NorbertFe

Adfs hat mit dem Sync wenig zu tun, denn den übernimmt der AADC. Das ist eine von drei Optionen, damit auch deine User an ms Cloud Services anmelden können. mit selfsigned würde ich an der Stelle gar nicht erst anfangen. bye norbert

Größere Kreise haben entsprechende Lösungen. Einige davon wurden im thread genannt. Dass die dir ggf. Als Lösung nicht gefallen heißt ja nix.

Ohne Kennwortänderung passiert keine Anmeldung. Hast du doch oben selbst geschrieben. Jede Variante die dir das technisch ermöglicht setzt also durch, dass der Nutzer das Kennwort ändert, bevor die Anmeldung erfolgreich ist. Heißt, ohne Kennwortänderung könnten deine Nutzer ja gar nicht arbeiten. Prüfen kannst du das bspw. Wie oben angegeben. Wenn dir keine der Lösungen zur Verfügung steht, ist das ja nicht das „schwachsinnig“, sondern falsche Planung oder Erwartung. ;)

Doch, hast du. Ansonsten kann er sich ja nicht mehr anmelden. ;)

Falls ihr adfs im Einsatz habt, damit ginge sowas, bzw. Citrix kann das auch. Na sowas aber auch. ;)

Ja, genauso wie bei den früheren OS auch. ;) https://gpsearch.azurewebsites.net/Default_legacy.aspx?PolicyID=1842

Ja das kenn ich

Naja wenn da nicht mehr kommt, wirds eng, man braucht ja 25Aktivierungscounts. :)

Du wärst nur doof, wenn du erwartetest, dass ein Feature für Datacenter (AVMA) dann auch bei dir mit Standard funktionierte. ;) Bei Standard bleibt dir immer noch KMS. :) Bye Norbert

Weißt du, wofür "Primäre Gruppe" genutzt wird? Alternativ vielleicht auch mal das hier lesen: https://www.weavweb.net/2015/09/29/group-policy-preferences-preference-item-level-targeting-security-groups-one-big-mess/ (keine Ahnung wie "sicher" diese Info ist)

Ja und? Dann nimm auf c eben die rechte weg. Löschen könnte die Ordner nur der, der sie angelegt hat. powershell gibts auf gruppenrichtlinien: https://www.gruppenrichtlinien.de/artikel/powershell-fuer-benutzer-verbieten

Aha, also macht man es „richtig“ funktioniert’s auch. ;) quasi: danke für die Rückmeldung. bye norbert

Alternativ darf man natürlich auch hier im Forum mal suchen: oder wollen wir für jedes cu so einen thread?

Den wirst du ja eh abschalten müssen. Also abschalten und AD Objekt auf dem anderen DC löschen. Problem gelöst (vorübergehend).

Grundsätzlich ja, es sei denn "deutlich zeitversetzt" heißt es sind mehr als die bereits erwähnten 0-30 Sekunden. ;)

Läuft denn der neue dc fehlerfrei? Bei der Meldung oben, würde ich das nicht sondern diverse Fehler im eventlog erwarten.

Warum denn? Ja es ist eine Testumgebung? Welche Aussage soll denn so eine Testumgebung haben, wenn sie NICHT der realen Welt entspricht? Abgesehen davon, wärs nett, wenn du auf das Posten von Screenshots wenn möglich verzichtest. DIe Infos von Eventlogeinträgen kann man sehr gut als Text (Code) posten. Warum setzt du soviele SPN? Ich würde an der Stelle mal ansetzen. Mein SPN für den Managed Service Account heißt auch nur host/sso.domain.tld https://blog.wydler.eu/2015/09/01/group-managed-service-accounts/ Bye Norbert

Gibts überhaupt eine Frage? ;)

OK, wie lautet der Zugriffsname? DC0 wirds ja eher nicht mehr sein. Welchen SPN hast du gesetzt? Unter welchem Konto führst die Services aus? Teste erstmal immer mit dem IE nachdem du den Zugriffsnamen in die lokale Intranetzone aufgenommen hast. Ansonsten was steht in den Ereignisprotokollen des ADFS Servers?

Wo denn sonst hin? :) Bye Norbert Hinweis: verweist

Wäre zumindest meine Empfehlung. Lässt sich besser eingrenzen.

Was sagt denn der IE dazu? Der sollte ja zumindest funktionieren. Die obige Einstellung ist so grundsätzlich richtig. Bei mir sieht das ähnlich aus: Get-AdfsProperties | select -ExpandProperty WIASupportedUserAgents MSIE 6.0 MSIE 7.0 MSIE 8.0 MSIE 9.0 MSIE 10.0 Trident/7.0 MSIPC Windows Rights Management Client Edge/12 Chrome Mozilla/5.0 MS_WorkFoldersClient =~Windows\s*NT.*Edge Mozilla/5.0 (Windows NT) Edg/* Was gibt dir denn ein Get-AdfsGlobalAuthenticationPolicy Was ja auch logisch ist, wenn WIA nicht funktioniert und FBA abgeschaltet ist. ;) Bye Norbert PS: Einen ADFS auf einem DC? Ich würde behaupten keine gute Idee. Zumindest nicht in der Produktion. bzw. oder beides? Trag bitte mal explizit dc0.domain.local ein.

Mit den paar Infos kommen wir vermutlich nicht sinnvoll weiter. 1. Wie sieht deine ADFS Infrastruktur aus? Wieviele ADFS Server und welche Version? Mit WAP Proxy oder ohne? 2. Wie lautet die URL/Host intern bzw. extern (kannst du gern verfremden) 3. Welche dieser URL/Hosts hast du für die Integrierte Authentifizierung (wo) aktiviert?

Du hast also integrated auth. in allen Browsern für die adfs Seite aktiviert? Welche Browser hast du getestet und wie sind die konfiguriert?

Reicht der Browser denn die Daten überhaupt per WIA an den ADFS?