Moped

vor 7 Minuten schrieb NorbertFe:

 Scheint, als wenn dir das mit den Zertifikaten nicht so ganz glatt von der Hand geht. ;)

Ja, das stimmt.  Ist hier nicht meine Hauptaufgabe. Du hast mir vor ein paar Jahren, als du mal bei uns warst, auch da schon geholfen. Ja ich weiß, dann sollte man sich jemanden ins Haus holen...

vor 10 Minuten schrieb NorbertFe:

Jeder muss nicht raus. Wer hat denn das Recht Zertifikate auf Basis dieses Templates anzufordern (registrieren und automatisch registrieren)?

"jeder" hat das recht "registrieren und automatisch registrieren". ok, also deaktiviere ich das bei "jeder" 

vor 24 Minuten schrieb NorbertFe:

Also Template Berechtigungen anpassen. Zertifikat im DC löschen FERTIG

Soll ich in der Vorlage "jeder" komplett löschen, oder Berechtigungen anpassen?

Also lösche ich das "Domönencontrollerauthentifizierungs"- und das "ADFS" Zertifikat auf den DC's?

Hi Norbert, 

ok, liegt wohl an meiner Erklärung. 
Also, ich habe eine WebServer Vorlage kopiert um dann in die Zertifikatsvorlagen aufgenommen. Die Berechtigungen sind in Bild 1 zu sehen. Der erste User in dem Bild bin ich, und der Zweite ist der ADFS Server mit "Registrieren" Rechte.

Das zweite Bild zeigt die Zertifikate auf dem DC. Das markierte ist das neue Template und soll da nicht rein. Weil ich jetzt ein Problem mit einer Anwendung habe in der die Authentifizierung über den Domänen-Namen nicht mehr klappt.

Hoffe ich habe das jetzt verständlicher erklärt 

Hallo Zusammen,

ich kämpfe gerade mit einem Zertifikats Problem. Ich möchte auf einem Server die Federation Services installieren und habe dafür gem. dieser Anleitung ein neues Zertifikat Template erstellt 

Dafür habe ich ein Webserver Zertifikat kopiert.

Jetzt sind aber auch auf allen DC's die Zertifikate ausgetauscht worden. Ich habe bei dem neuen Template in den Sicherheitsoptionen den ADFS Server explizit eingetragen, aber auch noch "Jeder" drinne gehabt..... 

Jetzt meine Frage, wenn ich das Template wieder lösche, oder die Berechtigung "Jeder" wieder wegnehme, ziehen sich die DC's dann wieder die Zertifikate die sie vorher alle hatten?

So dass ich den Stand von vor der Änderung wieder bekomme?

vor 13 Stunden schrieb daabm:

 Im einfachsten Fall ist das einfach eine statische URL auf dem Proxy selbst - wenn der ausfällt, liefert er auch das pac nicht mehr aus und die Browser machen Fallback auf die statische Proxy-Konfig. Funktioniert prima.

Kannst du das mal genauer erklären, wäre ja genau das was wir brauchen

vor 1 Minute schrieb NorbertFe:

Da würd ich das nicht unbedingt reinpacken, auch wenn’s bequem ist. :)

Hi Norbert, warum? Kannst du das erklären
und hast du ne Alternative?
 

vor 29 Minuten schrieb Dukel:

Dann lege die Datei auf das Netlogon Share. Wenn das ausfällt hast du andere Probleme ;)

ok, das wäre dann eine alternative
Danke dir 

vor 9 Minuten schrieb Dukel:

Die Proxy.pac muss nicht auf dem Proxy Server laufen.

Ah ok, das wusste ich nicht.

Aber dann kommt wieder das Argument "der Server könnte ja auch ausfallen"

Aber ok, werde es mal hier so ansprechen.
 

vor 3 Minuten schrieb Dukel:

Du meinst, wenn die Proxy.pac nicht verfügbar ist?

Ja genau, wenn der Proxy Server nicht verfügbar ist und demnach die Proxy.pac nicht gelesen werden kann.

vor 27 Minuten schrieb Dukel:

Das geht nicht und ist nicht notwendig.

Automatisch erkennen heisst Proxy.pac und hier implementirst du die Lokalen Adressen selber.

Ja, so verstehe ich das auch, allerdings möchte man, sofern der Proxyserver mal nicht verfügbar ist, weiterhin bestimmte Intranet Seiten erreichbar haben.

Deswegen die Umgehung des Proxy's

Das war der Hintergrund meiner Frage

Hallo in die Runde,

wir geben über eine GPO die Einstellung für den IE mit "Einstellung automatisch erkennen" mit.

Jetzt möchte ich aber auch noch in den Einstellungen konfigurieren dass "Proxyserver für lokale Adressen umgehen" aktiviert ist.

Funktioniert die Einstellung denn überhaupt wenn die Option "Proxyserver für LAN Verwenden" NICHT aktiv ist?

Oder wie kann man es sonst lösen? 

Danke euch vorab

vor 3 Stunden schrieb NorbertFe:

Keine gute Idee. DC=DC=DC und nicht ADFS. Das machts nur unnötig kompliziert, wenn ihr mal einen DC ersetzen wollt.

 

Da du auf DCs keinen ADFS installierst, wird man den nicht auf 4 DCs installieren. Abgesehen davon ist ADFS eine "Webapplikation" und damit sollten dann entsprechende Maßnahmen die nicht Round Robin heißen greifen. Sprich du brauchst dann einen Loadbalancer (NLB würde ich erst recht nicht nutzen und schon 3x nicht auf DCs installieren).

 

Bei 4 DCs gehe ich mal davon aus, dass wir hier nicht über eine 10 Mannbude reden, sondern über eine Unternehmung/Institution, die sich wohl noch 2 VMs leisten kann. :)

 

Bye

Norbert

Danke für die Meinung, werde dann eine separate VM einrichten dafür.

Hallo Zusammen,

wir haben bei uns intern eine Anwendung die wir gerne per Single Sign On "berechtigen" möchten. Der Hersteller hat uns eine Anleitung zur Verfügung gestellt. Dazu müssen die Ferderation Dienste installiert werden.

Lese mich gerade zu dem Thema mal ein, habe aber jetzt noch ein paar Fragen

Da es alles nur für Interne Zwecke dient ist die Überlegung AD FS auf den DC's zu installieren > Spricht da was gegen bzw wird das Supportet (wir haben Server 2016 im Einsatz)

Sollte/kann man AD FS dann zwecks "Ausfallsicherheit" auf allen 4 DC's einrichten?

Danke schon mal vorab

LG

Also, es gibt eine neue Erkenntnis.
Wir haben vor ein paar Wochen das 20H2 Update firmenweit installiert
Scheinbar ist es so, dass das Proxy.pac jetzt auch über 443 abgefragt wird.

Wir haben jetzt auf dem Proxy Server 443 auch für die Kommunikation freigegeben und seit dem läuft es.

Warum es aber alles funktioniert hat nachdem man den Browser Cache gelöscht hat ist mir noch unklar

Hallo Zusammen,

bei uns im Firmennetz melden sich immer mehr User die entweder mit einem, mit mehreren oder mit keinem Browser ins Internet kommen.

Nachdem von den Browsern der Cache gelöscht wurde geht es dann erst einmal wieder. Schleißt man den Browser und öffnet ihn neu, geht es wieder nicht.

Es ist mega seltsam.

Wir arbeiten mit einem Proxy und einer Proxy.pac. Diese lässt sich, wenn es geht auch runterladen, wenn es nicht klappt kann man sie entsprechend auch nicht laden.

DNS mäßig sieht alles gut aus, auch in dem Moment wenn der Internet Zugang nicht funktioniert, man kann den Proxy mit allen Möglichkeiten auflösen

Eine Vermutung war der McAfee, was aber dagegen sprich ist ja, dass es geht nachdem man den Cache gelöscht hat.

Habe echt keine Idee mehr, hat jemand eine Tip wo ich ansetzen könnte?

vor 10 Stunden schrieb daabm:

Gelitten dot com. Sorry, ist hart, aber gelöscht ist in dem Fall gelöscht. DFS-R hat keinen "Papierkorb".

Habe ich schon befürchtet

Versuche gerade mit Ontrack Easy Recovery irgendwie an die Daten zu kommen.

Sind wohl zum Glück nicht viele

vor 25 Minuten schrieb djmaker:

Hi,

 

hast Du auf den Ordnern Volumenschattenkopien aktiviert?

Nein, leider nicht  :-(

Hallo Zusammen,

wir haben ein Problem mit "gelöschten" Daten die per DFS Synchronisiert werden.

Es gab ein Problem mit dem Sync von Server A nach Server B. Heisst es wurden nicht alle Daten synchronisiert.

Dann mussten wir etwas umstellen und alle User mussten auf Server B arbeiten.

Da jetzt nicht bekannt war, wie der Datenstand war, haben wir den Sync bidirektional aktiviert damit sich beide Server abgleichen.

Jetzt ist es wohl so, dass die Daten, die auf Server A waren, dort gelöscht wurden, weil sie auf Server B nicht verfügbar waren

Ich hoffe ihr könnt mir folgen

Gibt es eine Möglichkeit die daten wieder herzustellen?

Nein, Backup geht nicht, weil das Backup vom Server B gemacht wurde, und dort die Daten ja nicht vorhanden waren.

vor 2 Stunden schrieb Gipsy:

Hallo,

das ist ok.

 

Man muss nur beachten, dass man nach dem Entfernen auch wirklich die IP-Adresse entfernt wurde.

 

Bei älteren OS Versionen wurde nur der Nameserver aber nicht die IP Adresse herausgelöscht.

 

Ansonsten wird die IP Adresse weiterhin per DNS aufgelöst.

 

Daher mache ich immer beides.

 

Grüße

Gipsy

ok, danke dafür 

vor 57 Minuten schrieb Gipsy:

Hallo,

wir habe leider auch so Anwendungen, wo wir auch den Domänennamen angegeben haben und wenn per DNS ein DC zurück kommt der in dieser Zeit offline wäre, funktioniert die App nicht.

 

Bei langen Wartungsarbeiten, oder wie bei Dir Stromausfällen würde ich einfach den DC als Nameserver in der DNS Konsole löschen.

 

Wenn du dann nslookup domäne machst, dann sollte der DC nicht mehr aufgelöst werden .

 

Dann sollte dein Problem behoben sein und der DC trägt sich wieder automatisch ein, wenn dieser online kommt.

 

Das funktioniert bei mir am Besten.

 

Viele Grüße

Gipsy

Das habe ich mir auch schon überlegt,  war aber nicht sicher ob das "ok" ist. 
Aber mal ein Workaround

vor 17 Minuten schrieb Dukel:

Wie oft ist denn einer oder mehrere DC's nicht erreichbar? Und wenn oft, wieso?

Idealerweise NIE...

Wir haben zwei Standorte, und lustigerweise hatten wir in den letzten Wochen in beiden Standorten Stromausfälle (aber das soll jetzt hier nicht thema sein) in dem Moment waren halt zwei DC's nicht verfügbar.

Dadurch kam die Frag auf wie man das kompensieren kann.

vor 2 Minuten schrieb NilsK:

Moin,

 

Dann seh ich gerade nicht, welches Problem du gerade lösen willst. Ein "Reparaturversuch" durch Umstellen auf eine einzelne IP-Adresse würde jedenfalls die Fehlerwahrscheinlichkeit erhöhen und nicht senken. Für mich klingt deine letzte Beschreibung, als würde alles genau so laufen, wie es soll.

 

Ansonsten schließe ich mich Dukels Frage an.

 

Gruß, Nils

Laufen wie es soll (oder wie ich es möchte) tut es ja nicht.

Ich möchte, sofern möglich, dass wenn zwei DC's weg sind, die Apps trotzdem noch die User authentifizieren können.

vor 37 Minuten schrieb Nobbyaushb:

Wir geben bei unsere CTI beispielsweise nur die Domäne an, ohne einen bestimmten DC - da antwortet schon einer

 

Naja, das gerade geht bei uns ja nicht

vor 33 Minuten schrieb NilsK:

Moin,

 

irgendwie ist hier viel Vermutung im Spiel und wenig Klarheit. Es wäre sinnvoll, das vermutete Fehlerbild noch mal genauer zu untersuchen, sonst kann man keine passenden Rückschlüsse ziehen.

 

Wenn die Applikation aktuell einen DNS-Namen akzeptiert und auflösen kann, wäre es auf jeden Fall ein Rückschritt, das in eine IP-Adresse zu ändern. 

 

Gruß, Nils

 

Die Auflösung des DNS von dem App Server klappt.

In der App selber geben die Verantwortlichen dann "Firma.de" zur Authentifizierung an.

Wenn alle DC's verfügbar sind, klappt die Anwendung.

Wenn ich zwei ausschalte, dann klappt die Anwendung, je nachdem welche, entweder gar nicht, oder nur bei jedem 3. oder 4. Versuch (so ähnlich wie roundrobin)

@ Jan: Danke für die Info und den Artikel 

@Norbert: es sind 3. Anbieter Applikationen wie Docuware und selbst programmierte Dinge. Du warst ja mal bei uns, kennst aber mit Sicherheit unsere Umgebung nicht mehr 

Ich habe mich da schlecht ausgedrückt, es geht tatsächlich um Authentifizierung am AD.

Habe anhand des Artikels schon etwas Bauchschmerzen wenn es nicht supportet ist. Aber das sollen mal andere entscheiden

Dann sollen die Jungs die DC's per IP in die App schreiben, dann ist halt nicht viel mit Redundanz....

Hallo Zusammen,

ich habe eine verständnisfrage zu DNS
Wir haben 4 DC's die auch alle DNS machen. Wenn ich jetzt einen NSLookUp auf "Firma.de" mache, werden mir alle 4 Server zurückgegeben. Soweit sogut.

Jetzt habe ich Anwendungen die zum Auflösen von DNS "Firma.de" in ihrer Config eingetragen haben. Wenn jetzt einer oder zwei DNS Server nicht verfügbar sind, klappt die Nutzung der Anwendung nicht mehr. 

Kann man das Verhalten umgehen?
oder braucht es dafür einen Loadbalancer der dann anhand von Keepalive feststellt welcher DNS Server noch verfügbar ist?

Danke euch vorab

wir haben schon verschiedene Subnetze, aber die haben wir am Standort Köln auch. Sozusagen für jede Etage ein eigenes SubNetz.

Wie gesagt, das funktioniert auch bisher.