cityempire

Hallo, dann werd ich mal schauen, das ich die Genauen Angaben besorge Richtung Hardware, da der Server und OS von Dell gekauft (Model bzw. Service Tag erfrage ich, ca. 1 Jahr alt) wurde, gehe ich hier nicht von zufällig zusammengestellt aus. Melde mich mit den Angaben später, danke vorab für die mühe. Was die Sache mit den 2VM angeht, die Idee hatte ich auch, einen Hyper-V aufsetzen und auf diesen dann zwei VM's, einen DC und einen Fileserver. Daher hatte ich einen "Test" gemacht mit einem Share auf dem DC um die Bandbreite unter dieser Konstellation zu prüfen, auch hier bricht die Performanz zusammen. Aufgrund der vorrangestellten Fragen, möchte ich erstmal die Infos über das Netzwerk einholen. Karte und verwendeten Treiber.

Hallo, mal abgesehen das man sowas nicht macht. 32GB Arbeitsspeicher und 8 Core mit einer CPU. Eine Netzwerkkarte. (mehr würde wahrscheinlich der Switch nicht hergeben, Netgear, Type kenne ich nicht). Und ja, eigentlich benötigen Sie keinen Server und auch keinen DC, sollte aber übernommen werden. Von daher hatte ich mich entschieden den Physikalischen Server als Fileserver aufzubauen und den DC Virtuell zu betreiben. (3 Personen). Von der Grundlast sollte das zu machen sein. Wäre als Beispiel ein gutes Lab zum Testen. Was mir hier nur Kopfzerbrechen macht, ist die Performanz beim zugriff auf den Fileshare. Zum Testzeitraum waren der Server Online und die beiden Test Clients. Die Antwortzeiten des DC's sind gut, für diese Umgebung. Was die Anmerkung angeht, der Fileserver/Hyper-V Host ist Physikalisch. Der DC die VM, da keine weitere Hardware + Lizenzen zur Verfügung. Egal auf welchen der Beiden ebenen ich einen Share anspreche, sobald ein zweiter Rechner zugreift, bricht es ein. Die CPU liegt hier bei ca. 5% (Fileserver), Datenträgeraktivitäten und Arbeitsspeicher schlagen kaum erkennbar aus. Sollte also noch Luft nach oben sein. Womit ich eigentlich nur die Aussage treffen wollte, Es ist unerheblich auf welchen Festplatten Bereich ich zugreife, der Einbruch kommt ab den 2. Client. Da ich Netzwerktechnisch nicht der beste bin, ich aber den Fehler am Switch vermute, an welcher Stelle könnte ich den Fehler wie sehen ? Es müssten ja an dieser Stelle Fehler auftreten,

Hallo, Folgende vorraussetzung: Dell server mit 2 Raids 1. Raid 1 mit ssd 2. Raid 5 mit hdd Auf dem Server ist ein Windows 2016 Std. Installiert mit der Fileserver Rolle und der Hyper-v rolle Auf dem hyper-v ist der Domäne Controller 2016 installiert. Auf dem Fileserver ist ein Ordner auf dem Raid5 angelegt und freigegeben. Als Client haben wir 2 Windows 10 clients. Beide können getrennt auf die Freigabe zugreifen mit etwa 110 Mb/s. Greifen beide clients zur gleichen Zeit auf die Freigabe zu, bricht die Übertragung auf etwa 1-7Mb/s zusammen. Auf dem Fileserver sehe ich keine Einbrüche im perfmon CPU, Arbeitsspeicher und physikalischer Datenträger. Zum test habe ich auch die Freigabe auf dem w16dc sysvol getestet, liegt auf dem raid1. Selbes Ergebnisse. Zum test habe ich zwei unterschiedliche Dateien genutzt, mit dem selben Ergebnis. Die Optimierung die seitens MS vorgeschlagen wurden haben wir durchgeführt. Ohne Ergebnis. Wo kann ich noch nachschauen? Es handelt sich hier um eine Migration eines sbs 2011. Gruss Bernd

Hallo, mal eine Verständnisfrage zum Ereignislog auf den Domänencontroller. Wir haben bei uns 4 User die ca. alle 1-2 Stunden gesperrt werden (ich weis nicht warum). Bei der Suche nach dem Grund, bin ich auf das Sicherheitslog gegangen und nach der ID 4740 gesucht. Fragwürdig fand ich die anzeige von 2 DC's von 4. Denn dort waren die Eintragungen identisch (bezogen auf die ID). Passt das oder ist das ein hinweis auf den Fehler ? Im Ereignis ist der Rechner der Person aufgezeigt. Mit Freundlichen Grüßen Cityempiere

Hallo, ich habe mir mal die Objekte im ADSI angeschaut und mit den Eigenschaften von get-mailboxexportrequest verglichen, stimmen nicht zu 100% überein, von daher gibt es bestimmt Nebenwirkungen. Ich denke noch kann ich warten und hoffen, das irgendwann eine Saubere Lösung dokumentiert wird. Denn so tief stecke ich da nicht drin. Gruß Cityempire

Hallo, den Artikel habe ich auch gelesen, wenn der Letzte Artikel die Lösung bring, würde mich nun folgendes Interessieren. Wie Verbinde ich den ExportRequest mit einer Mailbox die ich erstelle ? Die Originale Mailbox ist ja schon gelöscht (komplett) Wenn ich es also richtig verstehe, lege ich einen Benutzer an. Verbinde den Benutzer mit der Mailbox (diese ist nicht da) Danach lösche ich die Anforderung des MailboxExportRequest zum Schluss schicke ich den User bzw. die Mailbox über den Jordan. Beim Exportieren hatte ich gestern auch warten müssen, also warte ich und nim mir ein Buch... Gruss Cityempire

Hallo, das gepiped nutze ich sonst immer, wenn der User dafür nicht mehr vorhanden sind, bekomme ich halt folgende Meldung: Die Argumenttransformation für den Parameter "Identity" kann nicht verarbeitet werden. Der Wert <hier steht die GUID> vom Type "Microsoft.Exchange.MailboxReplicationService.RequestIndexEntryObjectId" kann nicht in den Typ "Microsoft.Exchange.MailboxReplicationService.MailboxExportRequestIdParameter" konvertiert werden. Gruß Cityempire

Hallo, ich habe mal wieder einige User aus dem AD löschen wollen, dabei gehe ich immer so vor: - Export des Postfaches in eine PST-Datei - Warten bis der Export erfolgreich war - löschen der Anforderung: get-Mailboxexport -Status Completed | remove-Mailboxexport - Exportieren der Userverzeichniss auf einen Sicherungsserver - Exportieren der Usereinstellungen aus dem AD in ein Textfile - deaktivieren des Users mit setzen des Löschdatums - deaktivieren des Users im Exchange - 90 Tage Später Löschen des Users im AD Nun hat ein Admin bei uns gedacht, er kann das schneller und hat den Export nicht bereinigt. Wenn ich nun ein get-mailboxrequest ausführe bekomme ich ca 30 Einträge. Versuche ich diese zu löschen, bekomme ich den Fehler das die Idnetity nicht gesetzt ist. Mit get-mailboxrequest | fl sehe ich, das Identity und RequestQueue über keine Eintragung verfügen. Wie kann ich nun den Auftrag löschen ? Über den Parameter RequestGuid (die habe ich) wird der Parameter RequestQueue benötigt, dieser ist ab leer. Noch zur Info: - keine DAG - Exchange 2016 CU 6 Gruß Cityempire

Hallo, danke das wars. Gruss Cityempire

Hallo, kleine Verständnisfrage, ich habe eine GPO erstellt für den Benutzer. Die GPO ist mit der OU Verknüpft, in der der User einsortiert ist. Es liegt eine WMI-Filterung drauf, das nur eine bestimmte Geräteklasse diese GPO ziehen kann. Nun der mir unerklärliche Teil: Es geht um die Sicherheitsfilterung: ist der User hier benannt (zum Testen) wird die GPO nicht gezogen. ist "Authentifizierter Benutzer" eingetragen, wird die GPO angewendet. Ist ersten Fall taucht die GPO auch nicht in der gpresult /r auf. Auch im Richtlinien Ergebnisssatz taucht sie nicht auf. Beste Grüße Cityempire

Hallo, folgende Gegebenheit, wir haben eine Migration von Exchange 2010 auf Exchange 2016 gemacht, was auch gut durchgelaufen ist, nun sind wir an den Öffentlichen Ordner dran (Parallelbetrieb Exchange 2016 (alle Mailboxen) und 2010 (Öffentliche Ordner)) Als Client diente bisher ein Outlook 2010, was mit den Einstellungen auch Problemlos klappt. Nun zur Fragestellung: Wenn ich eine Freigegebene Mailbox erstelle und eine Person mit Vollberechtigungen einrichte klappt auch alles. Ich kann mit Outlook 2010 und auch mit der OWA vom Exchange 2016 zugreifen. Versuche ich den Zugriff über Outlook 2016 bekomme ich ein Access denied. Mit der Powershell (get-MailboxPermission ShareBox) bekomme ich folgende Ausgabe der folgende Parameter: AccessRights {FullAccess} IsInherited:False Deny:false Im AD-Objekt wird der Benutzer auch richtig eingetragen (msExchDelegateListLink) Wenn ich in der OWA anmelde und mir die Berechtigungen anschaue, gibt es zwei Eintragungen: Standard: keine Anonymus: keine Kenn jemand eine Lösung dafür? Gruß Cityempire

Hallo, mal eine kurze frage. Ich habe Probleme beim aufrufen der ecp seite. wenn ich mich auf dem Server befinde und die seite über localhost aufrufe, klappt alles. wenn ich Sie mit dem fqdn aufrufen möchte, klappt zwar die Anmeldung, danach passiert nichts mehr. Eine Idee wo ich nachschauen kann ? Als Installationsanleitung diente mir frankysweb seite. Gruss Bernd

Guten Tag, ich hatte letztens ein Streitgespräch wegen der Freischaltung der Lokalen Laufwerke in einer Terminal Sitzung. Zum Aufbau: (alles Basis Windows Server 2012r2, alle Rollen auf separaten Servern) Die Einwahl erfolgt über ein Gateway mit einer Ressourcen Richtlinie (NAP) das Lokale Laufwerke und die Zwischenablage einbindet. Aus der Reinen Security Sicht, wie geht ihr mit dieser Thematik um und was gibt es als alternative Lösung die auch die Sichtweise aus der Security Sicht einbindet. Folgende Punkte wurden angeführt um diese Funktion auszuschalten: - der Firmen Virenscanner kann eventuell vorhandene Daten auf den Verbunden Laufwerken Löschen (Virenerkennung/Mailware) - Durch ein Virus/Trojaner kann ein Angriff auf die Infrastruktur stattfinden. Schaltet ihr das von Extern generell aus oder wie geht ihr damit um oder sind die oben angeführten Bedrohung nicht Existent. Gibt es in diesem Scenario noch andere Bedrohungen die man im Vorfeld noch ausschließen müsste ? Danke schon einmal für reichhaltige Anregungen Gruß Cityempire

Hallo, Ewigkeiten und einen Urlaub später habe ich für mich eine Lösung gefunden: Kurzer Aufbau: SessionHost: w12rdsh.contoso.intern ConnectionBroker: w12rdcp.contoso.intern (cb.contoso.de und Connection rdp-extern) GW: w12rdgw.contoso.intern (extern: rdgw.contoso.de) (hier liegt auch der webaccess) Im Anschluss die Zertifikate Verteilt. (in meinem Fall für *.contoso.de) wenn ich nun eine Connection aufgebaut habe, bekommt man einen Fehler. Name passt nicht zum Zertifikat. In meinem Fall hat es nun gereicht den alternate full address zu setzen. Set-RDSessionCollectionConfiguration –CollectionName rdp-extern -CustomRdpProperty “use redirection server name:i:1 `n alternate full address:s:cb.contoso.de” Alle Server stehen bei mir im Netz und die FW regelt den https Verkehr zum GW. Der Externe DNS muss nur auf GW gesetzt werden. Anfangs hatte ich es mit einem Script von Microsoft getestet set-rdpublishedName.ps1, dort hate ich aber den Fehler, das ich keine Verbindung mehr aufbauen konnte. Mit Freundlichen Grüßen Bernd

Hallo, nach unendlichen Installationen steht unsere Ablösung für Citrix schon fast (bitte keine Debatte warum). Nun habe ich noch ein anliegen, ich denke ich habe das Rechtesystem noch nicht ganz verstanden. Beispiel. Person A: Büro und Homeoffice Person B: Büro Ich hatte nun zwei Gruppen gebildet: gruppe A: Büro (Mitglied: Person A und Person B) gruppe B: Homeoffice (Mitglied Person A) Gruppe A: habe ich der Sammlung zugefügt. Gruppe B: Habe ich der Ressourcenrichtlinie und Verbindungsauthorisierungsrichtlinie zuggefügt Umgebung: Server 1: Gatewayserver+WebAccess (von Extern Erreichbar) Server 2: Connection Broker Server 3-5: Session Hosts Client1: Windows PC (webAccess) Client2: ThinClient Linux basierend (Zugriff auf Sammlung) Als Mitarbeiter Person A kann ich Homeoffice und Büro nutzen, Person B kann weder Büro noch Homeoffice nutzen, sollte eigentlich nur Büro nutzen. Wenn es in der Umgebung möglich ist, wo müssen die Berechtigungen gesetzt werden. Alternativ: Was gibt es noch für Lösungsansätze ? Gruß Bernd

Hallo, bin nun ein schritt weiter, ich konnte durch eine neu Installation den Fehler nachstellen. Im grunde bin ich der Anleitung gefolgt wie in der zweiten Anleitung in folgendem Newseintrag:RDWeb zugriff von Extern, auch von mir. Ich denke ich habe etwas übersehen, weiss nur nicht was. Nach dem ausführen des Scriptes war eine Anmeldung mit obiger Fehlermeldung nicht mehr möglich. Nach dem rücksetzen und deaktivieren der Sammlungen und aktivieren der Sammlung klappte wieder alles. Eine Idee was ich vergessen haben könnte ? Werde mir nochmal eine Test Umgebung aufbauen wenn wieder zeit ist, hab ja bald Urlaub.

Hallo, die Weiterleitung werde ich morgen testen, aufgrund des gelernten sind mir eine Meldung auf dem Broker nach dem Systemstart aufgefallen: EventID 2056 Der Remotedesktop-Verbindungsbrokerserver konnte die Ziele für den Anbieter "NULL" nicht aus der Datenbank auflisten. Name der in einem Pool zusammengefassten virtuellen Desktopsammlung: NULL Fehler: Die Anmeldung bei der Datenbank ist fehlgeschlagen.

Hallo, es sind Linux Basierende Thinclients. ELux NG 4.x ist der stand den wir nutzen können, da wir die Lizenz nicht verlängert haben, da die Geräte selbst langsam alle kaputt gehen ( Fujitsu Siemens S550) der Einschalter löst sich in Luft auf. Daher steht demnächst noch eine Migration an, sobald diese durch ist. Ich hatte es mit RDConnect getestet, jedoch nach docu wird das Protokoll von Server 2012 nicht unterstützt. Danach habe ich den FreeRDP Probiert, damit habe ich eine Verbindung aufbauen können, jedoch eine reine RDP-Verbindung, nicht über den Session Host. Mehr Möglichkeiten habe ich nicht mit ELux NG. Nur klappt derzeit keine Verbindung über das Webaccess, was ich für die pc bebötige, über diesen weg hatte ich keine Verbindung mit den ThinClients herstellen können.

Hallo, das ist das Problem, das TLG hatte ich schon nachgebaut, was in meiner Testumgebung auch geklappt hat und auch um Erfahrungen zu Sammeln. Dabei bin ich auf ein Problem gestoßen, weshalb ich Round Robin eingesetzt habe. Was nach folgenden Artikel irgendwie Falsch aussieht und die Funktion des ConnectionBroker aushebelt, siehe Link https://blogs.technet.microsoft.com/bernedel/2012/10/22/microsoft-desktop-virtualisierung-2012/ Dort ist eine Schöne Grafik, so wie ich finde. Jetzt stellt sich mir die Frage, wie bringe ich das meinen ThinClients bei, den dazu habe ich noch keine Idee, dort hatte zumindest das Round Robin geklappt, die Verbindung zur Sammlung über den WebAccess hatte nicht geklappt. Nichts desto trotz bleibt noch das Problem, das Verbindungen über das WebAccess abgeleht werden. Die Fehlermeldung sieht im übrigen genauso aus, als wenn ich mich mit mstsc an einen Server remote anmelden möchte, für den ich nicht berechtigt bin. Daher klappte der ob beschriebene aufruf per mstsc. Bleibt für mich nur die Frage was machen, abreißen und neu bauen und hoffen das der Fehler nie wieder auftritt ( 2 Installationen und eine davon erfolgreich) oder weiter suchen, wobei ich nicht weis, wo ich weiter suchen kann. Den Ansatz der Trennung finde ich nachvollziehbar, würde ich auch gerne so umsetzen. Gruß Bernd

Hallo, ich habe nun eine Testumgebung gebaut, die klappte nun auch. Diese habe ich nun mit einigen Anpassungen z.B. Namen der Server in die Prod Umgebung implementiert. (klappt leider nicht) Der Aufbau: w12rdcb.firma.intern -> Connection Brocker w12rdwa.firma.intern -> WebAccess (von Extern erreichbar mit öffentlichen Cert extern.firma.de) w12rdgw.firma.intern -> Gateway (von Extern erreichbar mit öffentlichen Cert externgw.Firma.de) w12rdlic.firma.intern -> Lizenzserver w12rdsh01..06.firma.intern -> Session Hosts Round Robin über Sammlung: rdp-Sammlung.Firma.intern (internes Wildcard Cert) Eine Frage: kann ich den WebAccess auf den GW installieren, finde ich schöner wegen einer gleichen URL. Oder wie könnte man es noch bauen ? Nun mein Problem: wenn ich die Sammlung mit mstsc aufrufe, gebe ich den Benutzer an und Kennwort und die Verbindung wird aufgebaut. Soweit OK wenn ich über das Webaccess gehe, melde ich mich dort mit Domäne\Benutzer und Kennwort an und es werden alle Sammlungen angeboten die meinen Rechten entsprechen. Klicke ich eine Sammlung an, kommen derzeit noch zwei Zertifikatsmeldungen (damit stehe ich noch auf Kriegsfuss) Beim Bestätigen der Zweiten Meldung erschein ein Fenster, das der Benutzer nicht Autorisiert ist. Ich finde zu dieser Meldung aber keinen passenden Eventeintrag. Auf dem Server an dem ich mich Anmelden würde, kommen 5 Meldungen über den Login-Prozess, Interessant sind die letzen beiden: - Erfolgreich angemeldet - Abmeldung durch Benutzer Beides als Info. Mit der Netzwerkrichtlinie habe ich auch mal rumgetestet, um Fehler zu erzeugen, diese sehen aber anders aus. Was wären nun meine nächsten Schritte um den Fehler einzugrenzen ? Was habe ich schon gemacht: Ereignisprotokoll durchsucht Berechtigungen der Benutzer zur Remoteanmeldung geprüft. rdp-Datei runtergeladen und von Hand gestartet (nach längerer Zeit verlangt er auch ein neues Kennwort, wahrscheinlich anmeldetoken in der Datei, letzten beiden Zeilen) -> bricht mit der selben Fehlermeldung ab Namensauflösung geprüft (Server.firma.intern und Server.firma.de) beide über DNS (intern) auflösbar. Gruß Bernd

Das ist das Problem mit denn Zertifikaten, für mich noch ein Neuland. Bisher brauchte ich es nicht und in einer Anleitung zum Aufbau einer Farm stand das so. Hast du eine Gute Beschreibung oder Link zum Thema Zertifikate ? Wenn möglich in Deutsch, da mein englisch nicht ganz so gut ist. Nun zum Fehler, mit den Servern kann ich immer noch keine Verbindung aufbauen, daher habe ich nun einfach mal einen Server Sauber neu installiert und eine Neue Sammlung eröffnet. Hier klappt der Verbindungsaufbau Intern wie auch Extern. Leider gibt es einen unschönen Unterschied. Intern wird die Anmeldung sauber durchgereicht und Extern wird beim Verbindungsaufbau der Username, Domäne und Kennwort erneut abgefragt. Hier ein Tip? Und ohne eine Debatte loszutreten, ist es aus Sicherheitsgründen oder Betriebsgründen sinnvoll den Webaccess und das GW auf einen Server zu packen ? würde mir eine Externe Registrierung sparen und den Nutzern eine weitere URL. Danke für die Hilfe. Habe in den letzten Tagen viel gelernt. Gruß Bernd

ein Offizielles Wildcard Zertifikat. Das Zertifikat ist als Vertrauenswürdiges Stammzertifikat hinterlegt und als Remotedesktop.

Hallo, neuer Status. Nachdem ich das ganze umgebaut habe, mit Hilfe der Website habe ich folgendes abgeändert: WebAccess und Remote GW auf einen Server gelegt. den w12web habe ich aufgelöst. Split DNS wurde eingerichtet für die Externe Domäne im Internen Netz. Ergebnis: Intern: mstsc rdp-Standard.Firma.de (zugriff klappt) https://extern.firma.de/rdweb (liegt auf dem w12rdpgw.firma.intern) -> Login erfolgreich Nach dem starten des Destop "rdp-Standard" wird die Authentifizierung gestartet. Laut Log auch erfolgreich. Die Richtlinien Sätze werden auch erfolgreich abgeschlossen. Danach erscheint die Meldung wieder: "Authentifizierungsfehler Code 0x607. Extern: noch nicht getestet, wenn die Interne schon nicht geht. Was ich dazu noch gefunden habe war folgender Beitrag: https://social.technet.microsoft.com/Forums/sharepoint/en-US/94780a11-23ba-4a3c-b11a-734007c2d2fd/an-authentication-error-has-occured-code-0x607?forum=winserverTS den Vorletzten Eintrag habe ich nicht ganz verstanden. Den Part mit der GPO. Gruß Bernd

Moin, hat ein wenig gedauert, aber mein English ist nicht ganz so perfekt. Ich habe mir jetzt nur den Ersten Link als Anhaltspunkt genommen und mein Design abgeändert. Warum ich zwei WebAccess hatte, auf dem RemoteGW kann nur ein Zertifikat installiert sein, so lautete zumindest die Fehlermeldung und ich wollte den Webaccess von Intern und Extern Trennen. Das hat sich aber mit der Erklärung im ersten Link erübrigt. Fand ich überaus hilfreich. Wo ich noch schauen muss, ob ich ein Denkfehler habe, ist die Freigabe der Sammlung, dieser wird im Zertifikat immer noch als Intern ausgelegt. Ansonsten ist nun überall die Externe Domain im Einsatz. Ich werde mir das ganze am Wochenende anschauen, dann habe ich auch die Möglichkeit Extern zu testen. Melde mich dann ob es klappt oder ob noch was offen ist. Bis dahin, Gruß Bernd

Hallo, bin gerade am testen einer neuen Remote Desktop Farm. Das klappt auch soweit, bis auf Extern. Die Anleitungen die ich gesehen habe gingen darauf nicht ein, leider. Umgebund w12rdpgw.firma.intern (Verbindungsbroker, WebAccess (für Intern) w12lic.firma.intern (Lizenzserver) w12web.Firma.intern (WebAccess Extern) w12rdp01.Firma,intern w12rdp02.Firma,intern w12rdp03.Firma,intern Eine Sammlung verteilt auf alle drei Sitzungshosts "Desktop" Eine Externe Adresse: extern.firma.de -> nur Port 443 geht über eine FW an den w12web.firma.intern Wenn ich nun folgende URL intern aufrufe klappt alles: https://w12web.firma.intern/rdweb Ich bekomme die Anmeldeseite und nach der Anmeldung bekomme ich die Sammlung, klicke ich die Samlung an, öffnet sich der Desktop. Wenn nun die URL https://extern.nld.de aufgerufen wird (von Extern), erscheint wieder die Anmeldeseite, nach der Anmeldeseite die Sammlung. Wenn ich die Sammlung auswähle verbindet er sich mit der Sammlung und nach kurzer Zeit erschein ein Fehler: Ein Authentifizierungsfehler ist aufgetreten Code 0x607 Server w12rdp02 Wo liegt hier mein Denkfehler bzw. wo kann ich suchen ? Gruß Bernd