Ebenezer

Also es lag an der RD-RAP Richtlinie - unter Netzwerkressource hatte ich eine AD-Gruppe angelegt in welcher die Computerobjekte vmrdsh01 - vmrdsh03 enthalten sind. Aber erst mit Auswahl der Option "Benutzer können Verbindung mit beliebiger Netzwerkressource herstellen" funktioniert es ...

Es muss irgendwas mit dem Netzwerkrichtlinienserver auf dem Gateway zu tun haben ... die Anmeldeversuche kommen dort an ... zunächst konnte keine Verbindung mit der Domäne hergestellt werden (Quelle: NPS, ID:4402) habe dann via MMC den NPS mit dem Active Direcotry verbunden (Schaltfläche Server in Active Diretory registrieren) , die Verbindung zum DC ist nun aufgebaut. Wenn ich mich versuche anzumelden kommt nun diese Fehlermeldung: 1.Ihr Benutzerkonto wird nicht in der Berechtigungsliste des Remotedesktopgateways aufgeführt oder 2. Sie haben den Remotecomputer im NETBIOS Format angegeben. Parallel dazu sehe ich jetzt aber im Security Eventlog erstmals erfolgreiche Anmeldeversuche: Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: 22.06.2018 17:42:29 Ereignis-ID: 6272 Aufgabenkategorie:Netzwerkrichtlinienserver Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Nicht zutreffend Computer: vmrdgwwa.Domäne.local Beschreibung: Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt. Benutzer: Sicherheits-ID: Domäne\testuser1 Kontoname: Domäne\testuser1 Kontodomäne: Domäne Vollqualifizierter Kontoname: Domäne\testuser1 Clientcomputer: Sicherheits-ID: NULL SID Kontoname: PC04.dienstleister.local Vollqualifizierter Kontoname: - ID der Empfangsstation: UserAuthType:PW ID der Anrufstation: - NAS: NAS-IPv4-Adresse: - NAS-IPv6-Adresse: - NAS-ID: - NAS-Porttyp: Virtuell NAS-Port: - RADIUS-Client: Clientanzeigename: - Client-IP-Adresse: - Authentifizierungsdetails: Name der Verbindungsanforderungsrichtlinie: TS GATEWAY AUTHORIZATION POLICY Netzwerkrichtlinienname: RDG_CAP_Kunde_RDS_FARM Authentifizierungsanbieter: Windows Authentifizierungsserver: vmrdgwwa.Domäne.local Authentifizierungstyp: Nicht authentifiziert EAP-Typ: - Kontositzungs-ID: - Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Hallo Jan, ich hab beides probiert. Kennst Du die Konstellation mit Gateway + Web Server auf einem Host? Klappt das überhaupt wenn sowohl das Gateway als auch der Webserver auf 443 "lauschen"? Es gab auf der Firewall noch ein Portwarding von Port 3389 auf einen alten Terminal-Server (2008 R2) und als ich mich das erste Mal über das 2016er Webinterface einloggen wollte bin ich plötzlich auf dem 2008er TS gelandet und habe die Welt nicht verstanden ... das kann doch eigentlich gar nicht passieren da alles über 443 getunnelt wird, oder? Nach dem Löschen des Portforwardings erschien dann Fehlermeldung aus meinem o.a. Beitrag ...

Hi, die 2016er RDS Umgebung sieht wie folgt aus: - 1x vmrdcb.local (Connection Broker) - 1x vmrdgwwa.local (Gateway + Web Access) - vmrdsh01.local bis vmrdsh03.local (Session Hosts) - Split-DNS (rdsfarm.domain.de + rdsgateway.domain.de zeigen intern auf vmrdgwwa.local und rdscb.domain.de auf vmrdcb.local) -> extern sind die DNS-Records auch gesetzt. Es gibt ein offizielles Zertifikat welches alle drei Namen enthält. Dieses Zertifikat ist via "Bereitstellung konfigurieren" auf allen Servern hinterlegt (Status überall vertrauenswürdig) - Auf dem Connection Broker wurde folgendes Skript ausgeführt damit die Clients sich mit dem FQDN (rdscb.domain.de) und nicht mit vmrdcb.local verbinden: https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80 - Auf der Firewall sind die Ports 443 (TCP) und 3391 (UDP) auf vmrdgwwa.local weitergeleitet. Die CAP- und RAP-Richtlinien sind angepasst (Domänenbenutzer raus und spezifische Benutzergruppe rein, die Session Hosts sind ebenfalls über eine Gruppe hinzugefügt). Intern funktioniert auch alles prima. Nur wenn ich von extern zugreifen möchte dann kommt immer die Meldung: Mit dem Remote-Computer rdscb.domain.de kann aus einen der folgenden Gründe keine Verbindung hergestellt werden: 1. Benutzer verfügt über keine Rechte auf dem Gateway 2. Computer verfügt über keine Rechte auf dem Gateway 3. Falsche Authentifizierung Telnet rdscb.domain.de 443 funktioniert. Aber ich sehe dort in den Logs keine Verbindungsversuche. Passt das denn vom Setup oder habe ich irgendwo einen Denkfehler? Danke + Grüße, Nico

Hallo Zusammen, für jeden der eine RDS Farm auf Basis von 2012 R2 oder 2016 plant und der, so wie ich, bei 2008 R2 stehen geblieben ist, dem möchte ich folgendes ebook empfehlen: https://www.rdsgurus.com/book-published-by-claudio-rodrigues-and-freek-berson/ Ich bin noch mittendrin - es ist sehr anschaulich geschrieben und alle Komponenten einer RDS-Farm werden detailliert erläutert inklusive HA Optionen. MfG Nico

Super, danke. Get-Mailbox kann mir aber nicht die aktuelle Postfachgröße ausgeben, oder?

Hallo, folgender Befehl listet mir nicht die teilweise individuell vorhandenen Postfach Quotas auf, sondern nur die auf DB-Ebene: Get-Mailbox | Get-MailboxStatistics | Sort-Object TotalItemsize -Descending | Select-Object DisplayName, TotalItemsize,*quota* | Export-CSV c:\mailboxes.csv Kann man diese Werte überhaupt per PowerShell abfragen? In der GUI befinden sich die Infos unter Postfachnutzung -> weitere Optionen ... Danke! Nico

Hi, werden die OSTs nun auf einen anderen Server umgeleitet, oder nicht? Das Outlook die OST-Dateien sporadisch reparieren möchte passiert nach meiner Erfahrungen eigentlich nur bei SMB Zugriff. Ich kenne einige Umgebungen mit RDS 2008 R2 + Outlook 2010 + Exchange Online + Cache Modus (OSts liegen hier immer lokal) und das läuft total problemlos. Also m.E. nicht zwangsläufig ein Design Problem. Wenn die OSTs an Ihre maximal konfigurierte Grenze stoßen dann könnte ich mir auch vorstellen, das Outlook einen Reparaturversuch unternimmt. Handelt es sich denn um eine RDS Farm und die Benutzer werden automatisch verteilt? Grüße, Nico

Ich musste die Terminal-Server neustarten!

OWA und OAW hab ich per GUI eingestellt und passen auch, danke!

Hallo, ich hab gerade eine Exchange 2010 mit Outlook 2010 Umgebung auf offizielles Zertifikat + Split DNS umgestellt. Ich habe alle internen URLs an die externen URLs angepasst und mit folgenden Befehlen erfolgreich geprüft: - Get-WebServicesVirtualDirectory |fl identity,internalurl,externalurl - Get-ClientAccessServer |fl identity,autodiscoverserviceinternaluri - Get-ECPVirtualDirectory | fl internalurl,externalurl - Get-OabVirtualDirectory | fl internalurl,externalurl Outlook läuft ohne Cache Modus auf zwei Terminal-Servern und ich erhalte dennoch kurz nach dem Outlook Start eine Warnmeldung (Der Name auf dem Sicherheitszertifikat ist ungültig). Ich habe noch nichts neugestartet. Wenn ich das Outlookprofil neu erstelle gibt es keine Fehlermeldung. Hat Jemand eine Idee? Danke, Nico

Danke. Ich hab`s bei uns intern nämlich auch schon mal so gemacht und erst hinterher durch Zufall erfahren, dass nicht unterstützt wird ... hatte aber auch keine Problem. Gruß, Nico

Hi, gemäß https://technet.microsoft.com/de-de/library/ff728623(v=exchg.150).aspx unterstützt Exchange 2010 kein DC mit Windows Server 2016. Die vorhandene Umgebung besteht aus einem DC auf Basis von Windows Server 2008 R2 sowie 1x Exchange 2010 SP3. Kann ich parallel bereits einen 2016er zum DC hochstufen und die Migration auf Exchange 2016 durchziehen oder erst auf Exchange 2016 umstellen, dann Exchange 2010 deinstallieren und erst dann einen 2016er DC ins Netz bringen? Danke! Nico

Ich hab's gelöst: IIS -> ECP -> Authentifizierung -> hier war auch "Formularauthentifizierung" aktiviert und das darf nicht sein (wird dann auch oben rechts als Warnung angezeigt).

ja, beides mehrfach.

Hi, SBS 2011 mit Exchange 2010 SP3 CU17. Ich bekomme mit keinem Nutzer die ECP Seite auf (z.B. via OWA -> alle Optionen anzeigen oder eben direkt). Angeblich falsche Credentials. Ich hab schon das ECP Verzeichnis zurückgesetzt und die ECP Eigenschaften mit einem funktionierenden Server verglichen. Basic- Windows- und FormsAuthentication sind aktiviert. Im IIS Log sehe ich in der entsprechenden Zeile ein "401 1 1326 15" und davor irgendwelche .NET Meldungen. Hab auch beim Admin mal "Default Role Assigenment Policy" überprüft. Hat Jemand noch eine Idee? Danke! Nico

Hallo, bei uns steht demnächst ein Wechsel von Windows Server 2008 R2 auf vermutlich Windows 2016 an. Dies betrifft auch zwei Terminal Server auf denen Citrix XenApp Fundamentals läuft. Von Citrix möchte ich aber gerne, auch aus Kostengründen, weg und stattdessen ausschließlich mit RDP arbeiten. Technisch sehe ich hier für unsere kleine Umgebung (30 Nutzer) keine Nachteile. Ich habe noch keine eigenen Erfahrungen mit der Plattform 2016 als RDSH sammeln dürfen. Genauso wenig mit User Profile Disks und dem Session Broker. Im Zusammenhang mit UPD habe ich nur immer wieder von der Problematik mit temp. Benutzerprofilen gehört (und auch schon selbst erlebt). Ist das mittlerweile ausgereift oder war es dann schon von Anfang an? Ich wollte mit 3x oder 4x RDSH starten und sowohl dem Session Broker als auch dem Gateway eine eigene VM spendieren. Was haltet Ihr grundsätzlich von diesem Ansatz? Die Veröffentlichung des Gateway geht auch auf einem krummen Port, oder? Danke! Nico

Das USB-Backup ist "nur" für unterwegs. Das erste Backup geht auf ein lokales Storage und von dort dann auf die USB Platten. Das klappt sehr zuverlässig. Das ganze machen wir mit Veeam.

Hallo, wir haben gerade einen Windows Server 2008 R2 SP1 mit einem extrem alten Updatestand "entdeckt". Nun werden 120 Updates angeboten. Das wäre m.E. endlich mal die Gelegenheit das in 2016 veröffentlichte Rollup Update auszuprobieren: https://support.microsoft.com/de-de/help/3125574/convenience-rollup-update-for-windows-7-sp1-and-windows-server-2008-r2 Ich verspreche mir davon eine große Zeitersparnis. Hat das Jemand schon (mehrfach) erfolgreich installiert? Die beschriebenen know issues kriegt man ja in den Griff. Klar, dass wir vorher ein Backup machen. Danke Nico

Danke für Eure Antworten! @BOfH_666 -> die Person die die Platten physisch austauscht soll kein Zugriff auf das System haben @MurdocX -> Danke, dass mit dem schnellen Entfernen kannte ich noch nicht. Ich werde mir mal FreeEject ansehen!

Hallo, ich möchte nach einer Datensicherung die angeschlossene USB Festplatte automatisiert auswerfen und habe folgenden PS Code gefunden: $driveEject = New-Object -comObject Shell.Application $driveEject.Namespace(17).ParseName("Z:").InvokeVerb("Eject") Das funktioniert auf den von mir getesteten Systemen immer nur mit USB Sticks aber nicht mit USB Festplatten (da passiert einfach gar nichts). Hat Jemand eine andere Lösung? Ich würde das natürlich am Liebsten mit Boardmitteln lösen. Danke! Nico

Hallo, in einer Windows Umgebung mit 5-10 Mitarbeitern wird mit einer SQL basierenden Branchenlösung gearbeitet und diese wird (gefühlt) immer langsamer. Hardware ist ein HPE DL 360 Gen8 mit VMware ESXi. Der SQL Server ist 2008 R2 Express und läuft auf einem Windows Server 2012 R2. Die Daten liegen nicht vollständig in den Datenbanken sondern auch im Dateisystem. Die Clients sind per Gigabit angebunden und es gibt zwei VDI-Clients (RDP) die auch auf dem VMware Host laufen und von denen der Zugriff genauso langsam ist. Der Hersteller der Software sagt: die Serverfestplatten wären vermutlich zu langsam. Es handelt sich um 10k Enterprise 6G SAS Festplatten im RAID-1 Verbund und ich kann mir eigentlich nicht vorstellen, dass das Speichersystem in dieser Konstellation zum Flaschenhals wird. Wie kann man hier analytisch vorgehen um den tatsächlichen Flaschenhals zu finden oder zumindest einzuschränken. Kennt Ihr Tools die einem hier zumindest Anhaltspunkte auf den Verursacher geben können? Danke! Nico

Du hast recht. Wenn ich den Proxy umgehe funktioniert es. Vielen Dank. Wieso war dir klar, dass es am SMTP Proxy liegt? ich habe die Meldung so verstanden, dass der Exchange 2016 sich weigert ...

Hier der entscheidende Teil des Headers (192.168.99.10 ist der Exchange 2016 und 192.168.99.9 ist in ein vorgeschalteter SMTP Proxy): Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen: forwarding-address@externaldomain.de Problem bei der Zustellung der Nachricht. Stellen Sie sicher, dass die E-Mail-Adresse korrekt ist. Falls das Problem weiterhin besteht, wenden Sie sich an den Helpdesk. Die folgende Organisation hat Ihre Nachricht abgelehnt: mail.exchange2016.de. Diagnoseinformationen für Administratoren: Generierender Server: exchange2016.domain.local forwarding-address@externaldomain.de mail.exchange2016.de #<mail.exchange2016.de #5.4.4 smtp;550 5.4.4 Unable to relay> #SMTP# Ursprüngliche Nachrichtenköpfe: Received: from exchange2016.domain.local (192.168.99.10) by exchange2016.domain.local (192.168.99.10) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.1034.26; Sat, 28 Oct 2017 11:06:22 +0200 Received: from mail.exchange2016.de (192.168.99.9) by mail.exchange2016.de (192.168.99.10) with Microsoft SMTP Server

Hallo Norbert, die AOL-Adresse war ja nur ein Beispiel. Das mit dem Kontakt habe ich auch schon probiert - leider ohne Erfolg. Danke!