zahni

Es ist schwierig. Wir migrieren in ein neues AD (nicht meine Idee) und wechseln dabei den Anmeldnamen. Es gibt einen Trust mit SID-History via Quest-Software. Das Problem: Die Herrschaften auf der anderen Seite verwenden nicht "HomeShare" zum Mappen vom UserHome, sondern den Inhalt von SamAccoountName, CN, oder ähnlich. Das passt dann aber nicht zu den Namen der User-Ordner, die wir aber noch nicht ändern können. Verstanden? Ich auch nicht. Der DL raubt mir den letzten Nerv. Aktuelle Idee: Den alten Usernamen in ein Extensionattribut schreiben (durch Quest).

Das habe ich mich auch gefragt... :-D: "Name" und "CN" ist also immer identisch,

Hi, da ich in den offiziellen Dokus von MS das irgendwie nicht finde: Kann mir jemand sagen, wozu das Attribut "name" beim Benutzer gut ist? Das ist offenbar vom Inhalt her identisch mit dem "cn" und wird in der GUI immer identisch mit geändert. Da wir gerade in einem Projekt sind, bei dem der Quest-AD-Migrator benutzt wird, bei dem der CN und der SamAccountName geändert werden soll, zeigt es sich aber, dass dieses Attribut scheinbar keine Funktion hat. Es muss also mit CN nicht identisch sein. Wir würden den Inhalt eventuell temporär für etwas Anderes nutzen. Kann man das Attribut überhaupt unabhängig vom CN ändern? In einem Attributeditor lassen sich CN und NAME jedenfalls nicht ändern. Per LDP kommt Error 0x20B1 Das Attribut konnte nicht geändert werden, da es dem System gehört.

Wireshark mitlaufen lassen. Danach solltest Du einen Blick auf den I/O-Graph werfen. Viele TCP-Fehler können das erklären. Ursache? Bei DSL kann es an der Leitung bzw. dem DSLAM liegen. Ich hatte hier auch ewig ähnliche Probleme. Auch durch lange Tickets bei der Telekom wurde dann endlich "auf Verdacht" eine neue Software für "meinen" Port bzw. DSLAM installiert, womit das Problem endlich gelöst wurde. Die Telekom scheint hier Softwareupdate nur bei Bedarf zu installieren und nicht generell. Daher kann jeder Anschluss, trotz identischem DSLAM-Hersteller. mit unterschiedlichen Softwareversionen ausgestattet sein. -Zahni

Soll das ein Test sein, oder warum will man eine VM hier per WDS deployen? Ich würde dort ein Cloning der VM mit Sysprep usw. bevorzugen.

Sowas gibt es doch mit Bluetooth und App, z,.B. lt Google hier: https://www.obd-2.de/shop/fahrzeugmarke/bmw/

Rein technisch kann in einem VLAN jede IP-Adresse erreicht werden, Der IP-Stack macht einen ARP-Request und bekommt die MAC, fertig. Hier kommt es auf die Konfiguration des IP-Stacks an. Ich erinnere mich, dass der IP-Stack von Windows dafür einen Parameter hat und das sich das Verhalten bei neueren Windows-Versionen geändert hat. Mir fehlt leider gerade die Zeit mich damit zu beschäftigen. Ich kann mich an einen "Vorfall" zu Hause erinnern, bei dem ich jede IP-Adresse in meinem privaten LAN erreichen konnte... Falls das Thema sicherheitsrelevant ist: Nicht machen.

Neben dem Virenschutz solltest Ihr mindestens eine geeignete Applocker-Policy ausrollen. Die ist u.U. wirkungsvoller als ein Virenscanner. Nur ganz kurz: finales Ziel muss sein, dass ein User nur von dort Programme starten darf, wo keine Schreibberechtigung hat. Viren speichern sich meist erst in irgendeinem Ordner des Users und werden dann gestartet. Das Speichern kannst Du mit dem Applocker nicht verhindern, aber die Ausführung. Euer Virenscanner wird dann ein paar Tage später den Virus hoffentlich kennen und entsorgen. Zur Abwehr aktueller Bedrohungen sind Virenscanner meist nutzlos ("Schlangenöl"), da kein verantwortungsvoller Hacker Dir einen Virus sendet, der von einem Virenscanner erkannt wird. Falls Deine Windows-Edition keinen Applocker hat: Mit den SRP erreicht man das Gleiche. -Zahni

Hi, hat zufällig jemand Erfahrung damit? Problem: Unser neue DL nutzt Credential Guard und wir ein paar Java-Anwendungen, die Kerberos-SSO geben einen Tomcat/Websphere machen sollen. Das SSO ist mittels JAAS/krb5loginmodule implementiert. Wie ich leider erst jetzt herausgefunden habe (Google ist nicht immer hilfreich), unterstützt krb5loginmodule die native Windows SSPI-API nicht. Da ist geht nur, wenn man auf die vergleichsweise neue Java-GSS-Implementierung schwenkt. Hier braucht man dann auch kein "AllowTGTSessionKey". Credential Guard verhindert aber die Nutzung von des TGT Session Keys. Nun entwickeln wir nicht alle Anwendungen selber... Kennt sich jemand mit Credential Guard aus? Kann man da irgendwelche Ausnahmen definieren? Wen es interessiert: Die Java-Doku. Dort sind beide Variantenbeschrieben: https://docs.oracle.com/javase/8/docs/technotes/guides/security/jgss/single-signon.html Hier ein relevanter Bug: https://bugs.openjdk.org/browse/JDK-8054026 und die finale Lösung: https://bugs.openjdk.org/browse/JDK-8214079 Die native SSPI-Bridge gibt es im Java also seit 2019. Dank an Euch im Voraus. -Zahni

Ohne das getestet zu haben. https://znil.net/index.php/Batch_RDP_Verbindung_starten_mit_Benutzername_und_Passwort Das könnte man mit einem Powershell-Dialog zur Abfrage von User/Password kapseln...

Wenn ich diese Matrix vom Mainboard richtig lese, werden DUAL Rank x4 RDIMMS nur bis 32 GB unterstützt. Es hängt aber auch von der verwendeten CPU ab. https://www.supermicro.com/support/resources/memory/X11_memory_config_guide.pdf

Ob es bringt, kann ich nicht sagen, es wäre aber mal einen Versuch wert. Setze das Kennwort vom krbtgt-Konto 2x (!) zurück und nach 10 Stunden nochmal. Das Kennwort sollte sicher sein, Du musst es Dir aber nicht merken. https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password Das im Übrigen auch Golden-Tickets ungültig...

Hier ist due Kurzfassung: https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-cname-alias-cannot-access-smb-file-server-share Allerdings würde ich das auf einem DC auch nicht ausprobieren. Den Usern stellt man per Anmeldeskript oder GPO feste Netzlaufwerke zur Verfügung. Niemand, außer Admins, greift bei uns via Explorer und UNC-Path auf eine Freigabe zu. Daher ist ein besonderer Alias auch nicht nötig.

Ja. Das mache ich. Ich vermute eine bestimmte Version der Windows-Updates.

Administrators, zwei der Transaktionslogs SYSTEM. Das Phänomen hat sich bei den jüngsten Windows-Updates nicht wiederholt.

Und jetzt noch Stack und Module bei den einzelnen Threads. PS: Hier wird indirekt empfohlen die HP-Software zu entfernen: https://learn.microsoft.com/en-us/answers/questions/3313816/spooler-subsystem-app-and-high-cpu-usage Ich kenne die aktuelle HP-Software nicht. Erfahrungsgemäß kommt da aber immer irgendwelcher Müll mit, den man tatsächlich nicht braucht. Z.B. irgendwelche App, die den Tonerstand anzeigen, oder so. Sowas fragt dann ständig den Drucker ab und könnte die hohe Last verursachen. Ich würde während des Fehlers auch mal mit netstat prüfen, ob der Server Verbindungen aufbauen will, die nicht mehr antworten (SYN_SENT).

Noch ein PS: Wenn man z.B. einen Syntax-Fehler in der Server.xml hat, beendet sich der Tomcat ganz schnell wieder und beschwert sich dann in der Catalina-Log darüber.

Wenn Euer ELO-Business-Partner sich nicht auskennt, solltet ihr selbigen wechseln.

@ Q Wenn der User lokaler Admin ist, muss man ihm eigentlich keine weiteren Userrechte erteilen. Es sei denn, Euer DL hat irgendwelche anderen Richtlinien Härtungsrichtlinien konfiguriert. Da können wir dann auch nicht helfen. Binde einfach Deinen Business-Partner ein. PS: Der Tomcat im ELO schreibt übrigens Log-Dateien, nur so als Tipp.

Wir setzen auch ELO Enterprise ein. Wenn man einen Domain User nimmt, hat der natürlich keine Domain-Admin Rechte. Das macht man einfach nicht. Wenn es unbedingt sein muss nimmt man den User in die Gruppe der lokalen Admins des Servers auf. Ist die Software etwa auf einem Domain Controller installiert? Der User 1 ist in ELO der Service-User, dessen Passwort in den div. Konfigurationen verdrahtet ist. Je nach Konfiguration von ELO ist der User im AD integriert oder ein interner ELO-User. Wenn er im AD integriert ist, muss den User dort geben und dieses Passwort besitzen. Der User könnte auch der Lokale Admin auf dem Server sin. Falls Kerberos konfiguriert wurde, die Keytab mit einem anderen User erzeugen. Das klappt mit diesem User nicht. Ansonsten wende Dich bitte an einen der Business-Partner von ELO, da ELO keinen direkten Endkunden-Support macht. Machen wir übrigens aus.

Hat der User Schreibrechte in dem Ordner, in der die Anwendung installiert wurde?

Keine Ahnung. Client macht Kollege. Vielleicht hat das was mit LAPS zu tun? Via Struktur Laden kommt nichts bei raus. Komplett leer. Oder irgendein Installer macht Unsinn?

Ich kann auch nicht ausschließen, dass die bei Windows 11 auch passiert. Habe nur gerade keins. Mit irgendeinem Update kam ja auch das seltsame INETPUB-Problem mit rein.

Das einzige was man machen könnte: Den Windows-DNS nicht auf einen externen DNS weiterleiten. Notfalls kann man nur für bestimmte Zonen eine bedingte Weiterleitung einrichten. Zum Surfen muss man einen Proxy-Server einrichten, der dann einen externen DNS verwendet.

An dieser Stelle dann auf Properties und dann auf "Threads" klicken. Welcher Thread macht die Auslastung? PS: Und man dem Thread dann mal den Stack anschauen,