Ebenezer

Hallo, es soll ein (firmeninternes) WLAN zur Verfügung gestellt werden über welches nur aufs WAN und nicht auf interne Ressourcen zugegriffen werden soll. An der Firewall gäbe es einen dedizierten Port der den Zugriff auf das interne Netz unterbindet. Jetzt müssen noch die geeigneten Stellen für die AccessPoints (Ubiquity) ausgesucht werden. Mir fallen nun zwei Varianten ein: 1. Direktes patchen der AccessPoints zu einem weiteren zentralen Switch der ausschließlich am oben erwähnten Port der Firewall hängt 2. Patchen der AccessPoints über die üblichen LAN-Switche und aktivieren der "guest policies" auf dem AP Controller Variante 1 ist sicherlich aufwändiger, aber m.E. die bessere und im Zweifel auch sicherere Variante. An der Firewall könnte auf dem Port ein eigener DHCP laufen. Variante 2 wäre erst mal einfacher, aber alle Wifi Geräte müssten vom Windows DHCP bedient werden (ich müsste also Multicasts / Broadcasts durchlassen) und mein DHCP Pool wäre wohl schnell erschöpft Würdet Ihr das vielleicht ganz anders lösen? Mit VLANs? Danke! Nico

Hallo, auf einem (neuen) Windows Server 2016 wurde eine Verwaltungs-Software von einem Windows 2008 R2 migriert, welche u.a. eine Oracle Datenbank enthält. Nun wurde zwei Wochen nach der Migration der Server neugestartet und prompt funktionierte die Software nicht mehr, obwohl alle Oracle DB Dienste gestartet waren. Im Eventlog hat man auch nichts weiter gesehen. Die Lösung war dann folgenden Befehl auszuführen: sqlplus sys/Kennwort as sysdba @restart.sql Für mich ist Oracle eine Blackbox ... hat hier Jemand Erfahrung und kann mir vielleicht sagen wo ich ansetzen kann? Offensichtlich wird ja mit diesem Befehl die Oracle Instanz neugestartet ... wo finden sich bei Oracle Logdateien die mir vielleicht Auskunft darüber geben können, warum es nach dem Serverneustart überhaupt Probleme gab. Danke! Nico

Hallo, wir haben einen SBS 2011 und einen Windows Server 2016 1607 der seit gestern ebenfalls DC ist. Die Clients sind Windows 10 1803. Nun möchte ich gerne die GPOs für 1803 in der Domäne verwenden, einen Central Store gibt es noch nicht. Ich habe folgenden Artikel gefunden: https://support.microsoft.com/de-de/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra Muss ich nun lediglich den Ordner "\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-1803" anlegen und die Vorlagen aus https://www.microsoft.com/de-DE/download/details.aspx?id=56880 dort einfügen? Oder muss ich vom Windows Server 2016 auch die lokalen Policies (C:\Windows\PolicyDefinitions) dort integrieren? Danke! Nico

Hallo, ich erhielt in einer Domäne mit vorhandenem 2008 R2 DC auf einem Windows Server 2016 beim hochstufen zum DC folgenden Fehler: Das Computerkonto "SRV2016$" konnte vom Assistenten zum Installieren von Active Directory-Domänendiensten ("Dcpromo.exe") nicht in ein Active Directory-Domänencontrollerkonto konvertiert werden. Überprüfen Sie, ob dem Benutzer, der "Dcpromo.exe" ausführt, in der Standarddomänencontroller-Richtlinie das Benutzerrecht "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" gewährt wurde. Nachdem ich dann im AD in den Eigenschaften des 2016er Servers das Häkchen bei "Objekt zur zufälligem löschen schützen" entfernt hatte funktioniert es. Leider habe ich gleichzeitig auch auch den 2016er neugestartet und bin mir nun nicht sicher woran es lag. Kann ersteres tatsächlich das Problem gewesen sein? Also wurde dadurch verhindert, dass das Computerobjekt in den Container "Domain Controllers" verschoben wurde? Ich habe bisher darauf nie geachtet ... Danke! Nico

Unter Exchange 2010 habe ich einige Mal folgendes gemacht: Get-ReceiveConnector "Name des Empfangsconnectors aus Richtung Internet" | Get-ADPermission -user "NT AUTHORITY\ANONYMOUS LOGON" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission Keine Ahnung ob das mit Exchange 2013 auch noch klappt. Damit hat Exchange alle nicht authentifizierten E-Mails für der zuständig war abgewiesen ...

Danke für Eure Antworten - ich habe CU 10 installiert und ein offizielles Zertifikat liegt vor. In der Umgebung gibt es nur RDS Hosts deshalb kann ich nicht so ohne weiteres die Host Datei editieren ... werde aber mal einen leer räumen oder es abends testen bevor ich die DNS Einstellungen anpasse. Wenn meinst Du damit? Danke!

Hallo, Exchange 2010 + 2016 sind in einem (kleinen) lokalen Subnetz parallel installiert. Sämtliche Ressourcen liegen noch auf dem 2010er. 443 + 25 zeigen auch noch auf diesen und er ist via Split-DNS konfiguriert (mail.firma.de bzw. autodiscover.firma.de). Auf dem 2016er habe ich bereits ebenfalls alles auf dieselben Namen konfiguriert. Kann ich nun intern (DNS) + Extern (443+25) auf den Exchange 2016 umstellen und er reicht (wie ein Proxy) die Anfragen an den 2010er durch insofern das Postfach sich noch dort befindet? Intern habe ich Outlook 2010 + Outlook 2016 und extern Android Devices die via ActiveSync zugreifen. Danke! Nico

Danke. Abschalten kann ich das ganz schnell und zentral via GPO. Das will ich aber nur als letztes Mittel einsetzen. Ich könnte ja auch stattdessen Sumatra PDF und Firefox installieren. Also wer setzt UPD ein kennt das Problem? Danke! Nico

Hallo, wir bereiten gerade eine RDS-Farm auf Basis von Windows Server 2016 + Office 2016 vor und haben nun folgendes beobachtet: sobald im Adobe Acrobat Reader der "Geschützte Modus" aktiv ist, können PDFs die innerhalb der UPD liegen nicht geöffnet werden (Zugriff verweigert). Dasselbe gilt für den "Geschützten Modus" im IE 11. Kann das Jemand aus eigener Erfahrung bestätigen? Danke! Nico

Hallo, ein Nutzer signiert seine E-Mails via S/Mime Zertifikat in Outlook 2016. Kürzlich hat sich seine Absenderadresse geändert weshalb wir ein neues Zertifikat bestellt haben. So lange Outlook im Online Modus arbeitet funktioniert alles prima - aktiviere ich den Cache Modus - dann meldet Outlook: ungültiges Zertifikat mit dem Hinweis, dass für die E-Mail Adresse kein Zertifikat vorhanden ist. In der Meldung steht aber die alte E-Mail Adresse - also vor der Änderung. Woher nimmt Outlook diese Info noch? Was ich schon probiert habe: - Neues Outlookprofil - löschen Outlook unter HKCU - löschen %userprofile%\appdata\local\Microsoft\Outlook - löschen %userprofile%\appdata\roaming\Microsoft\Outlook Habt Ihr noch eine Idee? Danke, Nico

Hallo, ich habe lediglich folgende Policy gefunden, um zu verhindern, dass ein Benutzer auf einem RDSH 2016 Zugriff auf die Windows Update Funktionen erhält (und hierüber auch den Server neustarten kann): https://support.microsoft.com/en-us/help/4014345 Nachteil: diese Policy gilt auch für Administratoren - mir bleibt also vorerst nichts anderes übrig, als diese Richtlinie zu deaktivieren wenn ich MS Updates installieren möchte. Das wird auch u.a. hier diskutiert: https://community.spiceworks.com/topic/1993519-server-2016-rds-users-able-to-restart-for-updates Kennt Jemand einen eleganteren Weg? Danke + Grüße, Nico

Hab gerade gesehen, dass auf dem dritten RDSH der Windows Update Dienst gestartet ist (Starttyp = manuell) und hier kommen jetzt Office Updates an ... muss also am Windows Update Dienst liegen ... merkwürdig nur, dass alle anderen Updates für das OS überall problemlos installiert werden konnten ...

Hi, Word 2016 zeigt mir den Stand 16.0.4266.1001 an. Ich hab schon erfolglos eine Reparaturinstallation probiert. Wenn ich mir manuell z.B. ein Word 2016 Update aus Juni herunterlade wird es installiert (weil ich dachte vielleicht sind ja die ISO Dateien im VLSC mittlerweile aktuell). Die Server (es sind drei) verwenden noch keinen WSUS. Der wird gerade noch installiert. Der Windows Update Dienst ist übrigens gar nicht gestartet (ändert aber auch nichts) ... über welchen Dienst laufen jetzt die Updates? Danke! Nico

Also es lag an der RD-RAP Richtlinie - unter Netzwerkressource hatte ich eine AD-Gruppe angelegt in welcher die Computerobjekte vmrdsh01 - vmrdsh03 enthalten sind. Aber erst mit Auswahl der Option "Benutzer können Verbindung mit beliebiger Netzwerkressource herstellen" funktioniert es ...

Es muss irgendwas mit dem Netzwerkrichtlinienserver auf dem Gateway zu tun haben ... die Anmeldeversuche kommen dort an ... zunächst konnte keine Verbindung mit der Domäne hergestellt werden (Quelle: NPS, ID:4402) habe dann via MMC den NPS mit dem Active Direcotry verbunden (Schaltfläche Server in Active Diretory registrieren) , die Verbindung zum DC ist nun aufgebaut. Wenn ich mich versuche anzumelden kommt nun diese Fehlermeldung: 1.Ihr Benutzerkonto wird nicht in der Berechtigungsliste des Remotedesktopgateways aufgeführt oder 2. Sie haben den Remotecomputer im NETBIOS Format angegeben. Parallel dazu sehe ich jetzt aber im Security Eventlog erstmals erfolgreiche Anmeldeversuche: Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: 22.06.2018 17:42:29 Ereignis-ID: 6272 Aufgabenkategorie:Netzwerkrichtlinienserver Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Nicht zutreffend Computer: vmrdgwwa.Domäne.local Beschreibung: Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt. Benutzer: Sicherheits-ID: Domäne\testuser1 Kontoname: Domäne\testuser1 Kontodomäne: Domäne Vollqualifizierter Kontoname: Domäne\testuser1 Clientcomputer: Sicherheits-ID: NULL SID Kontoname: PC04.dienstleister.local Vollqualifizierter Kontoname: - ID der Empfangsstation: UserAuthType:PW ID der Anrufstation: - NAS: NAS-IPv4-Adresse: - NAS-IPv6-Adresse: - NAS-ID: - NAS-Porttyp: Virtuell NAS-Port: - RADIUS-Client: Clientanzeigename: - Client-IP-Adresse: - Authentifizierungsdetails: Name der Verbindungsanforderungsrichtlinie: TS GATEWAY AUTHORIZATION POLICY Netzwerkrichtlinienname: RDG_CAP_Kunde_RDS_FARM Authentifizierungsanbieter: Windows Authentifizierungsserver: vmrdgwwa.Domäne.local Authentifizierungstyp: Nicht authentifiziert EAP-Typ: - Kontositzungs-ID: - Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Hallo Jan, ich hab beides probiert. Kennst Du die Konstellation mit Gateway + Web Server auf einem Host? Klappt das überhaupt wenn sowohl das Gateway als auch der Webserver auf 443 "lauschen"? Es gab auf der Firewall noch ein Portwarding von Port 3389 auf einen alten Terminal-Server (2008 R2) und als ich mich das erste Mal über das 2016er Webinterface einloggen wollte bin ich plötzlich auf dem 2008er TS gelandet und habe die Welt nicht verstanden ... das kann doch eigentlich gar nicht passieren da alles über 443 getunnelt wird, oder? Nach dem Löschen des Portforwardings erschien dann Fehlermeldung aus meinem o.a. Beitrag ...

Hi, die 2016er RDS Umgebung sieht wie folgt aus: - 1x vmrdcb.local (Connection Broker) - 1x vmrdgwwa.local (Gateway + Web Access) - vmrdsh01.local bis vmrdsh03.local (Session Hosts) - Split-DNS (rdsfarm.domain.de + rdsgateway.domain.de zeigen intern auf vmrdgwwa.local und rdscb.domain.de auf vmrdcb.local) -> extern sind die DNS-Records auch gesetzt. Es gibt ein offizielles Zertifikat welches alle drei Namen enthält. Dieses Zertifikat ist via "Bereitstellung konfigurieren" auf allen Servern hinterlegt (Status überall vertrauenswürdig) - Auf dem Connection Broker wurde folgendes Skript ausgeführt damit die Clients sich mit dem FQDN (rdscb.domain.de) und nicht mit vmrdcb.local verbinden: https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80 - Auf der Firewall sind die Ports 443 (TCP) und 3391 (UDP) auf vmrdgwwa.local weitergeleitet. Die CAP- und RAP-Richtlinien sind angepasst (Domänenbenutzer raus und spezifische Benutzergruppe rein, die Session Hosts sind ebenfalls über eine Gruppe hinzugefügt). Intern funktioniert auch alles prima. Nur wenn ich von extern zugreifen möchte dann kommt immer die Meldung: Mit dem Remote-Computer rdscb.domain.de kann aus einen der folgenden Gründe keine Verbindung hergestellt werden: 1. Benutzer verfügt über keine Rechte auf dem Gateway 2. Computer verfügt über keine Rechte auf dem Gateway 3. Falsche Authentifizierung Telnet rdscb.domain.de 443 funktioniert. Aber ich sehe dort in den Logs keine Verbindungsversuche. Passt das denn vom Setup oder habe ich irgendwo einen Denkfehler? Danke + Grüße, Nico

Hallo Zusammen, für jeden der eine RDS Farm auf Basis von 2012 R2 oder 2016 plant und der, so wie ich, bei 2008 R2 stehen geblieben ist, dem möchte ich folgendes ebook empfehlen: https://www.rdsgurus.com/book-published-by-claudio-rodrigues-and-freek-berson/ Ich bin noch mittendrin - es ist sehr anschaulich geschrieben und alle Komponenten einer RDS-Farm werden detailliert erläutert inklusive HA Optionen. MfG Nico

Super, danke. Get-Mailbox kann mir aber nicht die aktuelle Postfachgröße ausgeben, oder?

Hallo, folgender Befehl listet mir nicht die teilweise individuell vorhandenen Postfach Quotas auf, sondern nur die auf DB-Ebene: Get-Mailbox | Get-MailboxStatistics | Sort-Object TotalItemsize -Descending | Select-Object DisplayName, TotalItemsize,*quota* | Export-CSV c:\mailboxes.csv Kann man diese Werte überhaupt per PowerShell abfragen? In der GUI befinden sich die Infos unter Postfachnutzung -> weitere Optionen ... Danke! Nico

Hi, werden die OSTs nun auf einen anderen Server umgeleitet, oder nicht? Das Outlook die OST-Dateien sporadisch reparieren möchte passiert nach meiner Erfahrungen eigentlich nur bei SMB Zugriff. Ich kenne einige Umgebungen mit RDS 2008 R2 + Outlook 2010 + Exchange Online + Cache Modus (OSts liegen hier immer lokal) und das läuft total problemlos. Also m.E. nicht zwangsläufig ein Design Problem. Wenn die OSTs an Ihre maximal konfigurierte Grenze stoßen dann könnte ich mir auch vorstellen, das Outlook einen Reparaturversuch unternimmt. Handelt es sich denn um eine RDS Farm und die Benutzer werden automatisch verteilt? Grüße, Nico

Ich musste die Terminal-Server neustarten!

OWA und OAW hab ich per GUI eingestellt und passen auch, danke!

Hallo, ich hab gerade eine Exchange 2010 mit Outlook 2010 Umgebung auf offizielles Zertifikat + Split DNS umgestellt. Ich habe alle internen URLs an die externen URLs angepasst und mit folgenden Befehlen erfolgreich geprüft: - Get-WebServicesVirtualDirectory |fl identity,internalurl,externalurl - Get-ClientAccessServer |fl identity,autodiscoverserviceinternaluri - Get-ECPVirtualDirectory | fl internalurl,externalurl - Get-OabVirtualDirectory | fl internalurl,externalurl Outlook läuft ohne Cache Modus auf zwei Terminal-Servern und ich erhalte dennoch kurz nach dem Outlook Start eine Warnmeldung (Der Name auf dem Sicherheitszertifikat ist ungültig). Ich habe noch nichts neugestartet. Wenn ich das Outlookprofil neu erstelle gibt es keine Fehlermeldung. Hat Jemand eine Idee? Danke, Nico

Danke. Ich hab`s bei uns intern nämlich auch schon mal so gemacht und erst hinterher durch Zufall erfahren, dass nicht unterstützt wird ... hatte aber auch keine Problem. Gruß, Nico