich DC4 ist wieder da, nur als 2012 Server, dann würde ich die FSMO Rollen wieder übertragen, falls nötig.

Ich würde mir aber damit viel Zeit einsparen, den auf vielen Systemen ist DC4 mit dem Namen hinterlegt.

Jetzt würde ich DC5 und DC6 auch nach und nach sterben lassen, und dafür jeweils einen 2012 bereitstellen.

Sollte doch so klappen? In der Theorie.....

Was meint Ihr geht der Plan auf?

Gruss

Homer

Hallo zusammen,

wir haben 2 Webseiten auf einem Server names Server1 am laufen. Die eine heißt Web1, die andere Web2.

Ist es möglich das wenn ich im Internet Explorer nur Web1 eingebe dass es dann eine Weiterleitung zu \\Server1\Web1 gibt und das gleiche für Web2?

Vielen Dank für Hilfe im Voraus.

Viele Grüße

Tom

Hallo Leute

wir haben folgende AD STrukture: (Server 2008 Domäne)

Single forest mit mehreren Bäumen mit eine meinefirma.de als root Domäne daneben exetieren noch folgende Domänen in dem Forest: meinefirma.nl, meinefirma.pl, meinefirma.ch, meinefirm.fr und so weiter.

Wir haben einen Rechencenter mit alle DC, daneben hat jedes Office zwei weiter DC's. Nun möchte ich einen der DC ersetzen. Habe gerade einen Server 2008 R2 installiert. Jetzt check ich unter Standorte und Dienste welcher von den laufenden DC's der Bridgegead Server ist. Sowie es aussieht ist es aber keiner. Da da im Feld: Server ist ein bevorzugter Bridgeheadserver für folgende Trasporte: leer ist. Soweit ich mich erinnern kann muss da doch IP stehen.

Kann mir da jemand auf die Sprünge helfen? Hab das schon sehr lange nicht gemacht. 

Oder macht das der KCC wenn bei keinem der DC's was in dem Feld drin steht? 

Hoffe ihr könnt mir da weiter helfen.

VG

an alle

Hallo,

ich habe ein Problem mit der Delegierung. Ich habe eine Domänlokale Gruppe (DL-Support-Team) welcher ich auf unsere Unternehmens OU Rechte gegeben habe um grundsätzliche Dinge wie Computer verschieben, erstellen, löschen... zu ermöglichen. Dies sollte laut Anleitung im Internet auch funktionieren, hat es aber nicht. Ständige Access Denied Meldungen.

Bis ich mit einem Tool näher analysiert habe und festgestellt habe, daß der Grund darin liegt, daß bei den DACL's in OU'S (seltsamerweise aber nicht bei allen) der User EVERYONE mit einem Haken versehen ist DENY (bei Delete all child objects).

Lösche ich EVERYONE in der Quell OU und in der Ziel OU - für das Verschieben von Computerobjekten -  dann funktioniert es anstandslos. Und jetzt das seltsame:

Erzeuge ich eine neue Child OU und belasse den Haken vor unbeabsichten Löschen der OU, dann wird in dieser OU der Benutzer EVERYONE mit 2 Permissions (also eigentlich 2 Verweigerungen) aufgelistet- dies ist ja auch OK !

- delete

- delete Subtree

was aber gleichzeitig erfolgt - in der übergeordeneten OU wird der User Everyone ebenfalls neu angelegt, jedoch hat dieser gleich über alle möglichen Objekte KEINE Berechtigung mehr zu löschen, was ja bei Verschieben von Rechnern notwendig ist.

Haken DENY bei

- Delete all child objects

Dies hat gleich für alle Objekte in den Unter OU'S die Auswirkung das die Delegierungsgruppe keine Berechtigung mehr zum Verschieben hat.

Lösche ich daraufhin wieder in der übergeordneten OU den Benutzer EVERYONE, dann funktioniert es wieder einwandfrei. Die zuvor angelegte Unter OU hat dann jedoch trotz der weiterhin im vorhandenen Permissions (Delete, Delete subtree) den Haken vor unbeabsichtigem Löschen verloren.

Erzeuge ich hingegen eine neue UnterOU OHNE den Haken für unbeabsichtigtes Löschen, dann wird in der darüberliegenden OU auch nicht der User Everyone mit dem verweigern des Löschens aller Child Objects angelegt und alles funktioniert wie es sollte.

Kann mir jemand den Zusammenhang erklären bzw. was ich falsch mache ?

Dieses Phönomen ist übrigens auch auf der Domäne selber (de.xxx.local) zu beobachten. Dort ist der Haken vor versehentlichem Löschen ja schon gesetzt (jedoch grau hinterlegt um ihn nicht manuell entfernen zu können). Da die Domäne eine Child Domäne ist (von xxx.local) bin ich mir nicht sicher ob da nicht etwas von der Root Domäne wirkt, da jede neue Child Domäne von Anbeginn das gleiche Verhalten aufweist.