kaineanung

Hier die Fehlermeldungen des DCs (Wenn ich im Server-Manager "AD DS" offen habe unt dann unter "Ereigsnisse": Warnung ID 2092 Quelle Microsoft-Windows-ActiveDirectory_DomainService: Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. FSMO-Rolle: DC=Firma,DC=local Benutzeraktion: 1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 3. In dem Ausnahmefall, dass alle Replikationspartner voraussichtlich offline sind (z. B. zu Wartungszwecken oder zur Notfallwiederherstellung), können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden. Die folgenden Vorgänge werden eventuell beeinträchtigt: Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren. Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen. PDC: Sie können auf dem primären Domänencontroller keine weiteren Vorgänge durchführen, wie z.B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory Lightweight Directory Services vorhandene Konten. RID: Sie können keine neuen Sicherheits-IDs für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen. Infrastruktur: Domänenübergreifende Namensverweise, wie z.B. universelle Gruppenmitgliedschaften, werden nicht ordnungsgemäß aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird. Fehler ID 1126 Quelle Microsoft-Windows-ActiveDirectory_DomainService: Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. Zusätzliche Daten Fehlerwert: 1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Interne ID: 3201395 Benutzeraktion Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden. Warnung ID 13508 Quelle: NtFrs: Der Dateireplikationsdienst kann die Replikation von SERVER5 nach SRV-G-DC0 für c:\windows\sysvol\domain mit DNS-Namen server5.Firma.local nicht aktivieren. Es wird ein neuer Versuch gestartet. Mögliche Ursachen für diese Warnung sind: [1] Der DNS-Name server5.Firma.local von diesem Computer konnte nicht ausgewertet werden. [2] Der Dateireplikationsdienst wird auf server5.Firma.local nicht ausgeführt. [3] Die Topologieinformationen in den Active Directory-Domänendiensten dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert. Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde. Warnung ID 1308 Quelle Microsoft-Windows-ActiveDirectory_DomainService: Die Konsistenzüberprüfung (KCC) hat ermittelt, dass bei den fortlaufenden Versuchen, eine Replikationsverbindung mit dem folgenden Verzeichnisdienst herzustellen, immer wieder Fehler aufgetreten sind. Versuche: 10 Verzeichnisdienst: CN=NTDS Settings,CN=SERVER5,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=Firma,DC=local Zeitraum (Minuten): 382 Das Verbindungsobjekt für diesen Verzeichnisdienst wird ignoriert, und eine neue temporäre Verbindung wird hergestellt, damit die Replikation fortgesetzt werden kann. Die temporäre Verbindung wird entfernt, sobald die Replikation mit diesem Verzeichnisdienst wieder aufgenommen wird. Zusätzliche Daten Fehlerwert: 1722 Der RPC-Server ist nicht verfügbar. Dann noch ein paar AD Webdienste-Fehler und der DFSR Fehler Fehler 1202 Quelle DFSR: Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden. Weitere Informationen: Fehler: 160 (Ein oder mehrere Argumente sind ungültig.) usw.. Der hat sich doch nicht korrekt Repliziert vom SBS wenn ich das so sehe? Ich übertrage morgen, sobald der SBS wieder eingeschaltet wurde, die FSMO-Rollen zurück und werde den neuen DC demoten und neu aufsetzen und dann nochmals promoten.

Wahrscheinlich hast du Recht. Problem bei der ganzen Sache ist: der SBS-Server verabschiedet sich regelmäßig auch als FSMO-Rolleninhaber.. nur nicht so häufig wie ich feststellen muss..

Oh shit. Dann ist das ein weiterer Grund warum der down ist! Daß bedeutet: Ich muss schnell demoten (zuvor prüfen ob FSMO Rollen noch dort sind woe sie hingehören). Der SBS muss ja kein DC und somit kein FSMO-Rolleninhaber, richtig? Fileserver ist noch nicht übertragen und der muss noch kurz dort verweilen... Sobald der SBS morgen (hoffentlich) eingeschaltet ist, sollte ich ihn demoten... ABER: ich habe RIESENSCHISS weil der Neue DC eben nicht alleine funktioniert..... :((( Ich werde morgen noch einen weiteren DC W2K16 promoten und mal sehen ob der dann alles richtig macht... Wenn ja: dann sofort SBS demoten. Wenn nein: Heillige sc***e...

Nobbyausbb Wie Recht du hast! Aber ich hatte eben die Probleme auch ohne diesen Linux-DNS und da dachtei ch ich wechsle zum Ubuntu-DNS welcher bene nicht in den DC integriert ist (so bei uns in der Firma und funktioniert problemlos -> hat aber gedauert bis alels eingestellt war). Das war aber wohl zu voreilig.. und jetzt habe ich die Probleme... ABER: ich schaue mir gerade das DNS-Protokoll auf der Linuxkiste durch und denke das ich vielleicht ein Schritt weitergekommen bin! Ich habe vergessen dem neuen DC die Berechtigung zu geben da reinzuschreiben. ABER: es murr eigentlich nichts mehr reinschreiben denn die Zoneneinträge wurden noch durch den Windows-DNS transferiert wo er bereits DC war und sogar Rolleninhaber aller FSMOs... aber schaune wir mal was jetzt passiert..... Er startet gerade durch. Das dauert aber schon ewig (wie schon die ganze Zeit) und das ist kein gutes Zeichen... Aber Schritt für Schritt. Dann schauen wir weiter ;) DHCP IST noch der alte DC und der is offline... ABER: diese Firma wurde von einem externen 'Administrator' verwaltet und der hat überall fixe IPs vergeben... ist b***d für mich jetzt das ich überall hin muss um DHCP einzustellen aber für jetzt gerade im Moment ist es ein Vorteil da die Clients ja noch funktionieren.... IP v6 ist zwar im DNS aktiviert, aber das nutzt hier niemand... Wie meinst du der holt sich die FSMO-Rollen zurück? Wer hat ihm das erlaubt? Warum macht er das?

Bei allen 5 Rollen: NeuerServer.Domain.local Was lustig ist: funktioniert nur wenn auch der alte Server online ist... ansonsten kommt die Meldung: "Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden." Also nochmals: DNSLint /ad IP-NeuerServer /s IP-mittlerweile-einziger-DNS-Ubuntu -> alles grün. Domänendienste funktnioeren. Dieser DNS ist SOA usw. FSMO-Rollen sind auf NeuerServer Domäne und diese nedom query fsmo - Abfrage funktiniert aber nur wenn der alte SBS-Server online ist (der eben auch noch DC und auch noch integrietes DNS ist was niemand nutzt ausser er selber)

Der FSMO-Owner ist der neue DC (habe die Rollen gleich nach dem Hinzufügen des neuen Servers gemacht). dnslint.exe /ad IP-neuerDC /s IP-UbuntuDNS -> waren noch Kleinigkeiten im Argen aber nach ein wenig 'aufräumen' in den Ubuntu-DNS-Zonen-Listen war dann alels komplett im grünen Bereich! Und trotzdem funktioniert AD Verwaltung auf dem neuen DC ohne daß der alte gestartet ist nicht? DNS ist in Ordnung...

Stimmt! Habei ch heute morgen im Eifer des Gefechtes total vergessen! Das ist doch klar Mensch Maier! Danke für den Hinweis den ich vergessen hatte! Meinst du den Artikel von Sunny61? Habe ich angefangen und dort steht eindeutig die Verwaltung über GPO. Ich habe kein Zugriff auf die AD und auch nicht auf die GPO-Verwaltung. Geschweige denn das die GPOs dann auch laufen würden. Ausserdem ist die Domänen-Funktionsebene und die Gesamtstruktur 2003. Ob es da diese GPO-Einstellungen überhaupt gibt.. Wie dem auch sei: ich werde dies per GPO umsetzen sobald ich den SBS2003 losbekommen habe (DC-technisch) und alles funktioniert. Bleibt mir ja nichts anderes übrig erstmal... oder?

Hallo Leute, ich habe da mal wieder ein Problem: ich habe die Aufgabe übertragen bekommen bei unserer (kleinen) Tochterfirma den SBS2003 abzuschaffen und auf neure Maschinen zu migrieren. Ich habe ein vCenterm it 2 VMWare-Hosts aufgebaut und dort einen MS W2K16 Server installiert. Danach habe ich die Migration gemacht wie ich sie bereits vor 2 Monaten bei unserer Hauptfirma gemacht habe (dort allerdings nicht von einem SBS sondern 'normalen' uralten W2K3-Server). Jetzt habe ich das Problem das ich auf AD (Benutzerverwaltung, Standorte und Dienste usw..) NICHT zugreifen kann wenn der SBS down ist (was er leider sehr häufig ist und der Grund warum wir migrieren). Bei der Migration habe ich selbstverständlich auch den DNS-Server mit migriert und der neue Server hat in der Netzwerkeinstellung sich selber und den alten DC eingetragen. Um sicher zu gehen habe ich ein Ubuntu-DNS-Server ins Netz aufgenommen, alle Zonen dort angebunden (Er ist ein SLAVE) und den neue DC statt auf den alten SBS eben an diesen DNS-technisch angebunden. Nichts hat geholfen. Beim Versuch mich an die "Active Directory-Benutzer und -Computer" zu verbinden bekomme ich folgendes: "Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Wenden Sie sich an den Systemadministrator, um sicher zu stellen, dass Ihre Domäne richtig konfiguriert und online ist." Bei den anderen Verwaltungstools relativ gleiche Meldungen. Einmal hatte ich eine andere Fehlermeldung die besagt daß er den globalen Katalog nicht finden kann (globaler Katalog solltedoch der neue DC aber auch sein oder nicht? Bei meiner letzten Migration von W2K3 nach W2K16 war das zumindest so.). So, was kann ich tun um sicherzustellen das der DC auch ohne den SBS normal läuft (ich dachte das ist ja auch der Sinn von mehreren DCs.....)? Vorher traue ich mich ja gar nicht den SBS zu demoten.

Danke für deine Schnelle Hilfe. Ich hatte aber GROSSE Probleme: SBS2003 war down, mein 2.DC den ich erst eingeführt hatte, hat den Administrator nicht anmelden lassen und zu allem Überfluss ging auch das lokale Adminkonto nicht (Zugangsdaten sind normalerweise bekannt aber er wollte einfach nicht). Hin und her und neustarten und VM 'unterm ars***' Zeiteinstellungen manipuliert und am Ende bin ich reingekommen. SBS2003 immer noch down und irgendwas war mit der AD die mich nicht machen lassen wollte in der GPO (dazu ein anderer Thread gleich). Letzendlich habe ich DIESEN neuen DC an ein Ubuntu-Zeitserver bzw. NTP-server im Netzwerk angebunden. #w32-Einstellungen zurücksetzen in der CMD: net stop w32time w32tm /unregister w32tm /register net start w32time #DC an den NTP-Server anbinden (DC ist PDC-Rolleninhaber!). Ebenfalls in der CMD: w32tm /config /syncfromflags:manual /manualpeerlist:"192.168.0.55,0x8" /reliable:yes /update Und dies hat dann funktioniert und ich bin dann zu den den anderen vielen Feuerherde geeilt um Feuer zu löschen.... Spricht da irgendwas dagegen den PDC-Rolleninhaber an einen NTP-Server anzubinden? Ich habe vor einen weiteren DC aufzustellen und vielleicht diesem alle Rollen zu übertragen. Lösche ich die 232-Einstellungen wie bei mir gerade im 1. Schritt beschrieben?

Hallo Leute, ich habe momentan bei unserer kleinen Tochterfirma einen 2. DC aufgesetzt. der 1. wird langsam abgeschafft und das passiert jetzt nach und nach (ist ein überladener SBS 2003 und dauert halt bis wir Fileserver, dies und jenes aufgesetzt und übertragen haben). So, der neue DC ist nun ein MS 2016 Standard Server und ist auch FSMO-Rolleninhaber. Zeit geht eine Stunde vor allen anderen in der Domäne und ich kann die Zeit abern icht ändern da es 'von der Domäne verwaltet wird'. Ich habe den neuen Server jetzt einmal durchgestartet um zu schauen ob im BIOS irgendwas zu machen ist (VMWare) aber nein. Ok, einmal neu gebootet und jetzt kann er sich nicht mehr anmelden an der Domäne weil 1 Stunde unterschied? So, was kann ich tun sobald ich mich wieder anmelden kann bezüglich der Zeit? Das ist doch irrsinn das 2 DCs in der Domäne unterschiedliche Zeiten haben... das kann und darf doch nicht sein... und wenn dann muss ich doch die möglichkeit haben das manuell zu ändern? Zeitzonen sind auf beiden gleich eingestellt (Amsterdam/Berlin/usw..)

Oh, ok. Wollte ich dann jetzt mal machen und habe mir den ganzen Artikel bis zum Ende durchgelesen. Leider steht da nirgends wie ich das nachschauen kann. Oder, und das könnte wohl am ehesten sein, blicke ich es nicht und es steht doch da... ich sehe es aber leider nicht.

Der User "Ger" (Bei mir vormals als XYZ bezeichnet) ist kein Mitglied der Geschützen Gruppen (damit sind die AD-System-Gruppen gemeint wie ich sie beschreiben würde). Der User ist auch kein AdminSDHolder (ich weiß zwar nicht wie ich das verifizieren könnte, aber laut dem Link habe ich herausgelesen das man in einer dieser Built-In-Gruppen / geschützer Gruppe sein muss. Dies ist nicht der Fall. Gibt es sonst noch mögliche Gründe warum dieser User (der Einzige aus mittlerweile über 60 RDS-User) keine CAL vom Lizenzierungsserver zugewiesen bekommt? Die Fehlermeldung "Stellen Sie sicher, dass das Computerkonto für den Lizenzserver Mitglied der Gruppe "Terminalserver-Lizenzserver" in der Active Directory-Domäne "Firma.local" ist." besagt ja daß eventuell das Computerkonto nicht Mitglied der Terminalserver-Lizenzserver"-Gruppe in der AD ist. Das mag am Anfang gestimmt haben. Aber dank dem Link, den ich weiter oben gepostet hatte, habe ich dem Lizenzierungsserver ja die Berechtigung gegeben und ab da konnte er die CALS ja verteilen / Den Usern in der AD zuweisen. ABER eben nur einem User nicht. An dieser Baustelle kann es ja dann nicht mehr liegen, richtig? An welcher könnte es aber dann noch liegen? Wo kann ich vielleichtn och nachschauen?

Ist das der Fall?  Ja. Der srv-rds (also der Connection-Broker, RD WebAccess und RD-Lizenzierungsserver -> All-in-One) ist Mitglied von 'Terminalserver-Lizenzserver'. Sonst würde es bei allen anderne User wahrscheinlich auch nicht funktionieren. AdminSDHolder vermutlich. Sind oder waren die mal in einer geschützten Gruppe? Falls ja dann aktivier die Vererbung auf dem Konto wieder. Falls die da noch drin stecken, wird die sich aber immer wieder deaktivieren. Also Lösung dauerhafter Natur dann den Nutzer aus diesen Gruppen entfernen.  AdminSDHolder? Kenen ich so nicht. Aber diese User waren nie irgendwas anderes oder gar mehr als alle anderen User auch. Domänen-Benutzer + 4-5 Sicherheitsgruppenmitgliedschaften. Aber wer weiß ob sich irgendwie irgendwas derartiges hätte einschleichen können? Und ob die jemals in einer geschützen Gruppe waren? Keine Ahnung. Was ist eine geschütze Gruppe? Ich würde sagen nein. Aber wie kann ich das herausfinden? Sie haben 5-6 Gruppenmitgliedschaften. Ist vielleicht eine geschüctze dabei? Wo finde ich das heraus?

Hier die Fehlermeldung (vielleicht fängt je jemand was damit an?): Der Remotedesktop-Lizenzserver kann die Lizenzattribute für Benutzer "XYZ" in der Active Directory-Domäne "Firma.local" nicht aktualisieren. Stellen Sie sicher, dass das Computerkonto für den Lizenzserver Mitglied der Gruppe "Terminalserver-Lizenzserver" in der Active Directory-Domäne "Firma.local" ist. Falls der Lizenzserver auf einem Domänencontroller installiert ist, muss das Netzwerkdienstkonto ebenfalls Mitglied der Gruppe "Terminalserver-Lizenzserver" sein. Fügen Sie in diesem Fall zunächst die entsprechenden Konten zur Gruppe "Terminalserver-Lizenzserver" hinzu, und starten Sie anschließend den Remotedesktop-Lizenzierungsdienst neu, um die Verwendung von benutzergebundenen Remotedesktopdienste-Clientzugriffslizenzen zu verfolgen bzw. Berichte darüber zu erstellen. Win32-Fehlercode: 0x80070005 Der Lizenzserver ist NICHT auf dem Domänencontroller installiert. Die Zugriffsrechte des RD-Lizenzierungsservers auf die OU 'User' in der Domäne habe ich, wie in der folgenden Anleitung beschrieben, erteilt: Remotedesktop-Lizenzserver meldet Warnung EventID 4105 (Fehlercode: 0x80070005) (Vor diesem Vorgang hat nur der Administrator Lizenzen zugewiesen bekommen. Danach jeder bis auf die o.g. Kandidaten) Diese sind wie alle anderne User in diversen Sicherheitsgruppen und in der einen einzigen OU 'User' (die User haben keine eigenen OUs bei uns). Hat jemand Rat?

Habe zwar immer noch keine Lösung für das o.g. Problem. Aber ich weiß jetzt wie ich es reproduzieren kann: Diese Warnung wird immer dann protokolliert wenn man 'Trotzdem Laden / Ich kenn das Risiko, weitermachen.. usw.' klickt wenn der Browser meint die Seite wäre wegen dem fehlenden Sicherheitszertifikat unsicher. Dies passiert bei FF da dieser die Seite dann automatisch in die Ausnahmeliste einfügt. Daher passiert dies bei uns nur 'sporadisch'. So, ist das etwas was ich dann igrnoeren kann zumindest bis ich in die Welt der Zertifikate irgendwann mal durchdringe?

Hallo Leute, ich habe hier ein kleines Problem. Ich habe seit Neustem eine RDS-Farm die ich schnell aufbauen musste um den Usern HomeOffice zu ermöglichen (Coronavirus). Klappt (fast) alles auch ganz gut, aber ich bekomme immer wieder Anrufe von Usern die dann doch Probleme mit dem Erreichen des RD WebAccess haben. Sie sind natürlich per VPN im Netzwerk verbunden aber der Webserver bringt denen 'irgendeine' Fehlermeldung und die können sich nicht einloggen. Ich habe zwar ein paar Bilder bekommen die die Leute mir geschickt haben, aber ich bin natürlich in die Ereignisanzeige gegangen und sehe tatsächlich lauter Warnungen in der Ereignisanzeigekategorie 'Anwendung' die auf den Webserver und ASP.NET bezogen sind. Bingo, das muss es ja sein wenn nichts anderes als Fehler oder Warnung protokolliert wurde. Wisst ihr was ich da tun könnte damit ich das abstelle? Was könnte das sein: Event code: 3005 Event message: Es ist eine unbehandelte Ausnahme aufgetreten. Event time: 20.03.2020 16:18:26 Event time (UTC): 20.03.2020 15:18:26 Event ID: d866df2c948e48938ca7ae2cd5dd532f Event sequence: 10654 Event occurrence: 288 Event detail code: 0 Application information: Application domain: /LM/W3SVC/1/ROOT/RDWeb/Pages-1-132285716635588978 Trust level: Full Application Virtual Path: /RDWeb/Pages Application Path: C:\Windows\Web\RDWeb\Pages\ Machine name: SRV-RDS Process information: Process ID: 4060 Process name: w3wp.exe Account name: IIS APPPOOL\RDWebAccess Exception information: Exception type: NullReferenceException Exception message: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt. bei Microsoft.TerminalServices.Publishing.Portal.FormAuthentication.TSFormAuthTicketInfo..ctor(HttpContext objHttpContext) bei ASP.de_de_default_aspx.<GetAppsAsync>d__0.MoveNext() --- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde --- bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) bei System.Web.UI.PageAsyncTaskManager.<ExecuteTasksAsync>d__3.MoveNext() --- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde --- bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) bei System.Web.UI.Page.<ProcessRequestAsync>d__554.MoveNext() Request information: Request URL: https://srv-rds.firma.local:443/RDWeb/Pages/de-DE/Default.aspx Request path: /RDWeb/Pages/de-DE/Default.aspx User host address: 172.17.10.53 User: Is authenticated: False Authentication Type: Thread account name: IIS APPPOOL\RDWebAccess Thread information: Thread ID: 105 Thread account name: IIS APPPOOL\RDWebAccess Is impersonating: False Stack trace: bei Microsoft.TerminalServices.Publishing.Portal.FormAuthentication.TSFormAuthTicketInfo..ctor(HttpContext objHttpContext) bei ASP.de_de_default_aspx.<GetAppsAsync>d__0.MoveNext() --- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde --- bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) bei System.Web.UI.PageAsyncTaskManager.<ExecuteTasksAsync>d__3.MoveNext() --- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde --- bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) bei System.Web.UI.Page.<ProcessRequestAsync>d__554.MoveNext() Custom event details: Danke für das Lesen bis hier hin!

Hallo Leute, u.a. auch dank euch steht meine neue RDS-Farm mitsamt ConnectionBroker, RDWebAccess, RD-Lizenzierungsserver, User Disk Profile (File-) Server und 2 RD SessionHosts. Es funktioniert auch gut und die User können sich nun anmelden und arbeiten. Im RD-Lizenzierungsserver habei ch auch eine schöne Übersicht wer wann welche CALS zugeweisen bekommen hat, wie lange diese gültig sind und der Gleichen. Anfänglich habe ich ein Problem mit nicht zugewiesenen RDS-Cals / Lizenzen gehabt aber dank einer Recherche in Google habe ich auf der AD dem Terminalservice berechtigung erteilt daß dieser die vorgesehenen Attribute setzen darf (auf die User-OU) und ab da ging das alles wunderbar bei fast jedem. Das ist die Anleitung die ich ausgeführt habe damit der Lizenzierungsserver Berechtigung auf der AD bekommt: Link zur Fehlerbehebung EventID 4105 Es hat jedenfalls bei fast allen geklappt, aber komischerweise nur bei fast allen und ich kann es mir nicht erklären wie das sein kann? Ich habe 2 User (von ca. 60 RDS-Usern) die keine CAL zugewiesen bekommen und in der Eriegnisanzeige des RDS-Servers (da wo CB, WA und der Lzenzierungsserver laufen) ist wieder die Meldung mit der o.g. EventID 4105 (folgt dem Link und die MS-Warnung die ganz oben gepostet wurde ist original wie die bei mir). So, Frage aller Fragen: Wie zum Teufel kann das sein? Ich erteile dem RD-Lizenzierungsserver auf die ganzen User-OU die entsprechende Berechtigung, und 2 Userobjekte, die sich wie alle anderen auch in dieser OU befinden und sonst auch nicht anders sind, werden auch weiterhin ignoriert / anders gehandhabt / fallen durch das Raster? Was kann ich noch tun? Die User merken von Ihrem Unglück erstmal nichts. Sie werden nicht benachrichtigt das in 120 Tagen keine RDS-Verbindung mehr aufgebaut werden kann oder der Gleichen. Aber genau das befürchte ich denn eine Lizenz wird denen nicht zugeordnet und in der Ereignisanzeige auch dementsprechend protokolliert. Jemand eine Idee für mich? Danke schon einmal im Voraus für eure Hilfe!

Damit ich das aber richtig verstehe: per Default ist es nicht vorgesehen?

Hallo Leute, da ich noch nicht allzulange in der Welt der GPOs und GPPs bin, habe ich manchmal doch noch Verständnisprobleme. Ich hoffe ihr könnt mir schnell Licht ind Dunkel bringen. Man muss GPOs ja strikt trennen. Entweder nur Benutzereinstellungen oder nur Computereinstellungen. Das ist klar da diese zu unterschiedlichen 'Zeitpunkten' ausgeführt werden (Computereinstellungen werden beim Start vor jeglicher Benutzeranmeldung ausgeführt). So weit so verständlich. Jetzt habe ich aber vor eine GPO mit Benutzereinstellungen zu erstellen welche aber nur an bestimmten Computern ausgeführt werden sollen. Diese Computer (sind eigentlich RD SessionHosts) sind bereits in einer OU untergebracht und meine Frage ist nun: Kann ich GPO-Benutzereinstellungen auf Computer-OUs verknüpfen?

Hallo Leute, ich habe jetzt etwas vor wovor ich mich schon fast 20 Jahre drücke weil ich davon gar keinen Plan habe. Dies soltle ich aber jetzt nachholen und hoffe daß ich das 'Learning by doing' in den Griff bekomme. Ich habe eine RDS-Farm aufgebaut und jetzt möchte ich daß sich die User, nachdem sie sich per VPN zum Firmennetzwerk verbunden haben, sich auf dem RDWebAccess-Server angemeldet haben, nicht nocheinmal authentifizieren müssen wenn sie die RDP-Verbindung aufbauen. Habe gelesen das man mit SingleSignOn das berwerkstelligen kann. Ich habe zwar noch kein Plan wie das geht, aber es hapert schon vorher: Zertifikate erstellen die Domänenintern vertrauenswürdig sind! Ich habe es geschafft ein CA-Server in meiner Domäne (auf einem der DCs) einzurichten. Dieser ist auch auf allen Clients in der 'Vertrauenswürdigen Stammzertifizierungsstellen' gelandet. Die Anleitung die ich befolgt hatte war Zertifizierungsstelle installieren. Jetzt möchte ich Zertifikate erstellen für 1. Webseiten wie z.B. https://srv-dc1.firma.local/certsrv, also den Webdienst der CA damit ich per IE da hinkomme ohne die Warnung "vertrauneswürdige Seite" zu bekommen (ist bestimmt gleich ein guter Test um Zertifikate auszustellen udn gleich testen zu können) 2. Meine RDS-Farm damit ich im nächsten Schritt SSO einrichten kann damit man sich vom RDWebAccess auf den ConnectionBroker ohne nochmalige Authentifizierung verbinden kann. Wie gesagt: es hapert ja schon am erstellen der Zertifikate (ich versuche und lese schon den ganzen Tag darüber. Die Test waren alle fehlgeschlagen). Ich würde am liebsten ein Wildcard-Zertifikat erstellen damit alle Server und Clients in der Domäne damit abgedeckt wären. In unserem Verantwortungsbereich gibt es keine Subdomäne und somit würden wir prima klarkommen mit einem Wildcardzertifikat wie z.B. *.firma.local (firma.local ist unsere Domäne (firma natürlich Platzhalter)). Aber ich bekomme es nicht hin! Ich teste es indem ich ein Webserver-Wildcard-Zertifikat erstelle, diesen dann exportiere und auf alle Beteiligten in 'Eigene Zertifikate' importiere. Im FF in seinen eigenen Zertifizierungsspeicher. Resultat: ich bekomme trotzdem daß es sich um eine unsichere Seite handelt (IE + FF). Also: ich brauche eine Anleitung für Dumme. Muss ich jetzt ehrlich so sagen. Ich bin, mindestens was das Thema angeht, einfach dumm! Kann mir jemand bitte helfen. Ich wäre so dankbar dafür.

Und wenn ich das Gerät aus dem Verkehr ziehe bekomme ich die Lizenz dann irgendwie wieder frei? Das gleiche gilt übrigens dann auch für USer: Ist ein User, aus welchen Gründen auch immer, kein RDS-Benutzer mehr, bekomme ich die Lizenz dann wie genau wieder frei? Ich denke eine Benutzer-CAL ist in usnerem Fall dennoch vorteilhafter: Ein User der in der Firma von seinem PC aus auf dem RDS arbeitet, nach Hause geht und dort von seinem PC als HomeOffice, auch noch auf dem RDS nutzt und dann noch ein Tablet für Kundenbesiche hat bräuchte in diesem Falle 3 Device-CALS. Das gleiche mit User-Cals würde nur 1 CAL verbraten. Hmm. b***d. Somit werden die DEVICE-CALs dann zurück geschickt und neue angefordert weil dem Händler ja der Fehler unterlaufen ist. Kann ich die Lizenzen vom Server wieder deinstallieren und auf User-CALs wechseln?

Hallo Leute, bei uns ist momentan das Thmea 'RDS' relativ groß. Meine Erfahrung mit RDS ist ledier relativ klein. Aber das wird jetzt aufgeholt. Ich habe nun ein RDS-'Farm' aufgestellt und habe ein aktivierten Lizenzserver. Ich habe ein paar günstige RDS USER Cals erworben um alles mal zu testen wie was geht und was zu beachten ist bevor wir dann ca. 50 weitere kaufen werden. Ich habe mich für die User-CALS entschieden weil unsere Aussendienstmitarbeiter teilweise mit mehreren Geräten von aussen auf unsere Domäne zugreifen und daher scheint mir die USER-Cals die bessere Art zu sein. Auch kann ich mir (noch) gar nicht vorstellen wie man die RDS-Cals irgendwem und irgendwas zuweist (W2K8 - Terminalserver musste nur eine RDS-Lizenz im Safe vorhanden sein. Keine technische 'Zuordnung' vorhanden gewesen -> Neuland). User muss sich ja authentifizieren und da ist der Punkt was mir logisch erscheint -> User CAL einem AD-User zuweisen und gut ist. So, jetzt ist ein Fehler passiert und wir haben statt ein paar USER-CALS nun doch DEVICE-CALS bekommen. Die Fragen dazu sind jetzt wie folgt: 1. Kann man das mischen? Kann ich jetzt 50 USER-Cals kaufen und die an User zuweisen, und die par die ich jetzt habe auf Geräte? All das auf einem RDS-Lizenzierungsserver? 2. Geräte sind nicht nur in der AD bekannte Geräte (also nicht nur Mitglieder der AD). Wie weise ich die CAL einem nicht AD Mitglied zu? Was ist mit Android-Tablet? Was ist mit sonstigen Dingen die nicht in der AD 'aufgeführt' sind? Wahrscheinlich sollte ich einfach mal machen und sehe es dann. Ich bin aber ein Freund von 'erst halbwegs verstehen bevor machen'. Daher sorry daß ich das hier erst erfragen möchte. Schon einmali m Voraus vielen Dank für eure Mühe!

Und noch eine Frage: Muss ich den Lizenzserver auch gleich aktivieren und die RDS-CALS hinzufügen oder habei ch da auch eine Testperiode in der ich das erstmal testen kann? Vielleicht ist das ja der Grund warum sich kein User anmelden kann (auch wenn die Fehlermeldung dann irreführend ist). Oder aber ich muss auf dem Connection-Broker LOKAL (?!?) die Berechtigung für Remodesktopdienste setzen und dort dann die entsprechenden AD-Gruppen hinzufügen? Wenn es das ist wäre die Fehlermeldung ja plausibel. Ich kann es mir aber nicht Vorstellen das ich da lokal eingeben muss.

Es ist wie immer: die Ansprüche werden mit der Zeit größer. Wenn die Obrigkeit sieht was alles geht dann 'haben wollen'. Ich habe die Aufgabe bekommen unseren Usern zu ermöglichen von zu Hause zu arbeiten. Wir hatten bisher einen W2K8 TS im Einsatz der sehr sehr schwachbrüstig ist und jetzt ersetzt werden soll. Ich habe jetzt ein ESXi Server, welcher zuvor freigeworden ist, aufgebaut mit 1,2 TB HDD (SAS 15K RAID), 2x Intel Xeon X5690 (je 6 Cores + HT) 3,46 GHz und 64 GB RAM. Darauf soll ich nun einen 'TERMINALSERVER' aufbauen (OT). Ok, sprich: RDS. Und ok, wenn dann richtig und ein wenig 'zukunfssicher' -> Hostserver sollen bei Bedarf hinzukommen. Momentan ist es noch nicht notwendig weil die Zielgruppe bei ca. 30 Usern liegt (wir haben mehr User aber momentan sind nur 30 Vorgesehen). Standalone, also die 'Schnelleinsrichtung' mit allen Rollen auf einem Server, habe ich schon öfters gemacht -> wollte sowieso schon immer mal sehen wie das ist wenn man das größer 'aufzieht'. Also habe ich mich kurz in die Materie hinein gelesen und beschlossen daß es ja so schwer nicht sein kann. Leider aber dennoch nicht wirklich auf die richtigen Anleitungen bekommen bis @Sunny61 mit den Link gepostet hat. Also nochmals zurück zu deiner Frage: Nein, Rollen müssen momentan noch nicht doppelt sein. Performant soll es schon sein, aber der Server ist relativ gut (ich habe 24 vCores zur Verfügung bei 3,46 Ghz und 64 GB RAM und 15K SAS-Platten im RAID5-Verbgund) und deshalb reicht MOMENTAN nur dieser eine. Aber ich will die Infrastruktur schaffen wo ich einfach mehrere SessionHosts hinzufügen kann. Daher habe ich jetzt 3 Server virtuell eingerichtet: srv-rds (Connection-Broker, Lizenzierungsserver, WebAccess (wir aber nicht benötigt da alles über RemoteDesktopVerbindungen gehen soll)) srv-profiles (User Profile Disk -> ist ein Fileserver mit Freigabe 'RDProfiles$')) srv-rdsh01 (SessionHost-Server) srv-rds hat 4 vCores, 4 GB RAM und 80 GB HDD srv-profiles hat 4 vCores, 4 GB RAM und 650 GB HDD srv-rdsh01 hat 16 vCores, 50 GB RAM und 100 GB HDD sollte ein weiterer SessonHost hinzukommen müssen, so habe ich bereits einen Server der nächste Woche frei wird der, ausser bei der HDD, ähnlich aufgestellt ist. Dieser würde dann bei Bedarf zum srv-rdsh02 werden und hinzugefügt werden. Des weiteren habe ich mir ein paar USER RDS CALS gekauft für MS Server 2016 RDS (User) welche ich noch nicht vergeben habe. Wie auch immer. Ich habe mich jetzt an die Anleitung gehalten die mir @Sunny61 gepostet hat, und es scheint alles zu stehen. ABER: wenn ich mich jetzt mit meinem User anmelde (ich gehe davon aus das die Anmeldestation dann immer 'srv-rds' ist und der das alles entsprechend weiterleitet, richtig?) dann wird mein Profil auf derm srv-rds angelegt statt auf dem srv-profile. Hätte irgendwas mit dem User Profile Disk nicht geklappt, hätte ich zumindest ein Profil auf srv-rdsh01 erwartet und nicht auf srv-rds. Oder habe ich hier irgendein Denkfehler (z.B. man verbindet keine Remodesktopverbindungen zum srv-rds sondern direkt zum srv-rdsh01 -> was aber kein Sinn machen würde)? Übrigens: die Datei "UVHD-template.vhdx" ist auf dem srv-profile im Share angelegt. Somit habe ich das schon richtig im Server-Manager angegeben (würde ich jetzt mal behaupten). Mein User bin ich selber und hat Admin-Berechtigung. Nehme ich einen Testuser, so wird die Verbindung verweigert: "Die verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist." In der AD ist er in der Gruppe "Domäne\Remotedesktopbenutzer"? Auch ist er in der AD-Gruppe enthalten die im Connection-Broker angegeben wurde daß diese auf den srv-rdsh01 geleitet werden? So, kann mir jemand hier kurz unter die Arme greifen wo ich vielelicht was vergessen habe oder wo die klassischen Fehler liegen die ich als Neuling (in RDS-Farmen aufstellen) beganngen haben könnte?

Vielen lieben Dank!