Deatheye

Hast Du schon herausgefunden woran dies liegt? Ich habe das selbe Problem.

Hallo zusammen

Ich versuche eine RDS infrastruktur aufzusetzen die an Kunden vermitet werden soll die selber keine Investitionen dafür tätigen können / wollen.

Nun habe ich mir einige gedanken über die Ordnerumleitung und Quota gemacht und sehe da im moment ein Problem für das ich bis jetzt keine wirklich brauchbare Lösung fand.

Der Kunde soll natürlich auswählen können wieviel Datenspeicher die Benutzer zur verfügung haben. Die Fileserver quota Einstellungen scheinen aber soweit ich das sehe nur auf Ordner und nicht auf Benutzer / Gruppen einstellbar.

Jeden Benutzerordner einzeln eine Quota zu setzen erscheint ziemlich fehleranfällig und aufwändig.

Hab ich da was übersehen? Hat jemand ne Idee wie man damit am besten umgeht?

Mich hat gerade der Begriff Instanzen irritiert.

Hab mich verlesen und "Instanz" (Singular) gelesen was unschön gewesen wäre ^^'

Vielen Dank. Ich glaub ich muss mich da mal wieder einlesen musste mich zu viele Jahre nicht mehr mit der Lizenzierung rumschlagen ^^

Das beantwortet meine Frage. Vielen Dank.

Hallo zusammen

CAL

Szenario:

1 x physisch 2008R2 Enterprise

4x virtuell 1008 R2 Enterprise

Abgedeckt durch die Enterprise Lizenz

Wie sieht das nun mit den CALs aus? Zählen die 10 mitgelieferten CALS für jede der Instanzen?

Müssen Zusätzliche CALS für jeden der 5 Server gelöst werden?

Beispiel: 15 User die Zugriff haben 25 (5x5 CALs)? Oder nur 20 CALs da auf dem physischen nur Hyper-v läuft und kein Client Dienst? Oder doch nur 5 CALs?

External Connector

Einmal die selbe Frage im Bezug auf virtuelle Systeme. Für welche System genau wird der benötigt? Physisch, virtuelle, beide?

Und sehe ich das richtig:

Ein Kunde setzt einen public WLAN AP für Kunden ein. DNS und DHCP werden von Windows zur verfügung gestellt. Daher External connector nötig?

hmm Ok danke für die Antworten. Ich war in der Hoffnung, dass es sowas wie ein Domain alias Namen gibt damit man in nur einer Zone die Einträge machen kann und diese dann automatisch für andere Domains auch gültig ist.

Mit scripting von DNS Srever Settings kenn ich mich 0 aus. Werd dann wohl doch wie zuerst geplannt die Einträge mal von Hand erstellen für die verschiedenen Zonen und mich später drum kümmern.

hmm ok ich dachte es währe klar so. Ich versuch's nochmal.

Ich habe mehrere Domains domain1.tld domain2.tld domain3.tld etc.

Eine Webseite soll über alle Domains erreichbar sein. Jeweils mit der Bezeichnung http://www.domain1.tld'>http://www.domain1.tld http://www.domain2.tld'>http://www.domain2.tld http://www.domain3.tld etc.

Wie regle ich am besten die DNS Einträge dafür?

für jede Domain eine Zone erstellen, Sekondäre Zone einrichten www a record erstellen gibt einen relativ grossen aufwand. Vor allem falls dann auch mal die IP für http://www.domain1.tld http://www.domain2.tld etc ändern müsste diese überall wieder korriegert werden.

Das ganze sollte so gemacht werden das sowohl zum erstellen als auch bei änderung der Einträge möglichst wenig Aufwand betrieben werden muss.

Verständlicher? ^^

Wie seztt man folgendes am besten um:

http://www.domain1.tld

http://www.domain2.tld

http://www.domain3.tld

etc.

Gibt es ne Möglichkeit ohne für jede domain eine eigene Zone zu erstellen und sämmtliche Einträge in jeder Zone zu erstellen und warten? Der Aufwand währe ja enorm.

Ich kann lokal vom SCVMM aus auf die Konsole zugreifen Remote jedoch nicht.

Remote erhalte ich die Meldung:

Der Zugriff auf den VMM-Verwaltungsserver "scvmm2012" ist nicht möglich.

Wenden Sie sich an den Virtual Machine Manager-Administrator, um zu überprüfen, dass Ihr Konto Miglied einer gültigen Benutzerrolle ist. wiederholen Sie dann den Vorgang.

ID1604

 

mpsreports ausgeführt auf dem SCVMM Server gibt keinen Hinweis auf einen Verbindungsversuch.

Netzwerkmonitor auf dem Remoteclient ausgeführt zeigt Verworfene Pakete an durch den Hyper-V Server auf dem die virtuelle Installation mit dem SCVMM Server ist.

Eventlog auf dem Hyper-v Server zeigt folgendes an:

ID4 Quelle Security-Kerberos

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "SCVMM2012" empfangen. Der verwendete Zielname war SCVMM/SCVMM2012. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.tld) von der Clientdomäne (domain.tld) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Hallo zusammen

Bei einem virtuellen Server mit einer passtrtough disk hat sich das Laufwerk verabschiedet. Inzwischen wurde ein neues Laufwerk zugewiesen und die Daten wiederhergestellt. Leider scheint irgendwie der Ursprüngliche Laufwerksbuchstabe noch immer irgendwie reserviert zu sein. Da auf dem Laufwerk Installationsdatenträger, Freigaben und Datenbanken waren die über den Laufwerksbuchstaben angesprochen wurden müsste ich wieder den selben Buchstaben für das neue Laufwerk zuweisen wie für das alte er steht jedoch nicht zur Verfügung in der Datenträgerverwaltung.

Ich habe bereits versucht den Laufwerksbuchstaben freizugeben indem ich die Einträge in der Registry unter HKLM\system\MountedDevices gelöscht habe und den Server neu gestartet. Kein erfolg.

Auch das ändern des Eintrages \DOSDevices\F: auf \DOSDevices\K: und ein anschliessender reboot haben nichts dran geändert. Nach dieser Einstellung war der Laufwerksbuchstabe K: weiterhin auswählbar F: jedoch nicht.

Was übersehe ich? Versuche ich die Freigabe am falschen Ort in der Registry?

Fast keiner der Kunden die ich bis jetzt hatte leisten sich ein offizielles Zertifikat. Die meissten benötigen keinen Remotezugriff auf Exchange, von den wenigen die den Zugriff möchten leistet sich nur der kleinste Teil ein richtiges Zertifikat. Ich weiss ja nicht in was für ner Umgebung Du arbeitest aber ich mache in all den Jahren mit KMU nur die Erfahrung, dass die meissten die Einstellung "Geiz is geil" zur Perfektion treiben.

Falls du da weniger Probleme hast gratuliere ich dir. Würd mir wünschen auch mehr solche Umgebungen zu haben wo nicht wegen 20 Euro auf der Rechnung ein 1 Stunden gespräch mit dem Kunden geführt werden muss ob er die nun zahlt oder nicht...

Das bedeutet die meissten benötigen diese Arbeit jedes Jahr.

Ich habs jetzt mal über die MMC gemacht, ging kurz und schnell. Das einzige Problem war noch das die Domäne irgendwie ne macke hatte. Nach nem crash vor einigen Monaten spackte der erste DC rum. Beim verteilen auf die Clients gab's daher Probleme, dass die GPO irgendwie da war (in der Verwaltung sichtbar) aber nicht im sysvol Verzeichnis daher nicht auffindbar. Kurzerhand den alten demotet und alle FSMO Rollen verschoben dann war's kein Problem mehr. Funzt wunderbar, Outlook ist endlich zufrieden.

Ich würd mich trotzdem noch über ein Script freuen. Nach cirka 5h muss ich allerdings sagen das mir die Lust vergangen ist da weiter rumzuwerkeln.

Falls jemand gerade die Lösung parat (per shell export) hat wär ich dankbar.

Bei 5 Jahren is es klar, dass es sich noch weniger lohnt der aufwand. Mich würds aber echt wunder nehmen wie es gehen würd. Kann doch nicht sein, dass überall über den export per Shell geschrieben wird aber danach der import in ner GPO nicht funktioniert. Vor allem geht das einte Beispiel ja explizit auf das ein was ich wollte aber klappt trotzdem nicht.. naja.

Danke jedenfalls für deine Mühe :D

Managing exchange certificates (Part 2)

Gerade gefunden auch dort wird der Export mit Private key ausgeführt. Ist eigentlich genau das was ich machen möchte Import funktioniert aber immer noch nicht.

Wenn es wirklich keine gute Idee ist den Private key zu exportieren udn auf die Clients zu verteilen frage ich mich warum es dort auch so gemacht wird...

Mir geht's darum ein Script vorzubereiten um bei diversen Kunden in zukunft die Aufgabe durchzuführen. Also nicht um mehrere Exchangeserver in einer umgebung.

Im moment teste ich es in meiner privaten umgebung. Da leg ich mir sicher kein teures Zertifikat zu ;)

Usually a PFX file will have a password associated, so scripting usually isn't a great option due to that. Having a PFX without a password isn't secure and pretty much negates the security of the certificate

Der Export iwrd mit Passwort ausgeführt.

wieso startest du nicht einfach ne Zertifikats-MMC auf dem Exchangeserver?

Dann wärs's ja zu einfach O_o ;)

Wie bereits oben geschrieben will ich ein script daraus machen für weitere Exchange Server.

Ausserdem brauchen deine Clients den private Key des Servers wohl eher nicht. ;)

? Tatsächlich? Ich hab ehrlich gesagt keine Ahnung wofür der Private Key benötigt wird. Allerdings wird er über die shell standardmässig exportiert. Wenns ne Option gibt das zu deaktivieren toll. Leider finde ich sie nicht.

Oder willst du mir sagen ich exportiere nur den Private key, somit währe das ganze sinnlos? Bin gerade etwas verwirrt ^^

EDIT: Damn... Import geht nicht in GPO. Dateityp nicht erkennbar... .PFX müsste aber eigentlich importierbar sein...

It might fail coz when you created the certificate, you might have forgotten to mark it as exportable...

 

There is a parameter that we need to include while generating a new certificate request "-PrivateKeyExportable $True"

Export funktioniert jetzt schon mal:

$file = Export-ExchangeCertificate -Thumbprint ****** -Password (Get-Credential).password

Set-Content -Path "c:\Exchange.pfx" -Value $file.FileData -Encoding Byte

Hallo zusammen

Systeme: Windows Server 2008 / 2008 R2, Windows 7 64 bit, Exchange 2007, Outlook 2010

Outlook Meldet nervt schon lange mit nem Sicherheitshinweis beim starten.

Einerseits ist das Zertifikat abgelaufen, andererseits ist es von einer nicht Vertrauenswürdigen Quelle (da self signed).

Ich habe inzwischen das Zertifikat erneuert. Nun wollte ich versuchen das Teil zu exportieren und über AD zu verteilen.

Der Export soll über die Verwaltungsshell gehen, da ich gerne am Schluss ein Script erstellen möchte das für die Zukunft möglichst automatisiert läuft.

Mein Versuch bis jetzt sieht so aus:

Export-ExchangeCertificate -Thumbprint ********* -Password (Get-Credential).password

Allerdings erhalte ich so eine Fehlermeldung:

Export-ExchangeCertificate : Der Zugriff auf den privaten Schlüssel ist nicht möglich, oder er kann nicht exportiert werden, weshalb das Zertifikat nicht als PKCS-12 exportiert werden kann.

Ich habe inzwischen auch ein Video gesehen in dem der Export über GUI getätigt wurde. Dort wurde der Private schlüsse vom export ausgeschlossen. Allerdings finde ich nciht heraus wie dies über die Shell funktioniert.

Bin ich auf dem richtigen Weg oder total daneben? ^^

Am Import über AD / GPO konnte ich mich bis jetzt daher noch gar nicht versuchen.

Ich hab's, endlich. Irgend ein Vogel fand es lustig auf dem Domänencontrollern in Builtin\users nt-authority\autenticated users und nt-authority\interactive zu entfernen.

Ich glaub ich besorg mit nen baseball schläger und frag mal wer das war...

Danke, wusste leider nciht wie das Wartungscenter auf english heisst :D

Beim Windows Update poste ich glaub ich noch kurz ein screen. Irritierend finde ich, dass es unter XP ja zu funktionieren scheint, zumindest gab es da nie recklamationen, dass das Update Icon angezeigt wird. Bei Windows 7 nun eben schon. Und die Benutzer sollen ja Updates installieren können, halt nur durch "Herunterfahren udn updates installieren".

EDIT: Hab's jetzt mal eingestellt, mal schauen. Wollte es eigentlich mit nem Benutzer testen leider hat der irgendwas gemacht und dadurch die Updates und shutdown unbewusst ausgelöst. Was eigentlich darauf hindeutet das dies noch wie gewünscht klappt. Da es aber unbewusst war dauerts wohl noch ne weile bis ich es defintivi weiss.

Vielen Dank jedenfalls. :D

Hallo

Wir haben unsere ersten Windows 7 Systeme die in Domänen integriert werden.

Momentan habe ich damit folgende Probleme:

Das Wartungscenter bringt ständig meldungen, was den Benutzer irritiert und da er da eh nichts machen kann, wollen wir die Benachrichtigung da eigentlich abschalten. Ich finde aber in den GPOs keinen Punkt "Wartungscenter" Wo stellt man das ab?

Windows Update läuft über WSUS, die integration hat an und für sich ohne Änderungen an den GPOs funktioniert. Nur wird auf Windows 7 im Tray Icon bereich das Windows Update angezeigt. Unter XP haben wir dies abgeschaltet. Wie können wir das unter Windows 7 auch abschalten. Der Benutzer soll lediglich über den Herunterfahren Button die Möglichkeit haben Windows Updates ausführen zu lassen.

Doh, musste gerade intern nach schauen was das genau war, gerade zufällig hier drüber gestolpert. Wir hatten das damals nur einmal. Nach zwei weitern Monaten ohne jemals nochmal einen unerwarteten reboot zu haben haben wir den Fall intern abgeschlossen.

Wir haben also nie wirklich herausgefunden was da genau passiert ist und es passierte bei uns nur einmal.

Bei Euch das Problem öfters aufgetretten? Inzwischen behoben? Oder wie bei uns nicht öfter aufgetretten?

Ich kann nur noch nachschauen was das System im moment für ne Hardware hat. Falls allerdings seit dem die HDDs in ein anderes Server gehäuse eingebaut wurden sehe ich das nicht. Könnte also sein, dass zum damaligen Zeitpunkt auch andere Hardware war.

Supermicro X7DWN+

1x Intel Xeon E5405

4 x 2 GB DDR 2 ECC PC2-5300

Ich komme der Sache langsam näher. Scheint als läge das Problem bei den DCOM Sicherheitseinstellungen, warum auch immer.

Warum renn ich immer in solche Probleme rein ;_;

EDIT:

Leider scheint es nciht genau das selbe Problem zu sein wie unter http://omgili.com/newsgroups/microsoft/public/dataprotectionmanager/3CFD52EF-1477-4A98-8346-2721FCC813E2microsoftcom.html beschrieben.

Den Backup-Server zu DCOM: Machine Access Restrictions... & DCOM: Machine Launch Restrictions... löst bei mir das Problem nicht (vor allem ist dor ja auch "Distributed COM-Benutzer" eingetragen, DPM-Server ist dort wiederum Mitglied).

Den Backup-Server der Gruppe Domänen-Admins hinzuzufügen hingegen schon. An und für sich würde ich gerne darauf verzichten aber ich finde keine weiteren Hinweise mehr welche Rechte den nun genau wo falsch sind.

Im Verlaufe des Tages fand ich auf dem DC folgende Meldung im System Log:

Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/FQDN; WSMAN/DCNAME.

 

Zusätzliche Daten

Empfangener Fehler: 8344: %%8344.

 

Benutzeraktion

Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.

Da ich absolut keine Idee mehr hatte was ich noch probieren kann um das eigentliche Problem zu beheben habe ich diesen Fehler mal angeschaut und behoben.

Interessanter Weise habe ich nun das erste Mal Fehlermeldungen auf dem DC betreffend DPM im Application log:

Fehler beim Generieren des Aktivierungskontextes für "\\sdpm01\d$\Daten\DPM\DPM\Setup\ConfigureScp.exe". Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"" konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Fehler beim Generieren des Aktivierungskontextes für "\\sdpm01\d$\Daten\DPM\DPM\Setup\ConfigureScpTool.exe". Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"" konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Im moment bin ich völlig verloren. Ich weiss nciht ob dies wirklich einen Zusammenhang hat oder reiner Zufall ist.

Schon beim beheben des SPN Problems ging's in Bereich von denen ich so gut wie 0 Ahnung hatte. Diese Fehlermeldungen sagen mir nun wirklich absolut gar nichts mehr und ich versteht nichtmal warum diese EXE-Dateien ausgeführt worden sind. Bis jetzt konnte ich es abgesehen vom direkten ausführen nicht reproduzieren.

Über Google hab ich auch keinen hinweise auf diese Dateien gefunden :/

Ich versuche nun seit Tagen DPM 2007 dazu zu bringen den DC zu sichern. Im Agent-Status übersicht sehe ich aber immer nur den schönen Fehler 270:

Version von Schutz-Agent: 2.0.8861.0

Fehler: Data Protection Manager-Fehlerkennung: 270

Fehler beim Agent-Vorgang auf DC.domain.ch, da keine Kommunikation zwischen DPM und DPM-Schutz-Agent möglich war. Der Computer wird möglicherweise durch einen anderen DPM-Server geschützt, oder der Schutz-Agent wurde auf dem geschützten Computer deinstalliert.

Empfohlene Aktion: Überprüfen Sie Folgendes, um das Problem zu beheben:

1) Wenn der Agent nicht mehr auf dem Computer installiert ist, entfernen Sie die auf dem Computer vorhandenen geschützten Datenquellen aus dem aktiven Schutz. Entfernen Sie dann im Aufgabenbereich 'Verwaltung' auf der Registerkarte 'Agents' den Eintrag des Computers.

2) Ist der Agent nicht auf dc.domain.ch installiert, führen Sie 'DpmAgentInstaller.exe' aus, und geben Sie diesen DPM-Computer als Parameter an. Ausführliche Informationen finden Sie im DPM Deployment Guide.

3) Führen Sie das Tool 'SetDpmServer' auf dem Computer aus, um den Computer korrekt mit diesem DPM-Server zu verbinden. Informationen hierzu finden Sie in der Hilfe. Wenn der Computer durch einen anderen DPM-Server geschützt wird oder der Schutz-Agent deinstalliert wurde, können Sie den Eintrag des Computers vom DPM-Server entfernen.

4) Sie können den DPM-Agent mit der Systemsteuerungsoption 'Software' auf dem ausgewählten Computer deinstallieren. Entfernen Sie dann in der DPM-Verwaltungskonsole im Aufgabenbereich 'Verwaltung' auf der Registerkarte 'Agents' den Eintrag des Computers.

Falls der Computer von einem anderen DPM-Server geschützt wird oder der Schutz-Agent deinstalliert wurde, können Sie den Eintrag des Computers auf diesem DPM-Server entfernen.

Entfernt den Computereintrag auf diesem DPM-Server.

Ich hab den Agent schon x mal neu installiert, immer mit dem selben Resultat.

Heute habe ich auch die Gruppen im AD gelöscht (DPMRADCOMTrustedMachines, DPMRADmTrustedMachines) und den DPM-Server aus der Gruppe Distributed COM-Benutzer im AD entfernt.

Agent deinstalliert

System aus dem DPM Server entfernt

Reboot des DCs

Nochmal die installation von vorne und wieder Error 270.

Die Domäne hat zwei DCs und einen beidseitigen Trust zu ner zweiten Domäne.

Windows Firewalls sind intern abgeschaltet (hab auch schon den Dienst deaktiviert auf dem DC...).

Ansonsten hab ich's geschafft auf 2008er Servern den Agenten zu installieren.

Gibt's keinen Dankeschön button? :D

Danke jedenfalls auch :D

Langsam komme ich der Sache näher, hoffe ich zumindest. Bin noch nciht ganz durch aber das sieht schon langsam vielversprechend aus:

The Windows SBS Manager service (DataCollectorSvc) does this for you based on the group membership in WSUS that you have chosen for your machines. For more info on this, have a look at The Official SBS Blog : Update Services in SBS 2008

Hallo zusammen

Wir kämpfen gerade ein bisschen mit dem WSUS auf SBS08. Bis ketzt trotz langer Suche im Inet und mit hilfe von Büchern leider noch nicht herausgefunden wie WSUS genau funktioniert auf SBS08.

WSUS scheint die Systeme automatisch den bestehenden Gruppen zuzuordnen. Wir haben dabei Probleme die Systeme in Eigene gruppen zu stecken. Obwohl die Systeme dann in dieser neuen Gruppe sind und aus der Original Gruppe verschwand erscheinen sie kurze zeit später wieder in einer der Standardgruppen.

Hier sieht man auch, dass die Systeme automatisch bei gewissen Richtlinien in die Sicherheitsfilterung eingetragen werden.

Wir versuchen momentan für WSUS SBS08 ne Standardinstallationscheckliste zu erstellen und wissen im moment noch nciht ob wir die Standardgruppen behalten wollen oder eigene erstellen. Um dies jedoch zu beantworten müssten wir wissen was genau SBS und WSUS hier anstellen und wie man das verhalten auch erweitern könnte auf weitere OUs / WSUS Gruppen.

Hat sich das jemand schonmal genau angeschaut? Sowohl mti den Sicherheitsfilterungen als auch mit den noch teilweise vorhandenen WMI Filtern habe ich mich noch nie praktisch damit beschäftigt. Kenne die Funktionen jedoch aus der Theorie ein wenig.

Trotzdem konnte ich nirgendwo einen Hinweis darauf finden wie diese Zuordnungen denn nun zu Stande kommen.

WSUS selber ist in den Optionen eigentlich so eingestellt alle Systeme in die Standard WSUS Gruppe "Nicht zugewiesene Computer" zu stecken, was wie bereits erwähnt jedoch nicht gemacht wird.

:schreck: OK das war schon mal ein ****er Fehler. Eigentlich nicht den den ich meinte aber erklärt warum ich teilweise im txt file so riesige Zahlenreihen hatte.. Danke :D

Das Problem warum die Hash werte identisch waren lag daran, dass sämmtliche Dateien die ich prüfte identischen Inhalt hatten und nur nen anderen Namen. -.-

Ich hatte die Ordnerstruktur vor einigen Tagen erstellt um den kopierbefehl zu testen und vergessen, dass ich überall nur identische Daten reingetan habe -.-

Manchmal echt bescheurt woran ich mir die Zähna ausbeise... selber generiert Probleme ...

Vielen Dank nochmal :D

Jetzt das ganze noch erweitern damit es nur daten auf Grund eines bestimmten Datums kopiert ^^