Gegeben 3 DC: Windows 2016, Windows 2012, Windows 2008 R2

Windows 2012 Server hatte die FSMO-Rollen

Der Server 2012 ist jetzt ausgefallen und kommt auch nicht mehr zurück

Wollte die Rollen mit ntdsutil zwangsweise auf den Windows 2016 übernehmen.

Der RID master, PDC und infrastructure master ging auch ohne Probleme

Beim naming master und schema master kommt folgende Meldung:
FSMO wurde einwandfrei übertragen. Die Übernahme ist nicht erforderlich.
DsListRolesW-Fehler 0x6(Das Handle ist ungültig)

Das ganze wird mit dem Domänen-Administrator durchgeführt.
Was bedeutet die Meldung?
Wie bekomme ich die 2 Rollen rüber?

Gruß
Dieter

Wertes Technet-Forum,

Ich habe ein etwas kniffligeres Problem und werde aus der MS-Doku nicht ganz schlau.

Folgende Situation:

Firma A: Mehrere Standorte, eine Forest mit einer Domain ( firmaA.local )

Firma B: Ident Firma A, ebenfalls mehrere Standorte, ein Forest mit einer Domain (FirmaB.local)

Firma A und Firma B sollen einen Domaintrust eingehen.

Nun kommt das große ABER:

Es können Netzwerkseitig nur die Hauptstandorte miteinander reden, der Trust soll auch nur dort zur Verfügung stehen (selective Authentication).

Es kommt z.b. der DC der Firma A in den USA nicht auf den DC der Firma B in China, wohl aber mit der Zentrale der Firma B - es sollen also alle Authentifizierungen über die zentrale durchgeführt werden.

Ehrlich gesagt habe ich auf die schnelle keine Idee wie das zu lösen ist, vielleicht ist jemand hier in der selben Zwickmühle?

Hallo zusammen,

ich habe den Fall gesehen, dass historisch gewachsen, in einem Unternehmen zwei AD's existieren. Wobei eine davon rein für die Windows Benutzer verwendet wird, während in der zweiten der Exchange Server liegt.

Es gibt tatäschlich eine Begründung warum das so sein muss, die hat allerdings nichts mit meiner Fragestellung zutun.

Dies bedeutet allerdings, das ein Benutzer in beiden Domänen ein Konto benötigt, diese Konten haben logischweise unterschiedliche Kennwörter.

Jetzt wäre meine Idee und Frage, ob es möglich wäre die Passwörter zwischen den Konten eines Benutzers zu synchronisieren? Sodass er z.b nur eins der Kennwörter ändern muss? Ich habe mir biesher noch keine Gedanken zu der Umsetzung gemacht.

Gibt es eine Möglichkeit sowas simpel umzusetzen? Und ist es überhaupt möglich?

Liebe Grüße,

Joe

Hallo,
ich würde gerne im ersten Step Computerobjekte älter 12 Wochen deaktivieren.
Dazu habe ich mir folgende Batch gebaut:

dsquery computer "ou=Workstations,DC=Wels,dc=ssishop,dc=net" -inactive 12 | dsmod computer -disabled yes

Ist es möglich das er mir nach z. B. 4 Wochen diese deaktivierten Objekte dann auch löscht?
Er soll aber auch die Ablaufzeit berücksichtigen, also nicht pauschal alle deaktivierten Computerobjekte löschen....

Danke und Gruß
Dennis

Wir haben bei uns in der Domäne gewisse User, welche über Serverbasierte profile verfügen. Bei einem dieser User gibt es nun das problem, das sie vor zwei wochen geheiratet hat und nun einen enuen Nachnamen hat. Daher ändert sichnun auch der Benutzername bei uns im System. Kann man unter Widnows Server 2012 R2 diesen ohne Problem in der Active Direktory anpassen oder gibt es hier etwas zu beachten oder gehen alle Daten verloren, durch den neuen anmelden-/benutzernamen?

Fals es eine Rolle Spielt. unsere AD wird mittels Azure AD-Connect in unsere Office 365 Cloud synchronisiert.

Hallo,

seit dem Upgrade von W10 pro 1809 auf 1903 können sich die Benutzer zwar
annmelden, erhalten aber nur ein temporäres Profil und werden mit der
Meldung "We can't sign in to your account" begrüßt.

Im Hintergrund werkelt ein samba auf einem Debian im NT4-Style DC Modus
mit "Single Label DNS Domain".

In der Registry habe ich schon nach ".bak Profilen" geschaut, aber das
sieht OK aus.

Zum Test habe ich einen "frischen" Test-Account "zurbel" angelegt, mit
dem gibt es das gleiche Problem auf den System mit 1903.

Die Anmeldung mit dem blanken Account auf einem System mit (noch) 1809
funktioniert problemlos, und nach der Abmeldung findet sich ein
gefülltes profile.V6 auf dem DC:

root@share:/mnt/ssd/homes/

Hallo,

ich habe eine eigene Zertifizierungsstelle auf einem Windows Server. Dort ist eine Zertifikatsvorlage freigegeben um Codesignaturen zu erstellen. Darüber können die User über die MMC sich Zertifikate anfordern und diese beispielsweise in ein PowerShell Script einbinden. Wenn man jetzt dieses Powershell Script öffnen möchte ist das Zertifikat nicht als vertrauenswürdig eingetragen. Wie kann ich generell in der ActiveDirectory Zertifkate, die User anfordern als vertrauenswürdig einstufen?

Hallo,

Bin ratlos und Google scheint es auch zu sein...zumindest mein Sucheffort bringt nichts zu Tage.

Bei der Installation bzw. der Konfiguration der AD RMS Rolle auf einem Server 2016 (aktuellster Stand)  erhalte ich immer folgende Fehlermeldung:

Mindestens ein AD RMS Dienst konnte nicht konfiguriert werden: Der Index lag ausserhalb des Bereiches. Er darf nicht negativ und kleiner als die Auflistung sein. Parametername: index.

Neustart, einmal mit WID und einmal mit frisch installiertem SQL als DB versucht brachten keinen Erfolg.

Bin um jede Unterstützung dankbar.

Gruss, Markus

Hallo zusammen,

wir haben vor einiger Zeit ein Netzwerk mit 3 Servern (Windows Server 2016) - kein Exchange,Sharepoint! und Arbeitsplätzen 100+ übernommen und festgestellt, das die AD mit einer Single Label Domain betrieben wird.

Diesen "Zustand" würde wir gerne ändern und haben uns schon länger nicht mehr mit dieser Thematik auseinander setzen müssen und wollte mal Fragen ob jemand ein "Best Practise" Vorschlag hat, wie wir dies ändern könnten - am besten natürlich ohne alles neu Aufbauen/Aufsetzen zu müssen?!

Die Möglichkeit den Domänen Namen zu ändern bzw .local zu ergänzen habe ich gelesen, aber funktioniert das auch ohne Probleme? Wie schon gesagt Exchange oder Sharepoint ist nicht vorhanden. Normal Umgebung AD, DNS, File und Printserver etc. Aber dafür viele Daten, GPO's, Gruppen etc. und viele Anwendungen und Einstellungen auf den Clients - das würde also einiges an Zeit sparen ;-)

AD ist Fehlerfrei, Probleme gibt es also derzeit eigentlich keine.

Vielen Dank für die Infos

VG

Silvio

Hallo Community,

ich hatte folgendes Problem:
Ein Domänen-Benutzer besitzt für den entsprechenden AD-Container die Delegation einen Computer zur Domäne hinzuzufügen.
Trotzdem schlug der Vorgang ein UBUNTU System zur Domäne hinzuzufügen fehl!

Trotz eingeschaltetem Auditing an den Domänencontrollern fanden sich keine Ereignisprotokoll Einträge, die den fehlgeschlagenen Versuch für ein Troubleshooting hätten dokumentieren können.

Der einzige Hinweis im Security Log war dass bei der Kerberos Ticketanforderung (EventId 4768) der Präauthentisierungstyp 0 gesetzt war. Bei der darauffolgenden Konto Anmeldung (EventId 4624) wurde vom System versucht mittels Anonymous-Anmeldung den Join durchzuführen, was natürlich nicht geht.
Des Weiteren sind wie oben gesagt keine weitergehenden Ereignisprotokoll Einträge zu finden! Leider!
Welche Gründe gibt es dafür?

Vergleichsweise wird bei einem erfolgreichen Computer Join durch einen anderen Benutzer bei der Kerberos Ticketanforderung (EventId 4768) der Präauthentisierungstyp 2 verwendet! Die darauffolgende Konto Anmeldung (EventId 4624) erfolgt dann richtigerweise als Domänenbenutzer, und es werden weitere Events angezeigt (4741, usw.)

Nach langem Forschen stellte sich heraus dass bei dem Benutzer vor längerer Zeit das UserAccountControl Flag DONT_REQUIRE_PREAUTH gesetzt worden war.

Nachdem für den erfolglosen Benutzer das Flag DONT_REQUIRE_PREAUTH zurückgesetzt worden war, funktionierte der Join problemlos.

Ist es möglich fehlgeschlagene Computer Joins im Ereignisprotokoll der DCs anzeigen zu lassen?
Das erweiterte Auditing wie Kontenverwaltung, Kontenanmeldung ist per GPO der DCs ist natürlich aktiviert!

Computer der zur Domäne hinzugefügt wurde: Ubuntu, aktuelle Version.
AD Server 2008 R2.

Danke

Hallo,

kann ich per WMI Querry das AD abfragen? 

Ich würde gerne die Mitglieder einer Gruppe abfragen.

Hallo Leute,
ich bin ganz frisch aus der Ausbildung raus und stehe gerade vor einer kleinen Herausforderung. Folgendes Szenario:

Meine Firma (Standort A) hat eine Tochterfirma (Standort B), welche bislang einen eigenen Server + AD & Exchange etc. hat.

Nun soll die komplette IT dort von uns betreut werden und wir planen über eine Sophos Red (Router, welcher VPN-Verbindung erstellt) eine Verbindung zu unserem Server aufzubauen. Eine extra Domäne soll nicht erstellt werden.

Wie gehe ich da am einfachsten vor?

Reicht es, dass die Leute an Standort B einen VPN-Zugriff haben, sodass sie sich direkt in der Domäne anmelden können inkl. Gruppenrichtlinien? Kann man im AD mehrere Standorte "konfigurieren"?

Zusätzlich soll der Mailverkehr von Standort B über unseren Exchange 2013 Server laufen, jedoch haben die Leute dort eine andere @Domain als wir, die sie auch behalten müssen. Wie muss ich da vorgehen denn vorgehen bzw. wo richte ich die 2. Domain ein?

Hoffe ihr könnt mir helfen :) versuche mich natürlich parallel andersweitig schlau zu machen.

Bis dann :)

Hallo zusammen,

seit ca. 1 Woche habe wen wir anscheinend ein Problem mit der DFS-R Synchronisierung des Sysvol Verzeichnis.

Wir haben einen Hauptstandort (DC1) der mit allen anderen 10 Standorten/DCs kommuniziert. Alle DCs laufen auf Windows Server 2012R2

Wenn ich mit den Bericht/Status der Gruppenrichtlinien anzeige , wird mit angezeigt das alle Domänencontroller gerade sychronisieren (bis auf einen).Testweise neu angelegte Gruppenrichtlinien werden hier angezeigt/bemängelt.

3 Gruppenrichtlinien neu angelegt. Auf einem DC wird GPO1 bemängelt. Auf einem anderen widerum GPO2 usw.

Kein Muster dahinter.

Die Gruppenrichtlinien werden aber auf allen DCs angelegt. Die Ordner inkl. meinem Testskript exisitieren.

Die Server wurden alle neu gestartet und ich habe lange genug gewartet.

Nebeninfo: Wir haben vor 4 Wochen einen weiteren DC Nr. 11 (Standort) hinzugefügt.

Die Erstynchronisation wurde aber korrekt durchgeführt. In den ersten 2 Wochen war alles i.O. Jedoch werden bei diesem DC jetzt so ziemlich alle Gruppenrichtlinien in der Synchronisation bemängelt. Die Ordner existieren aber ebenfalls alle.

Die Eventlogs sagen auch das alles ok ist.

repadmin /showprel

repadmin/ replsummary ebenfalls alles i.O.

Ich würde gerne eure Meinung dazu hören.

Hat der Bericht evtl nur ein Problem? Kann ich einne Neureplizierung vom Basis DC anstoßen?

Hallo Zusammen
Bin vor kurzem an ein Active Directory geraten das wohl eine fehlgeschlagene Migration hinter sich hatte.
Alter Server lassen sich die Gruppenrichtlinien nicht mehr öffnen und auf dem neuen fehlen die Einträge.
Der neue Server wurde aber schon zum primären Controller hochgestuft.
Ich habe einiges gelesen über Replikation neu aufgleisen, jedoch würde ich gerne noch euren Rat hören bzw. wie ich es angehen soll.

AlterServer1:
IP Adresse: 10.108.36.141
Subnetz: 255.255.255.0
Gateway: 10.108.36.129
DNS: 10.108.36.141

NeuerServer1:
IP Adresse: 10.108.36.128
Subnetz: 255.255.255.0
Gateway: 10.108.36.129
DNS: 10.108.36.128

AlterServer1 DCdiag

PS C:\Windows\system32> dcdiag

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = AlterServer1
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\AlterServer1
      Starting test: Connectivity
         ......................... AlterServer1 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\AlterServer1
      Starting test: Advertising
         ......................... AlterServer1 hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... AlterServer1 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         ......................... AlterServer1 hat den Test DFSREvent bestanden.
      Starting test: SysVolCheck
         ......................... AlterServer1 hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         ......................... AlterServer1 hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... AlterServer1 hat den Test KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... AlterServer1 hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... AlterServer1 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         ......................... AlterServer1 hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         ......................... AlterServer1 hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         ......................... AlterServer1 hat den Test Replications bestanden.
      Starting test: RidManager
         ......................... AlterServer1 hat den Test RidManager bestanden.
      Starting test: Services
         ......................... AlterServer1 hat den Test Services bestanden.
      Starting test: SystemLog
         Warnung. Ereignis-ID: 0xA004001B
            Erstellungszeitpunkt: 06/23/2019   11:34:45
            EvtFormatMessage failed, error 15027 Die Meldungressource ist vorhanden, aber die Meldung wurde nicht in der
 Zeichenfolge-/Meldungstabelle gefunden.
            (Ereigniszeichenfolge (Ereignisprotokoll = System) konnte nicht abgerufen werden. Fehler: 0x3ab3)
         Warnung. Ereignis-ID: 0x00000079
            Erstellungszeitpunkt: 06/23/2019   11:34:52
            Ereigniszeichenfolge:
            Die Firewallausnahme zum Zulassen der iSNS-Clientfunktionalität (Internet Storage Name Server) ist nicht akt
iviert. Die iSNS-Clientfunktionalität ist nicht verfügbar.
         Warnung. Ereignis-ID: 0xA004001B
            Erstellungszeitpunkt: 06/23/2019   11:34:51
            EvtFormatMessage failed, error 15027 Die Meldungressource ist vorhanden, aber die Meldung wurde nicht in der
 Zeichenfolge-/Meldungstabelle gefunden.
            (Ereigniszeichenfolge (Ereignisprotokoll = System) konnte nicht abgerufen werden. Fehler: 0x3ab3)
         Fehler. Ereignis-ID: 0xC0000001
            Erstellungszeitpunkt: 06/23/2019   11:34:53
            Ereigniszeichenfolge:
            Vom Initiator konnte keine Verbindung mit dem Ziel hergestellt werden. Die Ziel-IP-Adresse und die TCP-Ansch
lussnummer sind in Sicherungsdaten angegeben.
         Fehler. Ereignis-ID: 0x00000067
            Erstellungszeitpunkt: 06/23/2019   11:36:52
            Ereigniszeichenfolge:
            Zeitüberschreitung beim Warten auf permanent gebundene iSCSI-Volumes. Falls Dienste oder Anwendungen vorhand
en sind, die auf diesen Volumes gespeicherte Informationen verwenden, können diese möglicherweise nicht gestartet werden
 oder geben Fehler zurück.
         Warnung. Ereignis-ID: 0x000003F6
            Erstellungszeitpunkt: 06/23/2019   11:36:53
            Ereigniszeichenfolge:
            Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs."KundenDomain.int., nachdem k
einer der konfigurierten DNS-Server geantwortet hat.
         Warnung. Ereignis-ID: 0x00000C18
            Erstellungszeitpunkt: 06/23/2019   11:36:56
            Ereigniszeichenfolge: Der primäre Domänencontroller für diese Domäne konnte nicht gefunden werden.
         Fehler. Ereignis-ID: 0x00000422
            Erstellungszeitpunkt: 06/23/2019   11:36:56
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\"KundenDomain.int\sysvol\thuns
tetten.intern\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" von einem Domänencontroller zu lesen, war nicht e
rfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies is
t möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
         Fehler. Ereignis-ID: 0xC0001B58
            Erstellungszeitpunkt: 06/23/2019   11:37:06
            Ereigniszeichenfolge: Der Dienst "OMNetworkService" wurde aufgrund folgenden Fehlers nicht gestartet:
         Fehler. Ereignis-ID: 0xC0001B58
            Erstellungszeitpunkt: 06/23/2019   11:37:07
            Ereigniszeichenfolge:
            Der Dienst "RufCommunicationServer" wurde aufgrund folgenden Fehlers nicht gestartet:
         Warnung. Ereignis-ID: 0x000727AA
            Erstellungszeitpunkt: 06/23/2019   11:37:12
            Ereigniszeichenfolge:
            Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/AlterServer1."KundenDomain.int; WSMAN/
AlterServer1.
         Warnung. Ereignis-ID: 0x00001796
            Erstellungszeitpunkt: 06/23/2019   11:38:27
            Ereigniszeichenfolge:
            Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-A
uthentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig
für den Server verwendet wird.
         Fehler. Ereignis-ID: 0xC0001B58
            Erstellungszeitpunkt: 06/23/2019   11:39:21
            Ereigniszeichenfolge: Der Dienst "MWExpertSystem" wurde aufgrund folgenden Fehlers nicht gestartet:
         ......................... Der Test SystemLog für AlterServer1 ist fehlgeschlagen.
      Starting test: VerifyReferences
         ......................... AlterServer1 hat den Test VerifyReferences bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: thunstetten
      Starting test: CheckSDRefDom
         ......................... thunstetten hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... thunstetten hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: "KundenDomain.int
      Starting test: LocatorCheck
         Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1355
         Es wurde kein primärer Domänencontroller gefunden.
         Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
         ......................... Der Test LocatorCheck für "KundenDomain.int ist fehlgeschlagen.
      Starting test: Intersite
         ......................... "KundenDomain.int hat den Test Intersite bestanden.

DCdiag NeuerServer1

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:

   Der Homeserver wird gesucht...
   Homeserver = NeuerServer1
   * Identifizierte AD-Gesamtstruktur. 
   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgeführt.
   
   Server wird getestet: Default-First-Site-Name\NeuerServer1

      Starting test: Connectivity

         ......................... NeuerServer1 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.
  
   Server wird getestet: Default-First-Site-Name\NeuerServer1

      Starting test: Advertising

         Achtung: Bei dem Versuch, NeuerServer1 zu erreichen, wurden von

         DsGetDcName Informationen für \\AlterServer1.KundenDomain.int

         zurückgegeben.

         DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.

         ......................... Der Test Advertising für NeuerServer1 ist fehlgeschlagen.

      Starting test: FrsEvent

         ......................... NeuerServer1 hat den Test FrsEvent bestanden.

      Starting test: DFSREvent

         Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind

         Warnungen oder Fehlerereignisse vorhanden. Fehler bei der

         SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben. 
         ......................... Der Test DFSREvent für NeuerServer1 ist fehlgeschlagen.

      Starting test: SysVolCheck

         ......................... NeuerServer1 hat den Test SysVolCheck bestanden.

      Starting test: KccEvent

         ......................... NeuerServer1 hat den Test KccEvent bestanden.

      Starting test: KnowsOfRoleHolders

         ......................... NeuerServer1 hat den Test KnowsOfRoleHolders bestanden.

      Starting test: MachineAccount

         ......................... NeuerServer1 hat den Test MachineAccount bestanden.

      Starting test: NCSecDesc

         ......................... NeuerServer1 hat den Test NCSecDesc bestanden.

      Starting test: NetLogons

         Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\NeuerServer1\netlogon)

         [NeuerServer1] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten, Der Netzwerkname wurde nicht gefunden..

         ......................... Der Test NetLogons für NeuerServer1 ist fehlgeschlagen.

      Starting test: ObjectsReplicated

         ......................... NeuerServer1 hat den Test ObjectsReplicated bestanden.

      Starting test: Replications

         ......................... NeuerServer1 hat den Test Replications bestanden.

      Starting test: RidManager

         ......................... NeuerServer1 hat den Test RidManager bestanden.

      Starting test: Services

         ......................... NeuerServer1 hat den Test Services bestanden.

      Starting test: SystemLog

         Fehler. Ereignis-ID: 0x00002720

            Erstellungszeitpunkt: 06/23/2019   11:31:01

            Ereigniszeichenfolge:

            Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID 


         Warnung. Ereignis-ID: 0x000727A5

            Erstellungszeitpunkt: 06/23/2019   11:31:03

            Ereigniszeichenfolge:

            Der WinRM-Dienst hört keine WS-Verwaltungsanforderungen ab. 


         Fehler. Ereignis-ID: 0x0000271A

            Erstellungszeitpunkt: 06/23/2019   11:31:02

            Ereigniszeichenfolge:

            Der Server "{9BA05972-F6A8-11CF-A442-00A0C90A8F39}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

         Fehler. Ereignis-ID: 0x0000271A

            Erstellungszeitpunkt: 06/23/2019   11:31:02

            Ereigniszeichenfolge:

            Der Server "{9BA05972-F6A8-11CF-A442-00A0C90A8F39}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

         Fehler. Ereignis-ID: 0x0000271A

            Erstellungszeitpunkt: 06/23/2019   11:31:02

            Ereigniszeichenfolge:

            Der Server "{9BA05972-F6A8-11CF-A442-00A0C90A8F39}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

         Fehler. Ereignis-ID: 0x0000271A

            Erstellungszeitpunkt: 06/23/2019   11:31:02

            Ereigniszeichenfolge:

            Der Server "{9BA05972-F6A8-11CF-A442-00A0C90A8F39}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

         Warnung. Ereignis-ID: 0x80040020

            Erstellungszeitpunkt: 06/23/2019   11:31:32

            Ereigniszeichenfolge:

            Der Treiber hat festgestellt, dass auf Gerät \Device\Harddisk0\DR0 der Schreibcache aktiviert ist. Die Daten könnten beschädigt werden.

         Warnung. Ereignis-ID: 0x80040020

            Erstellungszeitpunkt: 06/23/2019   11:31:32

            Ereigniszeichenfolge:

            Der Treiber hat festgestellt, dass auf Gerät \Device\Harddisk0\DR0 der Schreibcache aktiviert ist. Die Daten könnten beschädigt werden.

         Warnung. Ereignis-ID: 0x80040020

            Erstellungszeitpunkt: 06/23/2019   11:31:32

            Ereigniszeichenfolge:

            Der Treiber hat festgestellt, dass auf Gerät \Device\Harddisk0\DR0 der Schreibcache aktiviert ist. Die Daten könnten beschädigt werden.

         Warnung. Ereignis-ID: 0x000003F6

            Erstellungszeitpunkt: 06/23/2019   11:31:35

            Ereigniszeichenfolge:

            Zeitüberschreitung bei der Namensauflösung für den Namen wpad, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

         Warnung. Ereignis-ID: 0x000003F6

            Erstellungszeitpunkt: 06/23/2019   11:31:36

            Ereigniszeichenfolge:

            Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.KundenDomain.int., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

         Warnung. Ereignis-ID: 0x000727AA

            Erstellungszeitpunkt: 06/23/2019   11:31:50

            Ereigniszeichenfolge:

            Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/NeuerServer1.KundenDomain.int; WSMAN/NeuerServer1. 


         Warnung. Ereignis-ID: 0x00002724

            Erstellungszeitpunkt: 06/23/2019   11:31:54

            Ereigniszeichenfolge:

            Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.

         Warnung. Ereignis-ID: 0x0000000C

            Erstellungszeitpunkt: 06/23/2019   11:32:06

            Ereigniszeichenfolge:

            Zeitanbieter "NtpClient": Dieser Computer ist für die Verwendung der Domänenhierarchie zum Ermitteln der Zeitquelle konfiguriert. Er ist aber der PDC-Emulator der Domäne, der erste Computer in der Gesamtstruktur. Daher gibt es keinen Computer oberhalb der Domänenhierarchie, der als Zeitquelle verwendet werden kann. Es wird empfohlen, dass Sie entweder einen zuverlässigen Zeitdienst in der Stammdomäne konfigurieren oder den PDC manuell zur Synchronisierung der externen Zeitquelle konfigurieren. Andernfalls wird dieser Computer als verbindliche Zeitquelle in der Domänenhierarchie ausgeführt. Wenn keine externe Zeitquelle konfiguriert ist, bzw. von dem Computer nicht verwendet wird, kann der NtpClient deaktiviert werden.

         Warnung. Ereignis-ID: 0x00000090

            Erstellungszeitpunkt: 06/23/2019   11:32:22

            Ereigniszeichenfolge:

            Der Zeitdienst wird nicht mehr als gute Zeitquelle angekündigt.

         Warnung. Ereignis-ID: 0x00000018

            Erstellungszeitpunkt: 06/23/2019   11:37:13

            Ereigniszeichenfolge:

            Zeitanbieter "NtpClient": Es wurde keine gültige Antwort vom Domänencontroller AlterServer1.KundenDomain.int nach 8 Kontaktversuchen empfangen. Der Domänencontroller wird nicht mehr als Zeitquelle verwendet und es wird versucht einen neuen Domänencontroller für die Synchronisierung zu finden. Fehler: Der Peer ist nicht erreichbar. 

         Fehler. Ereignis-ID: 0x00002720

            Erstellungszeitpunkt: 06/23/2019   11:42:09

            Ereigniszeichenfolge:

            Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID 


         ......................... Der Test SystemLog für NeuerServer1 ist fehlgeschlagen.

      Starting test: VerifyReferences

         ......................... NeuerServer1 hat den Test VerifyReferences bestanden.
  
   
   Partitionstests werden ausgeführt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom  bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   
   Partitionstests werden ausgeführt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   
   Partitionstests werden ausgeführt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation bestanden.

      Partitionstests werden ausgeführt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test CrossRefValidation bestanden.

   
   Partitionstests werden ausgeführt auf: thunstetten

      Starting test: CheckSDRefDom

         ......................... thunstetten hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... thunstetten hat den Test CrossRefValidation bestanden.

   
   Unternehmenstests werden ausgeführt auf: KundenDomain.int

      Starting test: LocatorCheck

         ......................... KundenDomain.int hat den Test LocatorCheck bestanden.

      Starting test: Intersite

         ......................... KundenDomain.int hat den Test Intersite bestanden.

Vielen Dank für eure Hilfe

Gruss Nestea18

2k8er AD

Die User eines Dienstleisters können sich im LAN ohne Probleme mit ihrem AD User Login Domäne\user.xy an einer RDP Sitzung anmelden. Wenn sie sich über das VPN anmelden geht das nicht mit Domäne\user.xy sondern nur mit der Syntax User.xy@Domäne.local.  Wenn das einmal vollzogen wurde, dann geht es ab dann auch mit Domäne\user.xy.  Ich habe das Problem mit meinem User nicht. Dieses Verhalten kann ich mir nicht erkären. Hat jemand eine Idee?   Danke!

Hallo,

vielen Dank das du dir mein Problem durchließt.

Ich habe heute folgende Aufgabe bekommen:

Unsere Domaincontroller laufen auf W2008R2, diese sollen durch neue Server mit W2019 ersetzt werden.

Wir haben 4 Server DC01 - DC04, jetzt sollen die neuen Server die gleichen Servernamen bekommen wie die alten.

Domainlevel ist 2008 / DC04 hält alle Rollen / OS Windows 2008R2

DC01_Alt aus der Domaine nehmen neuen Server mit W2019 aufsetzen und mit dem gleichen Servernamen DC01 in die Domaine heben, dies auch mit DC02-DC03 machen  und dann die AD Rollen vom DC04_Alt auf einen der Neuen DC übertragen den DC04_alt entfernen und einen neuen mit gleichem Namen DC04 hinzufügen.

Jetzt habe ich gelesen, dass der Domainlevel erst auf W2016 angehoben werden muss um einen Windows 2019 Server als DC in die Domaine aufzunehmen.

Ist das ein machbarer Weg ? Ich fürchte es kommt so zu Konflikten in der AD. DC´s die aus der Domaine genommen wurden dürfen ja nicht mehr in die Domaine aufgenommen werden. Oder gilt das nicht wegen den Namen nur wegen der SID?

Mein Vorschlag einfach die neuen Server mit neuem Namen und IP fortlaufend zu den Bestehenden zu nehmen, wurde abgelehnt, das kann ich nur diskutieren, wenn es bei der o.g. Vorgehensweise zu Problemen kommt oder es gar nicht funktioniert.

Herzliche Grüße und Danke für eure Antworten

GG

Hallo,

ich versuche mich kurz zu fassen, wäre schön wenn jemand helfen könnte.

Thx
Adam


Wir betreiben ein AD mit 3 Domains, FOO.LAN, DE.FOO.LAN (head office) und BX.FOO.LAN (branch office), wobei sich FOO und FOODE in der Site IL und FOOBX in der Site EIN befinden. Das head office soll nun um zwei Sites erweitert werden, eine private DMZ, in der an das AD angebundene public Services gehostet werden sollen, und eine weitere private DMZ, in die die Mitarbeiter per VPN gelangen. Der VPN-Zugriff soll aus dem Kernnetzwerk dorthin verlagert werden. Um nicht ein großes Loch für den Domänencontrollerzugriff in die Firewall bohren zu müssen und nicht jeder DMZ einen vollen Satz RODCs zur Verfügung stellen zu müssen war der Gedanke der, einen Satz RODCs in einer weiteren privaten DMZ zur Verfügung zu stellen, der dann von allen Domänenmitgliedern bzw. angeschlossenen Services außerhalb des Kernnetzwerkes (alles noch private IP-Netze) genutzt wird. Dabei soll es so sein, daß die Site IL-PrivateDmzWebsvcs netzwerktechnisch Zugriff auf die Site IL-PrivateDmzDomsvcs hat, aber keinen Zugriff auf die Site IL. Gleiches gilt für die Site IL-PrivateDmzVpnsvcs. Websvcs und Vpnsvcs dürfen ebenfalls nicht miteinander kommunizieren. Die RODCs der Site IL-PrivateDmzDomsvcs dürfen mit den Domänencontrollern der Sites IL und EIN kommunizieren. Es gibt entsprechende SiteLinks, BASL ist abgeschaltet.

Das Problem hier ist, daß aus den Sites IL-PrivateDmzWebsvcs und IL-PrivateDmzVpnsvcs versucht wird, auf die schreibbaren Domänencontroller zuzugreifen, und nicht auf die dafür vorgesehenen RODCs. Da die Firewall zu ist funktioniert das natürlich nicht. Kann man ohne in die beiden DMZ RODCs zu stellen dafür sorgen, daß nur RODCs verwendet werden, oder ist sowas nicht vorgesehen?

Ich habe das zur besseren Übersicht mal grafisch aufbereitet und angehängt.

https://paste.pics/67a936cf5f884c1b15cc11f4ce0404b6

Die derzeit vorhandenen DNS-Records habe ich hier mal aufgelistet.

DNS-Server Domain FOO:

Zone _msdcs.foobar.lan, SRV Records _ldap und _kerberos:

_tcp.EIN._sites.dc DCFOO1 DCFOO2
_tcp.IL._sites.dc DCFOO1 DCFOO2
_tcp.IL-PrivateDmzDomsvcs._sites.dc RODCFOO1 RODCFOO2
_tcp.IL-PrivateDmzWebsvcs._sites.dc DCFOO1
_tcp.IL-PrivateDmzVpnsvcs._sites.dc DCFOO1

Zone foobar.lan, SRV Records _ldap und _kerberos:

_tcp.EIN._sites DCFOO1 DCFOO2
_tcp.IL._sites DCFOO1 DCFOO2
_tcp.IL-PrivateDmzDomsvcs._sites RODCFOO1 RODCFOO2
_tcp.IL-PrivateDmzWebsvcs._sites kein Record, nur _gc
_tcp.IL-PrivateDmzVpnsvcs._sites kein Record, nur _gc

Zone DomainDnsZones.foobar.lan, SRV Records _ldap:

_tcp.EIN._sites DCFOO1 DCFOO2
_tcp.IL._sites DCFOO1 DCFOO2
_tcp.IL-PrivateDmzDomsvcs._sites DCFOO1 DCFOO2 RODCFOO1 RODCFOO2


Zone ForestDnsZones.foobar.lan, SRV Records _ldap:

_tcp.EIN._sites DCFOOBX1 DCFOOBX2
_tcp.IL._sites DCFOO1 DCFOO2 DCFOOBX3 DCFOODE1 DCFOODE2
_tcp.IL-PrivateDmzDomsvcs._sites DCFOO1 DCFOO2 DCFOOBX3 DCFOODE1 DCFOODE2 RODCFOO1 RODCFOO2 RODCFOODE1 RODCFOODE2 RODCFOOBX1 RODCFOOBX2
_tcp.IL-PrivateDmzWebsvcs._sites DCFOO1
_tcp.IL-PrivateDmzVpnsvcs._sites DCFOO1



DNS-Server Domain FOODE

Zone _msdcs.de.foobar.lan, SRV Records _ldap und _kerberos:

_tcp.EIN._sites.dc DCFOODE1 DCFOODE2
_tcp.IL._sites.dc DCFOODE1 DCFOODE2
_tcp.IL-PrivateDmzDomsvcs._sites.dc RODCFOODE1 RODCFOODE2
_tcp.IL-PrivateDmzWebsvcs._sites.dc DCFOO1
_tcp.IL-PrivateDmzVpnsvcs._sites.dc DCFOO1

Zone de.foobar.lan, SRV Records _ldap und _kerberos:

_tcp.EIN._sites DCFOODE1 DCFOODE2
_tcp.IL._sites DCFOODE1 DCFOODE2
_tcp.IL-PrivateDmzDomsvcs._sites RODCFOODE1 RODCFOODE2
_tcp.IL-PrivateDmzWebsvcs._sites DCFOODE1 DCFOODE2
_tcp.IL-PrivateDmzVpnsvcs._sites DCFOODE1 DCFOODE2

Zone DomainDnsZones.de.foobar.lan, SRV Records _ldap:

_tcp.EIN._sites DCFOODE1 DCFOODE2
_tcp.IL._sites DCFOODE1 DCFOODE2
_tcp.IL-PrivateDmzDomsvcs._sites DCFOODE1 DCFOODE2 RODCFOODE1 RODCFOODE2
_tcp.IL-PrivateDmzWebsvcs._sites DCFOODE1
_tcp.IL-PrivateDmzVpnsvcs._sites DCFOODE1



DNS-Server Domain FOOBX:

Zone _msdcs.bx.foobar.lan, SRV Records _ldap und _kerberos:

_tcp.EIN._sites.dc DCFOOBX1 DCFOOBX2
_tcp.IL._sites.dc DCFOOBX3
_tcp.IL-PrivateDmzDomsvcs._sites.dc RODCFOOBX1 RODCFOOBX2


Zone bx.foobar.lan, SRV Records _ldap und _kerberos:

_tcp.EIN._sites DCFOOBX1 DCFOOBX2
_tcp.IL._sites DCFOOBX3
_tcp.IL-PrivateDmzDomsvcs._sites RODCFOOBX1 RODCFOOBX2 RODCFOOBX3


Zone DomainDnsZones.bx.foobar.lan, SRV Records _ldap:

_tcp.EIN._sites DCFOOBX1 DCFOOBX2
_tcp.IL._sites DCFOOBX3
_tcp.IL-PrivateDmzDomsvcs._sites DCFOOBX3 RODCFOOBX1 RODCFOOBX2

Hallo zusammen,

kurz und knapp:

Ist es möglich einem Benutzer/Gruppe Schreib-/Ändern-Rechte ausschließlich auf das Attribut "UserCertificate" eines Accounts zu erteilen ?
Wir haben uns bereits durch die "Objektverwaltung zuweisen"-Möglichkeiten geklickt aber kein Recht hierfür gefunden.
Vielen Dank im Voraus.

Mit freundlichen Grüßen

Sven

Hallo,

wir haben hier ein Netzwerk aus 2DCs (Windows Server 2003), 6 Servern (Windows 2003), davon zwei als virtuelle Maschinen auf den DCs. Dazu noch etliche Clients. 

Als Zeitquelle kommt ein NTP Server in der DMZ zum Einsatz. Der primäre DC holte sich von diesem die Uhrzeit und alle anderen Maschinen per NT5DS.

So lange alles wie vorgesehen läuft gibt es auch keine Probleme

Leider steht der NTP Server in der DMZ nicht dauerhaft zur Verfügung, sondern die gesamte DMZ wird manchmal ausgeschaltet, z.B. übers Wochenende. Das können wir leider nicht beeinflussen und wir haben mit unserer Anlage keinerlei Verbindung ins Intenet.

Jetzt haben wir das Problem, dass wenn der NTP Server nicht zur Verfügung steht und die Zeitdifferenz zwischen unserem primären DC und seiner CMOS Clock zu groß wird ein Zeitsprung passiert. Wie kann ich das verhindern? In der Ereignisanzeige kommt dann folgende Warnung

Ereignistyp:	Warnung
Ereignisquelle:	W32Time
Ereigniskategorie:	Keine
Ereigniskennung:	33
Datum:		06.07.2019
Zeit:		23:36:34
Benutzer:		Nicht zutreffend
Computer:	DC12
Beschreibung:
Der Zeitdienst hat eine diskontinuierliche Änderung an der Systemzeit durchgeführt. Die Systemzeit wurde um +61 Sekunden geändert.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Weiterhin ist das Problem, dass wenn der NTP Server wieder zugeschaltet wird, sich die Zeit nicht langsam angleicht, sondern springt. Das soll aber nur passieren, wenn die Zeitdifferenz zwischen dem NTP Server größer als 5 Minuten ist. Wie kann ich das erreichen?

Der zweite DC synchronisiert sich nach Wiederkehr des NTP Servers nicht mehr auf den primären DC. In der Ereignisanzeige kommt dann immer folgender Fehler. Was könnte hier das Problem sein?

Ereignistyp:	Fehler
Ereignisquelle:	W32Time
Ereigniskategorie:	Keine
Ereigniskennung:	1
Datum:		08.07.2019
Zeit:		10:35:45
Benutzer:		Nicht zutreffend
Computer:	DC12
Beschreibung:
Der Anwendungskompatibilitäts-Suchdienst konnte nicht initialisiert werden.

Hier der Registryauszug  von w32time unseres primären DCs. GPOs zu Uhreitsynchronisation sind zur Zeit alle auf "nicht konfigueriert" gesetzt.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time]
"Type"=dword:00000020"Start"=dword:00000002"ErrorControl"=dword:00000001"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,00,00"DisplayName"="Windows Time""ObjectName"="NT AUTHORITY\\LocalService""Description"="Verwaltet die Datum- und Uhrzeitsynchronisierung auf allen Clients und Servern im Netzwerk. Wenn dieser Dienst beendet wird, ist die Datum- und Uhrzeitsynchronisierung nicht verfügbar. Wenn der Dienst deaktiviert wird, können alle anderen Dienste, die explizit davon abhängen, nicht gestartet werden.

"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\Config]
"LastClockRate"=dword:00026309"MinClockRate"=dword:000260d4"MaxClockRate"=dword:000263e0"FrequencyCorrectRate"=dword:00000004"PollAdjustFactor"=dword:00000005"LargePhaseOffset"=dword:02faf080"SpikeWatchPeriod"=dword:0000003c"HoldPeriod"=dword:00000005"LocalClockDispersion"=dword:0000000a"EventLogFlags"=dword:00000003"PhaseCorrectRate"=dword:00000004"MinPollInterval"=dword:00000006"MaxPollInterval"=dword:0000000a"MaxNegPhaseCorrection"=dword:0002a300"MaxPosPhaseCorrection"=dword:0002a300"UpdateInterval"=dword:00000064"AnnounceFlags"=dword:00000005"MaxAllowedPhaseOffset"=dword:0000012c"FileLogSize"=dword:06400000"FileLogEntries"="0-300""FileLogName"="D:\\temp\\_TimeSync\\DC11_W32time.log"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\Parameters]
"ServiceMain"="SvchostEntry_W32Time""ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,33,00,\
  32,00,74,00,69,00,6d,00,65,00,2e,00,64,00,6c,00,6c,00,00,00"Type"="NTP""ntpserver"="172.20.5414.253,0x1""AllowNonstandardModeCombinations"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\TimeProviders]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\TimeProviders\NtpClient]
"Enabled"=dword:00000001"InputProvider"=dword:00000001"AllowNonstandardModeCombinations"=dword:00000001"CrossSiteSyncFlags"=dword:00000002"ResolvePeerBackoffMinutes"=dword:00000005"ResolvePeerBackoffMaxTimes"=dword:00000000"CompatibilityFlags"=dword:80000000"EventLogFlags"=dword:00000001"LargeSampleSkew"=dword:00000003"DllName"="C:\\WINDOWS\\system32\\w32time.dll""SpecialPollTimeRemaining"=hex(7):31,00,37,00,32,00,2e,00,32,00,30,00,2e,00,36,\
  00,35,00,2e,00,31,00,34,00,2c,00,30,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00"SpecialPollInterval"=dword:0000000f

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\TimeProviders\NtpServer]
"InputProvider"=dword:00000001"AllowNonstandardModeCombinations"=dword:00000001"DllName"="C:\\WINDOWS\\system32\\w32time.dll""Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\Enum]
"0"="Root\\LEGACY_W32TIME\\0000""Count"=dword:00000001"NextInstance"=dword:00000001

Vielen Dank für die Hilfe im Vorraus!

Ich beschäftige mich gerade in der Umsetzung von "Securing privileged access" gemäß dieser Microsoft Empfehlung:

https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access

Wie handhabt ihr das - Insbesondere bei kleineren Admin Umgebungen mit nur ein paar Admins wo jeder alles macht - also niemand der Exclusiv das AD oder nur die Clients verwaltet?