Moped

Ja, das stimmt. Ist hier nicht meine Hauptaufgabe. Du hast mir vor ein paar Jahren, als du mal bei uns warst, auch da schon geholfen. Ja ich weiß, dann sollte man sich jemanden ins Haus holen... "jeder" hat das recht "registrieren und automatisch registrieren". ok, also deaktiviere ich das bei "jeder"

Soll ich in der Vorlage "jeder" komplett löschen, oder Berechtigungen anpassen? Also lösche ich das "Domönencontrollerauthentifizierungs"- und das "ADFS" Zertifikat auf den DC's?

Hi Norbert, ok, liegt wohl an meiner Erklärung. Also, ich habe eine WebServer Vorlage kopiert um dann in die Zertifikatsvorlagen aufgenommen. Die Berechtigungen sind in Bild 1 zu sehen. Der erste User in dem Bild bin ich, und der Zweite ist der ADFS Server mit "Registrieren" Rechte. Das zweite Bild zeigt die Zertifikate auf dem DC. Das markierte ist das neue Template und soll da nicht rein. Weil ich jetzt ein Problem mit einer Anwendung habe in der die Authentifizierung über den Domänen-Namen nicht mehr klappt. Hoffe ich habe das jetzt verständlicher erklärt

Hallo Zusammen, ich kämpfe gerade mit einem Zertifikats Problem. Ich möchte auf einem Server die Federation Services installieren und habe dafür gem. dieser Anleitung ein neues Zertifikat Template erstellt Dafür habe ich ein Webserver Zertifikat kopiert. Jetzt sind aber auch auf allen DC's die Zertifikate ausgetauscht worden. Ich habe bei dem neuen Template in den Sicherheitsoptionen den ADFS Server explizit eingetragen, aber auch noch "Jeder" drinne gehabt..... Jetzt meine Frage, wenn ich das Template wieder lösche, oder die Berechtigung "Jeder" wieder wegnehme, ziehen sich die DC's dann wieder die Zertifikate die sie vorher alle hatten? So dass ich den Stand von vor der Änderung wieder bekomme?

Kannst du das mal genauer erklären, wäre ja genau das was wir brauchen

Hi Norbert, warum? Kannst du das erklären und hast du ne Alternative?

ok, das wäre dann eine alternative Danke dir

Ah ok, das wusste ich nicht. Aber dann kommt wieder das Argument "der Server könnte ja auch ausfallen" Aber ok, werde es mal hier so ansprechen.

Ja genau, wenn der Proxy Server nicht verfügbar ist und demnach die Proxy.pac nicht gelesen werden kann.

Ja, so verstehe ich das auch, allerdings möchte man, sofern der Proxyserver mal nicht verfügbar ist, weiterhin bestimmte Intranet Seiten erreichbar haben. Deswegen die Umgehung des Proxy's Das war der Hintergrund meiner Frage

Hallo in die Runde, wir geben über eine GPO die Einstellung für den IE mit "Einstellung automatisch erkennen" mit. Jetzt möchte ich aber auch noch in den Einstellungen konfigurieren dass "Proxyserver für lokale Adressen umgehen" aktiviert ist. Funktioniert die Einstellung denn überhaupt wenn die Option "Proxyserver für LAN Verwenden" NICHT aktiv ist? Oder wie kann man es sonst lösen? Danke euch vorab

Danke für die Meinung, werde dann eine separate VM einrichten dafür.

Hallo Zusammen, wir haben bei uns intern eine Anwendung die wir gerne per Single Sign On "berechtigen" möchten. Der Hersteller hat uns eine Anleitung zur Verfügung gestellt. Dazu müssen die Ferderation Dienste installiert werden. Lese mich gerade zu dem Thema mal ein, habe aber jetzt noch ein paar Fragen Da es alles nur für Interne Zwecke dient ist die Überlegung AD FS auf den DC's zu installieren > Spricht da was gegen bzw wird das Supportet (wir haben Server 2016 im Einsatz) Sollte/kann man AD FS dann zwecks "Ausfallsicherheit" auf allen 4 DC's einrichten? Danke schon mal vorab LG

Also, es gibt eine neue Erkenntnis. Wir haben vor ein paar Wochen das 20H2 Update firmenweit installiert Scheinbar ist es so, dass das Proxy.pac jetzt auch über 443 abgefragt wird. Wir haben jetzt auf dem Proxy Server 443 auch für die Kommunikation freigegeben und seit dem läuft es. Warum es aber alles funktioniert hat nachdem man den Browser Cache gelöscht hat ist mir noch unklar

Hallo Zusammen, bei uns im Firmennetz melden sich immer mehr User die entweder mit einem, mit mehreren oder mit keinem Browser ins Internet kommen. Nachdem von den Browsern der Cache gelöscht wurde geht es dann erst einmal wieder. Schleißt man den Browser und öffnet ihn neu, geht es wieder nicht. Es ist mega seltsam. Wir arbeiten mit einem Proxy und einer Proxy.pac. Diese lässt sich, wenn es geht auch runterladen, wenn es nicht klappt kann man sie entsprechend auch nicht laden. DNS mäßig sieht alles gut aus, auch in dem Moment wenn der Internet Zugang nicht funktioniert, man kann den Proxy mit allen Möglichkeiten auflösen Eine Vermutung war der McAfee, was aber dagegen sprich ist ja, dass es geht nachdem man den Cache gelöscht hat. Habe echt keine Idee mehr, hat jemand eine Tip wo ich ansetzen könnte?

Habe ich schon befürchtet Versuche gerade mit Ontrack Easy Recovery irgendwie an die Daten zu kommen. Sind wohl zum Glück nicht viele

Nein, leider nicht :-(

Hallo Zusammen, wir haben ein Problem mit "gelöschten" Daten die per DFS Synchronisiert werden. Es gab ein Problem mit dem Sync von Server A nach Server B. Heisst es wurden nicht alle Daten synchronisiert. Dann mussten wir etwas umstellen und alle User mussten auf Server B arbeiten. Da jetzt nicht bekannt war, wie der Datenstand war, haben wir den Sync bidirektional aktiviert damit sich beide Server abgleichen. Jetzt ist es wohl so, dass die Daten, die auf Server A waren, dort gelöscht wurden, weil sie auf Server B nicht verfügbar waren Ich hoffe ihr könnt mir folgen Gibt es eine Möglichkeit die daten wieder herzustellen? Nein, Backup geht nicht, weil das Backup vom Server B gemacht wurde, und dort die Daten ja nicht vorhanden waren.

ok, danke dafür

Das habe ich mir auch schon überlegt, war aber nicht sicher ob das "ok" ist. Aber mal ein Workaround

Idealerweise NIE... Wir haben zwei Standorte, und lustigerweise hatten wir in den letzten Wochen in beiden Standorten Stromausfälle (aber das soll jetzt hier nicht thema sein) in dem Moment waren halt zwei DC's nicht verfügbar. Dadurch kam die Frag auf wie man das kompensieren kann. Laufen wie es soll (oder wie ich es möchte) tut es ja nicht. Ich möchte, sofern möglich, dass wenn zwei DC's weg sind, die Apps trotzdem noch die User authentifizieren können.

Naja, das gerade geht bei uns ja nicht Die Auflösung des DNS von dem App Server klappt. In der App selber geben die Verantwortlichen dann "Firma.de" zur Authentifizierung an. Wenn alle DC's verfügbar sind, klappt die Anwendung. Wenn ich zwei ausschalte, dann klappt die Anwendung, je nachdem welche, entweder gar nicht, oder nur bei jedem 3. oder 4. Versuch (so ähnlich wie roundrobin)

@ Jan: Danke für die Info und den Artikel @Norbert: es sind 3. Anbieter Applikationen wie Docuware und selbst programmierte Dinge. Du warst ja mal bei uns, kennst aber mit Sicherheit unsere Umgebung nicht mehr Ich habe mich da schlecht ausgedrückt, es geht tatsächlich um Authentifizierung am AD. Habe anhand des Artikels schon etwas Bauchschmerzen wenn es nicht supportet ist. Aber das sollen mal andere entscheiden Dann sollen die Jungs die DC's per IP in die App schreiben, dann ist halt nicht viel mit Redundanz....

Hallo Zusammen, ich habe eine verständnisfrage zu DNS Wir haben 4 DC's die auch alle DNS machen. Wenn ich jetzt einen NSLookUp auf "Firma.de" mache, werden mir alle 4 Server zurückgegeben. Soweit sogut. Jetzt habe ich Anwendungen die zum Auflösen von DNS "Firma.de" in ihrer Config eingetragen haben. Wenn jetzt einer oder zwei DNS Server nicht verfügbar sind, klappt die Nutzung der Anwendung nicht mehr. Kann man das Verhalten umgehen? oder braucht es dafür einen Loadbalancer der dann anhand von Keepalive feststellt welcher DNS Server noch verfügbar ist? Danke euch vorab

wir haben schon verschiedene Subnetze, aber die haben wir am Standort Köln auch. Sozusagen für jede Etage ein eigenes SubNetz. Wie gesagt, das funktioniert auch bisher.