NorbertFe

Falls ihr adfs im Einsatz habt, damit ginge sowas, bzw. Citrix kann das auch. Na sowas aber auch. ;)

Ja, genauso wie bei den früheren OS auch. ;) https://gpsearch.azurewebsites.net/Default_legacy.aspx?PolicyID=1842

Ja das kenn ich

Naja wenn da nicht mehr kommt, wirds eng, man braucht ja 25Aktivierungscounts. :)

Du wärst nur doof, wenn du erwartetest, dass ein Feature für Datacenter (AVMA) dann auch bei dir mit Standard funktionierte. ;) Bei Standard bleibt dir immer noch KMS. :) Bye Norbert

Weißt du, wofür "Primäre Gruppe" genutzt wird? Alternativ vielleicht auch mal das hier lesen: https://www.weavweb.net/2015/09/29/group-policy-preferences-preference-item-level-targeting-security-groups-one-big-mess/ (keine Ahnung wie "sicher" diese Info ist)

Ja und? Dann nimm auf c eben die rechte weg. Löschen könnte die Ordner nur der, der sie angelegt hat. powershell gibts auf gruppenrichtlinien: https://www.gruppenrichtlinien.de/artikel/powershell-fuer-benutzer-verbieten

Aha, also macht man es „richtig“ funktioniert’s auch. ;) quasi: danke für die Rückmeldung. bye norbert

Alternativ darf man natürlich auch hier im Forum mal suchen: oder wollen wir für jedes cu so einen thread?

Den wirst du ja eh abschalten müssen. Also abschalten und AD Objekt auf dem anderen DC löschen. Problem gelöst (vorübergehend).

Grundsätzlich ja, es sei denn "deutlich zeitversetzt" heißt es sind mehr als die bereits erwähnten 0-30 Sekunden. ;)

Läuft denn der neue dc fehlerfrei? Bei der Meldung oben, würde ich das nicht sondern diverse Fehler im eventlog erwarten.

Warum denn? Ja es ist eine Testumgebung? Welche Aussage soll denn so eine Testumgebung haben, wenn sie NICHT der realen Welt entspricht? Abgesehen davon, wärs nett, wenn du auf das Posten von Screenshots wenn möglich verzichtest. DIe Infos von Eventlogeinträgen kann man sehr gut als Text (Code) posten. Warum setzt du soviele SPN? Ich würde an der Stelle mal ansetzen. Mein SPN für den Managed Service Account heißt auch nur host/sso.domain.tld https://blog.wydler.eu/2015/09/01/group-managed-service-accounts/ Bye Norbert

Gibts überhaupt eine Frage? ;)

OK, wie lautet der Zugriffsname? DC0 wirds ja eher nicht mehr sein. Welchen SPN hast du gesetzt? Unter welchem Konto führst die Services aus? Teste erstmal immer mit dem IE nachdem du den Zugriffsnamen in die lokale Intranetzone aufgenommen hast. Ansonsten was steht in den Ereignisprotokollen des ADFS Servers?

Wo denn sonst hin? :) Bye Norbert Hinweis: verweist

Wäre zumindest meine Empfehlung. Lässt sich besser eingrenzen.

Was sagt denn der IE dazu? Der sollte ja zumindest funktionieren. Die obige Einstellung ist so grundsätzlich richtig. Bei mir sieht das ähnlich aus: Get-AdfsProperties | select -ExpandProperty WIASupportedUserAgents MSIE 6.0 MSIE 7.0 MSIE 8.0 MSIE 9.0 MSIE 10.0 Trident/7.0 MSIPC Windows Rights Management Client Edge/12 Chrome Mozilla/5.0 MS_WorkFoldersClient =~Windows\s*NT.*Edge Mozilla/5.0 (Windows NT) Edg/* Was gibt dir denn ein Get-AdfsGlobalAuthenticationPolicy Was ja auch logisch ist, wenn WIA nicht funktioniert und FBA abgeschaltet ist. ;) Bye Norbert PS: Einen ADFS auf einem DC? Ich würde behaupten keine gute Idee. Zumindest nicht in der Produktion. bzw. oder beides? Trag bitte mal explizit dc0.domain.local ein.

Mit den paar Infos kommen wir vermutlich nicht sinnvoll weiter. 1. Wie sieht deine ADFS Infrastruktur aus? Wieviele ADFS Server und welche Version? Mit WAP Proxy oder ohne? 2. Wie lautet die URL/Host intern bzw. extern (kannst du gern verfremden) 3. Welche dieser URL/Hosts hast du für die Integrierte Authentifizierung (wo) aktiviert?

Du hast also integrated auth. in allen Browsern für die adfs Seite aktiviert? Welche Browser hast du getestet und wie sind die konfiguriert?

Reicht der Browser denn die Daten überhaupt per WIA an den ADFS?

Ach hört doch auf. Ja es gibt ab und an "Probleme", aber die dürften sich echt in Grenzen halten.

Würde es das nicht automatisch beim Update auf 2019? Oder was genau meinst du damit?

Wer installiert eigentlich in C:\Exchange? Bäääh Wie alt sind die Dateien denn? Ich würd mich ja mal fragen, wo diese ganzen Daten herkommen, denn bei mir nix (ok fast nix mit 6 Dateien) rum. Unabhängig davon, wenn die Dinger älter als ein paar Stunden sind, kann das vermutlich einfach weg. Wie gesagt, wirklich Probleme hatte ich an der Stelle noch nie. Wenn du noch was suchen willst: C:\Program Files\Microsoft\Exchange Server\V15\Logging\lodctr_backups Der Inhalt kann auf jeden Fall gelöscht werden. ;) Auch mit Rechtsklick. Bye Norbert

Ich dachte Jehova :p