Alle Aktivitäten

Na wenn das sooo ist...

Zum anfixen.

Folgendes haut Co-Pilot raus: Fazit SSH Public/Private Key Auth funktioniert gut mit normalen Benutzern auf Windows Server. gMSAs sind ideal für nicht-interaktive Dienste, aber nicht für direkte SSH-Logins. Du kannst beide kombinieren: gMSA für Dienste, SSH-Schlüssel für sichere Kommunikation.

Manchmal, wenn man z.B. die Credentials benötigt, gehen keine gMSA Accounts und man muss klassische Service Accounts nutzen.

gMSA haben ein Benutzerprofil, wie ich bereits schrub, und Du kannst mit einem SchTask dort einen Key Pair erzeugen. Ob das für SSH reicht, muss man verifizieren.

Wir haben einen OpenSSH Server. Ein zweiter Server soll regelmäßig Daten über SCP oder PSFTP zu diesem übertragen. Nach Möglichkeit soll kein Domänen Account sondern ein gMSA verwendet werden. Lokale Accounts sind bei uns verboten. Laut Co-Pilot benötige ich einen Benutzeraccount zur Ablage des Private Keys, den der gMSA ja nicht hat. CP will daher für SSH einen User Account (mit Profil und Ablage für den Key) und für den Task zum Starten der Übertragung ein gMSA Konto verwenden.

Kannst Du mal das Szenario beschreiben? Ich kann mir so gar nicht vorstellen, wann das nötig wäre... Aber grundsätzlich, wenn Du es schaffst, dem gMSA den Private Key unterzujubeln (vermutlich am Einfachsten per Scheduled Task, der als gMSA läuft), sollte der Public Key davon für Authentifizierung verwendet werden können... Aber denke daran: SSH mit Keys ist Type 3, wird also nicht für Second Hop funktionieren.

Moin, ist es möglich die Verbindung zum SSH nur über einen GMSA aufzubauen? Bei Co-Pilot gibt es immer nur eine Hybrid Lösung, die das SSH über einen Benutzer macht und dann einen Task über einen GMSA ausführt. Gruß GO

Auf jeden Fall nicht meine, aber trotzdem frage ich mich, warum ich zumindenst einiges sehen kann.

Genau das dachte ich eben auch. Hier schonmal vorab: # Konfiguration $checkPC01 = "192.xxx.xxx.xxx" $checkPC02 = "192.xxx.xxx.xxx" $intervallSekunden = 60 # Prüfintervall in Sekunden $wartezeitBisShutdownMin = 5 # Wenn beide IPs X Minuten offline, dann shutdown # Hilfsfunktion: Ping function Test-HostOnline { param ([string]$host) return Test-Connection -ComputerName $host -Count 1 -Quiet -ErrorAction SilentlyContinue } # Hauptlogik $offlineCounter = 0 $maxVersuche = [math]::Ceiling($wartezeitBisShutdownMin * 60 / $intervallSekunden) Write-Host "Starte Netzwerküberwachung..." while ($true) { $online01 = Test-HostOnline $checkPC01 $online02 = Test-HostOnline $checkPC02 if (-not $online01 -and -not $online02) { $offlineCounter++ Write-Host "Beide Hosts offline ($offlineCounter/$maxVersuche)" } else { $offlineCounter = 0 Write-Host "Mindestens ein Host online. Zähler zurückgesetzt." } if ($offlineCounter -ge $maxVersuche) { Write-Host "Beide Hosts seit $wartezeitBisShutdownMin Minuten offline. Fahre PC herunter..." Stop-Computer -Force } Start-Sleep -Seconds $intervallSekunden } Wenn du das ganze nun als C:\Scripts\CheckHosts.ps abspeicherst und ne Administrative Powershell öffnest und folgendes eingibst: $taskName = "HostCheckShutdown" $scriptPath = "C:\Scripts\CheckHosts.ps1" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -WindowStyle Hidden -File `"$scriptPath`"" $trigger = New-ScheduledTaskTrigger -AtStartup $settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -Settings $settings -RunLevel Highest -Force hast du am Ende einen Task der beim Systemstart mit Adminrechten ausgeführt wird.

Aha, der Hinweis auf den Fix findet sich im KB5058499 (May 28, 2025—KB5058499 (OS Build 26100.4202) Preview - Microsoft Support) zum Preview Update für Win 11 24H2: Bei einem ersten Test funktioniert es sogar noch.

Hi, nicht jeden ist richtig. Mittlerweile so viel das ich nach einer alternative zu "manuell" geschaut habe.

Nein, erscheint auf den anderen DCs nicht. Mittlerweile konnte ich den neuen Server zum DC promoten und der AD Sync ist fehlerfrei. Danke nochmal für die Tips dazu weiter oben, das hat mir schon geholfen. Hab trotzdem gezittert, dass die Kiste am Ende garnicht mehr läuft. (Windows NT-Vorschäden :) Das Sysvol wird aber nach wie vor nicht synchronisiert. DNS Anfragen NSlookup alles prima. Ich muss das am Wochenende nochmal angehen, es fühlt sich ja schon besser an, dass die Server sauber im AD erscheinen und dieser Sync läuft. dfsdiag /TestDcs spuckt keinerlei Fehlermeldungen aus, alles ok. Das EReignislog ist noch recht unübersichtlich, weil noch zwe DFS Synchronisierungen für andere Ordner liefen, das muss ich noch rausschmeissen und dann schau ich mir nochmal die Fehlermeldungen an. Vielen Dank für die Hilfe bis hier schonmal :)

Hi, beste Voraussetzungen sich mit PowerShell auseinanderzusetzen und das Script neu in PowerShell umzusetzen. Viele Grüße Jan

Hallo und Guten Morgen in die Runde. Da sich meine VBScript - Kenntnisse leider auf einem bescheidenen Stand befinden, bitte ich um Unterstützung bei der Anpassung / Erweiterung dieses Anmeldescripts. Ziel ist es den PC automatisiert, bei nicht erreichen beider „checkPC01 + checkPC02“ Ip-Adressen, herunterzufahren. 1. PC startete automaisch (Bioseinstellung) 2. VBA Startscript wird über Autostart abgerufen 3. es sollte eine kontinuierliche Prüfung auf Erreichbarkeit beider IP’s stattfinden 4. so bald beide IP’s zusammen über einen Zeitraum von x Minuten nicht erreichbar sind, sollte PC herunterfahren Vielen Dank im Voraus Set WSHShell = WScript.CreateObject("WScript.Shell") Dim checkPC01, checkPC02 Dim objResult ' Überprüfungsrechner checkPC01 = "192.xxx.xxx.xxx" 'PC01 checkPC02 = "192.xxx.xxx.xxx" 'PC02 ' Überprüfe ob checkPC01 online ist Do Until Ping_Network(checkPC01) objResult = WSHShell.sendkeys("{NUMLOCK}{NUMLOCK}") WScript.Sleep(60000) ' Eine Minute warten Loop ' checkPC01 ist online WScript.Sleep(60000) ' Warte eine weitere Minute ' Überprüfe ob checkPC02 online ist Do Until Ping_Network(checkPC02) objResult = WSHShell.sendkeys("{NUMLOCK}{NUMLOCK}") WScript.Sleep(60000) ' Eine Minute warten Loop ' checkPC02 ist online WScript.Sleep(60000) ' Eine Minute warten ' Einschlafen verhindern... Do While Ping_Network(checkPC01) '...solange der checkPC01 online ist If Ping_Network(checkPC02)= False Then ' checkPC02 ist offline gegangen Do Until Ping_Network(checkPC02) ' Überprüfe fortwährend ob checkPC02 online ist objResult = WSHShell.sendkeys("{NUMLOCK}{NUMLOCK}") ' Aktion ausführen WScript.Sleep(60000) ' Eine Minute warten Loop ' checkPC02 ist online WScript.Sleep(60000) ' Eine Minute warten, bis alle Dienste geladen sind Else objResult = WSHShell.sendkeys("{NUMLOCK}{NUMLOCK}") ' Aktion ausführen End If Wscript.Sleep(300000) ' Fünf Minuten warten Loop ' checkPC01 ist nicht mehr online => PC herunterfahren Dim strShutdown ' -s = shutdown, -t 10 = 10 Sekunden, -f = Proramm beenden erzwungen strShutdown = "shutdown.exe -s -t 10 -f" WSHShell.Run strShutdown, 0, false Function Ping_Network(sHost) Dim oPing, oRetStatus Set oPing = GetObject("winmgmts:").ExecQuery ("select * from Win32_PingStatus where address = '" & sHost & "'") For Each oRetStatus In oPing If IsNull(oRetStatus.StatusCode) Or oRetStatus.StatusCode <> 0 Then Ping_Network= False Else Ping_Network= True End If Next Set oPing = Nothing End Function

Aaaand it's fixed: Windows Server 2025 known issues and notifications | Microsoft Learn (Warum auch immer es hier unter KB5060842 nicht gelistet wird...)

Hallo zusammen, dieser Beitrag hat ja viele Interessenten...gibt es auch schon Feedback dazu? Was ich meine, hat irgendeine Bildungseinrichtung schon damit gestartet und kann dem Forum Feedback geben? Grüße, Franz

Moin an Board, dann wollen wirmal - ich koche Kaffee Allen einen guten Donnerstag, bleibt gesund! Hier klar bei 10°C es wird ein sonniger Tag bis etwa 25°C

Hier siehst Du es welche Lizenzen es abdecken: https://learn.microsoft.com/de-de/intune/intune-service/fundamentals/licenses

Moin, laut Co-Pilot gehört Intunes nicht zu den oben genannten Abos. Was mich aber wundert, warum kann ich das Intune Admin Portal aufrufen und zumindestens einige Funktionen nutzen? z.B. Geräte im Benutzer löschen, mir alle Benutzer anzeigen Andere Funktionen, wie alle Geräte anzeigen oder Endpunktsicherheit melden dagegen fehlende Zugriffe. Ist das so eine Arte Lite Version, die doch noch nutzbar ist? Gruß DO

Ich konnte das Gerät über das Intune Admin Center löschen.

Besorg Dir mal Sysinternals "psexec.exe -s cmd.exe" und schau, was Du aus dieser Commandline im Systemkontext so auf Deinem Sysvol siehst. Und hinter \\ dürfen dann gern nicht nur der Domänenname, sondern auch einzelne DCs stehen. BTW; Wenn Audit Logging auf den DCs aktiviert ist, dann protokollieren die bei 0x52e gern etwas sprechendere Meldungen.

Hey Karl, Danke schön! Hat alles geklappt, musste nur noch ein Parameter hinzufügen damit die alte Version sich installieren ließ. Vielen Dank für die schnelle Hilfe !! Option 1: Aktualisieren des ODT Fügen Sie der Datei „Configuration. xml“, die mit dem ODT verwendet wird, AllowCdnFallback=”True” hinzu. Beispiel: <Configuration> <Add OfficeClientEdition="32" AllowCdnFallback="True"> <Product ID="LanguagePack"> <Language ID="ja-jp" /> </Product> </Add> </Configuration>

Was haben alle 3 gemeinsam? Alte Treiber? 3rd Party Antivirus Software? Testclient neu installieren und Stück für Stück testen.

Moin, ich bin bereit zu wetten, dass die DMZ nicht jeden einzelnen Host in Prod braucht, sondern nur eine kleine Auswahl. Die kannst Du manuell oder per Skript pflegen. Solange die Kommuinikation von Prod nach DMZ initiiert wird, ist es nicht problematisch. Wenn DMZ tatsächlich *jeden* Host in Prod auflösen muss, hast Du ein Architektur-Problem, und DNS ist vermutlich die kleinste Deiner Sorgen.