Hallo Technet Community!
Es handelt sich um ein AD Domain Controller mit File und Print Services.
Fehhler Beschreibung: Windows hello for Business provisioning has encountered an error during policy evaluation.
Exit Code: RPC Server ist nicht verfügbar.
Method: LsaGetSSOAccountType
Vielen Dank für die Hilfe im voraus.
Schöne Grüße
Hallo Leute,
ich habe eine einfache Frage, wie der Titel schon sagt:
Kann man den Num Lock-Block auf dem Keyboard beim Systemstart (nicht Anmeldung) über eine GPO aktivieren oder
geht das nur Clientseitig über das BIOS/Registry?
Danke schonmal
Jellibean
Guten Tag,
wir haben einen neuen Domaincontroller an einem Remote Standort in Betrieb genommen, welcher für diesen u.A. die DNS-Funktionalität übernehmen soll.
Neben dem neuen DC bestehen für diese (Sub-) Domäne drei weitere Domain Controller, welche alle DNS-Server sind. Die Replizierung und das Übertragen der FSMO-Rollen an diesen Server ( soll einen alten DC ablösen ) hat einwandfrei funktioniert.
Jetzt zu dem Problem:
Das automatische Eintragen als Nameserver für die Zone hat nicht funktioniert. Ein manuelles Hinzufügen ist möglich und der NS-Eintrag wird auch an alle anderen DNS-Server repliziert. Alle 4 DC´s bestehen den "dcdiag" - DNS-Test und ein Auflösen der Hosts mittel "nslookup" ist auch möglich.
Allerdings verliert der neue DNS-Server diesen Eintrag innerhalb von ca. 10min wieder. Die NS-Einträge für die _msdcs-Zone und die jeweiligen Reverse-Lookup-Zonen bleiben erhalten. Im weiteren Verlauf wird diese fehlerhafte Konfiguration dann an die verbleibenden DNS-Server repliziert und nach ca. 30min ist bei keinem der Server der neue DNS-Server als Nameserver für die Zone hinterlegt. Somit können wir den alten DC an dem Standort nicht herunterfahren.
Hier noch eine kurze Übersicht über den derzeitigen Aufbau:
Standort A:
DC-1 ( Server 2008 R2 )+ DC-neu ( Server 2016 Standard )
Standort B:
DC-2 ( Server 2008 R2 )
Standort C:
DC-3 ( Server 2008 R2 )
Domain- und Schemalevel sind jeweils auf Windows Server 2008 R2.
Die Replizierungen sind wie folgt konfiguriert:
DC-1 <-> DC-neu
DC-1 <-> DC-2
DC-2 <-> DC-3
Leider kann ich keinem Logfile irgendwelche hilfreichen Informationen entnehmen.
Falls jemand einen hilfreichen Tipp oder eine Idee hat, würde ich mich freuen. Sollten weitergehende Informationen benötigt werden, werde ich diese natürlich bereitstellen.
Viele Grüße
Nicolas
Hallo,
die MMC Konsole stürzt bei mir immer ab, wenn ich einen beliebigen User in Users and Computer kopiere. Der User wird zwar angelegt, aber die Konsole wird abgestürzt und ein EvenLog angelegt (Application Log, EventID 1000):
Faulting application name: mmc.exe, version: 10.0.14393.2608, time stamp: 0x5bd1383b
Faulting module name: ntdll.dll, version: 10.0.14393.2969, time stamp: 0x5ccd148a
Exception code: 0xc015000f
Fault offset: 0x00000000000c7665
Faulting process id: 0x1c48
Faulting application start time: 0x01d567d63c2c2587
Faulting application path: C:\Windows\system32\mmc.exe
Faulting module path: C:\Windows\SYSTEM32\ntdll.dll
Report Id: a163a194-79b2-4e07-868f-81761a285da2
Faulting package full name:
Faulting package-relative application ID:
Windows Server 2016 Datacenter and it's a root server for bastion forest
Thanks for any help
Hallo zusammen,
ich habe die Firma gewechselt und finde hier einen DHCP-Server auf einem nicht-DC vor.
Ich kenne es so, dass man dein DHCP auf einem DC macht und dies dann idealerweise auch clustert.
Ist das auch noch bei einem Server 2019 (Das ist das OS unserer DC´s und auch die Domänenfunktionsebene) so empfohlen oder gibt es Argumente dass man den DHCP auf einem nicht-DC installiert?
Vielen Dank für Eure Hilfe im Voraus.
Viele Grüße
Tom
moin,
mir ist aufgefallen, das ganz normale auth. Benutzer (ohne lokale und ohne Domain Admin Rechte) eigentlich sehr viel - meiner Meinung zu viel - im AD lesen dürfen.
ist das normal?
nimmt man sysinternals - adexplorer - sieht man als normal benuzter alle User und Configurationen.
ist das nicht ein Sicherheitsproblem?
Chris
Ich habe ein Problem mit Konto Sperrungen unserer Techniker in der AD.
Jeder Techniker hat ein unbegrenztes Volumen an Domain Joins. Wir haben eine Password Policy, die nur 3 falsche Passworteingaben erlaubt, danach ist das Konto gesperrt und erst wieder auf zutun entsperrt wird.
Das Problem welches ich nun bei uns eruiert habe ist folgendes: (Domain LvL - Windows Server 2016)
Alle Windows Versionen unter 10 bauen bei einem Domain Join 2 Verbindungen zum Domain Controller auf, beide werden jeweils als 1 Versuch am DC gewertet. (Über die alte Möglichkeit Systeminfo) Somit hat man bei einer falschen Pwd Eingabe, 2 Fails und in unserem Fall nur mehr 1 Übrig für das korrekte Passwort. Damit könnte man leben, dennoch Schleierhaft warum mehrere Verbindungen aufgebaut werden.
Ab Windows 10 werden 3 Verbindungen aufgebaut, folglich werden bei einem falschen Passwort 3 Fails gezählt und direkt danach der User Account gesperrt. (Über die alte Möglichkeit Systeminfo)
Wird die Powershell Variante verwendet werden nur 2 Verbindungen aufgebaut. (2 Fails)
Über die Einstellungs App habe ich es nicht versucht, mit hoher Wahrscheinlichkeit sind es ebenfalls 2 Verb.
Die Frage ist, gibt es am DC eine Einstellung welche mehrere Verbindungen von einem Host ignoriert?
Weiß jemand warum mehrere Verbindungen aufgebaut werden? (Jedenfalls nicht zu mehreren DCs, alle Verbindungen gingen immer nur auf einen)
Danke schon mal im voraus,
D.
In diesem Advisory wird beschrieben, dass die Parameter ab Januar 2020 gesetzt werden.
Hier https://support.microsoft.com/de-ch/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry
Gibt es 3 Möglichkeiten. Welcher Wert wird im Update gesetzt, 1 oder 2? Weiss das jemand?
Grüsse
Florian
Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...
Hallo Zusammen,
folgendes Thema: Wir haben bei uns mehrere Abteilungen. Diese sind in jedem Benutzer im AD bei Department hinterlegt.
Wir würden gerne für jede Abteilung eine Security Group erstellen und die User automatisch über das Powershell Skript verschieben lassen. Dieses Skript sollte z.b jeden Tag 1x laufen.
Jetzt ist meine Frage, ob ich über Powershell die Abteilungen auslesen- für jede Abteilung eine Security Group erstellen kann in die die Benutzer automatisch verschoben werden. Dies sollte alles automatisch mit dem Skript passieren.
Kann mir bitte jemand weiterhelfen?
Das auslesen der Departments mache ich so:
Get-ADUser -Filter * -Properties Department | Sort Department | Select Name, DepartmentWenn ich bei unserem Firmen-AD Objekte verschieben muss ist das mit dem neuen AD-Verwaltungscenter mit viel klick Arbeit verbunden, da ich beim verschieben stets im root-Verzeichnis beginne und ein Drag & drop nicht mehr möglich ist.
Da wir eine International-AD-Verwaltung haben wird das pro move mindestens 4 OU-Hierarchien( OU land, OU Stadt, OU Gebäude, OU Office ...).
Gibt es hier eine Möglichkeit das irgendwie zu verkürzen? z.B. den Startpunkt beim verschieben immer in die Start-OU zu dirigieren?
Ich nutze derzeit häufig das RSAT lightweight feature von Win10 1903...
Hi Leute,
Ich habe einen DC mit Windows server 2008 R2, der alle FSMO darauf laufen, auf Windows 2019 server zu migrieren. Dafür habe ich bereits zwei DCs mit Windows 2019 im Einsatz.
Schema Version und System Schema version muss ich nicht mehr updaten, weil bereits DC mit Windows 2019 im Einsatz ist.
die beiden sind schon auf 88.
Meine Schritten:
1) Transfer alle FSMO auf DC mit Windows 2019
2) dananch DNS, Site und Services überprüfen und replizieren
3) DC win 2008 R2 herunterstufen und aus der Domäne nehmen
Nun habe ich ein Problem wenn ich "dcpromo" auf Win 2008 R2 aufrufe, dann bekomme die folgende Meldung:
Es heißt nichts anderes, dass ich als erstes "Active Directory Certificate Services" entfernen muss, dann kann ich den DC herunterstufen.
Das Problem ist, dass ich einen Exchange server 2013, SCCM server, SCOM server am Laufen haben und die Certificaten dafür laufen auf DC 2008 R2 server.
Nun möchte ich folgendes wissen:
1) Kann ich die Certificate samt Registry sichern auf DC win 2008 R2 und auf DC Win 2019 importieren und dannach die Role"Active Directory Certificate Services" auf DC win 2008 R2 entferne und dann dcpormo durchführe? Oder geht es gleichzeit mit zwei Certificate Authority auf DCs nicht?
2) Wie ist hier am Besten die Vorgehensweise wegen Exchange server und SCCM server?
Vielen Dank
Nick
Guten Morgen alle samt, ich habe das Problem das sich seit dem Update 1903 meine Registerkarte Anmeldeoption nicht mehr oeffnen laeuft. Bei der 1803 Version laesst sie sich weiterhin oeffnen. Wir nutzen einen AD wir haben jetzt schon alles bei den Gruppenrichtlinien durchsucht und finden keinen passenden Punkt hat einer evtl. das schon mal gehabt. Der AD laeuft auf einem DC der Win 2012 R2
MFG Dimitar
Hallo,
Ich habe eine Frage zur ADV190023,
genauer zu Microsoft XP Embedded und der Umstellung auf LDAP Channel Binding / LDAP Signing.
Mir ist aufgefallen, dass diese Version weder in der Meldung vom 13. August, noch der aktuellen Meldung aufgeführt ist. Meine Frage lautet daher, wenn ich das Sicherheitsupdate für meine AD DS installieren sollte, werde ich dann Probleme mit der Authentifizierung meines XP Embedded bekommen oder gibt es die Möglichkeit, dass ich Probleme auf andere Art umgehen kann?
Mit freundlichen Grüßen.
Link zur ursrpünglichen Frage im allgemeinen Microsoft-Forum:
https://answers.microsoft.com/de-de/windows/forum/windows_other-networking/adv190023-und-xp-embedded/b2e5deb6-018f-4f7e-b302-6aab75ac74fa?tm=1574954140286&rtAction=1575011845384
Hi,
ich möchte in einem 2008 R2 (Datacenter) AD auf einem Server 2016 Terminalserver (Datacenter) nur pro AD Gruppe bestimmte Applikationen (z. B. Office) zulassen.
Dazu habe ich mir die Anwendungssteuerungsrichtlinien angeschaut.
Die Standardregeln erstellt. In der Programme Regel aus Ausnahme dann den Office Pfad eingetragen.
Wenn ich mich dann anmelde sind die Office Programme gesperrt.
Dann eine neue Regel (Zulassen) erstellt die nur für eine best. AD Gruppe zählt und dort den Office Pfad zugelassen.
Den Benutzer in die AD Gruppe gepackt und Office lässt sich starten...so wie es sein soll.
Entziehe ich dem Benutzer jetzt wieder die AD Gruppe kann er trotzdem Office starten (Serverneustart erfolgt).
Was könnte das sein?
Gibt es sonst noch eine andere Möglichkeit?
Danke und Gruß
Dennis
Hallo,
ich habe die Benutzerverwaltung in einem AD auf Windows-Server 2012 R2 einer Gruppe übergeben, die Mitglied der Konten-Operatoren ist und Verwaltung heißt. Die Mitglieder von Verwaltung sollen auch sich selbst Nutzer zuordnen.
Realisiert wird es über eine Weboberfläche und ldaps-Anfragen. Nach einiger Zeit, hier 14 Tage, "verschwindet" die Berechtigung zum Hinzufügen von Nutzern in die Gruppe Verwaltung, ohne dass die Berechtigungen geändert wurden, die Fehlermeldung ist "LDAP-Fehler 50 ...".
Löscht man die Gruppe Verwaltung und erstellt sie mit den gleichen Parametern neu, funktioniert die Zuordnung zur Gruppe wieder.
Da das Verhalten äußerst mysteriös ist, möchte ich die Frage stellen, ob jemand eine Erklärung oder ähnliches Verhalten festgestellt hat. Für Hilfen und Anregungen dankt
Thorsten
Hallo zusammen,
ich versuche gerade einen Clientrechner Windows 10 pro 1909 einer Domäne auf Funktionsebene W2k12R2 hinzuzufügen, bekomme aber immer die Meldung "Die Domäne existiert nicht". Der Server ist vom Client aus anpingbar und antwortet
korrekt, nur ein Beitritt ist aktuell nicht möglich.
Muss beim Server irgendwas speziell eingestellt werden?
Schon mal danke für eure Hilfe
VG Daniel
Hallo NG,
Microsoft stellt in Kürze ein KB Artikel zur Verfügung in welchem die LDAP Version gehärted wird. Folgend der Link: https://support.microsoft.com/de-de/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows
Meine Frage: Womit kann ich die LDAP Anfragen überprüfen und Loggen von welcher LDAP Version diese sind? Ich habe bereits eine unpraktikable Lösung gefunden indem Registrywerte angepasst werden. Dies hätte jedoch zur Folge das das Eventlog voll läuft. Eine nicht mehr funktionsfähige Lösung wäre adinsight. Kennt Ihr hierzu effektive Alternativen?
Gruß, Rob
Hallo zusammen...
Ich habe eine Domäne, da haben wir einen alten und einen neuen DC drin (neu heisst 8 Monate). Der alte ist ein 2008 R2, der neue ein 2016. Die Idee war, dass wir eine Migration vom alten auf den neuen machen und dann den alten abschalten. Das ist jetzt erfolgt. Allerdings lässt sich der alte nicht aus der Domäne entfernen... ich bin dem jetzt nachgegangen und habe festgestellt, dass seit etwas mehr als 2 Jahren der alte DC ein JRNL_WRAP_ERROR hat... und keiner hat das je bemerkt. Nicht mal beim einrichten des neuen DCs ist das aufgefallen. Alles schien ok... gut, vielleicht ist das wieder so eine "prüf erst die 100 Logs, bevor du was tust und wühl dich durch tausende von Seiten Erklärungen" ... klar, hätten wir wohl tun müssen... aber wir sind gar nicht auf die Idee gekommen danach zu suchen... zumindest nicht nach genau diesen Einträgen.
Egal... die Frage ist nun, wie man das gelöst bekommt. Weil, die einzigen Lösungen, die ich finden konnte, reden davon, den "defekten" DC abzuschiessen und neu von einem guten DC zu replizieren. Das ist aber hier wohl nicht möglich... denn, der "gute" DC wird wohl kaum je sauber repliziert haben, da er erst in die Domäne kam, als die schon defekt war und vom anderen DC gibt's keine Backups mehr mit "guten" Daten, weil das ja über 2 Jahre zurückliegt... wobei... ich kann mir nicht vorstellen, dass dieser Journal überhaupt ein echtes Problem ist. Schliesslich wurde ja noch nie was repliziert und daher ist dieser Journal wohl kaum interessant... also, kann man das nicht irgendwie einfach ... löschen? Und den Journal zurücksetzen? Und... ja oder von mir aus neu aufbauen...??
Hat einer einen Tipp, was man tun könnte??
Rudolf