NilsK

Moin, Idee 1: Abwarten, möglicherweise eine Replikationslatenz. Da sollte es aber eigentlich nur um Minuten gehen, wenn überhaupt. Idee 2: Da läuft was falsch. Mehr kann man anhand der Informationen dazu nicht sagen. Gruß, Nils

Moin, naja, es gibt ja keine blöden Fragen. ;) Die Alterungs-Eigenschaften gehören zur Zone, die musst du also nur einmal einstellen. Das solltest du dann auf den anderen Replikaten auch sehen. Das Häkchen auf Server-Ebene setzt du eben nur bei dem Server, der das auch tun soll. Und für den gibst du an, in welchen Abständen er nachsehen und aktiv werden soll. Bei allen anderen Servern setzt/lässt du dieses Häkchen leer. Gruß, Nils

Moin, ja, korrekt, so ist das gemeint. Nur auf die Weise kommst du zu vorhersagbaren Intervallen. Wenn mehrere DCs/DNS-Server den Vorgang ausführen, betrachtet jeder seine Intervalle separat - dadurch überschneiden die sich und man weiß nie, wann nun mit einem Aufräumvorgang zu rechnen ist. Gerade für das Troubleshooting wäre das hinderlich. Gruß, Nils

Moin, das Schema hat nichts mit dem Domain oder Forest Level zu tun. Das Schema ist immer das der neuesten Windows-Version, die als DC im Einsatz ist. Beim Modus ist es eher umgekehrt: Der Modus wird vorgegeben durch die älteste Windows-Version, die als DC im Einsatz ist. Ein neueres Schema ändert funktional nichts. Ein höherer Modus schon. Gruß, Nils

Moin, das ist immer eine Frage der Anforderungen und der Möglichkeiten. Ein Konzept mit dedizierten Admin-Workstations zur Absicherung von Admin-Anmeldungen kann Sinn ergeben, man muss aber immer definieren, welches Szenario man absichern will. Und die Prozesse müssen dazu passen. Bei Microsoft gibt es mittlerweile eine ganze Menge dazu, teils mit sehr detaillierten Vorschlägen, was man einschränken kann. Man mache sich aber nichts vor: Das ist sehr großer Aufwand. Wenn der dazu führt, dass die Admins sich dran vorbeimogeln, hat man wenig gewonnen. Gruß, Nils

Moin, uh, wer baut denn sowas? Ich denke, damit hast du deinen DNS-Server gezwungen, die Einträge zu entfernen, bevor der jeweilige Server eine Chance hatte, sie zu aktualisieren. Schau dir an, was die Werte tatsächlich bedeuten. Die im Lieferzustand gesetzten 7 Tage sind da durchaus realistisch, zumindest als Ausgangspunkt. Zudem sollte nur ein einziger DC in der Domäne den Aufräumvorgang tatsächlich ausführen, sonst kannst du die Intervalle praktisch wieder vergessen. [Endlich Ordnung auf dem DNS-Server | faq-o-matic.net] https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/ Parallel wäre es durchaus denkbar, dass es Probleme bei der Registrierung gibt. Dazu solltest du die Eventlogs der beteiligten Systeme prüfen. Und natürlich muss die DNS-Konfiguration aller beteiligten Systeme stimmen, siehe dazu: [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Gruß, Nils

Moin, deine Fragen lösen sich nicht mit einem bestimmten Betriebssystem, sondern mit Planung, Erfahrung und Übung. Deine Nachfrage an Tesso ist bereits beantwortet: Du musst am DC nichts einrichten. Der DC verteilt nur die Einstellungen, die du an einer Admin-Workstation zusammenstellst. Eine solche Workstation ist ein PC, auf dem du die Admintools installierst, die du brauchst. In diesem Fall also die RSAT für die AD- und Serverfunktionen. Die Konfigurationen und Einstellungen nimmst du dann mit den Tools auf diesem PC vor, nicht per RDP am Server direkt. Wenn du das so tust, hast du mit hoher Wahrscheinlichkeit auf deiner Admin-Workstation alle Komponenten zur Verfügung, die du für die "eigentlichen" Client-PCs konfigurieren willst. Im Detail können Gruppenrichtlinien durchaus verwirrend sein - hier hilft der erste Satz dieses Beitrags. Gruß, Nils

Moin, bevor es jetzt hier in gegenseitige Beleidigungen abdriftet - verkneift euch doch lieber eine Antwort, wenn es keine sachlich-fachliche ist. Danke. Gruß, Nils

Moin, ich wollte das damit auch nicht abschließend beantworten. Mir war erst mal nur wichtig, dass du benennst, was denn für dich die relevanten Punkte sind. Es findet sich sicher noch jemand mit konkreter Erfahrung. Gruß, Nils

Moin, ich bin kein Mac-Spezi, würde aber behaupten, dass man das ohne Zusatzprodukte hinbekommen sollte. Es ist natürlich anders als bei Windows-Rechnern - das Sicherheitssystem von MacOS beruht auf BSD und ist daher völlig anders als das von Windows. Ebenso braucht ein Mac natürlich andere Druckertreiber, die ein Windows-Druckserver ihm wohl nicht bereitstellen kann. Wird wohl auf Scripting hinauslaufen. Gruß, Nils

Moin, also hast du die Dateisystemberechtigungen schon manipuliert? Da besteht dann ein sehr hohes Fehlerpotenzial. Falls es möglich ist, die VM neu zu erzeugen, würde ich das versuchen. Gruß, Nils

Moin, dann solltet ihr noch mal in euch gehen ... wenn der Aufwand für ein Client-Backup nicht gerechtfertigt ist, sähe ich das Fehlerpotenzial der anderen Ansätze als unvertretbar hoch an. Das beschreibt es - leider - ziemlich gut. Gruß, Nils

Moin, wenn das Konzept so aussähe, riete ich entschieden davon ab. Das wäre eine hervorragende Möglichkeit, sich Probleme zu schaffen, die man nicht braucht. Gruß, Nils

Moin, im Grundsatz verständlich. Bei all diesen Techniken muss man aber "Kosten" und Nutzen gut abwägen - es lauert eine Menge Ungemach unter der Oberfläche. Schau dir mal Folgendes als Startpunkt an: [You searched for folder redirection - Helge Klein] https://helgeklein.com/?s=folder+redirection&submit=Search Vor allem dies hier: [Folder Redirection - Denial of Service Waiting to Happen - Helge Klein] https://helgeklein.com/blog/2011/11/folder-redirection-denial-of-service-waiting-to-happen/ Und wenn wir schon dabei sind, auch noch das: [You searched for offline folders - Helge Klein] https://helgeklein.com/?s=offline+folders&submit=Search In deinem Fall könnte man darüber nachdenken, ob nicht eine Client-Backup-Lösung sinnvoller wäre. Gruß, Nils

Moin, gut, dass du Roaming Profiles loswerden willst. Ordnerumleitungen sind zwar "besser", führen aber auch zu oft zu Problemen. Daher an der Stelle meine Standardfrage: Bist du sicher, dass ihr das überhaupt braucht? Was ist das Einsatzszenario und welche Funktion soll die Ordnerumleitung erfüllen? Gruß, Nils

Moin, und willkommen an Board! Normalerweise treten solche Zugriffsfehler auf Host-Ebene auf, d.h. es scheitert dann bei allen VMs. Dass es hier nur um eine VM geht, ist seltsam. Meine erste Vermutung wäre daher, dass auf dem Quellsystem für die betreffende VM die Berechtigungen anders sind als bei den anderen VMs. Vergleiche mal die NTFS-Berechtigungen der fehlschlagenden VM mit denen einer "erfolgreichen". Gibt es da Unterschiede? Gibt es nähere Hinweise in den Eventlogs? Hier kämen mehrere der Hyper-V-Logs in Frage, also nicht nur unter "System" nachsehen. Gruß, Nils

Moin, fragen wir doch mal anders rum: Was willst du denn erreichen? Gruß, Nils

Moin, um es mal zugespitzt zu beantworten: Gar keine. Der DC muss nichts Besonderes können oder haben, um Clients mit passenden GPOs zu versorgen. Auch ein 2008 R2 kann Windows-10-Clients mit allem betanken, was die brauchen. Wichtig ist, dass immer die Admin-Workstation den höchsten bzw. neuesten OS-Stand hat, den man im Unternehmen einsetzt. Von dort aus (und nur von dort aus) verwaltet man die GPO-Einstellungen, dann hat man die neuesten Optionen zur Auswahl. (Einzelne Ausnahmen bestätigen die Regel. Ich meine hier erst mal das Grundprinzip.) Gruß, Nils

Moin. wenn du Daten "spiegeln" willst, gibt der Spiegel die Geschwindigkeit vor. Deine Anforderungen passen so, wie du sie formulierst, also nicht zusammen. Kläre die qualitativen Anforderungen, nur dann kann man dir helfen. Gruß, Nils

Moin, ich stimme zu. Nicht mehr rumbasteln auf Basis von Vermutungen. Macht einen MS-Case auf und holt euch parallel jemanden ins Haus, der sich wirklich mit dem AD auskennt. Gruß, Nils

Moin, ich würde nicht lange fackeln und Microsoft ins Boot holen. Ich kann mir kaum vorstellen, dass so ein Phänomen sich nicht im Eventlog niederschlägt. Was sagen denn die relevanten Protokolle dazu? Gruß, Nils

Moin, prima, danke für die Rückmeldung. Gruß, Nils

Moin, meine Fragen sind noch nicht beantwortet. Aufgrund deiner Angaben kommen aber neue hinzu: wenn es mehrere DNS-Server gibt, wurde geprüft, ob diese denselben Datenbestand haben? kommt es evtl. nur dann zu Fehlern, wenn ein Client die Auflösung über einen bestimmten DNS-Server versucht? Um welchen DNS-Zonentyp handelt es sich? Was ist das Ergebnis von "ping <Drucker-FQDN>" an einem Client, wo sich der Fehler bemerkbar macht? Gruß, Nils

Moin, du wirst keinen fertigen Kurs dieser Art finden. Sprich mit einem Anbieter deines Vertrauens über eine Individualschulung. Gruß, Nils

Moin, um dazu was Sinnvolles zu sagen, braucht es erheblich mehr Informationen. Sind es immer dieselben Einträge? Werden diese Einträge nie richtig aufgelöst? Zu welchen Zonen gehören diese Einträge? Gibt es in den betreffenden Zonen auch funktionierende Einträge? Haben die nicht funktionierenden Einträge Besonderheiten? Wie erfolgt die Abfrage? Gruß, Nils