Alle Aktivitäten

GC ist erreichbar? Also Ports 3268 3269 frei? was sagt ein telnet <DC-Name> 3268 Hast du evtl. ein Admin Konto welches zwar lokale Berechtigungen hat, aber dem die Benutzer durchsuchen Rechte auf der vertrauenden Domain fehlen?

Tatsächlich geht der Ping jetzt. Es gab eine Fehler im DNS. nicht von mir.... Ich habe im DNS je eine bedingte Weiterleitung konfiguriert. Somit sind alle Tests von oben erfüllt.

Und wieso nicht? Wie hast du denn das DNS Thema gelöst aktuell? Conditional Forward oder Stubzone oder Zonetransfer? Ist die Firewall entsprechend konfiguriert die Anfragen und Antworten auch in beide Richtungen durchzulassen?

wie sind denn die Domänen miteinander verbunden? Router oder Lokal? NAT überprüft?

Ah ok. ping DC-NAME.DOMÄNE.LOCAL geht ping DOMÄNE.LOCAL, da bin ich fetzt noch nicht drauf gekommen. Zur eigenen Domäne geht. die zweite nicht. nltest /dsgetdc:ANDERE.DOMÄNE, funktioniert anstandslos

Was macht denn nslookup -type=SRV _ldap._tcp.dc._msdcs.DOMÄNE.LOCAL werden dir DCs angezeigt? ping DOMÄNE.LOCAL ping DC-NAME.DOMÄNE.LOCAL funktioniert? nltest /dsgetdc:ANDERE.DOMÄNE Funktioniert das? Ansonsten Zoneneintrag falsch, Weiterleitung.. Ist der GC der anderen Domain erreichbar? Port 3268, (3269 SSL)

Und wenn du die Verlinkung der entsprechenden Policy einfach mal deaktivierst/löscht oder einen Test PC in eine OU ohne diese GPO verschiebst?

Wir haben bisher keine Skripte verwendet. Ich habs auch nachkontrolliert aber es gibt keine Skripte die in dem Bereich ausgeführt werden. zu den anderen Punkten kommt er gar nicht. der gpupdate fällt ja schon beim lesen der gpt.ini auf die Nase und blockt dann.

Nein, braucht man nicht.

Moin! WINS ist eigentlich nicht nötig, es sei denn du hast URALT NetBIOS abhängige Domaincontroller.. Win 2000/2003 oder nen Forest auf Win2000.

Hallo, ich habe einen Windows Server 2022. Wenn man ihn neu startet kommt irgendwann die Anzeige das man das Betriebssystem starten kann. Normalerweise vergehen so 30 Sekunden Timer und es wird dann gestartet. In meinem Fall ist kein Timer da und man muss mit ENTER bestätigen und dann wird das Betriebssystem gestartet. In den Systemkonfiguration ist unter Start Tomeout 30 Sekunden angegeben aber so passiert es nicht. Hat jemand schon mal das Problem gehabt? Gibt es vielleicht noch eine Stelle wo man so selbstständiges Starten einstellen kann? Gruß Marcel

Hallo, ich muss, das erste mal seit 25 Jahren mal wieder eine Vertrauensstellung zwischen zwei domains herstellen. Der Schock, brauche ich dafür wirklich WINS? Ich habe es konfiguriert aber es funktioniert nicht. Die Ports 137 und 138 habe ich freigegeben. Doch der WINS behauptet immer noch. das er inaktiv wäre.

Hi, was wird in diesem GPO denn im Bereich der "Scripts" (Startup / Shutdown / Logon / Logoff) erledigt? Für die GPPs: GPS: Configure Drive Maps preference logging and tracing GPS: Configure Files preference logging and tracing GPS: Configure Folder Options preference logging and tracing GPS: Configure Registry preference logging and tracing Gruß Jan

Was mir gefällt: Du brauchst kein Mega-Technik-Wissen. Ich arbeite im Vertrieb und will einfach nur verstehen, wie KI mein Daily Business unterstützen kann.

@Update wir sind mittlerweile auf drei PCs gekommen die das Problem haben. bei alle drei ist im Event Log der Fehler mit dem "Benutzername oder Kennwort falsch" Das Auftreten hat auch kein System. Im Event Log ist bei dem ersten beiden Usern einmal Anfang und ende Januar aufgetreten, bei dem dritten im März. Alle drei sind auch in unterschiedlichen Abteilungen, haben also nichts direkt gemeinsam was ich jetzt so erkennen könnte.

Moin an Board, auf geht es in den Tag - ich koche Kaffee Allen einen ruhigen Donnerstag, bleibt gesund! Hier derzeit teilweise Bewölkt bei 9°C Wird nicht so warm, bis etwa 14°C Regen ist hier keiner gefallen, heute auch nichts in Sicht

Hallo, danke an alle, die mir Hinweise gegeben haben. Ich komme aus zeitlichen Gründe erstmal nicht dazu, mich weiter mit dem Router zu beschäftigen. Aber mir scheint die Anleitung von Headcrash ausreichend zu sein. Vielen Dank dafür. Und bitte nicht übel nehmen, dass ich mich so selten melde, ist nicht böse gemeint. Beste Grüße

das klingt wirklich frustrierend – besonders wenn man nicht genau weiß, wo der alte Pfad noch versteckt ist. 😕 Die Punkte sind schon super, ich würde zusätzlich auch mal prüfen: Ob im Registry-Pfad HKCU\Software\Microsoft\Windows NT\CurrentVersion\ProfileList noch Einträge mit Bezug auf DC01 existieren (insbesondere ProfileImagePath) Ob evtl. ein Skript oder alte GPO noch hart auf DC01 verweist – z.B. per Logon Script oder Home Drive Mapping Falls du ein Tool wie GPResult oder RSOP nutzt, bekommst du schnell raus, welche Richtlinien gerade aktiv greifen – hat mir schon oft geholfen, Altlasten zu entlarven.

Interessante Diskussion hier – hatte mit PSWindowsUpdate und Remote-Installationen auch schon meine „Freuden“. 😅 Was bei mir damals geholfen hat: sicherstellen, dass der Remote-Server nicht nur elevated, sondern auch interaktiv angemeldet war (je nach Umgebung spinnt es sonst gern). Außerdem: Wenn’s mit Invoke-Command hakt, hat bei mir ein Fallback auf PSEXEC tatsächlich funktioniert – auch wenn’s nicht ganz so elegant ist. Evtl. auch mal Enable-PSRemoting und Set-Item WSMan:\localhost\Client\TrustedHosts * auf beiden Seiten checken – manchmal liegt’s einfach an sowas.

Hi Jan, musste deine Lösung etwas abändern, da die IP natürlich immer unsere eigene ist. Das Überspringen von Hosts geht nur in der erweiterten Filterung, die aber dann eben nicht das macht was sie soll. Insgesamt eher unbefriedigend was MS da konfigurationsmäßig zur Verfügung stellt. :/ Ich habs jetzt per Header gelöst. Also wenn Header (DKIM) contains (Signing Domain). Danke für den Tipp Bye Norbert

Moin an Board, dann wollen wir mal - ich koche Kaffee Bergfest! Allen einen guten Mittwoch, bleibt gesund! Hier sonnig mit leichter Bewölkung bei 12°C, es wird ein mix aus Sonne und Wolken bis etwa 19°C Nachmittags ggf. Schauer - die Natur brauchts

Hi, ist das ein tcp-basiertes SSL VPN oder UDP? Generell zum Testen: GPS: Select RDP transport protocols ( -> Use only TCP) (Clientseitig könntest du das mit GPS: Turn Off UDP On Client lösen) GPS: Select network detection on the server ( -> Turn off Connect Time Detect and Continuous Network Detect) Ansonsten bist du derzeit nicht alleine: Schlagwort: RDPBorns IT- und Windows-Blog Gruß Jan

Hallo Leute, ich habe folgendes Problem, für das wir einfach keine Lösung finden: In der Firma: Fortigate 60F mit Verbindung zur Domäne Windows 10 und 11-Rechner Windows 2019 Domänen-Controller Wir verbinden uns per SSL-VPN ins Firmennetzwerk. Wenn die Verbindung steht, geht es weiter per RDP auf den jew. Rechner der am Arbeitsplatz steht. Seit kurzem haben wir, ohne offensichtliche Veränderung irgendwelcher Einstellungen, folgende Problematik: Wir können den VPN-Tunnel wie gewohnt aufbauen. Beim Aufbauen der RDP-Sitzung kommen wir zur Kennworteingabe, die auch erfolgreich ist. Die RDP-Sitzung geht dann entweder auf und bleibt schwarz oder es steht ca. 2 Minuten "Remoteverbindung wird gesichert" um dann am Ende zu sagen, dass die Verbindung nicht aufgebaut werden kann. Wenn ich danach versuche mich nochmal per RDP zu verbinden, kommt direkt die Meldung, dass die Verbindung nicht hergestellt werden konnte. Baue ich den VPN-Tunnel neu auf, kann ich in der RDP-Verbindung wieder das PW eingeben, die Verbindung wird aber nicht aufgebaut. Wir haben die Fortigate neugestartet, den Domänencontroller, alle Rechner. Im Büro selber funktioniert alles einwandfrei, d. h. ich kann mich auch von meinem Rechner per RDP auf andere Rechner verbinden (was per VPN nicht geht). Im Eventlog des Domänencontrollers sind keinerlei Fehler zu sehen. Auch im Log der Firewall nicht. Anscheinend hängt es in der Phase nach dem erfolgreichen Verbindungsaufbau (TCP 3389) und vor der Authentifizierung. Habt Ihr einen Tip was wir noch prüfen könnten? Vielen Dank! Gruß Jens

Moin, ok, falsch verstanden. Das bezog ich darauf. Also Kommunikation mit zentralem KDC und LocalKDC selber spielen. Der Punkt wo ich auf dem Schlauch stehe ist der, wo aus Sicht des Clients der Unterschied ist, ob er nun gegen einen zentralen oder einen lokalen KDC authentifziert. Der Ablauf müsste für Ihn ja identisch sein, da gleiche Technik aber andere Maschine. Daher auch meine Missinterpretation Deiner Aussage oben. Aber ja eine gewisse Illusion spielt da sicher mit, da gebe ich Dir vollkommen recht!