Jump to content

-rk-

Members
  • Content Count

    104
  • Joined

  • Last visited

Community Reputation

10 Neutral

About -rk-

  • Rank
    Junior Member
  1. Hallo, ich habe hier eine alte Exchange 2010 CD, mit der muss ich was testen (Schemaerweiterung im AD). Leider habe ich kein CD-ROM Laufwerk mehr. :( Jetzt habe ich Google nach einen Download-Link für ein Ex2010 ISO-Image gefragt und auch Antworten bekommen. Aber leider sind die offiziellen Microsoft-Links alle down oder bewusst nicht im Index und alle anderen Links sind nicht von MS. Kennt ihr noch einen offiziellen Download-Link, der funktioniert? Ich habe eigentlich keine Lust 50 Euro in Form eines externen CD-ROM Laufwerkes für ein einmaliges Problem auszugeben... Edit: Ok. Ich löse mal selbst. Einfach Exchange 2010 SP 3 runterladen und installieren. Ich hatte vergessen, dass die SP's in dem Fall auch für eine vollständige Installation geeignet sind.
  2. Akt 1: Ein Windows 7 Client ist im Corporate-Lan und zieht sich, völlig korrekt, 12 GPOs und wendet die an. Akt 2: Der User und das Notebook verlassen das LAN und reisen in ein 'unfreundliches' Drittland. Es kann normal (lokal) gearbeitet werden. Allerdings stellt sich schnell heraus, dass eine GPO (Bildschirm Auto Lockscreen) im Kontext der Aufgaben des Users richtig Probleme macht und abgeschaltet werden soll. Dabei wird festgestellt, das die entsprechenden Einstellungen in der Systemsteuerung ausgegraut sind, da diese Einstellungen ja über eine GPO gesteuert werden. Darauf hin wird in der Zentrale die GPO entfernt und der Client versucht via VPN ein GPUPDATE /force. Das geht leider schief (kein Connect zu irgendeinem DC). Die Security-Leute ermitteln, dass das 'unfreundliche' Drittland die VPN-Verbindung aktiv manipuliert. Das ist in dem Land auch nicht überraschend. Akt 3: Es gelingt dem User-Admin, der auf den Client mittlerweile via Teamviewer Zugriff hat, NICHT, die GPO zu löschen bzw. ausser Kraft zu setzen. Frage: Wie lösche ich eine bestimmte GPO ohne die anderen GPOs zu löschen und ohne dass sich der Client mit einem DC verbinden kann? Aus dem Internet habe ich nur Lösungsansätze, die ALLE GPO löschen würden. Das ist aber nicht gewollt. Leider konnte der User-Admin auch durch das löschen / setzen entsprechender Registry-Einträge nicht erreichen, dass der User seinen Bildschirmschoner wieder abschalten kann. In der GPO (die ich mit einem PS-Tool ausgelesen habe) steht folgendes drin. Parse-PolFile -Path C:\Registry.pol KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : ScreenSaveActive ValueType : REG_SZ ValueLength : 4 ValueData : 1 KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : ScreenSaverIsSecure ValueType : REG_SZ ValueLength : 4 ValueData : 1 KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : SCRNSAVE.EXE ValueType : REG_SZ ValueLength : 80 ValueData : rundll32.exe user32.dll,LockWorkStation KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : ScreenSaveTimeOut ValueType : REG_SZ ValueLength : 8 ValueData : 300 Wie bekomme ich die GPO vom Rechner bzw. ermögliche dem User, die Settings wieder selbst einzustellen. Der User ist kein Admin auf seinem Gerät.
  3. Danke. Für das Modul smbShare ist der Fileserver zu alt, wie ich feststellen musste. Aber mit Powershell und der Zeile Get-WmiObject win32_share | where {$_.path -like '*\*'} | select -Property name,path hat das auslesen dann funktioniert.
  4. Ich muss (Test-)Umgebungen immer wieder automatisiert aufbauen. Im Rahmen dieses Prozesses muss ich auch Shares so anlegen, wie sie auf einem 'Referenz-Server' vorliegen. Um Shares zu kopieren, kenne ich die Methode, den Zweig HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares zu exportieren, ggf. anzupassen und auf der Zielmaschine wieder zu importieren. Ist das heute immer noch best practice?
  5. Du hast recht. Mehr als Schwarz auf Weiß geht nicht. Nur leider ist die Schrift nicht Schwarz. Sie ist zu 20% Grau (Hex 333333). Schwarz wäre Hex 000000. Der verwendete Font, OpenSans, ist ebenfalls suboptimal weil viel zu schmal und filigran. Damit bin ich mit meinen 2 cent durch. Und es freut mich, wenn du das gut lesbar findest. Ich sehe das komplett anders. Im wahrsten Sinn des Wortes. Wer mag, kann sich diese Seite ja mal mit diesem Chrome-Plugin https://chrome.google.com/webstore/detail/high-contrast/djcfdncoelnlbldjfhinnjlhdjlikmph?hl=de und der Einstellung 'Kontrasterhöhung' ansehen. Dann wird der Unterschied sehr deutlich. AFK.
  6. Zum Design: Danke. Endlich responsiv. Zum Kontrast: geht leider gar nicht. Einer eurer Admins, der die 50 schon überschritten hat und eine Brille trägt möge sich die Seite bitte mal auf einem Flachbildschirm ansehen, der mindestens 5 Jahre als ist. Weitere Hinweise gibt es, leider nur auf Englisch, hier: http://contrastrebellion.com
  7. Hallo, ich habe eine GPO (um Fragen vorzubeugen; von der Firmenleitung so ausdrücklich gewünscht): Benutzerkonfiguration (Aktiviert) Einstellungen Systemsteuerungseinstellungen Lokale Benutzer und Gruppen Gruppe (Name: Administratoren (integriert)) Administratoren (integriert) (Reihenfolge: 1) Lokale Gruppe Aktion Aktualisieren Eigenschaften Gruppenname Administratoren (integriert) Mitglieder hinzufügen NT-AUTORITÄT\INTERAKTIV Die ist mit der Domäne verknüpft und soll bewirken, dass jeder AD-User auf dem Rechner an dem er gerade angemeldet ist auch lokaler Admin ist. Als Fehler führt es leider auch dazu, dass man sich auch an einem Server per Remote Desktop mit seinen Benutzer-Creds anmelden kann, da da der User automatisch auch lokaler (Server-)Admin ist.. Um das zu verhindern, habe ich die GPO auf Domänenebene gelöscht und neu mit der OU 'Firmenrechner' verknüpft. Darin (und nicht in 'Computers') befinden sich alle Rechner der Firma. Nachdem ich auch noch für diese OU den Loopbackmodus aktiviert habe und die GPO auf 'erzwingen' gesetzt habe, funktioniert das jetzt anscheinend wie gewünscht. Ist das der beste Weg? Geht es besser? Eigentlich wollte ich die GPO auf der Domänenebene lassen und nur Ausführung in der OU 'Firmenserver' verhindern. Bei den Delegationseinstellungen konnte ich aber diese OU nicht sehen bzw. auswählen. Ich hätte hier nur händisch die Server namentlich eintragen können, nicht die Gruppe an sich. Warum kann ich hier keine OU (bzw. nicht diese OU) auswählen?
  8. Ich muss ASAP (sprich: es kommt auf Stunden an) einen Server 2012 R2 in Betrieb nehmen. Das Problem: die mitgelieferte Server-Software-Lizenz ist falsch geliefert. Die richtige (Lizenz) ist im Zulauf, wird mich aber erst in ein bis zwei Tagen erreichen. Wir sprechen von OEM-Lizenzen. Wie kann ich den Rechner jetzt schon in Betrieb nehmen? Die Key-Eingabe kann ich ja nicht überspringen. Kann ich einen der bei Microsoft im Internet auffindbaren 'generischen' (https://technet.microsoft.com/en-us/library/dn303421.aspx oder https://technet.microsoft.com/en-us/library/jj612867.aspx) Keys verwenden und dann den Key in 1-2 Tagen gegen den richtigen austauschen? Ein Volume- o. ä. Lizenzvertrag mit MS existiert nicht.
  9. Danke. Den SERV08 erst mal demoten und als FS weiter nutzen. Die Lösung lag so nahe, dass ich sie nicht (mehr) gesehen habe. So werde ich es machen.
  10. Im Kern geht es darum, dass bei einer Domäne der Betriebsmodus erhöht werden muss. Von 2008 R2 auf 2012 R2. Die Mutterkonzern-IT wünscht das, eine Erklärung dafür gibt es nicht. Das Tochterunternehmen muss es machen. Und zwar innerhalb von wenigen Tagen. Die Eile hat politische Gründe, es besteht für die Tochter-IT absolut keine Option, den Termin zu verschieben. Das nur als Erklärung für die Umgebungsbedingungen. Damit das bis zum Stichtag umgesetzt werden kann, muss ein DC, der gleichzeitig auch als Fileserver dient, und auf dem 2008 R2 läuft (Servername: SERV08), durch einen Server ersetzt werden auf dem 2012 R2 läuft (Servername: SERV12). Das Konzept DC und FS auf einer Maschine ist nicht schön, aber aus Kostengründen derzeit ebenfalls nicht verhandelbar. Es gibt noch einen weiteren DC, der läuft bereits mit 2012 R2 (Servername: DC3). DC3 ist nur AD-Backup (neben der periodischen Serversicherung) und hat ansonsten keinerlei Plattenplatz. DFS ist nicht im Einsatz. Im AD gibt es knapp 200 User, die Daten im Filesystem sind zusammen ca. 1 TB groß. Die Herausforderung ist, aus meiner Sicht, der durch die Migration notwendige Namenswechsel der Shares. Die liegen derzeit alle auf SERV08\Freigabename\. Das gilt auch für HOME und PROFILES (also die servergestützten Profile). Die Zeit ist sehr knapp, daher möchte ich so schnell wie möglich die Migration beginnen. Ich muss noch ein paar Tage auf die Hardware warten und wollte in der Zwischenzeit, wenn das Sinn macht, auf SERV08 einen DFS-Namespace für alle Shares in Betrieb nehmen und damit schonmal virtuell umziehen. Aus SERV08\Freigabename soll also im Prinzip DFS01\Freigabename werden. Da die User in der Regel mit durch GPO gemappte Laufwerksbuchstaben arbeiten, sollte das der Großteil der User nicht bemerkten. Wenn dann die Hardware für SERV12 im Hause und eingerichtet ist, wollte ich im Rahmen einer Downtime mit dem 'File Server Migration Toolkit' die Files umziehen und dann das DFS 'umhängen'. Wenn der Schritt abgeschlossen ist, soll SERV08 außer Betrieb genommen und entsorgt werden. Als letzter Schritt soll dann der Betriebsmodus auf 2012 R2 erhöht werden. Ich habe mit DFS bisher noch nicht gearbeitet, würde es danach aber gerne beibehalten (der nächste Serverumzug kommt bestimmt). Machen meine Schritte Sinn? Muss ich bei HOME und PROFILES etwas besonderes beachten? Stehen die Pfade vielleicht im AD? Wenn ja, wie ändere ich die dort am sinnvollsten? Gibt es einen sinnvolleren Weg?
  11. Ich habe nochmal recherchiert. ihr habt alle recht: "Down-level management - you can now use Hyper-V manager to manage more versions of Hyper-V. With Hyper-V manager in the Windows Server vNext and Windows vNext, you can manage computers running Hyper-V on Windows Server 2012, Windows 8, Windows Server 2012 R2 and Windows 8.1." Quelle: https://technet.microsoft.com/de-de/library/Dn765471.aspx#BKMK_Mgmt Von Hyper-V 2008 R2 ist nicht die Rede. :(
  12. ich habe mir die RSAT Tools für Windows 10 heruntergeladen. Leider komme ich mit dem Hyper-V Manager nicht auf meinen 2008R2 Hyper-V Server drauf. ""Fehler beim Versuch eine Verbindung mit dem Server XX herzustellen. Vergewissern sie sich..." Der Zugriff per "AD Users and Computers" auf den DC (auch Windows 2008R2) ist von der selben Maschine mit den selben Creds problemlos möglich. Firewall ein/aus führt zu keiner Änderung. Die Eventlogs beider Systeme sind leer. Von einem anderen Rechner (Win 7) funktioniert der Zugriff via Hyper-V Manager. Ist das ein Generationen-Problem? Wenn ja, kann man das irgendwie wegpatchen? Serverumstellung auf 2012 kommt erst in 2016.
  13. Ich habe mir zum Betrieb eines 802.1x Wlan eine CA mit einem selbst signierten Zertifikat erstellt. Servername: wlan1.firma.de Das hat auch geklappt. Und, mit Einführung von Windows 10, tritt das Problem auf, dass die neuen Win 10 Clients keine Wlan Verbindung aufbauen, weil sie das Serverzertifikat nicht verifizieren können. Das geht erst, wenn ich das Root-Zertifikat für firma.de manuell auf den jeweiligen Client kopiere. Um das Problem zukünftig nicht mehr zu haben, wurde bei einer externen Zertifizierungsstelle ein Zertifikat für wlan1.firma.de gekauft. Gibt es eine Möglichkeit bei Server 2008 R2 dieses Zertifikat auszutauschen ohne die ganze CA wegzuwerfen und neu zu bauen?
  14. Eigentlich ist es doch ganz einfach: Unklarheiten in Verträgen gehen immer zu Lasten des Verwenders. Wenn ich als Vertragspartner möchte, das etwas ausdrücklich verboten ist, muss ich es klar und deutlich benennen. Je uneindeutiger ist das formuliere, desto größer ist meine Chance zu scheitern wenn ich irgendwann in der Zukunft auf dem Rechtsweg versuche, das Verbot durchzusetzen bzw. die vereinbarte Kompensation einzufordern.
×
×
  • Create New...