NilsK

Moin, ah, siehste, gut, mal etwas zu suchen. Also anscheinend ein Performanceproblem und eine Besonderheit im VSS-Algorithmus, die in solchen Situationen den Platz innerhalb der Reserve "gewaltsam" freigibt, wenn die Allokation von zusätzlichem Speicher zu lange dauert. Wusste ich auch noch nicht. Es gilt wie so oft: VSS ist ein Komfortfeature, kein Restore-Feature. Gruß, Nils

Moin, das Grundprinzip ist schon so. Aber deine Angaben lassen jetzt eben nur Vermutungen zu. Eine davon ist, dass jemand gelöscht hat. Ins Eventlog hast du schon geschaut? Veeam hast du kontrolliert, ob da nicht "uneigentlich" etwas geändert wurde? Ich kenne Veeam nicht in diesem Detailgrad, aber da es natürlich mit Schattenkopien zu tun hat, kann es an dem Phänomen auch beteiligt sein. Daher wäre es schon relevant, ob da was geändert wurde. Einfach so von selbst wird es ja sein Verhalten nicht ändern - also entweder eine Konfigurationsänderung oder ein Fehler. In letzterem Fall könnte man mal schauen, ob es weitere Spuren gibt, etwa in Logs. Gruß, Nils

Moin, und passt jetzt nur so mittelgut zusammen. Zusammengefasst hast du eine Vermutung, dass was nicht stimmt, aber keinen Beleg dafür - richtig? Dann könnte es mit der Fehlersuche jetzt schwierig werden. Könnte es sein, dass jemand die Kopien ausdrücklich gelöscht hat? Gruß, Nils

Moin, deine Angaben sind jetzt nicht besonders umfassend. Wie spielt Veeam denn bei dem Dateiserver rein? Hast du an der Veeam-Konfiguration etwas geändert? Gruß, Nils

Moin, das ist ja auch kein DOS. Gruß, Nils

Moin, whoami ist so ziemlich die effizienteste Lösung, weil sie die tatsächlichen Mitgliedschaften auswertet und keinen Zugriff auf das Netzwerk braucht. Sie nutzt das Access Token des Users. Gruß, Nils

Moin, ist das "Laufwerk" evtl. ein DFS-Ordner und die "Ordner" sind in Wirklichkeit einzelne Freigaben innerhalb von DFS? Anders wäre so ein Verhalten kaum zu erklären. Gruß, Nils

Moin, Dann muss der DFS-Link auf eine andere Freigabe zeigen. Gruß, Nils

Moin, in AD-Fragen darf ich Evgenij ja zustimmen. Ein RODC trägt in fast* keinem Szenario zum Schutz des AD bei, macht dafür aber den Betrieb fehleranfälliger und das Troubleshooting schwerer. Dieser Thread ist ein weiterer Beleg, zumindest für den zweiten Teil der These. Ernst gemeinter Rat: Verabschiedet euch von der RODC-Idee. Gruß, Nils PS. * tatsächlich habe ich noch nie ein Design gesehen, in dem ein RODC sinnvoll gewesen wäre. Da Microsoft aber ohne Anlass sowas nicht entwickelt hätte, mag es sein, dass es mal Anforderungen gab, die sich damit haben lösen lassen. Nur deshalb steht in meinem Satz die Einschränkung "fast".

Moin, warum RODC? Was versprecht ihr euch davon? Gruß, Nils

Moin, hat sich der Benutzer vor dem Zugriff neu angemeldet? Wenn er "nicht mehr" Mitglied einer berechtigten Gruppe ist, aber sich seit dem Entfernen aus der Gruppe nicht neu angemeldet hat, dann ist er aus Sicht des Systems immer noch Mitglied. Gruß, Nils

Moin, das Konzept gibt es durchaus, das ist dann "Windows Hello". In dem Fall besteht der Witz aber darin, dass man sich eben nicht mit Username + Kennwort an dem Rechner anmeldet, sondern mit einem separaten Login, der nur auf diesem Rechner existiert. Idealerweise Biometrie (also typischerweise Hello-Kamera oder Fingerabdruck), zur Not eine PIN. Auf dem Weg kann man sich durchaus auch bei Webseiten oder Applikationen anmelden, aber nicht an "irgendwelchen" und auch nicht als Ersatz für ein herkömmliches MFA. Die Anwendungen müssen das ausdrücklich können. Es führt also kein Weg drumrum, dass wir uns entweder über den konkreten Anwendungsfall unterhalten oder so schwammig bleiben. "Den MS Authenticator auf dem Desktop", der sich so verhält wie ein Smartphone, gibt es so jedenfalls nicht. Gruß, Nils

Moin, ich erinnere mich sogar noch an Bob, Gordon und Herrn Huber. Und JETZT kommt ihr. Gruß, Nils

Moin, hat hier schon jemand erwähnt, dass PKI böse ist? Gruß, Nils

Moin, das macht der doch selbst ...? Naja, gut, dass es jetzt klappt. Gruß, Nils

Moin, was genau hast du denn da gemacht? Du hast einen Windows-Server in die bestehende Domäne aufgenommen und ihn dann zum zusätzlichen DC dieser Domäne hochgestuft? Oder bist du anders vorgegangen? Und was meinst du mit "soweit angepasst, dass er den Job vom alten DC übernehmen könnte"? Was für Änderungen hast du da vorgenommen? Abgesehen von der derzeitigen Fehlersituation, ist ein einziger DC für fast alle Netzwerke zu wenig. Von wie vielen Usern sprechen wir denn in der Domäne? Gruß, Nils

Moin, naja, deiner Aussage nach bist du jetzt seit gut einem Tag dabei und du bist mit einem ziemlich komplexen Thema beschäftigt. Das braucht schon seine Zeit. Im Screenshot vom Client sieht man das Problem sehr schön. Zwar steht die IP-Adresse des Servers korrekt als DNS-Server drin, aber eben auch noch vier weitere Adressen. Die haben da in einem Domänen-Szenario nichts zu suchen. In diesem Fall wirst du die vermutlich am einfachsten los, indem du IPv6 erst mal abschaltest. In einem echten Netzwerk würde man das Drumrum lieber richtig konfigurieren, aber darum geht es hier ja nicht. Ich komme dann noch mal auf den Vorschlag von Jan zurück. Für das, was du vorhast, solltest du dir ein völlig separiertes Testnetz innerhalb von Hyper-V aufbauen. Heißt: Sowohl der DC als auch alle Clients und alle weiteren Server sollten VMs innerhalb von Hyper-V sein. Der physische PC hat dann ausschließlich die Rolle Hyper-V installiert und sonst nichts. Die VMs bindest du dann alle an einen internen Switch in Hyper-V an, so umgehst du die Einflüsse des "echten" Netzwerks. Auf die Weise kannst du dich auf das konzentrieren, was du zum Lernen von Windows Server und Active Directory brauchst. Gruß, Nils

Moin, deine Domäne heißt albert.local, nicht win$§%§&$&.albert.local. Dein Screenshot zeigt auch keinen Ping auf die Domäne, sondern auf den Server. Dass du den Client wie im Bild nicht in die Domäne aufnehmen kannst, liegt also schon daran, dass die Domäne nicht so heißt. Es sieht aber immer noch nach dem falschen DNS-Server aus. Gruß, Nils

Moin, wenn der Client ins Internet kommt, aber den DC nicht erreicht, dann liegt das meist daran, dass der Client den falschen DNS-Server nutzt. [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Gruß, Nils

Moin, willkommen im Board! Bitte lass dieses uralte Thema ruhen. Wenn du ein Problem oder eine Frage hast, eröffne bitte einen neuen Thread. Gruß, Nils

Moin, ich sag mal so: Wenn die Anforderung besteht, den Netzwerkzugriff der Kiosk-PCs abzusichern, dann sollte der Betreiber oder der Verwalter der Firewall das umsetzen. Für sowas ist eine Firewall ja da. Gruß, Nils

Moin, bei sowas ist es am besten, erst die Anforderungen zu definieren und dann die Technik festzulegen. Ich nehme mal an, dass die Benutzer nur über den Proxy auf das Web zugreifen können sollen. Wenn du das wirklich sicher einrichten willst, sind die Proxy-Einstellungen auf dem System nur ein Teil der Lösung. Der wichtigere Teil wäre die Firewall, die den öffentlichen PCs keinen direkten Zugriff auf das Internet zulässt, sondern nur dem Proxy. Was die Proxy-Einstellungen anbelangt, solltest du den Kiosk natürlich so einrichten, dass der Anwender das nicht einfach ändern kann. Falls es ihm aber doch gelingt, kann er eben nicht am Proxy vorbei. Gruß, Nils

Moin, wenn man schon dabei ist, könnte man ja auch probieren, die Software auf einem neueren OS zu installieren. Die allermeisten Sachen laufen da auch. Und schon ein 2008 wäre besser als ein 2003, aber vielleicht geht es ja auch mit einem noch weniger alten OS. Gruß, Nils

Moin, ich weiß nicht, ob es heute noch ohne Anpassung funktioniert, aber vor 15 Jahren (!) hab ich mal was dafür gebaut. Das dürfte die meisten Fälle erwischen. [Dienst- und Task-Konten identifizieren | faq-o-matic.net] https://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/ Gruß, Nils

Moin, gibt ja auch keine. Das einzige "Feature" sind die 32-K-Datenbankseiten, für die es auch den neuen Modus braucht. Interessant nur für wenige Enterprise-Szenarien und dort auch kaum sichtbar. Der Rest ist so sehr Kleinkram, dass schon "Produktpflege" ein zu großes Wort wäre. Gruß, Nils