Gulp

Den Bitlocker Teil hab ich wohl übersehen ...... zieht denn ein neu aufgesetzter Client die GPO korrekt, da kann man zu Testzwecken ja eine VM nehmen ..... Grüsse Gulp

Naja, ohne Grunde listet DCDIAG solche Fehler ja nicht auf, wenn auch die Einträge vorhanden sind, heisst das nicht im Umkehrschluss, dass diese auch von allen Beteiligten verwendet werden (können) ........ Da sollte in der Tat aus meiner Sicht ein kompetenter Dienstleister vor Ort mit in die Fehleranalyse einsteigen, das dürfte den Rahmen des Support den wir hier übers Forum leisten können überschreiten. Grüsse Gulp

Das riecht schwer nach Problemen mit DNS, der Zuordnung der Clients zum AD, einem nicht konsistenten AD oder allem zusammen ...... Geht dcdiag auf dem DC, wenn ja was kommt dabei raus? An der Stelle wäre es fahrlässig nicht auf einen Dienstleister hinzuweisen, der vor Ort hinzugezogen werden sollte und sich mit AD/DC Troubleshooting auskennen sollte. Grüsse Gulp

Fehlt zufällig die Gruppe der "Authentifizierten User" bei der GPO unter Sicherheitsfilterung? Hat die Gruppe, falls vorhanden auch das Recht die Richtlinie zu übernehmen unter dem Reiter Delegierung (Button Erweitert unten rechts anklicken)? Grüsse Gulp

Jepp, mach ich bei mir genauso, DHCP und DNS per Windows. IPv4 preferred, da geht allerdings auch WLAN mit allen Clients, Sticks, etc ....... hilft Dir jetzt nix, weiss ich ..... die WLAN Clients sind auch nicht im DNS Rebind Schutz unter Netzwerk/Netzwerkeinstellungen eingetragen - da hab ich jetzt nur die Windows DNS Server drin. Grüsse Gulp

Machst Du DHCP über die Fritte oder über Windows? Grüsse Gulp

Klar, gehen die Updates (und ja WSUS ist ja auch sowas von veraltete Technik, die kein Geld bringt), die Updates heissen auch Windows 11 blabla, aber das Windows 11 heisst halt nicht 11, sondern 10 ..... Die manuelle Änderung im SQL hat im Übrigen bis heute gehalten, dann haben ein paar Clients wider angefangen sich von 11 zurück auf 10 zu nennen ..... hat mich ja doch ein bisschen interessiert, wie lange es dauert bis man es wieder anpacken müsste. Grüsse Gulp

Ich habe mein Testlab jetzt komplett von 2019 auf 2022 migriert, läuft gut und stabil ....... cool war ein InPlace Upgrade eines DC, lief sauber durch, war aber auch kein "komplizierter jahrelang gewachsener" Forest. Direkt notwendig ist es allerdings sicherlich noch nicht, 2019 erfüllt seinen Zweck auch noch und solange es für 2019 noch offiziellen Support gibt und keine Anwendung zwingend 2022 erfordert, könnten höchstens verbesserte Hyper-V Ressourcenauslastung, verbesserte Hyper-V Funktionen etc ein echter Grund sein. Da gilt dann aber wie so oft im Leben: "Versuch macht kluch!" Grüsse Gulp

Jo, ist aber auch nicht jedes Mal wenn der Client sich meldet, hab noch nicht genau geforscht wann genau der Report auch die Änderung des Eintrages antriggert, kann Reboot sein, kann auch ein Timeslot alle x Stunden sein, der /reportnow Schalter löst es defintiv nicht alleine aus. Macht mir aber auch nix, in meinem TestLab ist halt das Management Studio dann immer mit der Tabelle offen, solange das so ist, mach ich natürlich auch nicht jeden Tag. Im Prod gibts noch kein Windows 11, also muss nur das Aufräumen und der Reindex per Skript laufen, das mache ich im Lab meist auch manuell oder nur mit Änderungen am funktionierenden Skript - sonst rostet man ja ein! Grüsse Gulp

Jo, mein WSUS ist aber schon ein Server 2022 ....... also auch 21H2 neuer geht ja kaum ...... und selbst da isses ja (noch) nicht mal eingepatcht ....... warum man auch immer sowas wirklich hardcodieren muss, bleibt mir da ja auch ein Rätsel, aber auch das könnte man ja patchen und sogar vor der offiziellen Freigabe des OS, wenn man denn wollte. .... und ja es ist ja jammern auf hohem Niveau, bei den paar Windows 11 TestClients ändere ich das auch noch von Hand übers Management Studio in der tboComputerTargetDetail, da muss ich nur die 0 gegen die 1 austauschen, geht auch letztlich auch fix genug und genügt meinem oder Oma's Ordnungssinn. Grüsse Gulp

Ich weiss, ändert aber nix daran, dass ich da den Kopp schütteln muss .......... die ganzen neuen OS kommen ja immer so überraschend daher. Grüsse Gulp

Da hat Norbert völlig Recht, das bezog sich nur auf nicht vollständig unterstützte Hardware und die dort verfügbaren (oder eher nicht verfügbaren) Build Upgrades ....... über den WSUS sind in der Tat die Funktionsupdates verfügbar, diese erhalten allerdings auch nicht kompatible Systeme. Ich habe hier einen Fall in meinem TestLab, da hat sich nach 5 oder 6 Installationsversuchen, dann der Client entschieden, dass der das Funktionsupgrade nicht mehr möchte und fordert es seitdem auch nicht mehr an, ein weiterer Client hängt in einer Installationsschleife, startet das Windows 11 Setup und die Systemprüfung, merkt, dass er nicht unterstütze Hardware hat und bricht das Setup folgerichtig ab, lädt das Feature Upgrade aber immer wieder fröhlich herunter, auch nach Löschen des Update Folders und einem Reset des wuauclt ...... strange. Microsoft selbst hat allerdings eine Anleitung veröffentlich wie man Windows 11 installieren kann (auch auf eigentlich nicht unterstützter Hardware - natürlich nur auf eigene Gefahr und mit den von mir bereits genannten Einschränkungen): https://support.microsoft.com/de-de/windows/möglichkeiten-zum-installieren-von-windows-11-e0edbbfb-cfc5-4011-868b-2ce77ac7c70e Was mich allerdings mehr zum Kopfschütteln bringt ist, dass bei mir im TestLab alle Windows 11 System immer noch als Windows 10 auftauchen und es Microsoft wieder einmal nach Windows 10 (wurde ja als Vista erkannt zu Beginn) nicht geschafft hat die OS Builds im WSUS vor der Veröffentlichung anzupassen ...... und das auf nem 2022 WSUS Server ...... gut is nich lebenswichtig, ich weiss aber "Ordnung ist das halbe Leben" hat meine Oma immer gesagt. Grüsse Gulp

Hmm, dann gehen mir die Ideen aus, da lohnt sich wohl oder übel eine genaue und detaillierte Analyse der GPO's und deren Verarbeitung, nicht dass da noch mehr "schlummert" ...... Grüsse Gulp

Bitlocker Feature ist aber installiert? Ich kenne sowas ähnliches nur wenn man in den Windows Einstellunge sucht, und "Bitlocker verwalten" zwar vorgeschlagen, aber eben nicht ausgeführt wird und man halt das Feature nicht installiert hat. Das ist dann aber auch egal ob das ein DC oder Member Server ist, das schaut dann bei beiden gleich aus ...... Grüsse Gulp

Ich für meinen Teil bin mit der Default Domain Controllers Policy sehr vorsichtig und ändere da nie etwas drin, ebenso wie in der Default Domain Policy (einzige Ausnahme dort wären die Kennwort Richtlinien) ..... Per Default gibt es dort keinerlei Bitlocker Konfiguration, das kann ich bei mir auch entsprechend an einer recht frischen DC Installation nachvollziehen und was soll ich sagen, ich für meinen Teil kann auf den DC's alles konfigurieren was ich von Bitlocker will ...... das lässt an der Stelle jetzt leider aus meiner Sicht nur recht wenig Spielraum zum Bewerten der Situation aus der Ferne und führt mich eben zu meinen Vermutungen. Grüsse Gulp

Was zunächst recht klar darauf hindeutet, dass da eine Richtlinie für DC aktiv wird, die die hardwarebasierte Verschlüsselung für Bitlocker vorraussetzt ....... Gleiche GPO geht ja nicht, da DC's immer per Default eine eigene GPO haben, die normale Server eben nicht haben: Default Domain Controllers Policy Grüsse Gulp

Hardwarebasierte Verschlüsselung ist ein Feature eines physikalischen Datenträgers (meist werden die mit dem Zusatz SED - Self Encyrpting Device gekennzeichnet), wenn das der Datenträger nicht unterstützt, aber bei der Bitlocker Konfiguration als Vorraussetzung angegeben wird, ist klar warum es nicht will ........ Bitlocker ist eben eine Verschlüsselung auf Softwarebasis, kann aber durchaus auch SED Hardware verwenden. Grüsse Gulp

Laut allen Publikationen und den Informationen, die von Microsoft kommen, geht Windows 11 auch bei inkompatibler Hardware allerdings derzeit nur per Neuinstallation über ein ISO ...... Security Updates und Updates soll es für den jeweilgen Build dann geben, ein Build Upgrade per ISO oder per WSUS soll nicht möglich sein, auch die Umgehung der internen Prüfung kann jederzeit mit jedem neuen Build von Microsoft unterbunden werden. Windows 11 lohnt daher aus meiner Sicht ausschliesslich für die entsprechende Hardware, zumal ja Windows 10 noch eine Zeit weiter mit Build Upgrades gepflegt wird und keine solchen Einschränkungen hat. Grüsse Gulp

Och die ganzen Windows 10 Prokduktkategorien sind doch sooooo schön übersichtlich und logisch separiert ........ *duckundweg* Grüsse Gulp

Zudem ist und bleibt so die SID ja dennoch von Client zu Client unterschiedlich ..... nur eben beim ausrollen eines Masterimage nicht, wenn man kein sysprep macht. Grüsse Gulp

Liegt daran, dass mich einer vor Jahren schon hinten links in Ecke gekehrt hat, wo die ganzen alten Möbel geparkt sind und ich gerade erst da rausgefunden habe ........ übrigens flackert da in der Ecke die Neonröhre. Ich schnapp mir ein Wasser und verkrümel mich in den Serverraum .... Grüsse Gulp

Klar geht das, stichpunktartig: tüte die Computerkonten in eine Gruppe und verwende die Gruppe bei bei der Sicherheitsfilterung der GPO, dann wirkt die GPO nur bei Mitgliedern der Gruppe. Grüsse Gulp

Ich denke das hat durchaus auch damit zu tun, dass es hier an der beschaulichen Mosel (nein, kein Hochwasser hier bei mir, das was bei uns ist, ist quasi normal für höhere Pegelstände, da ist man soweit möglich vorbereitet) das Großstadtleben noch nicht so überall durchgedrungen ist. Die Alteingesessenen hier auf dem Dorf leben schon gefühlt immer nach dem quid pro quo Prinzip (Ausnahmen bestätigen natürlich wie immer die Regel, aber wie meine Oma immer gesagt hat: A-löcher gibt es überall, nicht nur bei uns im Dorf!), es ist zumindest in meinem Freundes- und Bekanntenkreis noch so. Ich kann nicht sagen, dass ich das unangenehm finde ....... Grüsse Frank

Also, ich habe durchaus noch einen erlauchten Kreis, denen ich helfe, das beruht allerdings auch auf Gegenseitigkeit ...... und die wissen es mir jeweils angenehm zu machen, sei es mit Kaffee, alkfreiem Weizen, gutem Essen etc. Es gibt keine Diskussionen über zu ersetzende Teile oder ähnliches, es gibt keinen Zeitdruck oder so. Umgekehrt kann ich auf Motorsägen, PKW Anhänger, helfende Hände, usw zurückgreifen, damit kann ich gut leben. Merke ich, dass sich jemand aus dem Raster ausklinkt, klinke ich mich ebenfalls aus, bisher hat das so ganz gut geklappt. Stress mache ich mir deswegen aber absolut keinen, ich mache auch nur das was mir noch Spass macht, für andere Dinge habe ich dann eben keine Zeit. Grüsse Gulp

Wieso so kompliziert? Neue VM erstellen, diese zum DC machen, den alten DC depromoten, fertig. Grüsse Gulp