Hey there,
is there a way to disable SID compression under Windows Server 2016? In Server 2012 u could do this via setting a Registry-Key, but this does not seem to work on a Server 2016.
Hope u can help me :)
Regards
↧
SID Compression von Windows Server 2016
↧
Win Server 2008 in 2016 Umgebung
Hallo all,
kurze Frage zu der Lauffähigkeit von einem 2008SQL auf Win. 2008 Server(ohne R2) und einem Applikation Server Win 2008(ohne R2).
Ein Win. Server 2008(ohne R2) als DC soll auf Win 2016 migriert werden und alle Rollen übernehmen. Jetzt stehe ich mit Kollegen im Konflikt, ob die zwei alten Win. 2008er Server problemlos in der neuen Umgebung funktionieren oder ob es alters bedingt zu Problemen kommt und/oder ob wir früher als geplant die zwei 2008er Server noch vorher auf 2012/2016 anheben müssen. Gibts Erfahrungen, kann man 2008er in einer 2016 Umgebung betreiben?
Für Feedback bin ich sehr Dankbar.
↧
↧
SPN Eintrag blockiert den Server Manager (Windows Server 2019 Core, Root CA, NDES)
Hallo Zusammen,
ein Windows 2019 Server Core als Active Directory Certiface Service Server lässt sich sauber über den ServerManager von einem Windows 10 Client administrieren.
Jetzt wollte ich die Rolle Network Device ENrollment Service mit installieren und habe mich an die Anleitung https://docs.microsoft.com/de-de/previous-versions/windows/server/hh831498(v=ws.11) Leitfaden für den Registrierungsdienst für Netzwerkgeräte gehalten. Ein Domänen user ndes wurde erstellt und über setspn -s http/<computername> <domainname>\<accountname> registriert. Nach einem Serverneustart komme ich nicht mehr über den Servermanager auf den Server.
Folgenden Fehlercode bekomme ich Fehlercode 0x80090322
Fehler SERVER : Fehler beim Aktualisieren der Konfiguration: Die Metadaten konnten aufgrund des folgenden Fehlers nicht vom Server abgerufen werden: Die Anforderung kann von WinRM nicht verarbeitet werden. Bei Verwendung der Kerberos-Authentifizierung
ist der folgende Fehler mit Fehlercode 0x80090322 aufgetreten: Unbekannter Sicherheitsfehler.
. Mögliche Ursachen:
- Der angegebene Benutzername oder das angegebene Kennwort ist ungültig.
- Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden.
- Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen.
- Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden.
- Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine Vertrauensbeziehung besteht.
Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus:
- Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung.
- Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts" für WinRM hinzu, oder verwenden Sie den HTTPS-Transport.
Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind.
- Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: "winrm help config".
lösche ich den SPN Eintrag funktioniert auch wieder der Zugriff.
Frage: muss ich den User für NDES noch über SPN registrieren oder benötige ich das gar nicht mehr? Die oben genutze Anleitung ist für Windows Server 2012R2 für höhere Versionen habe ich leider keine passende Anleitung gefunden.
Vielen Dank für eure Hilfe
Gruß Björn
↧
Nach Ausloggen kein Einloggen mehr möglich (EVENT ID 4740)
Hallo, wir verwenden in unserer Firma Active Directory um alle Accounts zu verwalten. Bei einem Kollegen kommt seit Tagen das Problem auf, dass er
nach einiger Zeit ausgeloggt wird und sich nicht mehr einloggen kann. Im Event Log findet man die Event ID 4740. Ich weiß nicht wie ich das Problem beheben soll.
↧
Einstellungen Synchronisieren
Hallo Forum,
Windows 10 bietet ja die Möglichkeit, die Einstellungen zu synchronisieren. Dazu gibt es in den Einstellungen eine Einstellmöglichkeit. Aktuell sitze ich an einem Firmenrechner, bei dem die betreffenden Felder ausgegraut sind.
Nun vermute ich, dass ein Eintrag in unserem AD dies verhindert. Welche Richtlinie müsste man ändern, damit die Synchronisation erlaubt ist?
Gruß
Sascha
↧
↧
Managend by
Hallo,
wenn ich innerhalb eines Computerobjektes in dem Feld "Verwaltet von" einen Benutzer oder Gruppe eintrage, haben diese bzw. die Mitglieder dann lokale Adminrechte auf der Station?
Finde leider keine Informationen diesbezüglich....
Danke und Gruß
Dennis
wenn ich innerhalb eines Computerobjektes in dem Feld "Verwaltet von" einen Benutzer oder Gruppe eintrage, haben diese bzw. die Mitglieder dann lokale Adminrechte auf der Station?
Finde leider keine Informationen diesbezüglich....
Danke und Gruß
Dennis
↧
Fehler beim Öffnen von ADUC (Remote & Local)
Hey!
Mir ist heute aufgefallen dass, wenn ich ADUC auf einem unserer DCs öffnen will, folgende Fehlermeldung kommt:
"Die Domänen- oder Vertrauensstellungsinformationen können nicht geändert werden, weil keine Verbindung mit dem Emulator eines primären Domänencontrollers hergestellt werden konnte. Vergewissern Sie sich, dass der Emulator des primären Domänencontrollers für die aktuelle Domäne und das Netzwerk online sind und ordnungsgemäß ausgeführt werden"
Danach öffnet sich ADUC normal, zeigt keine Fehler an und funktioniert auch einwandfrei...
Weiß jemand vielleicht woran der Fehler liegen könnte? :|
↧
Powershell nicht genutzte Druckerqueue bzw. Sharename auffinden.
Hallo.
Ich habe ca. 40 Drucker aber 145 Druckerqueue ( Hochformat, Duplex,Schacht u.s.w)
Mein Ziel: Aufräumen
Mein Lösungsansatz:
# alle Printer ermitteln
"$allprinters=Get-WMIObject -Class Win32_Printer |select sharename"
#..und ermitteln welche Queues z.B 14 Tage nicht mehr genutzt wurden (Event-Log)
$Results = Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-PrintService/Operational"; ID=307;}
Wie baue ich das jetzt zusammen ?
↧
Funktionsupdate von 2012 auf 2012R2
Hallo,
ich muss wegen einer Exchange 2019 Installation das Domänenfunktionslevel von 2012 auf 2012R2 anheben. Die DCs sind bereits auf Windows Server 2012 R2. Was genau passiert bei dem Update? Was sollte ich vor dem Update noch beachten?
Danke und Vg
Cebrox
↧
↧
AD-Feld(er) fuer die Adresse per Script ändern
Hallo,
gibt es irgend eine Möglichkeit die Adressfelder in der AD per Script (DSADD, DSQUERY, DSMOD.....) zu ändern. Über Powershell klappt es super, aber ich muss noch die alten Befehl verwenden, da die Änderung über ein Dritttool gemacht werden soll, diese nicht mit Powershell arbeiten kann. Lt. der Hilfestellung unter"DSMOD User /?" gibt es diese Möglichkeit nicht.
Danke im voraus.
Gruß
↧
Bericht | Synchonisation GPOs auf Dateibenene (Sysvol)
Hallo zusammen,
ich habe ein Problem mit dem Bericht in der Gruppenrichtlinienverwaltung->Status
Wenn ich eine GPO bearbeite oder neu erstelle wird diese auf allen DCs unter "Domänencontroller mit Replikation, die momentan ausgeführt wird" in der Spalte Sysvol aufgeführt. Der Zustand besteht bereits seit mehreren Tagen.
Die GPO ist aber definitiv auf Dateiebene auf den anderen DCs synchronisiert worden. Und die GPOs funktionieren in den Außenstandorten.
Die DFSR Ereignisanzeige ist ohne Auffälligkeiten
repadmin /showrepl und
repadmin /replsummary und
dcdiag
ebenfalls alles i.O..
Ist dies nur ein Schönheitsfehler oder ist da was im Argen?
Früher haben wir was geändert/neu erstellt und alle DCs wurden unter " Domänencontroller mit synchronisierter Replikation" aufgeührt
Danke schon mal für euren Input
↧
Rechner verliert Vertrauensstellung zur Domäne
Moin,
ich habe hier ein paar Rechner, die gerne mal die Vertrauensstellung zur Domäne verlieren. Freitag morgen habe ich den aktuellen Rechner aus der Domäne entfernt und wieder eingebracht. Alles war gut, der Benutzer konnte wieder ganz normal arbeiten. Heute morgen dann das gleiche Spiel.
In einem anderen Fall konnte ich das Verhalten darauf zurückführen, dass der Rechnername doppelt vergeben war, keine Ahnung wie das geschafft wurde. Die Rechner haben sich verständlicher weise immer gegenseitig aus der Domäne geschossen. In diesem Fall aber bin ich mir sicher, dass es keinen zweiten Rechner mit dem gleichen Namen/Computerkonto gibt.
Ich kann mir das Verhalten nicht erklären, hat jemand vielleicht eine Idee oder Richtung, in die er mich Stoßen könnte?
Grüße,
Marcus
↧
SETSPN
Hallo an alle,
ich möchte über setspn mein Kerberos Problem lösen. Jedoch verzweifel ich hier noch!
Meine Domain heißt test.domain
Benutzeraccount: testzz
Domainenname (Prä Windows 2000):
testdomain
deswegen schreibe ich wie folgt:
setspn -A MSSQLSvc/myhost.test.domain testdomain.testzz
Fehlermeldung: 0x21c7/8647
ist das ein ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FORESTERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST
aber es gibt das Benutzerkonto testzz nur einmal. Ich versteh das Problem nicht! Ich habe noch ein Benutzerkonto test damit hat es funktioniert!
Bitte um Hilfe!
↧
↧
Migration zu Server 2019 - keine Active-Directory-Domaincontrollerdaten gefunden
Servus,
ein neuer Kunde bekommt einen neuen Server, der alte Server SBS2011 wird ausgemusterte. Ich habe 4 Server (3 Virtuell) in die Domain aufgenommen, kein Problem, dann die AD-Rolle auf dem neuen DC installiert und den Server hochstufen. Hier bekam ich zuerst
die Meldung das die Gesamt Strukturebene noch passt, sie war noch Server 2003. Danach musste ich noch FRS zu DFSR hochgestufen, auch hier gab es keine Fehler.
Anschließend ein weiterer Versuch den neuen Server hochzustufen, ich bekomme folgenden Fehler:
Fehler bei der Überprüfung der ausgehenden Replikation. Fehler beim Lesen der NTDS-Einstellungen auf dem Replikationsquellen-Domänencontroller "server.domain.local". Für den angegebenen Active Directory-Domänencontroller wurden keine Domänencontrollerdaten
gefunden.
Wenn ich die Domain auf dem Server mit DCDIAG überprüfe ist folgender Fehler:
Das Konto Server gilt für die Delegierung nicht als vertrauenswüürdig.
Keine Replikation möglich.
Das Konto Server ist kein Domainencontrollerkonto. Keine Replikation
möglich.
......................... Server hat den Test MachineAccount nicht
bestanden.
Bei der Überprüfung des Servers im AD habe ich festgestellt das der Server nicht mitglied der Gruppe Domaincontroller war, habe ihn dann dort hinzugefügt, leider ohne Erfolg. Einen Neustart konnte ich leider noch nicht machen. Die DNS-Auflösung funktioniert
einwandfrei.
Hat jemand eine Idee woran es liegen kann?
↧
Werden anonyme Zugriffe auf Domänencontroller unterbunden?
Hallo,
wie werden gerade geprüft, nach BSI:
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02412.html
Die Frage lautet:
Werden anonyme Zugriffe auf Domänencontroller unterbunden?
Was ist damit gemeint?
Das hier ?
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m05/m05123.html;jsessionid=1FAB8535AA4BE0E9CD6DAA6456894E73.2_cid369?nn=6610630
M 5.123 Absicherung der Netzkommunikation unter Windows
Punkt Anonymer Zugriff
Muß das überhaupt noch auf einem Windows 2012 R2 DC mit entsprechendem Funktionslevel gemacht werden?
↧
Reverse Lookup Zones Forwarders
Hallo zusammen,
ich habe folgende Situation ich habe DomainA(domainA.local) und DomainB(domainB.local). Beide Domänen haben gleiche Reverse Lookup Zone 10.134.10.in-addr.arpa
Man hat zwei Server server1.domainA.local(10.134.10.10) und server2.domainB.local(10.134.10.11)
Ist das Möglich die Reverse Lookup Zone 10.134.10.in-addr.arpa zwischen zwei Domains zu synhronisieren? Ich verstehe, dass da nur Pointers drin. Vielleicht gibt es ein Umweg.
↧
Powershell - Sctipt das im Appdata aller User von bestimmten PC aus einer Liste prüft ob eine Pfad besteht
Hallo Team
Bin Powershellneuling und sehe mehrere Std nach einem Script, welches mir aus einer PC-Liste (Textfile mit Hostnamen ohne Space und untereinander) die auf C:\ liegt, diese PC 's mit ? test-connection prüft ob der PC online ist und wenn ja danach in jedem C:\Users\%User%\AppData\Roaming\Ordnerdergesuchtwird (alle Benutzerprofile durchsucht) und danach meldet oder in eine Datei exportiert ob dieser Ordner gefunden wurde.
vielen Dank!
Mio
↧
↧
Powershell - Sctipt das im Appdata aller User von bestimmten PC aus einer Liste prüft ob eine Pfad besteht
Hallo Team
Bin Powershellneuling und sehe mehrere Std nach einem Script, welches mir aus einer PC-Liste (Textfile mit Hostnamen ohne Space und untereinander) die auf C:\ liegt, diese PC 's mit ? test-connection prüft ob der PC online ist und wenn ja danach in jedem C:\Users\%User%\AppData\Roaming\Ordnerdergesuchtwird (alle Benutzerprofile durchsucht) und danach meldet oder in eine Datei exportiert ob dieser Ordner gefunden wurde.
vielen Dank!
Mio
↧
DNS gibt IP zurück, obwohl kein DNS Eintrag existiert
Hallo zusammen,
ich habe hier ein Phänomen, dass ich mir nicht erklären kann.
Wenn ich auf einen bestimmten Rechner mit Namen "PC100" pinge, bekomme ich die IP 192.168.0.200 zurück. Diese IP gehört aber zu dem Rechner "PC200".
Im DNS gibt es keinen einzigen Eintrag für "PC100", weder einen A-Eintrag, noch einen CNAME. Auch wenn ich im DNS nach der IP 192.168.0.200 filtere, bekomme ich nur den PC200 zurück. Die IP 192.168.0.100 gibt es ebenfalls nicht im DNS.
Auch sind keine lokalen Einstellungen in Hosts Dateien gesetzt und Client und Server Cache sind gelöscht.
Trotzdem kann ich immer noch den PC100 auflösen, obwohl es absolut keinen DNS Eintrag für PC100 gibt. Wie kann das sein?
Danke und Gruß
King Hundi
↧
ADMT
Guten Morgen Zusammen,
Wir nutzen das Active Directory Migration tool, für die Migration von einer xy.xy.z Domäne zu einer xy.z Domäne.
Das funktioniert allerdings nur, wenn ein bestimmter Admin der Besitzer der Profile ist. Also war meine Idee, diesen Admin temporär als Besitzer zu hinterlegen, das dann zu vererben und den eigentlichen Besitzer zu speicher, um diesen dann später wieder als
Besitzer wieder zu hinterlegen.
Allerdings muss ich selber sagen, jetzt wo ich das schreibe hört sich das wirklich sehr kompliziert an. Es muss doch wesentlich einfacher gehen, oder nicht? Ich bin ja nicht der erste, der Profile anpacken will, wo der jeweilige User Besitzer ist?
Normalerweise muss es doch reichen, wenn ich Vollzugriff habe, oder nicht?
Es handelt sich hierbei um ein Netapp-share. Geht es deshalb nicht?
Vielen Dank und viele Grüße
Simon
↧