Jump to content

guybrush

Premium Member
  • Content Count

    1,169
  • Joined

  • Last visited

Everything posted by guybrush

  1. Grüß euch, ich habe unlängst bei einem Kunden ein geerbtes AD Connect reparieren müssen, das nach einem Inplace-Upgrade (DC von 16 auf 19) gestreikt hat. Details zur Config waren keine bekannt. Einziges Ziel ist die Zuweisung von O365-Lizenzen an die User. D.h. (für meine Begriffe) unidirektional Benutzer und PW-Hashes syncen, sowie den UPN im AAD von vorname.nachname@tenant.onmicrosoft.com auf vorname.nachname@mydomain.com umzubiegen (Hinweis: locale AD-Domäne ist mydomain.local). Der Sync läuft eigentlich wunderbar, allerdings haben alle Userobjekte als Anmeldenamen die tenant-Mailadresse. Ich muss das jetzt zum ersten mal machen, und bin ein wenig überfragt, wie ich hier zum Ziel komme. Konfiguriert ist es recht einfach: Synchronisiert wird die ganze Domäne, gefiltert aber durch eine Verteilergruppe (nur Member der Gruppe werden repliziert). Kennworthashsync und Verzeichniserweiterungen-Attributsynchronisierung (msExchCustomProxyAddresses (user) [String], userPrincipalName (user) [String]) als optionale Features. Die Konfigurationszusammenfassung zeigt mir folgendes an: - Aktivieren Verzeichniserweiterung - msonXXXX.onmicrosoft.com - AAD-Connector: Aktualisieren - mydomain.local-Connector: Aktualisieren - Synchronisierungsdienste auf diesen Computer konfigurieren Mache ich hier etwas grundlegenses falsch? Danke schonmal für Hilfe/Input/konstruktive Kritik :) LG Johannes
  2. In dem Fall wars echt überschaubar. 5 User, und 2 Shares. Das Hauptshare wurde in diesem Zuge auch gleich ausgemistet, und ich hab die IP-Range an mein neues System anpassen können. Ich bin ein bisschen unglücklich, wie es gelaufen ist, aber nochmal mit nem blauen Auge davon gekommen. Meine anderen SBS-Kunden muss ich jetzt zur Brust nehmen, damit sowas nicht nochmal vorkommt.
  3. Kurze Info, damit ich euch keine Antwort schuldig bleibe - nachdem ich mich dann auch nicht mehr am SBS anmelden konnte, und es auch nicht am gleichen Tag geschafft habe, wieder einen Stand herzustellen, hab ich mein Upgradeprojekt gleich vorverschoben, die Domäne auf 2019 Essentials neu gemacht und die Postfächer aus der letzten Veeam-Sicherung als PST ins neue Office 365 exportiert. Ich wollte das zwar mit Vorlaufzeit und in 3 Schritten machen, aber es hat halt nicht sein sollen. Hatte gerade erst letztens ein Gespräch mit einem Kollegen vom Fach a la "jetzt läuft es schon verdammt lang gut, nie was gröberes gegeben, nur Kleinigkeiten. Echt fein." Hab mir so wohl vom Universum eine Lektion in Demut eingefangen :)
  4. Es gibt nur einen DC aktiv. Es gab mal einen zweiten, der aber schon seit Jahre nicht mehr da ist. Ich glaube mich zu erinnern, dass es hier mal eine Migration gab oder so. SBS 2003 auf 2011 (vermute ich nur). Der alte Server ist aber seit mindestens 3 Jahren nicht mehr aktiv, es gab nie Probleme oder "Phänomene". Nur der Vollständigkeit halber. D.h. es ist nur ein SBS vorhanden. Ich habe gerade noch geschaut, das Sysvol beinhaltet nur einen Ordner "NtFrs_PreExisting___See_EventLog" unter c:\windows\sysvol\sysvol. Erstellungsdatum ist ziemlich genau der erste Boot nach dem Restore. Darunter gibt es wieder ClientAgent, Policies und scripts. Ich habe aber keine wirklichen Policies laufen, und auch keine Scripts. Hier gäbe es nichts wichtiges zu retten, just in case. Ps.: Anderer Thread?
  5. Servus Kollegen, ich arbeite gerade an einem SBS 2011 eines Kunden (VM), wo das RAID nach einem Stromausfall den Geist aufgegeben hat. Es gibt eine aktuelle Veeam-Sicherung (45min vor dem Ausfall), es wurde lt. Config Applikationskonsistent gesichert. Ich habe eine neue Hardware gestellt, die VM zurückgespielt und hochgefahren. Sie bootet normal, läuft aber alles andere als sauber. Der Exchange ist zwar verfügbar und arbeitet (Outlook zum Teil/ActiveSync, usw...), das AD ist jedoch nicht erreichbar. Authentifizierungen dauern sehr lange, Outlook geht bei manchen Clients nicht auf (Loginfenster kommt, Zugangsdaten werden nicht genommen, und wenn, verbindet sich Outlook nicht). Nach genauerem Hinschauen scheint hier die Domäne nicht mehr sauber zu funktionieren (DNS und DHCP laufen sauber). Sie lässt sich zwar pingen, dsa.msc meldet jedoch, dass die Domäne nicht verfügbar ist: nltest /DsGetDc:internedomain.local meldet nslookup -q=srv _gc._tcp.meinedomain.local meldet: Die häufigsten Fehler im Eventlog sind MSExvhangeIS 1121: Fehler '0x96f' beim Verbinden mit Active Directory. MSExchangeFDS 1003: Prozess MSExchangeFDS.exe (PID=3184). Die für Konfigurationsdaten für Objekt 'OAB (60)' können vorübergehend nicht gelesen werden. Nach einer Wartezeit von %5 Sekunden erfolgt ein erneuter Versuch. MSExchange Mailbox Replication 1005: Der Postfachreplikationsdienst konnte die Liste der Postfachdatenbanken nicht ermitteln, die am lokalen Active Directory-Standort gehostet werden. Fehler: Der Microsoft Exchange Active Directory-Topologiedienst auf Server localhost hat keine passenden Domänencontroller zurückgegeben. MSExchangeRPC 1002: Fehler bei der Registrierung des Dienstprinzipalnamens 'ExchangeMDB'. Fehlercode: Eine vorhandene Verbindung wurde vom Remotehost geschlossen (10054). DfsSvc 14550: Der DFS-Namespace-Dienst konnte die gesamtstrukturübergreifenden Vertrauensstellungsinformationen auf dem Domänencontroller nicht initialisieren. Der Vorgang wird jedoch in regelmäßigen Abständen wiederholt. Der Rückgabecode befindet sich in den Eintragsdaten. Und noch ein paar andere, die einfach nur sagen, dass sie sich nicht authentifizieren können. Und hier noch die dcdiag Ausgabe (habe sie um die Logeinträge, die die Clientkommunikation betreffen, beschnitten) Ich bin akut leicht überfragt, und würde mich über den einen oder anderen Tip freuen... LG und Danke Johannes
  6. Habs auch nicht bös aufgefasst, alles gut :) Ich hab meine letzte Domäne from Scratch erstellt, als .local noch in Ordnung war. Inzwischen ist vieles anders, ich hab einfach mit mehr Punkten, die es zu bedenken gibt, gerechnet. Dann mach ich mal mein Testdeployment in extra Netz und schau, was passiert und wie es läuft.
  7. Ich bin absolut nicht beleidigt, dass es hier weniger technische Stolpersteine als gedacht gibt, ich hätte diesen Thread jetzt nur viel technischer vermutet. Von daher alles gut. Meine Entscheidungen fälle ich eh selbst, aber bei der Entscheidungsfindung habt ihr mir wiedermal sehr geholfen :) Danke!
  8. Gut, das sind jetzt alles politisch/optische Gründe, die gegen die Internet-Domäne, bzw. gegen eine "sprechende" interne Domäne sprechen. Technisch aber gibt es jetzt nichts wirkliches gegen die Verwendung der externen DNS-Domäne als interne Domäne zu nennen? Irgendwelche Nachteile bzw. (massiver )Mehraufwand, wenn ich dann XYZ implementieren will? DA wurde ja schon genannt, aber sonst ist die Argumentation überraschend wenig technisch (was ja auch in Ordnung ist, ich hätte nur mit mehr offensichtlichen Fehlerquellen gerechnet).
  9. Direct Access ist bei uns kein Thema. Remotezugriff gibt es nicht (abgesehen vom Chef und mir, und da läufts über den VPN-Client der Firewall). @Nils: Dein Punkt von Nils ist interessant, daran hätte ich gar nicht gedacht. Soweit ich das abwägen kann, kann ich die Variante "Firmenverkauf" bzw. "Umfirmieren" bei dem Unternehmen ausschließen, Zumindest für die nächsten 15 Jahre, bis der Chef und Gründer in Pension geht :) Was mich interessieren würde: wie schaut dann so ein abstrakter Domänenname aus? Kannst du mir ein Beispiel nennen, ohne einen Kunden preiszugeben? Gibt es sonst noch technische Einschränkungen, wenn man sich gegen eine Subdomain entscheidet? LG und Danke Johannes
  10. Danke schonmal für euer Feedback. Gibt es relevante Nachteile, wenn man die Internet-Domäne ohne Subdomain verwendet? Mir fällt auf die Schnelle nur zwingendes Split-DNS ein, damit alle Einträge von Domain.tld auch intern sauber aufgelöst werden. In meinem konkreten Fall sind das genau 8 DNS-Einträge, die sich auch nie ändern - der Aufwand ist also überschaubar.
  11. Servus Kollegen, nachdem ich jetzt viele Jahre lang kein AD mehr anlegen musste, trifft es mir nun in Bälde wieder. Eine komplett neue Domäne mit Server 2016, die Clients derzeit noch Windows 7, werden dann aber entweder auf Windows 10 oder Terminal Server portiert. Es gibt nur einen Standort, es wird nicht expandiert, keine zusätzlichen Niederlassungen usw... Früher haben wir ja immer .local oder .int angelegt, mittlerweile wird davon ja abgeraten, u.a. weil öffentliche Zertifizierungsstellen keine Zertifikate mehr ausstellen für unroutebare Domains, und es dann nat. Probleme gibt mit Exchange, usw... Derzeit läuft ein Linux IMAP Server, und das wird auch Mittel- bis langfristig so bleiben. Exchange kann ich mir derzeit nicht vorstellen, da es hier auch wirklich gewünscht ist, Mail und Windowsuser getrennt zu halten. Sonst ist das Netz nicht sehr aufregend. 1-2 SQL und sonst nicht, was erwähnenswert wäre. Die Benutzer sind durchnummeriert, ein namentliches anlegen ist hier auch nicht gewünscht. D.h. so Eleganzen wie ein der E-Mailadresse gleichgestellter UPN zum Anmelden ist hier auch nicht gewünscht. Was meint ihr, wie geht man hier am Besten vor? Soll ich einfach den Namen der externen DNS-Domäne verwenden und wie gewohnt mit Split-DNS arbeiten? Oder doch besser eine .local und fertig? Was gibt es noch zu Beachten, bzw. welche Erfahrungen habt ihr da gemacht? LG und Danke Johannes
  12. Davor steht ein Barracuda Spamfilter, auf allen Kisten läuft Sentinel One. Von daher ist die fehlende Malware Protection jetzt kein Beinbruch. Trotzdem soll die wieder eingeschaltet werden, um bestmöglich geschützt zu sein.
  13. Guten Morgen Kollegen, ich habe gestern einen Kundenserver troubleshooten müssen, der auf einmal keine Mails mehr zugestellt hat. Es ist ein Exchange 2016 auf einem Server 16, CU11 und Patches auf den Tag aktuell. Nach kurzer Suche hab ich bei den Mails in der Queue folgenden Eintrag gefunden (aus dem Gedächtnis): LastError: Die Nachricht wurde vom Kategorisierungs-Agenten zurückgestellt Ich hab dann testweise "Disable-AntimalwareScanning.ps1", sowie in der PS "Set-MalwareFilteringServer -Identity servername -BypassFiltering $true" ausgeführt, und die Nachrichten wurden sofort zugestellt. Ich bin mir jetzt nicht ganz sicher, welcher der beiden Befehle nun gewirkt hat, bzw. ob hier das Ergebnis nicht das gleiche ist. Das war mir gestern um kurz vor 22.00 dann egal :) Laut meinem Kunden wurde nichts geändert (das glaube ich ihm auch). Den Malwarescan am Server hätte ich schon gern wieder aktiviert. Im Eventlog finde ich Fehler wie: FIPFS 1106: The FIP-FS Scan Process failed initialization. Error: 0x80010105. Error Details: Ausnahmefehler des Servers. FIPFS 1127: The FIP-FS Filtering Management Service was unable to acquire a scanner within the specified timeout. The process will be terminated. Application Error 1000: Name der fehlerhaften Anwendung: scanningprocess.exe, Version: 15.1.1591.12, Zeitstempel: 0x5bf8cf02 MSExchange Antimalware 5801: The anti-malware agent encountered an error while scanning. MessageId: [...] Error: Microsoft.Filtering.ScanAbortedException: Eine Ausnahme vom Typ "Microsoft.Filtering.ScanAbortedException" wurde ausgelöst. Ich bin mir jetzt nicht ganz sicher, wie hier weiter vorzugehen ist. Da ich hier zum Warten/Probieren immer nur kurze Zeitfenster zur Verfügung habe, wär ich über den einen oder anderen Tip dankbar. LG Johannes
  14. Super Antwort, genau das wollt ich hören :) Danke Norbert!
  15. Servus Kollegen, müssen die per KMS bedienten Clients in der gleichen Domäne sein wie der KMS-Server, oder ist das egal? Hintergrund ist, dass ich hier eine Domäne habe, die bald ausläuft, und parallel neu aufgebaut wird. Inzwischen wird aber Office ausgerollt und per KMS lizenziert. Die Clients werden dann in die neue Domäne migriert. Am elegantesten wäre nun für mich, wenn ich den KMS auf dem DC der neuen Domäne mitinstallieren könnte. Beste Grüße Johannes
  16. Servus Kollegen, ich habe hier ca. 100 Clients, verteilt auf 2 Stockwerke, dazu einiges an IP-Telefonen. Der Plan ist, zuerst die Telefone zu vereinheitlichen (können alle PoE), und danach peu à peu die Clients auf Terminal Server umzustellen. Die präferierten Thinclients können auch PoE, und jetzt drängt sich der Gedanke auf, alle Geräte über PoE zu betreiben. Hierzu müssen die nicht PoE-fähigen Switche getauscht werden. Was sich im Budget deutlich bemerkbar macht, ist die Stackingfähigkeit der Geräte, da geht es gleich mal um einen Faktor, nicht um einen Prozentsatz. Jetzt stellt sich mir die prinzipielle Frage, ob sich der finanzielle Aufwand lohnt, oder ob es nicht wirklich genügt, die 6 Switche (3 pro Stock) einfach nur per Uplink zu verbinden? Das hätte auch den Charme, dass eine Cold-Standby Unit auch vion nicht versierten Kollegen im Ernstfall eingebaut werden könnte. Was meint ihr? Ich bin gerade recht froh, dass das Projekt keine Eile hat... LG und Danke schon im Voraus für euren Input Johannes
  17. Servus Kollegen, für einen Kunden suche ich eine kleine Winodws 2016 VM, die auf einem IIS eine selbstentwickelte Applikation hostet. Die Zugriffe schwanken sehr stark, sodass der derzeit verwendete vServer (2C, 4GB) teilweise sehr stark ins strudeln kommt. Einfach einen stärkeren vServer möchte ich hier aber aus Effizienzgründen nicht anmieten. Ich glaube, unter Azure gibt es die Möglichkeit, einer VM dynamisch die benötigten Resourcen zuzuschanzen? Falls ja, wo/wie findet man das, bzw gibt es hier einen Link? Bin natürlich auch für Alternativen offen. Plattenspeicherbedarf ist minimal, <1GB, 4GB RAM sollten auch genügen, wichtig sind Cores, da die Applikation viele Kalkulationen macht. Beste Grüße Guybrush
  18. Servus Kollegen, ich arbeite mich gerade in den 2016er Essentials ein. Ich habe das lokale AD mit meinem Office365 Account connected, und meinen 2 Usern die beiden Mailboxen aus dem O365 zugewiesen. So wie ich das jetzt verstanden habe, sollte folgendes passieren: - Der User meldet sich an der Win10 Maschine an, und muss sein Passwort ändern (ist passiert) - Dieses neue Kennwort wird auch dem O365-User zugewiesen, uns zwar sofort (ist nicht passiert, O365 Account hat noch das alte Kennwort) - Beim Anmelden am Win10 Client sollte das dort schon installierte Office 2016 sich automatisch mit dem O365 Account verbinden (ist nicht passiert) - Office 2016 und Onedrive Business sollten sich auch automatisch verbinden bzw konfigurieren (ist nicht passiert). Meine Frage ist nun, ob ich hier grundlegendes falsch verstehe, und somit auf Features warte, die es so gar nicht gibt, oder ob ich es richtig verstanden habe, aber es nicht richtig läuft? Lg und Danke Johannes
  19. Servus Kollegen, zum Aufbau einer PoC-Installation bräuchte ich ein paar Lizenzen wie 2016er Standard, Office 2016 Standard, Visio 2016 Standard, ... Den Server gibts ja glaub ich in einer 180 Tage Testversion. Office und Visio aber nicht? Hintergrund: Ich möchte eine Terminalserverumgebung bei uns im Lab installieren. Die Installation soll ordentlich dokumentiert werden, um dann bei positivem Entscheid der GF ein Produktivsystem zu installieren (und v.a. zu lizenzieren - derzeit ist mein höchter Stand 2008R2 und Office 2010). Da es hier keine dezidierten Ressourcen gibt, müsste ich mir die Mitarbeiter vorzu schnappen, um sie dann ein paar Stunden oder so auf dem TS arbeiten zu lassen. Ihr Feedback wird dann eingepflegt, bis ich ein funktionierendes System habe. Wo bekomme ich nun Office und Visio her, gibt es hier eine Testversion für den Zeitraum? Welche Alternativen gäbe es hier? LG und Danke Johannes
  20. ... und im november dann endlich fertig gewesen?
  21. Gerade gestern bei besagtem IDE-Kunden gefunden, lag auf der Fensterbank :) BTW: Den Channel liebe ich: https://www.youtube.com/channel/UCLx053rWZxCiYWsBETgdKrQ Der Kerl macht viele Videos mit recht alter Hardware. Letztens hat er einen noch original verpackten IBM PC aus den frühen 80ern geöffnet und in Betrieb genommen. Was für wirkliche Retrofans :)
  22. In dem Fall ist wertvoll subjektiv - dem Kunden ist sehr viel daran gelegen, dass das Ding wieder läuft :)
  23. Weils aus meinem Thread gekommen ist, erlaube ich mir den ersten Post :) Ich fühl mich seit 2 Wochen wie d er EDV-Indiana Jones... Letzte Woche erst hat mich ein Neukunde angerufen, sein PC mit der Buchhaltung geht nicht mehr. Angekommen hab ich dann einen noch nie online gewesenen ME-Rechner mit 17" Röhre gefunden, inkl. defekter IDE-Platte, die jetzt im Datenrettungslabor die Ingenieure fordert. Die Woche darauf ein anderer Kunde, wieder eine defekte IDE-Platte eines Spezialinselrechners (Win2000), der über irgend eine VM eine DOS-Applikation bootet, die dann über eine durschgeschliffene Serielle dann auf einen ungefähr Bierkistengroßen Speicherkartenleser 30 Jahre alte Karten mit einem Basic-Programm beschreibt (die Karten haben angeblich 4k) :) @IDE: man hat ganz vergessen, wie es ist, in alten Kisten nach nem Jumper zu wühlen, weil sonst die Platte nicht erkannt wird.... :)
  24. Kann mich noch erinnern, als ich mal als junger Techniker eine serielle Karte in eine NT4 Kiste einbauen und installieren musste. Das grenzte damals schon an Folter :)
×
×
  • Create New...