Jump to content

Sunny61

Expert Member
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    26.104

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von Sunny61

  4. AD Replikation funktioniert nicht

    in Active Directory Forum

    Geschrieben

    Hm... was mir auch gerade auffällt, wenn  ich auf diesem "problemserver" etwas im AD ändere, wird es nicht repliziert. Wenn ich aber etwas auf einem anderen DC ändere, wird es auf den Problemserver repliziert. 

    Da ist wohl etwas nicht korrekt. ;)

     

    Was sagt das Eventlog? Kannst Du diesen betroffenen DC neu starten? Wie sieht die DNS-Konfig bzw. ipconfig /all aus und wie sieht das bei einem anderen DC aus?

  6. GPO: Time Sync Problem

    in Windows Server Forum

    Geschrieben

    Habe ich gemacht. Kannte den CodeCreator nicht.

    Wenn ich die Abfrage mit dem Code Sunny61 nutze und die Abfrage starte bekomme ich folgende Ergebnisse.

     

    Auf dem Domaincontroler: DomainRole 5

    Auf einem Server: DomainRole 3

    Auf einem Client DomainRole 1

     

    Sieht meiner Meinung richtig aus. Oder?

    Jepp, sieht gut aus.

     

     

     

    Habe schon mehrfach ein gpupdate ausgeführt, sogar auf dem Server ein Neustart ausgeführt.

    Den Zeitdienst beendet und gestartet.

     

    Mir ist aufgefallen, das in der Reistry unter HLM\Software\Policies\Microsoft\W32Time\Parameters die Werte time.windows.com,0x9 und NT5DS steht.

    Das sollte ja meiner Meinung nach nciht auf dem DC stehen sondern doie GPO und der pool Adresse stehen oder?

    Hier solltest Du die Werte finden: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32time\Parameters Liegt das Computerobjekt im Verwaltungsbereich des GPO?

     

    Siehst so aus als würde die GPO nicht stimmen bze gezogen.

    Im Eventlog des Servers steht aber das er 4 neue Einträge gefunden und gezogen hat.

    Starte den Dienst durch, gibt es neue Einträge im Log?

  7. GPO: Time Sync Problem

    in Windows Server Forum

    Geschrieben

    Ich habe es kontolliert und ich meine, sollte bedeuten das ich keinen Fehler finde und es für MICH richtig ausschaut, aber auch ich bin nciht unfehlbar.

    Den Befehl habe ich von deiner Aufschreibung kopiter. Kenne mich mit WMI-Filterung leider nicht gut genug aus.

    Wie und wo kann ich da was kontollieren?

    Es gibt von MSFT den WMI-CodeCreator zum Download. Damit kannst Du solche WMI-Scripte selbst erstellen bzw. testen.

    strComputer = "." 
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2") 
Set colItems = objWMIService.ExecQuery( _
    "SELECT * FROM Win32_ComputerSystem",,48) 
For Each objItem in colItems 
    Wscript.Echo "-----------------------------------"
    Wscript.Echo "Win32_ComputerSystem instance"
    Wscript.Echo "-----------------------------------"
    Wscript.Echo "DomainRole: " & objItem.DomainRole
Next

    Als MeinTest.vbs abspeichern und auf dem DC aufrufen, welche DomainRole wird angezeigt? Als Gegenprobe auf einer Workstation.

     

     

     

    Die Windows Firewall am DC ist ausgeschaltet. Auf der Hardware Firewall ist der Server freigeschaltet  und der Port 123 auch ok.

    Bekomme im Log der Firewall auch keinen Eintrag: Weder das er sich verbindet, noch das er sich nciht verbindet. Also auf gut Deutsch keinen Eintrag im Log der Firewall.

    Weshalb schaltet eigentlich jeder immer die Firewall aus? Besser wäre wirklich sie zu konfigurieren, ab 2008 ist das abschalten der FW kontraproduktiv. Es können Fehler auftreten die man nicht zuordnen kann. Schaltet man die FW wieder ein, sind die Fehler weg. Beim hinzufügen von irgendwelchen Rollen wird normalerweise die FW auch korrekt konfiguriert.

     Auch der von Dir erwähnte ID Eintrag in der Ereignisanzeige des Systems bekomme ich nciht angezeit.

    Ein resync  bekomme ich immer noch die von mir genannte Fehlermeldung.

    Aktualisieren hilft auch nicht? Neustart vom DC schon ausgeführt?

  12. Startupscript wird nicht ausgeführt

    in Active Directory Forum

    Geschrieben

    Nenne es initieren oder übermittel von adm/admx daten aus denen auf den Clients Registryschlüssel gesetzt werden. Das ist jetzt Haarspalterei. Das 90-30 Prinzip ist mir wohl geläufig. Egal

    Der Client saugt, nicht der Server schiebt. Der Unterschied ist klein, aber doch sehr wichtig.

     

     

    Klar... wie eben gesagt kann man irgendwann auch mal einen Fehler machen. Es ist nur nicht eine korrekte Form jemanden zuverbessern und dabei auf eine Quelle zu verweisen, im unrecht zu sein bei eigenen Quellverweis und es als mangelde Grundlagen anderer abzustempeln. Wirkt sehr unqualifiziert. Nochmals Vielen Dank. Thema beendet

    Und wo war ich im Unrecht?

  13. Startupscript wird nicht ausgeführt

    in Active Directory Forum

    Geschrieben · bearbeitet von Sunny61

    Nett gemeinter Hinweis aber ich habe bereits divesre Gruppenrichtlinien (Benutzer), die laufen von Ordnerumleitungen, Verknüpfungen, Wechseldatenträgermanagement usw.

    Es hatte nur an diesen verflixten Computerrichtlinien gescheitert.

    Was ist daran anders? Nichts, nur der Zweig ist ein anderer. ;)

     

     

    Erledigt durch die eigene OU für die Clients. Danke für den Tipp

     

    Bitte, gern geschehen. ;)

     

     

     

     

     

     

    Kann sein... weder im Studium, noch beim MS-Kurs oder im MS-Press/Galileobook angesprochen. Also eher insidergrundlagen... wie auch immer. Danke

    Kein Insiderwissen, reines Grundlagenwissen!

     

     

    habe es aber in der Praxis schon das eine oder andere mal erlebt, dass Richtlinien erst sofort an den Client übermittelt wurden als ich gpupdate /force auf dem server und gpupdate /target:user /force /wait:0  auf dem Client ausgeführt habe. Wird auch im Studium gelehrt

    Es wird kein GPO bzw. keine Einstellung an den Client 'übermittelt'. Das ist ein Prozess der vom Client aus initiiert wird, ab Start des Client für die Computer und beim Anmelden für den Benutzer. Lies bitte selbst: http://www.gruppenrichtlinien.de/artikel/was-sind-gruppenrichtlinien/ Der Client holt ~90 +-30 Minuten die GPO-Einstellungen vom DC ab, du hattest möglicherweise Glück dass Du den richtigen Zeitpunkt erwischt hast.

     

    Nicht alles was im Studium gelehrt wird, ist scheinbar richtig.

     

     

     

    Vielen Dank für deine Hinweise. Im Endeffekt lag es der Fehlenden OU für die Clients

    Und das sind schon wieder Grundlagen gewesen. ;)

  14. Startupscript wird nicht ausgeführt

    in Active Directory Forum

    Geschrieben

    Ich habe jetzt eine OU "Clients" erstellt in die ich meinen Test-PC aus dem Computers-Verzeichnis hinein geschoben. Ok das Prinzip ist mir klar und nach genauerer Überlegung auch nur logisch.

    Habe dann ein GPO mit einem Start-Script erstellt und mit der OU "Clients" verknüpft. Script liegt diesmal unter der NETLOGON-Freigabe!

    Bei der Sicherheitsfilterung Domänencomputer hinzugefügt und noch einmal die Freigabeberechtigungen auf der Netlogon Freigabe geprüft.Relevant:

    Freigabe: Jeder-Lesen und Administratoren-Vollzugriff.

    NTFS: Authentifizierte-Benutzer- Lesen/Ausführen;Standardmäßig kein Domänen-Computer!!!; Administratoren-Lesen/ausführen;Server-Operatoren-Lesen/Ausführen

    In den Authentifizierten Benutzer sind auch die Computerkonten enthalten. Sorry, das ist Grundlagenwissen, das mußt Du dir schon vorher aneignen.

     

    Auf dem Server habe ich gpupdate /force ausgeführt und den Win 7 Client neu gestartet.

    Nichts!!!

    Überleg doch mal, Du führst auf dem Server gpupdate /force aus. Was genau bewirkt das? Was bringt ein Befehl auf dem Server wenn ein Client der Betroffene sein soll? Genau, nichts bewirkt der Befehl. Grundlagen!

     

    Mit Netlogon waren auch Loginscripte gemeint, steht in dem Artikel auch recht deutlich. Du mußt also den Pfad zum Script exakt angeben. Aber achte auf die Verwendung von UNC-Pfaden innerhalb des Scriptes!

     

    Also ich möchte im ersten Schritte folgenden Befehl ausführen:

     

     

     

    netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes
     

    im zweiten Schritt möchte ich das Script durch folgende Zeile erweitern  um eine Übersicht von den Clients zu bekommen, die den ersten Befehl ausgeführt haben:

     

     

    echo %COMPUTERNAME%;ÚTE%;%TIME%;enable >> \\192.168.XXX.XXX\ScriptReport\report.csv
     

     

    Ich habe beide Zeilen in eine .bat gepackt und als admin auf Testclients ausgeführt. Läuft!

     

     

    Gut.

     

    Normalerweise müsste ich, wenn es funktioniert hat die Gruppenrichtlinienereignisse vom AD aus für den Client abrufen können, aber da ich die Fehlermeldung "der RPC-Server ist nicht verfügbar" bekomme weiß ich, dass die Windows-Firewall auf dem Client den WMI-abruf blockt und mein Scriptabruf versagt hat. Natürlich funktioniert der Remotezugriff  mit gpresult auf dem Client auch nicht.

    Dann melde dich auf dem Client an und schau in das Ereignisprotokoll. Es gibt auch ein spezielles GPO-Log, das muß allerdings erst aktiviert werden. Bis zu einem gewissen Punkt kann man das auch via GPO erledigen. In http://support.microsoft.com/kb/944043/de findest Du weitere Infos dazu.

     

    Falls nichts angelegt wird, keine Bange, hier gibt es einen Artikel dazu: http://blogs.technet.com/b/deds/archive/2010/01/12/group-policy-debug-logging-gpsvc-log-in-windows-7-und-server-2008-r2.aspx

     

    Der gpresult /R aufruf auf dem Client zeigt mir nicht dieses GPO an!!! Weder als angewendet und nicht angewendet. Das sagt mir, dass es nicht am Script liegt, sondern an der Ausführung der Richtlinie oder sehe ich das falsch?

    Liegt es vielleicht an der fehlenden NTFS-Berechtigung für Domänen-Computer auf der NETLOGON-Freigabe? Welche Rechte werden denn auf der Freigabe benötigt, da ich laut Literaturquellen davon ausgehe, dass Startscripte von den höchstberechtigten lokalen Benutzerkonto auf dem Client ausgeführt werden?!?

    Warum fangst Du nicht mit einfachen Dingen an? Spiel doch zuerst die Beispiele von http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/ durch. Benutzer-GPO erstellen, Bildschirmschoner rein, Computer-GPO erstellen, eine Einstellung vornehmen die man gleich nach einem Neustart sieht.

     

    Und auf alle Fälle immer diese beiden Einstellungen aktivieren: http://www.gruppenrichtlinien.de/artikel/fast-logon-schnelles-anmelden-asynchrones-startverhalten-ehemals-faq-36/

  15. Login Script - Textdatei erstellen im Benutzerprofil

    in Windows Forum — Scripting

    Geschrieben

    Also Skript stimmt - wenn ich es auf jedem einzelnen PC ausführe geht es(Lokal ohne Admin rechte) 

    also Manuell (Datei liegt auf dem Desktop) - auch an den gewünschten Speicherort und cmd springt einem direckt ins gesiecht mit "Erfolgreich ausgeführt"  

    OK, geht doch.

     

    Vom Sysvol aus gestartet sieht es so aus :

    http://www0.xup.in/exec/ximg.php?fid=20985679

    OK, sieht auch gut aus.

    funktioniert aber, also erstellt die Datei. Aber nur auf Manuelle Aufforderung von Client und Server auch durchgeführt - nichts. 

     

    Habe es Im Sysvol abgelegt. Entweder ist / war das mein Problem und ich habs nicht richtig konfiguriert oder es muss woanders liegen ?

    http://www.netlogon.ch/main.aspx?n=2&l=1

     

     

    Leg das Script ins Netlogon Verzeichnis, das wird auf die anderen DCs repliziert und Du brauchst den Pfad nicht zu wissen. Steht auch in diesem Artikel: http://www.gruppenrichtlinien.de/artikel/anmelde-skripte/

     

    Zeig doch auch mal den Inhalt des Scriptes, könnte leicht sein dass Du dort noch einen Fehler drin hast.

  16. 2. Mailserver als Backup

    in MS Exchange Forum

    Geschrieben

    ja ich weiß, aber was ist wenn es nicht so ist und vor allem wenn auf eine Antwort gewartet wird und dass innerhalb von 12h ? Der Abesender sieht das doch erst wenn es zu spät ist und wenn der Mailserver nicht korrekt konf. ist, dann nützt es dem Business auch nichts ;). Also interessant wäre es zu wissen, ob es eine sinnvolle Möglichkeit gibt.

    Es gibt nicht für alles eine 100%ige Lösung. Wenn Du einen Brief per Einschreiben verschickst, weißt Du auch nicht ob der Briefträger ihn wirklich ausliefert oder nicht vorher verbrennt.

     

    Wenn man auf Antwort dringend wartet, muß man einfach zum Hörer greifen und anrufen, dann weiß man mehr.

     

    Und für den Fall dass es immer noch nicht ausreicht, schau dir Cluster für Exchange an. Prüf aber vorher nach ob Du auch ein ausreichendes Budget dafür hast.

  17. VPN an SBS 2011 mit 2. Netzwerkkarte

    in Windows Forum — LAN & WAN

    Geschrieben · bearbeitet von Sunny61

    [OFFTOPIC ON]

     ;-) nein, der 2. DSL Anschluß wurde dem Kunden auf's Auge gedrückt.
     
    Der Kunde hat einen VDSL Anschluß, an dem es lt. Aussage der Telekomiker keine
    feste IP-Adresse gibt.
    Das ist natürlich absoluter Schwachsinn, denn der Kunde hat einen Businesstarif,
    und 2 weitere Kunden von mir besitzen ebenfalls VDSL ( Businesstarif) mit fester IP Adresse.
     
    Dieser Kunde hier wollte eine feste IP-Adresse für seine VPN-Clients, und deshalb hat man ihm sann zu einem 2. DSL Anschluß "geraten" .
    Der Drops ist gelutscht, der Kunde hat den Vertrag an der Backe und nun muß man was draus machen.

    Nicht immer alles hinnehmen, beschweren und eskalieren. Ja, das ist nicht angenehm, aber die Vorgehensweise jetzt macht die Sache nicht richtiger.

    [OFFTOPIC OFF]

  19. Server 2012 R2 Domäne - Bereitstellen Windows 8.1 Office 2013

    in Active Directory Forum

    Geschrieben

    Zur Migration: Domäne wurde seit dem Windows NT Zeitalter hochgehoben. Obwohl es zwar keinerlei grobe Probleme gibt, ist es einmal an der Zeit "von Grund auf" das ganze zu beginnen :)

    Im Gegenteil: Da ich die notwendige Hardware (wird einiges getauscht) zum Aufbau einer wirklichen Schattenanlage habe, kann ich neues viel einfacher testen und probieren, ohne in's Produktivsystem eingreifen zu müssen.

    Du mußt trotzdem alle Freigaben neu einrichten, Benutzer neu anlegen, Postfächer anlegen und den Inhalt migrieren.

     

     

    WSUS Package Publisher: Hui - davon habe ich ja noch nie was gehört - aber der erste Eindruck einfach hervorragend! Softwareverteilung über WSUS wäre schon lange etwas das die Kollegen von Drittanbieter-Software bereitstellen könnten. (Überhaupt wenn ich an die unzähligen Updater wie Adobe, Java, .... denke)

    Gibt's da Erfahrungen? Wie stabil und sicher läuft der Publisher? Muss ich des öfteren um meine WSUS Konfiguration bangen, wenn ich mit dem Package Publisher arbeite?

    Das ist vollkommen praxistauglich, läuft bei uns seit Mitte 2011 ohne Probleme. Die WSUS-Konfiguration wird ja nicht angefasst. Und seit auch sog. Kataloge importiert werden können ist das noch effektiver geworden. Einmal in der Woche den WPP starten, spätestens nach 1 Minute kriegt man mitgeteilt ob es etwas neues gibt, importieren, genehmigen und fertig ist die Laube.

     

    - Desktopsysmbole, Dem neuen Windows-Startmenü und der Taskleiste Verknüpfungen zu definieren (da bin ich mir einmal nicht so sicher)

    Auf der Taskleiste kriegst Du Verknüpfungen nur mittels Script angepinnt. http://www.faq-o-matic.net/2010/12/20/an-taskleiste-anheften-per-gruppenrichtlinie/

     

    Und hier noch ein Artikel bezüglich W8 und Startscreen.

    http://www.faq-o-matic.net/2012/12/05/windows-8-einzelne-verwaltungs-tools-auf-den-startscreen-pinnen/

  20. Startupscript wird nicht ausgeführt

    in Active Directory Forum

    Geschrieben

     

    Das Script liegt unter .../Machine/Scripts/Startup der entsprechenden GUID vom GPO und hat Lese/Ausführen-Rechte für Domänen-Computer als NTFS- und Freigebeberechtigungen.

    Bei der Sicherheitsfilterung des GPO´s habe ich domänen-computer hinzugefügt.

    OK.

     

     

    Hinweise:

    Auf dem AD sind alle Domänen-Computer unter Computers (Windows-Verzeichnis der Domänen-Computer) gelistet.

    Benutzerscripte mit Befehlen, die keine administrativen Rechte benötigen funktionieren.

    Erstell am besten eigene OUs, auf den Container Computers kannst Du keine GPOs direkt verlinken, auf einer OU schon. Ist einfacher in der Handhabung. Hier auch der passende Artikel dazu: http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/

     

     

     

    • Was muss ich tun, damit das GPO für einen bestimmten Computer (zu Testzwecken) wirksam wird? In eine extra OU verschieben? Spezielle Rechte zuweisen?

     

     

    In eine eigene OU verschieben ist die einfachste Variante.

     

     

    • Kann ich das Script irgendwie für Benutzerrichtlinien mit adminrechten verteilen

     

     

    Verteilen ja, ausgeführt wird es aber nicht bzw. läuft auf Fehler. Als Computerstartupscript ist es richtig.

     

    Welche NETSH Befehle führst Du in dem Script aus? Evtl. gibt es Alternativen die ohne Script benutzt werden können.

     

     

    • Ich habe festgestellt, dass die Softwareverteilung vom AD ebenfalls nicht, funktioniert! kann dies in einem Zusammenhang stehen?

     

     

    SW-Verteilung mittels Computer-GPO funktioniert. Lies dich doch mal ein: http://www.gruppenrichtlinien.de/artikel/softwarezuweisung-software-im-unternehmen-verteilen/

     

     

    • Kann ich mir gpresult auch Computerrichtlinien abfragen?

     

     

    Hast Du es denn schon ausprobiert? Wenn nein, weshalb nicht? Wenn ja, welche Fehlermeldungen bekommst Du bei genau welchen Befehlen angezeigt?

     

    Wie ist denn der generelle Umgang mit Computerrichtlinien. Muss ich eine OU haben mit den Computern, damit ich ebenso wie bei Benutzerrichtlinien mit einen GPO verknüpfen kann? Oder regelt man die Zuweisung über den Sicherheitsfilter?

    Übersichtlicher ist es IMHO in Computer- und BenutzerOU aufzuteilen. Wenn Du dann innerhalb der OU mit verschiedenen GPOs filtern möchtest, kannst Du immer noch auf Sicherheitsgruppen zurückgreifen.

  21. Server 2012 R2 Domäne - Bereitstellen Windows 8.1 Office 2013

    in Active Directory Forum

    Geschrieben

    Arbeite gerade an meiner derzeitigen Schattenanlage - wir planen eine Umstellung sämtlicher Geräte in unserem Netzwerk auf Windows Server 2012 R2, Exchange 2013 und Windows 8.1 mit Office 2013.

     

    Domäne und Exchange wurde im Laufe der letzten Woche bereits erfolgreich eingerichtet - da die Umstellung in den Produktivbetrieb erst Weihnachten stattfinden soll wurde es auch von Grund auf eine neue Domäne - kann mir also die Integration in die bestehende 2003/2008 Domäne sparen :)

    Weshalb so viel Arbeit investieren wenn man alles migrieren kann?

     

    Lade gerade die aktuellen Datenträger von Office Professional 2013 Professional von unserem Partnerportal runter.

    Ich erinnere mich  zurück an die Office 2003  Zeiten - da wars noch hervorragend möglich Office 2013 über eine Gruppenrichtlinie (MSI) verteilen.

    Führt da eigentlich noch ein Weg hin oder wird's ohne ein Installationsskript nichts werden?

    MSI gibt es nicht mehr, nur noch EXEn. Entweder per Script oder mittels WSUS Package Publisher http://wsuspackagepublisher.codeplex.com/ und WSUS. Zu diesem Thema gibt es auf http://www.wsus.de/lup ein paar passende HowTos

     

    Im Anschluss werde ich mich dann noch mit der Bereitstellung von Windows 8.1 beschäftigen - so ganz für's Unternehmen geeignet würde ich es leider immer noch nicht bezeichnen. Windows Live Konten haben meiner Meinung nach auf Unternehmensrechnern ja nix verloren - vielmehr müsste es eine Art "Unternehmenskonten" geben, mit welchen ebenso Apps geladen und genutzt werden können.

    Es ist kein Muss Online Konten zu verwenden, Nils hat das kürzlich gut beschrieben: http://www.faq-o-matic.net/2013/11/04/windows-8-1-ohne-microsoft-konto-einrichten/ Wenn Du die Kacheln gar nicht haben willst, schau dir die Classic Shell an, lässt sich sicherlich auch mittels XML (und dann über GPP) konfigurieren. http://www.classicshell.net/

  23. Gruppenrichtlinien "alte" und "neue" Benutzer

    in Active Directory Forum

    Geschrieben

    ich möchte per Gruppenrichtlinien, in einer Windows Server 2008 R2 Domain mit 2 Standorten, Software verteilen. Die angelegte Richtlinie, wird aber von bereits existierenden Benutzern der OU nicht übernommen. Wenn ich in der gleichen OU einen neuen Benutzer anlege und mich mit diesem anmelde, wird die Richtlinie übernommen und die Software installiert.

    Software installiert man per Computer, nicht pro Benutzer. http://www.gruppenrichtlinien.de/artikel/softwarezuweisung-software-im-unternehmen-verteilen/ Alternativ per WSUS Package Publisher und WSUS den Clients zur Verfügung stellen. Auf http://www.wsus.de/lup findest Du ein paar HowTos zu dem Thema.

     

     

     

    1056:

    Der DHCP-Dienst wird auf einem Domänencontroller ausgeführt und verfügt über keine Anmeldeinformationen, die für die Verwendung mit dynamischen DNS-Registrierungen, die vom DHCP-Dienst initialisiert sind, konfiguriert sind. Dies ist keine empfohlene Sicherheitskonfiguration. Anmeldeinformationen für dynamische DNS-Registrierungen können an der Befehlszeile mit "netsh dhcp server set dnscredentials" oder mithilfe des DHCP-Verwaltungsprogramms konfiguriert werden.

    Die Warnung kannst Du IMHO ignorieren oder einen eigenen Account für die DNS-Registrierung einrichten.

×
×
  • Neu erstellen...