Alle Aktivitäten

So, jetzt komme ich wieder zu unserem kleinen Projekt. Sehr schade zu hören, dass du nicht erfolgreich warst. Das wäre schon etwas bequem gewesen Die Erwartungen waren groß Das soll das Thema nicht schmälern, sondern gerade das gibt ihm jetzt die nötige Würze. Zugegebener Weise wirds jetzt hackelig. Ich bin auch nicht mehr der Wireshark-Profil. Mit gemeinsamen Kräften bekommen wir das aber hin. Und vielleicht lernen wir - und unsere Leser - auch was dabei Dann sind jetzt meine folgenden Steps: Wireshark installieren Tickets auf den DCs löschen Verbindung (intelligent) Filtern und stöbern @cj_berlin Gibt es deinerseits bestimmte Kerberos Rückmeldungen auf die ich achten sollte?

OK, wenn ich den Artikel richtig verstanden habe ist das Problem nicht ursächlich im Server 2025, sondern diese Extensible Storage Engine und diesen Bug gibt es quasi schon immer oder zumindest schon sehr lange. Ist nur bisher nicht aufgefallen, weil die erst ab Server 2025 automatisch mit der größeren 32K Tabelle arbeiten, wo es dann zu diesem Fehler kommt. Bzw. weil das Exchange Setup einfach gnadenlos Werte schreibt, ohne zu prüfen ob es sie schon gibt.

naja ich habe einfach folgende GPOs gesetzt: Delegierung von gespeicherten Anmeldeinformationen zulassen Aktiviert TERMSRV/* Delegierung von gespeicherten Anmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen Aktiviert TERMSRV/* Delegierung von Standardanmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen. Aktiviert TERMSRV/* Delegierung von Standardanmeldeinformationen zulassen Aktiviert TERMSRV/* Im IIS des Brokers / Web habe ich die Windows Authentifizierung aktiviert und die anonyme Authentifizierung deaktiviert. Außerdem habe ich die Datei C:\Windows\Web\RDWeb\Pages\web.config bearbeitet und die entsprechenden Kommentare in der Datei abgearbeitet -> SSO bei Webzugriff funktioniert auch einwandfrei. Wenn ich den Feed in der Systemsteuerung hinzufügen will sagt er "Benutzername oder das Kennwort ist falsch". Mit den User Credentials kann ich mich dann aber anmelden. Edit: Zertifikat passt auf alle Fälle und enthält alle relevanten Servernamen edit2: In den IE-Zonen ist der Server https://[Servername-FQDN] als Zonenzuordnung 1 hinterlegt.

Hier hat noch jemand ein wenig geforscht und einen Artikel dazu verfasst: Active Directory – 32k pages DIT and the JET_bitSetUniqueMultiValues issue (The real Exchange Schema Issue) – Christoffer Andersson

Ich bewundere ihn schon nur für die Idee, das überhaupt zu versuchen. Aber wie ich sehe, hat er auch mal eben RDP in Rust implementiert...

Der Typ ist 'ne Maschine. Jetzt hat er noch Adam Driscoll gekauft...

(AwakeCoding ☀️💻 | Decompiling Hyper-V Manager to rebuild it from source)

Ich meine, es gibt nach wie vor https://www.hv-manager.org/ , aber das Ding speichert Passwörter im Klartext und so ...

Bezüglich des Acronis Cloud Manager (in welchem der 5nine Manager aufgegangen ist) habe ich mich vor einiger Zeit erkundigt. Er würde die Anforderungen erfüllen, sprengt aber wohl das Budget. Die Lizenz ist nur als Abo erhältlich und kostet um die 3000 Euro / Jahr für drei Hosts. Hyper-V ist nicht mehr der Fokus. Die Lösung eignet sich für die Verwaltung mehrerer Clouds. Man kann damit VMs von AWS zu Azure verschieben etc. Ich suche weiterhin nach einer Funktionalität, wie sie der 5nine Manager geboten hat (und zu einem ähnlichen Preis).

Der gezeigte Code ist unter https://github.com/psconfeu/2023/tree/main/EvgenijSmirnov/JEAonHyperV für alle Ewigkeit zu finden. Das Projekt-Repo habe uich dann beerdigt, weil sie WAC kaputt gemacht haben. Aber wenn es nur um Funktionalität geht ("sie sollen nur VMs starten/stoppen können, aber alle, die auf dem Host registriert sind"), ist es einfachstes JEA. Allerdings gibt es eine Funktionalität, die man auf die Weise nicht bekommt, und das ist der Zugriff auf die Konsole der VMs. Da muss der User mindestens Hyper-V Admin sein.

Moin, also, wenn wir bei Vorträgen sind - vor langer Zeit habe ich mal einen Vortrag zu JEA gehalten, der ziemlich genau die oben genannten Anforderungen abdeckte. Ich weiß nicht mehr, ob der aufgezeichnet worden ist; es war auf einer der "CLoud & Datacenter"-Konferenzen. Und ich würde behaupten, dass das Beispiel auch in dem Rheinwerk-Buch behandelt wird ... ... ja, wird es, und zwar in Kapitel 3.7.8 - das habe ich seinerzeit geschrieben. Also, wenn es wirklich nur diese Anforderungen sind, dann kann das eine Alternative zu einem kommerziellen Tool sein. Gruß, Nils

Moin, hast Du eine bestimmte Anleitung befolgt? (nur damit wir nicht jeden Schritt einzeln abfragen müssen...)

@MurdocX übrigens ist der Test "auf \\domain.name als PU-Member zugreifen" kein guter, der wird immer scheitern, denn es ist ja nicht möglich, den von Dir zitierten SPN auf mehr als einem DC zu registrieren. Wir hatten vor ein paar Monaten einen Thread dazu, den ich gerade nicht finde. \\domain.name\SYSVOL ist kein Thema, denn dann ist der DFS-N-Zauber erledigt und die Verbindung geht auf \\einer-der-dcs.domain.name\SYSVOL, wo der SPN dann existiert. Explorer-Zugriff auf \\domain.name ist nur mit NTLM möglich - es sei denn, die Domäne hat nur einen DC, auf dem man dann den SPN cifs/domain.name zusätzlich registriert - dann geht auch Kerberos.

Ist jetzt zumindest seitens MS bestätigt und gefixed bzw. muss es evtl. per KIR gefixed werden: Windows 10, version 22H2 known issues and notifications | Microsoft Learn

Danke für alle Antworten bisher. NilsK, die Scripte schaue ich mir an. Deinen Vortrag habe ich mir nun gegeben. Du verweist am Ende auf dein Projekt-Repo, das die Zeit bis heute wohl nicht überlebt hat. Ist es obsolet geworden oder gab es andere Gründe, es zu löschen/migrieren? Carsten Rachfahl hat hier gezeigt, wozu er den 5nine Manager einsetzt, das Tool kann eine ganze Menge: https://www.hyper-v-server.de/management/5nine-manager-zur-administration-von-hyper-v/ Leider beschreibt er nicht, ob 5nine unsere Anforderung auch abbildet. Ich werde ihn am besten diesbzgl. kontaktieren und konkret nachfragen. MfG dw

I spoke too soon :-( Bei systematischem Testen, auf 2022, konnte ich die Situation nicht herbeiführen, dass sich ein User aus BRAVO, der dort in Protected Users ist, nicht in ALPHA interaktiv anmelden oder auf dortige Fileserver über SMB zugreifen könnte. Funktioniert alles einwandfrei. Meine Ideen waren: in dem Lab ist standardmäßig die Windows-Firewall auf "aktiv, aber offen" gesetzt --> das Rückführen auf Default-Regeln hat keine Änderung bewirkt in dem Lab ist (aus Performance- und Mimikatz-Gründen) Defender deaktiviert --> das Aktivieren inkl. Runtime-Protection hat keine Änderung gebracht alle VMs sind mit der gleichen unattend.inf gesysprepped, somit ist das Admin-Passwort bei allen gleich --> das Ändern des Admin-Passworts in allen Domänen und auf allen Members auf jeweils unterschiedliche Werte hat keine Änderung gebracht auf allen DCs war das DSRM-Kennwort ursprünglich identisch gesetzt (das schien die Bombe zu sein) --> das Ändern auf jeweils unterschiedliche Werte inkl. Reboot, Ticket Purge, Reboot hat keine Änderung gebracht Jetzt bleibt (euch) tatsächlich nur Loggen und Sniffen, denn ich kann's nach bestem Bemühen NICHT nachstellen.

Moin, zu der Scripting-Aufgabe für die Übersicht werfe ich mal mein seit vielen Jahren fertiges Script in den Ring. [Get-HyperVInventory: New Download Source is Here | faq-o-matic.net] https://www.faq-o-matic.net/2020/12/23/get-hypervinventory-new-download-source-is-here/ Gruß, Nils

Hallo, wir bauen grade unsere neue RDS Struktur auf ... SSO auf den Webaccess funktioniert ohne Probleme (ohne Login im Webaccess, RDP Verbindung ohne Eingabe von Credentials). Was jedoch nicht funktioniert ist die Einbindung in der Systemsteuerung unter RemoteAPPs , dort bekomme ich immer die Meldung "Benutzername und Kennwort falsch" und der Credentials Screen kommt. Dort kann ich mich mit den User Credentials anmelden und die RemoteAPPs werden angezeigt. Aber wie bekomme ich diesen Fehler noch weg? Habe schon einiges gelesen und versucht aber bisher keine Lösung finden können Client Windows 11, Server (Broker, Web, Lizenz) Server 2025

Super, danke für die schnelle Antwort. Da ja nach dem Update die alte Datenbank nicht mehr benötigt bzw. aktiv verwendet wird sollte das in dem Fall nicht so problematisch sein. Es wird, wie ich es verstanden habe, nur während der Migration zusätzliche DBs geben, danach sollte das wieder so laufen wie bisher.

Acronis hat bei 5nine zugeschlagen. Es scheint da jetzt nur noch den "Acronis Cloud Manager" zu geben. Da scheint dann aber wiederum ein "RBAC" mit drin zu sein.

Moin, es ist pro Datenbank. Allerdings ist es nicht die einzige Limitierung. Je nachdem, was in den Datenbanken so passiert, kann auch das Limit von 1 Socket (oder 4 Cores) einschränkend werden. Der Buffer Pool von 1,5 MB ist auch nicht riesig. Editions and Supported Features of SQL Server 2022 - SQL Server | Microsoft Learn

Ich meine, 5nine wurde in irgendwas hineingekauft.

Hallo zusammen, ich habe da eine vielleicht etwas doofe Frage bezüglich des Datenbanklimits bei SQL Express. Der hat ja ein Limit von 10GB für die Datenbank. Gilt das für alle Datenbanken auf diesem Server zusammen oder für jede einzeln? Hintergrund ist, dass ein Dienstleister für seine Software Anfang des Jahres einen SQL 2022 Express mit installiert hat (der Server macht nur diese Software und dessen Datenbank). Nun steht ein Update der Software an und der Support meint, es wäre besser einen neuen Server bereitzustellen, weil die brauchen ja auf jeden Fall eine zweite Datenbank dafür und dann käme man an das Limit ran, wenn die aktuelle mehr als 4 GB hat. Ich bin mir jetzt halt nicht sicher, ob das nicht nur Gequatsche von denen ist, weil die mehr Stunden verkaufen wollen (bin nicht wirklich überzeugt von deren Kompetenz, aber habe keine andere Wahl), oder ob das wirklich so ist. Aktuell haben alle Datenbanken zusammen ca. 6 GB, Wenn das Limit für alle gilt wäre das in der Tat etwas knapp, bei jeder einzelnen mache ich mir da keine Gedanken (die größte von den DBs hat knapp 4 GB aktuell.) Danke schon mal im Voraus für eure Antworten.

Moin zusammen, ich glaube, ich habe die Antwort, und sie wird euch - und uns alle - nicht erfreuen. Muss noch abschließend validieren. Aber der erste "dumme" Test mit 2019 war bei mir auch erfolgreich, somit ist es nicht versionsabhängig. Hang on, die Bombe kommt.