Zenit

Ich habe in Unserem Unternehmen ein Problem mit Unsere OCSP Server, ich verwende einen BizTalk Server welcher Öfters Zertifikats-Überprüfungen durchführt, sehr öfters (nicht immer) ist dieser Server nicht erreichbar, Aktuell vertritt jeder den sandpunkt das auf seiner Seite alles in Ordnung ist. Mein Event log auf meinem W2K16 Server wird mit folgender Fehlermeldung gefüllt: Ich habe in einem Forum folgende REG-Key Option als Lösung gesehen, welche ich auch auf meinem Server Aktiviert habe, nur leider hat mir diese Lösung nichts gebracht, der Fehler ist immer noch vorhanden, das Ziel war die OCSP Stapling Option zu aktivieren, damit mein Server den OCSP Server nicht immer kontaktieren muss. Wen ich den Befehl = certutil -urlcache ocsp ausführe, sehe ich nichts im Sever Cache, die cmd Ausgabe wird mir als **** OFFLINE **** Angezeigt. Nach MS soll das OCSP Stapling ab W2K8 immer Aktiviert sein, was ich ehrlich gesagt nicht ganz verstehen kann. Deshalb kann mir vielleicht einer von euch kurz erklären, wie das OCSP Stapling auf einem Windows W2K16 Server Funktioniert und wie man überprüfen kann das dieser Aktiviert ist? Dafür danke ich euch schon im Voraus herzlichst.

Hallo Niels Nein tatsächlich suche ich eine Lösung mit welchem ich ein Zentrales Drive auf 6 Servern für eine Applikation zur Verfügung stellen kann, diese Lösung wurde aus diversen Performance gründen auf diese Anzahl von Servern verteilt installiert, es werden symlinks erstellt welche aus Sicherheitsgründen nur auf lokale Ressourcen zeigen dürfen, deshalb denke ich das die CSV Lösung ideal zu meinem Projekt passen würde, Erfahrungen müssen wir noch erarbeiten...

Danke euch für euer Feedback, werde das genau so weiter vermitteln.

Hallo zusammen ich habe auf zwei Windows Server 2016 Servern den Failover Cluster Installiert und mit zwei Nodes eingerichtet, da ich leider keine große Erfahrung habe stehe ich jetzt vor meinem Problem, Ich habe eine LUN auf einem NetApp erstellt bekommen, welche ich leider aktuell nur von einem Node iSCSi mit MPIO anschließen konnte, mein Storage Admin ist der Meinung das die LUN nur von einem Host verwendet werden sollte (was ich verstehen kann wegen Datei Korruption), jedoch bin ich der Meinung das für einen CSV immer beide Hosts diesen verwenden sollten, natürlich dann Zugriff auf diese Disk nur über den Failover Cluster als CSV was ich konfigurieren möchte. Mein Problem ist jetzt wen ich meinen Cluster Starte, ich unter Disk keine einzige Disk sehen kann, also ich kann da nichts einfügen als CSV Disk, ich habe aber auch keine Cluster Rolle Installiert, ich dachte nur für eine CSV braucht es keine Rolle in Windows Server 2016, meine Server sind beide Visualisierte (VMware) Windows Server, wie kann ich iSCSi Disks für die CSV Verfügbar machen. Danke euch schon jetzt für eine kurze Aufklärung

Hallo zusammen ich habe zwei Server in unterschiedlichen Zonen (Domänen), welche durch Firewalls getrennt sind, gleichzeitig habe ich in beiden Zonen Storage VLANs welche nur aus den jeweiligen Zonen erreichbar ist, somit Netzwerk bezogen eine Route konfiguriert ist. Mein Problem ist das ich eine Applikation habe welche einen SQL Server und einen NAS benötigt, diese Applikation wurde als Webfarm in zwei unterschiedlichen Zonen aufgebaut und auf zwei Server installiert, da aus Sicherheitsgründen LDAP Zugriffe benötigt werden welche nur im internen Netzwerk möglich ist, wurde eines der Server im internen Netzwerk installiert und einmal in der DMZ, der Zugriff auf den SQL Server welcher auch in der DMZ installiert ist, wurde mit einer Ausnahme aus dem internen Netz zugelassen (Port 1433/TLS). Jetzt muss ich eine Lösung finden um den NAS Zugriff aus dem internen Netzwerk herstellen zu können, ein Zugriff über CIFS SMBv3 auf den Server in der DMZ wurde zugelassen, jedoch komme ich nicht auf den NAS in der DMZ da diese nur aus dieser erreichbar ist. Ich wollte zuerst Standalone DFS installieren, konnte den DFS Share Mappen jedoch erhielt ich immer die Fehlermeldung das auf die Remote Adresse nicht zugegriffen werden konnte, danach habe ich an Symlink (mklink) gedacht und wollte diesen Einsätzen, diese sind jedoch aktuell aus Sicherheitsgründen für Local to Remote durch GPOs gesperrt. Meine Frage an euch ist jetzt, kann mir einer von euch eine Empfehlung oder eine Lösung abgeben bei welchem auf ein verbundenes Netzlaufwerk aus einem entfernten Server zugegriffen werden könnte? Danke schon jetzt jedem für ein konstruktives Feedback.

Hallo Leute Gibt es eine möglichkeit ein W2K16 Container Image auch ohne docker zu erstellen, also auf einen Eigenen Cloud oder ähnliches, würde gerne wissen ob der docker zwingend ist, ist ja nur eine Repository und wurde abgeleitet von Linux, dort ist es ja auch möglich eigene Repositorys zu erstellen, bin für jede Info dankbar. L.g Zenit

Hallo Leute Ich habe IIS FTP Server auf einem W2K12R2 Installert, und mit User Isolation auf Virtualfolder Konfiguriert, ich kann mit FileZilla Problemlos auf diesen FTP Server zugreifen und alles funktioniert genau so wie es sein sollte, dieser Server wird jedoch von einem Linux Server auf welchem SAP läuft per Skript zugegriffen, die Linux Kollegen teilen mir jedoch mit das Sie die Files im Verzeichnis nicht sehen können. Ich habe alles was möglich ist überprüft und weiss nicht mehr weiter, den Verzeichnis Modus habe ich auf Unix umgestellt. Könnt Ihr mir da ein Tipp geben?

Hallo Ich habe ein Service von einer Applikation, welche immer nur mit grossem Aufwand wieder gestartet werden kann, leider jedoch wird nichts brauchbares im Event log geschrieben, was mir helfen könnte den Grund dafür zu identifizieren. Jetzt möchte ich euch fragen ob es eine möglichkeit gibt, einen Windows Service zu Debugen oder in einem Debuger laufen zu lassen, so das der Abhängigkeitsstatus bei einem Start ersichtlich wäre.

Leider hat keiner eine Lösung oder Empfehlung abgeben können, so habe ich jetzt selber eine Lösung welche ich durchführen werde. Nach genauerer Analyse habe ich gesehen das es keine gute Idee ist einen DNS Server Komplet zu removen, auch wenn diverse weitere DNS Server vorhanden sind, die Lösung jedoch ist ganz einfach, ich werde den DNS Server Dienst stoppen, das kann man auch unter Windows 2003. Jedoch vorher muss ich bei den zwei betroffenen Servern, in den TCP Settings einen W2K8R2 DNS Server konfigurieren, und dann abwarten und kaffee trinken eins oder zwei oder vielleicht auch drei.

Hallo Leute Leider habe ich zwei alte W2K3 AD Sever in einer child domäne mit neuen W2K8R2 DC's welche ich noch nicht komplet entfernen kann, und nun habe ich mit diesen alten W2K3 DC's jetzt ein sicherheits problem. 1.) Unauthenticated Dynamic DNS Updates Allow DNS Poisoning Vulnerability 2.) Remote User List Disclosure Using NetBIOS Das komische ist das auf den Neuen W2K8R2 DC Servern werden die DNS Zonen nicht mit dem Problem Unauthenticated Dynamic DNS Updates Allow aufgelisted, Da ich die DNS Server auf den W2K3 nicht mehr benötige, möchte ich fragen ob ich DNS einfach removen kann, jedoch das Active Directory Service solte weiter laufen, ich werde diesen erst später demoten. Nun meine Frage kann ich DNS einfach so entfernen, und diesen W2K3 DC einen von den W2K8R2 DC als DNS angeben? L.g Zen

Die Lösung ist unter folgendem link.. http://support.microsoft.com/default.aspx?scid=kb;de;293655&Product=WWin2000Ger Habs jetzt in einer Virtuellen Umgebung getestet, läuft prima und genau das was ich gesucht habe... Danke to all bye Zen

Dukel Es ist eine high security app auf diesem XP Installiert, Support MA müssen manchmal auf dieses System per RDP zugreifen, jedoch düfen Sie wie gesagt keine Shares mappen können, ich möchte Nur wissen ob ich die lokalen GPO settings spezifizierten Usern zuweisen kann, die lösung habe ich schon, jedoch greift es auf alle User zu, ein GPO in einer OU geht nicht, das wollen Sie nicht.

Das Betroffene XP System ist ein member einer multiplen domänen org, somit könnte der User ein map mit einem account von einer dieser domänen erstellen, deshalb muss ich dem lokalen User die map möglichkeiten entziehen.

nein, ich wollte einen lokalen User auf diesem XP system erstellen, und Ihm dann RDP rechte vergeben

Hallo Leute ich möchte einem lokalem User auf einem XP System, die Netzwerk Map Möglichkeiten unterbinden, das heisst dieser User wird für eine RDP Verbindung verwendet werden, jedoch darf dieser User keine Drive Maps durchführen, Ich werde auch den Internet Explorer sperren, und denke auch cmd, um den net use befehl zu unterbinden, leider muss ich dies mit den lokalen policys durchführen. Wie kann ich das machen, und nur einem bestimmten User diese rechte entziehen? L.g zen

@zahni wir haben keinen WINS Server Der Client sucht sich den DC mit den SRV Einträgen im DNS (Abe der komsich effekt ist, das ich wissen wolte ob das schon jemand bereits verwendet hatte, und nicht das ich euch aufzeige wie sich ein Client im Netz bei der suche eines DC verhält, denke das sollte jeder wissen) Der Client sendet eine DNS-Lookup-Abfrage an den DNS-Server, um Domänencontroller zu finden (bevorzugt im eigenen Subnetz des Clients). Clientcomputer finden also einen Domänencontroller, indem sie einen DNS-Server nach einem Eintrag in folgender Form durchsuchen: _LDAP._TCP.dc._msdcs.Domänenname Ein Computer, der sich an einer Windows-basierten Domäne anmeldet, durchsucht den DNS-Server in folgender allgemeingültiger Form nach SRV-Einträgen: _Dienst._Protokoll.DNSDomänenname Active Directory-Server stellen den LDAP-Dienst (LDAP = Lightweight Directory Access Protocol) über das TCP-Protokoll zur Verfügung.Clientcomputer finden also einen LDAP-Server, indem sie einen DNS-Server nach einem Eintrag in folgender Form durchsuchen: _ldap._tcp.DNSDomänenname Denke das solte jetzt klar sein Du kanst es auch testen in dem Du nltest /dsgetdc: Domänenname Somit wirst Du jetzt besser verstehen was wir vorhaben. L.g Zen

Nein eben nur die SRV Einträge so wie es in dieser KB geschrieben ist, dann ist der DC nur für die Clients nicht mer auffindbar.. http://support.microsoft.com/kb/306602/en-us?wa=wsignin1.0 Windows Server 2003 To configure Windows Server 2003-based domain controllers, use the "DC locator DNS records not registered by the DCs" Net Logon service group policy. To do this, specify the list of the space-delimited mnemonics that are specified in the "Reference tables" section. Active Directory servers offer the LDAP service over the TCP protocol; therefore, clients find an LDAP server by querying DNS for a record of the form: _ldap._tcp. DnsDomainName und wen Du diesen Eintrag ausklammerst werden die Klients diesen DC nicht mehr ereichen, aber wirklich auch nur die Clients, und was will man mehr..

Hallo zahni Sicher darfst Du das :-) Wir haben unsere Umgebung auf Windows 2008 R2 aktualisiert, Nun vor einem Demote der alten DC Server sollte mann die alten DC für die Clients unerreichbar machen,danach wird das Netz analysiert um zu sehen ob etwaige Applikationen hardkodiert diesen DC als Prefered Server konfiguriert haben, so ist es sehr einfach zu identifizieren welche Applikationen wir korrigieren müssten. Bye Zen

Hallo Ich möchte meine alten Windows 2003 DC mit der Reg. DnsAvoidRegisterRecords Entry für alle meine Computer Devices, ausschliessen, und eine gewisse Zeit noch vor dem Demoten laufenlassen, ich möchte euch fragen ob einer von euch bereits Erfahrungen mit DnsAvoidRegisterRecords sammeln konnte? Welche SRV Rekords müsste ich verwenden, wen ich nur den Clients diesen DC unsichtbar machen möchte? http://technet.microsoft.com/en-us/library/cc778029%28v=ws.10%29.aspx Ich wollte folgende SRV Records aktivieren _ldap._tcp. DnsDomainName _ldap._tcp. SiteName ._sites. DnsDomainName L.g Zen

Hallo Leute Heute hatte ich ein Problem für welches mir das Verständnis fehlt, deshalb bitte ich um eure Hilfe. Versuche ich mit Verwendung eines Domänen Accounts eine Freigabe mit IP Adresse von einem Member Server zu einem Member Server zu verbinden erhalte ich die Fehlermeldung, Event ID:529 Category:Logon/Logoff Logon Failure: Reason: Unknown user name or bad password User Name: u_connect Domain: PRO Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: MYSERVER Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: 192.168.2.4 Source Port: 0 Verwende ich jedoch ein Lokales Account vom Member Server, klappt der Map mit IP Error Free, füge ich in der etc\hosts die IP zu einem Host Namen hinzu, und Mappe mit diesem Host namen wird die Verbindung auch durchgeführt, nur mit der IP Adresse in Verwendung eines Domänen Accounts geht es nicht. Was könnte das sein hat einer ein Tipp? Danke und Gruss Zen

ich konnte es jetzt lösen das problem war das der Users Gruppe die Authenticated Users group and Interactive account to the local Users groups fehlten, http://support.microsoft.com/kb/970879 weiss nicht welcher *** das aus dieser AD Gruppe entfernt hat, jetzt geh ich schlafen :-) Danke Dir für deine Antwort

Hallo Leute Habe da ein Problem bei welchem ich nicht weiter komme, wir haben eine Forest Domäne mit diversen Child Domänen, jetzt haben wir in einer unseren Child Domänen eine GPO erstellt mit welchem wir die :Allow users to connect remotely using Terminal Services, mit Globalen Gruppen aus der Forest Domäne berechtigt haben. Das Domain Schema ist W2K8R2 und Forest Schema ist W2K3, nun passiert folgendes Ereignis wen ich mich mit einem User aus dem Forest anmelde, RDP Session startet es kommen alle Standart Meldungen wie unteranderem Prepare your Desktop, danach kommt einfach ein Green Screen ohne Desktop und nichts geht mehr, mit CTRL+ALT+END kann ich mich dann abmelden, den Taskmanager kann ich auch nicht starten, oder ich sehe nichts vom Taskmanager. Es befinden Sich auch noch W2k3 Domain Controller auf diese kan ich mich anmelden, dort jedoch erhalte ich auf jedem der DC's eine Task Fehlermeldung, welches ich wegklicke, und dann bin ich angemeldet, Mit den W2K8R2 Domain Kontrollern klapt das nicht, jedoch wen ich mich Administratoren aus der Child Domain anmelde klappt das Login ohne Probleme auf allen Domain Kontrollern, ich weiss echt nicht mehr weiter und bin für jeden Tipp Dankbar. L.g Zen

Hi Nils Das ist halt der Standard welches Sie in der USA im Enterprise Level definiert haben, ich kann da echt nichts dagegen machen, aber wegen dem Umbenennen meinst Du wirklich das geht problemlos? Ich habe noch in meinem Leben einen DC umbenannt Aber wegen dem Drive change was ist dann in diesem falle die bessere methode lieber demoten/promoten oder im offline Modus mit NTDSUTIL?

Hallo Leute in einer child domain welche sich in einem Internationalen Forest befindet, muss ich auf einem bereits Installierten DC/GC/DNS die folgenden Active Directory Folder vom Laufwerk C:\ auf Laufwerk D:\ Verschieben: Database Folder Log Files Folder SYSVOL Folder gleichzeitig müsste ich diesen DC auch umbenennen, deshalb meine frage betr. wie ich am besten da vorgehen sollte, ich wollte diesen DC zuerst Demoten und dann cka. nach einem Tag dann Umbenennen und wieder zu einem DC Promoten, jedoch würde mich interessieren was Ihr dazu meint, oder ob Ihr vielleicht einen besseren vorschlag hättet, ich weiss nur nicht ob ich DNS auch deinstallieren, und nach dem renamen wieder Installieren und neu konfigurieren sollte. L.g Zen

Danke Nils :thumb1: