phatair

Hi NilsK, genau diese Konfiguration hatte ich eigentlich auch getestet. Eine Freigabe erstellt - die Freigabeberechtigung auf "jeder" Vollzugriff gesetzt und die NTFS Berechtigung mit der Gruppe versehen. Trotzdem habe ich immer die Meldung erhalten - "Kein Zugriff" und erhalte keine Möglichkeit zur Authentifzierung mit einem anderen User (wie bei der Admin Freigabe). Aber wie gesagt, ich mache das nun über die Admin Freigabe, falls ich auf das Verzeichnis zugreifen muss und mit einem User angemeldet bin der dort keinen Zugriff hat.

Hi Martin, danke für deine Antwort. Ich bin nach längerem Suchen auch zu dem Entschluss gekommen, dass es wohl nicht so einfach möglich ist. Macht ja auch irgendwie Sinn - dafür setzt man ja auch die Berechtigung um Zugriffe zu verhindern. Wäre für meinen Fall zwar schön gewesen aber dann gehe ich hier halt nicht über die Freigabe, sondern über die administrative Freigabe. Gruß

Hallo zusammen, ich habe folgendes Problem. Wir haben einen Server 2012 auf dem eine versteckte Freigabe angelegt ist (Admin-Share$). Diese Share hat als "Freigabeberechtigung" eine Gruppe definiert mit Vollzugriff. Die gleiche Gruppe ist auch in den NTFS Berechtigungen mit ändern Rechten angelegt. Der Zugriff auf die Freigabe funktioniert mit den Usern, die in dieser Gruppe enthalten sind ohne Probleme. Wenn ich allerdings mit einem User auf die Freigabe zugreifen möchte, der nicht in dieser Gruppe ist, erhalte ich eine Fehlermeldung. Die Fehlermeldung sagt aus, dass ich keine Berechtigung habe diese Freigabe einzusehen und ich soll mich an die Administratoren wenden. Wenn ich versuche auf die C$ Freigabe des gleichen Servers zuzugreifen (mit dem gleichen User) erhalte ich ein Fenster in dem ich meine Anmeldedaten eintragen kann und dann bekomme ich auch Zugriff auf die Freigabe. Was habe ich bei meiner Freigabe falsch gemacht? Ich möchte eine Freigabe die nur für Admins Zugriff bietet aber auf die ich auch zugreifen kann, wenn ich mit einem anderen User angemeldet bin (das dann eben die Aufforderung einer Authentifzierung erscheint, wie bei C$) Für Hilfe wäre ich sehr dankbar. Gruß

Falls jemand vor der gleichen Frage steht: Hier ein gutes HowTo: http://blogs.technet.com/b/tommypatterson/archive/2014/02/19/step-by-step-lab-guide-for-building-a-windows-server-2012-r2-remote-desktop-services-environment.aspx Laut MS wird empfohlen immer den RDMS zu verwenden, auch wenn man nur einen Server betreibt. Wenn man sich den RDMS etwas ansieht, ist es gar nicht so schlecht :)

Hallo zusammen, ich habe eine Frage zur RDP Sitzungshost Rolle auf einem 2012R2 Server. Ich habe die Rolle des Sitzungshosts auf einem extra dafür installierten Server installiert. Von einem 2008R2 Server hatte ich das noch so in Erinnerung, dass dann die Verwaltungstool ebenso auf dem Server installiert wurden und ich den Sitzungshost konfigurieren konnte (Lizenzserver, Optionen, usw). Nun habe ich aber all dies auf dem 2012R2 Server nicht - ich kann den RDP Sitzungshost nirgends konfigurieren und habe bei Google jetzt nur die Info gefunden, dass man wohl die Rollen Verbindungsbroker und Lizensierungserver zwingend benötigt. Ist das richtig? Kann ich einen einzelnen RDP Server gar nicht betreiben ohne die weiteren Rollen? Wir benötigen im Moment nur einen RDP Server - das würde bedeuten ich installiere auf diesem Server einfach alle 3 Rollen (oder verteile sie auf mehrere Server). Eine Lizenz habe ich noch nicht, da ich erstmal den RDP Server installieren und testen wollte. Für eine kurze Rückinfo wäre ich sehr dankbar. Gruß EDIT: Ok, es scheint wohl wirklich unter 2012R2 kein einzelner RDP Sitzungshost mehr zu funktionieren. Man benötigt immer den RemoteDesktopManagementServer - auch wenn man nur einen einzelnen RDP Server betreiben will. http://blogs.technet.com/b/askperf/archive/2012/10/30/windows-8-windows-server-2012-remote-desktop-management-server.aspx Falls ich hier falsch liege oder jemand weiß wie man das ohne einen RDMS realisieren kann (ohne eine Bastellösung), würde ich mich über eine Antwort freuen.

Also die Umstellung des Switch Ports auf FastPort hat leider auch nicht gebracht. Die Fehlermeldung erscheint weiterhin im Ereignislog. Da ich aber sonst keine Fehler habe und alle Richtlinien, Anwendungen und Zugriffe funktionieren, bin ich mit meinem Latein am Ende. Vielleicht liegt es wirklich nur an der SSD und der Rechner fährt einen Tick zu schnell hoch. Ich habe jetzt schon mehrere Tipps durchgearbeitet - Angefangen bei eventid bis hin zu spiceworks und technet. Mal schauen ob ich noch eine Lösung finde - falls ja werde ich diese hier posten.

Moin, ich wusste doch, dass ich etwas vergessen habe :) Die IP wird per DHCP (per Reservierung) vergeben. DC/DNS Server gibt es 2. Hier mal die Ausgabe von ipconfig -all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : NAME Primäres DNS-Suffix . . . . . . . : domain.com Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : domain.com Ethernet-Adapter LAN-Verbindung 3: Verbindungsspezifisches DNS-Suffix: domain.com Beschreibung. . . . . . . . . . . : Intel(R) Gigabit CT Desktop Adapter Physikalische Adresse . . . . . . : 68-05-CA-2C-5C-05 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::9db5:c3b7:4bc1:bbf9%15(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 172.27.143.13(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.252.0 Lease erhalten. . . . . . . . . . : Mittwoch, 19. August 2015 08:13:01 Lease läuft ab. . . . . . . . . . : Mittwoch, 19. August 2015 09:43:01 Standardgateway . . . . . . . . . : 172.27.143.254 DHCP-Server . . . . . . . . . . . : 172.27.143.225 DHCPv6-IAID . . . . . . . . . . . : 342361546 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-5F-89-02-B0-83-FE-83-42-F9 DNS-Server . . . . . . . . . . . : 172.27.143.225 172.27.143.227 NetBIOS über TCP/IP . . . . . . . : Aktiviert Danach kommen keine Fehler mehr. Auch so funktioniert alles, aber der Fehler sieht irgendwie komisch aus und es wird auch nirgends gemeldet, dass die Anmeldeserver nun korrekt gefunden wurden oder ähnliches. Ich habe gerne ein sauberes Eventlog :) Danke für den Link - die Gruppenrichtlinien werden aber korrekt abgearbeitet.

Hallo zusammen, ich habe an einem neuen Windows 7 Client folgendes Problem. Beim starten des Clients erhalte ich im Ereignislog die Fehlermeldung Error NETLOGON 5719 Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne KTS aufgrund der folgenden Ursache nicht einrichten: Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht. ZUSÄTZLICHE INFORMATIONEN Wenn dieser Computer ein Domänencontroller der bestimmten Domäne ist, wird eine sichere Sitzung zum primären Domänencontrolleremulator in der bestimmten Domäne eingerichtet. Andernfalls richtet dieser Computer eine sichere Sitzung zu einem beliebigen Domänencontroller in der bestimmten Domäne ein. Des Weiteren erhalte ich die Meldung Warnung Time-Service 129 Aufgrund eines Ermittlungsfehlers konnte von "NtpClient" kein Domänenpeer als Zeitquelle festgelegt werden. In 3473457 Minuten wird ein weiterer Versuch ausgeführt und das Intervall für weitere Versuche anschließend verdoppelt Fehler: Der Eintrag wurde nicht gefunden. (0x800706E1) Die Time-Service Warnung wird nach 1 Minute erfolgreich abgeschlossen. Bezüglich des NETLOGON Fehlers habe ich die Gruppenrichtlinien wie auf Gruppenrichtlinien.de beschrieben, aktiviert. Ebenso habe ich die Richtlinie auf einen Wert von 60 gestellt, da der neue PC eine SSD besitzt und sehr schnell hochfährt. Nichts davon hat bisher geholfen. Der Fehler erscheint weiterhin. Die Gruppenrichtlinien werden defintiv übernommen (mit rsop geprüft) Auch habe ich diesen KB Eintrag von Microsoft gefunden und folgende Tipps ausgeführt. Nichts hat bisher geholfen. Der Fehler erscheint immer wieder beim hochfahren. Das ganze passiert nur bei dem neuen PC. Ein Modell welches wir sonst noch nicht im Unternehmen haben und das erste mit SSD. In dem KB Eintrag von Microsoft wird als erstes erwähnt, FastPort auf dem Switch zu aktivieren. Dies habe ich bisher nicht gemacht, da unser Admin für diesen Bereich noch keine Zeit hatte dies durchzuführen und den Befehl nicht wirklich kennt (das kann dauern......) . Auch habe ich schon eine andere Netzwerkkarte eingebaut, um auszuschließen das es vielleicht an der Netzwerkkarte liegt. Die Netzwerkkarte protokolliert im Ereignislos dann 1 Sekunde vor dem Netzlogon Fehler Error ein Warning "e1qexpress 27" mit "Netzwerkverbinung wurde unterbrochen". Hat irgendjemand noch eine Idee, was hier falsch läuft oder an was dies liegen kann? An sich kann ich zwar keine Probleme feststellen aber ich würde diesen Fehler im Ereignislog doch gerne beseitigen. Vielen Dank schon mal. Gruß

Ja, da stimme ich dir zu lefg. Hätte es ein Tool gegeben welches diese Aufgabe leicht und locker bewältigt, hätte ich mir dieses genauer angeschaut. Wir werden aber sicherlich kein komplexes Tool einführen nur um diesen Fall abzudecken. Dafür läuft es zu stabil und in der Praxis nicht notwendig. Wenn dann würde ich mir das mit den Script noch mal anschauen. Vielen Dank für eure Hilfe.

Hi lefg, vielen Dank für deine Mühe. Das tool hatte ich auch schon gefunden. Klingt sehr interessant aber leider nicht ganz für den Zweck wie wir ihn benötigen würden. HIer kann ich "nur" die Änderungen usw. an den GPOs reporten lassen - wer hat wann was und wo geändert. Aber das bezieht sich leider nicht auf die Endgeräte. Aber trotzdem vielen Dank. Ich denke das solch ein Tool wirklich schwierig zu bekommen ist. Gerade auch mit dem Hintergrund, dass die GPOs an sich sehr stabil laufen und man selten für alle Endgeräte einen Report benötigt.

Nein haben wir nicht aber was hat das mit meiner Frage zu tun? Es geht einfach nur darum, ob man das irgendwie reporten kann. Wenn es nicht geht oder kein tool bekannt ist, ist das ja auch ok. Hintergrund ist einfach nur, dass es Anfragen gibt "Wie stellen Sie sicher das Ihre GPOs wirklich angewendet wurden" z.B. vom BSI Werde mal weiterschauen, ansonsten geht das halt nicht bzw. nur umständlich über Scripte - Danke schon mal dafür!

Hi lefg, mir ist klar das ich mit gpresult -r oder gpresult -h einen Report bekomme. Das machen wir ja auch stichprobenartig so. Aber das hilft mir nicht, wenn wir wissen wollen ob GPO XYZ auf allen Workstations angewendet wurde. Ich kann ja schlecht auf allen PCs gpresult ausführen und dann die Infos manuell zusammentragen. Natürlich kann ich sagen, das GPO ist auf die OU angewendet und alle PCs, User haben diese erhalten da sie in der Sicherheitsgruppe enthalten sind oder weil es auf alle angewendet wird. Aber wenn jemand dies schwarz auf weiß sehen möchte tue ich mich schwer. Deshalb die Frage nach einem Tool.

Hallo zusammen, ich bin auf der Suche nach einem Tool, welches mir ermöglicht eine Übersicht zu erstellen, welche GPOs auf welchen Endgeräten aktiv sind bzw. ob sie angewendet wurden. Im Moment erstellen wir GPOs, testen diese und setzen sie dann produktiv. Danach prüfen wir stichprobenartig ein paar PCs/User und schauen ob die GPOs aktiv sind. Nun haben wir aber die Anforderung, dass wir dies reporten sollen. Gibt es sowas überhaupt und wenn ja kann jemand so ein Tool empfehlen? Gruß

Danke MurdocX, ich hatte es immer nur mit einem Ordner getestet und nicht die Option "Für alle übernehmen" gedrückt. dachte nicht das es damit etwas zu tun hat. Nach dem klick auf "Für alle Ordner übernehmen" geht es nun. Vielen Dank. Gruß

Hallo zusammen, gibt es eine Möglichkeit, dass auf einem RDP Server (2008 R2) die Einstellung unter "Ansicht ändern" im Windows Explorer gespeichert wird? Der User ändert die Ansicht auf "Liste" aber nach einer erneuten Anmeldung ist die Ansicht wieder auf "Details" gestellt. Wenn er innerhalb der Sitzung den Explorer schließt und wieder öffnet ist die Änderung noch vorhanden. Kann man dies irgendwo einstellen, dass diese Änderung beim abmelden gespeichert wird und somit dauerhaft gespeichert ist? Gruß EDIT: Es handelt sich dabei um Roaming Profiles

Hallo zusammen, wir haben jetzt unseren ersten 2012R2 Server im Netzwerk und ich würde somit auch die ADMX Files updaten, um für die neuen Server auch GPOs bauen zu können. Wir nutzen einen zentralen Speicherort für die GPOs. Reicht es wenn ich vom neuen 2012R2 Server die ADMX und ADML Dateien aus dem PolicyDefinition Ordner unter WINDOWS in den zentralen Speicherort kopiere (oder sollte man sich lieben das komplette Paket von MS laden) oder muss ich noch etwas beachten? Bestehende GPOs werden davon ja nicht betroffen sein, wenn ich es richtig in Erinnerung habe. Eine weitere Frage noch aus reiner Neugier. Wurden eigentlich nur neue GPOs für Server 2012, 2012R2 und Windows 8 hinzugefügt oder wurden auch GPOs für ältere Betriebssysteme hinzugefügt, verbessert? Gruß, Steffen

Hallo zusammen, ich habe folgendes Problem. Wir haben eine RDP Farm mit einem connection broker und einem Web Access Server. Über den Remote Web Access stellen wir RemoteApps zu Verfügung. Im Moment ist es noch so, dass die User sich auf der Web Access Seite anmelden müssen und sich dann beim starten der Remote App noch mal gegenüber dem connection broker authentifizieren müssen. Alle RDP Server, der Connection Broker und Web Access Server sind mit einem Zertifikat von unserem CA Server versehen. Einen Remote Destop Gateway nutzen wir nicht, da wir bei externen Mitarbeitern mit VPN arbeiten. Auf dem connection broker und den RDP Servern ist im Moment aber noch eingetellt - Remotedesktop Gatewayeinstellungen automatisch ermitteln. Könnte das der Fehler sein? Kann ich diese Option einfach deaktivieren? Ich habe mich schon durch diese Anleitung gelesen aber ich bekomme das SSO nicht zum laufen. Hat noch jemand einen Tip für mich? Alle genannten Server sind 2008 R2 SP1, Clients sind W7 und XP SP3. EDIT: Der Fehler ist gefunden. Auf einem der RDP Server hat noch das Zertifikat gefehlt und ich musste per GPO die Delegierung von Standardanmeldeinformationen zulassen.

Hallo Norbert, vielen Dank für den Link. Das bedeutet aber auch, das man einen CA Server benötigt, richtig? Kann man diese Rolle einem 2008R2 Enterprise Server einfach hinzufügen und dann mit dem erstellen der Zertifikate etwas "spielen". Ich möchte nur Zertifikate für die RDP Farm und RemoteDesktop Apps erstellen. Oder ist die Gefahr, dass man sich z.B. selbst aussperrt oder ähnliches, sehr groß und man sollte das lieber von einem erfahrenen Dienstleister machen lassen? Gruß, Steffen

Hallo, das Thema ist leider etwas hinten runtergefallen. Nun habe ich aber das Zertifikat vom RDP Server auf meinem PC in die vertrauenswürdige Stammzertifizierungstellen importiert. Wenn ich eine RDP Verbindung zu dem Server aufbaue kommt aber trotzdem die Meldung "Zertifikatfehler - der Servername auf dem Zertifikat ist falsch". Der Angeforderte Remotecomputer ist unsere RDP Farm, im Zertifikat stehen die einzelnen RDP Server. Kann ich für die Farm auch ein Zertifikat erstellen?

Hallo Dukel, vielen Dank für die Antwort, dass ist schon mal gut zu wissen. Da wir im Moment nur 2-3 Zertifikate haben, lohnt sich ein CA Server im Moment wohl noch nicht bzw. müsste ich mich dazu erstmal einlesen. Was mir aber noch nicht ganz klar ist, auf den RDP Server gibt es unter Zertifikate -> Temote Desktop - Zertifkate ein Zertifikat mti dem Namen des RDP Servers. Wenn ich das Zertifikat anschaue, steht dort folgendes: Bedeutet das, dass ich dieses Zertifikat nur auf dem RDP Server in "Vertrauenswürdige Stammzertifizierungsstellen" verschieben muss oder muss dieses Zertifikat dann auch auf allen Clients die sich mit dem RDP Server verbinden in diesem Bereich installiert werden?

Hallo zusammen, mir läuft immer öfter das Thema "Zertifikate" über den Weg. Sei es bei unserer neuen RDP Farm oder den RemoteApps. Bei der RDP Farm äußert es sich so, dass beim verbinden zu der RDP Farm immer gefragt wird ob das Zertifikat vertrauenswürdig ist und ich dies bestätigen muss. Bei den RemoteApps erhalte ich auf dem Web Access im Internet Explorer immer die Meldung das die Seite unsicher ist und ob ich trotzdem fortfahren möchte. Nun habe ich versucht mich ein bisschen in das Thema einzulesen aber so ganz ist mir das noch nciht gelungen. Ich bin soweit, dass es externe Zertifikate gibt, diese müssen wohl gekauft werden und werden von Zertifizierungstellen erstellt. Oder man erstellt selbst Zertifikate, dazu braucht man wohl einen CA Server oder so ähnlich. Ich haber mir aber auch mal selbst ein Zertifikat erstellt (für den LUP, mit diesem kann man eigene z.B. MSI Pakete in den WSUS integrieren). Dieses Tool hat ein Zertifikat selbst erstellt, dieses habe ich dann mit Hilfe der Gruppenrichtline verteilt und in den Bereich "vertrauenswürdige Zertifikate" installiert. Meine Frage ist nun, kann ich das auch mit Zertifikaten für die RDP Farm und die RemoteApps machen? Wenn nein, wie kann man die benötigten Zertifikate erstellen? Vielen Dank schon mal. Gruß

Hallo, wir haben bei uns viele viele Anleitungen die im Netzwerk rumliegen (Word, Excel, txt files usw...) und es wird immer schwieriger die Übersicht zu behalten. Gibt es (am besten kostenlose) Tools die einem helfen sowas besser zu organisieren? Falls jemand sowas kennt würde ich mich sehr über einen Link freuen. Gruß

Hi Norbert, danke für den Link. Leider war keine Problemlösung für mein Problem dabei aber ich bin auch so fündig geworden. Anscheinend hat XP und 2k3 ein Problem imt der Option "Verbindung wiederherstellen". Diese hatte ich nämlich in der neuen GPO aktiviert, in der alten nicht. Nachdem ich sie in der neuen auch deaktiviert habe, werden die Laufwerke mit Zielgruppenadressierung nun problemlos verbunden. Gruß Steffen

Hallo zusammen, ich möchte unser Laufwerksmapping umbauen, da es im Moment über mehrere GPOs realisiert wird. Jetzt soll das ganze über eine GPO realisiert werden und anhang von Zielgruppenadressierung die die Sicherheitsgruppen abfrägt aufgebaut werden. Die Tests waren auf Win7 und Server 2008 R2 auch erfolgreich. Auf XP mit SP3 und Server 2k3 ist die GPP Client Erweituerung installiert aber trotzdem hab ich noch kein richtigen erfolg. Die Laufwerke werden manchmal nicht verbunden, dann wiederrum ist kein Zugriff möglich da auch ein Username und Passwort mit übergeben werden sollen und das wohl nicht richtig funktioniert. Die einzelnen GPOs ohne die Zielgruppenadressierung funktionieren unter XP und 2k3 ohne Probleme. Von daher ist meine Vermutung das die beiden OS vielleicht Probleme mit der Zielgruppenadressierung haben. Ich habe bei MS keine Info darüber gefunden ob diese Funktion erst ab 2008 unterstütz wird. Wäre für ein Tipp sehr dankbar. Gruß

Danke Dukel, dann weiß ich da schon mal mehr, der Punkt Verfügbarkeit ist richtig. Im Moment werden die Datenbanken täglich mit Backup Exec auf Band gesichert und der VM Server 1x die Woche. Ich denke damit kann man die Daten recht schnell wieder verfügbar machen, falls mal etwas schief laufen sollte.