Forseti2003

vor 18 Stunden schrieb DocData:

Vergiss Core. Desktopdarstellung und fertig. Die Einsparungen stehen in keinem Verhältnis zum Aufwand.

Das müsstest Du jetzt ein wenig ausführen, was Du mit dem Aufwand genau meinst. Einen Server mittels CMD/PowerShell zu administrieren ist jetzt nicht wirklich ein Aufwand. Zudem steht ja auch die WAC zur Verfügung, in denen man einige Leistungsdaten des Server entnehmen kann. Gerade bei einem DC führen wir aktuell eh alle Arbeiten über die MMC des AD und der GPO durch. 

vor 5 Stunden schrieb Dukel:

Es wird, gehe ich einmal davon aus, keine Core spezifischen Probleme geben. Wenn es Probleme geben sollte, dann sind diese bei Core und mit Gui vorhanden.

Das wäre jetzt auch eigentlich meine Vermutung - daher wollte ich halt auch einfach mal in die Runde fragen um Erfahrungen darüber auszutauschen. 

Am 4.10.2019 um 15:46 schrieb NorbertFe:

 

Also ihr nehmt euch vor, sie als Core-Installation durchzuführen, aber wisst noch nicht, ob ihr damit bedenkenlos arbeiten könnt? ;) Grundsätzlich funktioniert ein DC als Core ganz problemlos. Die restlichen Faktoren in deiner Umgebung kennt ja nur du.

So würde ich das nicht ausdrücken wollen  - wir fragen uns nicht ob wir bedenkenlos mit WS2k19-Core arbeiten können, sondern ob ein DC unter diesem Core sauber arbeitet. Da MS hier und da immer mal wieder mit seinem OS ja auch Probleme hatte. Deiner Antwort entnehme ich mal, das es da scheinbar nichts außergewöhnliches gibt, was man bei der Planung berücksichtigen sollte.

Hallo in die Runde,

aktuell setzen wir zwei Domaincontroller unter Windows Server 2012 R2 ein. Diese möchten wir in den nächsten Tagen durch Windows Server 2019 ersetzen.

Diese würden wir als Core-Installation durchführen.

Nun zu Frage:

Gibt es Vor- und/oder Nachteile oder kann man mit WS2k19 da bedenkenlos arbeiten?

Grüße

Forseti

Das wäre die Einstellung hier:

Aber innerhalb von 5 Minuten hat er nicht reagiert.

Nein, das war es nicht. Der Haken ist zwar da gesetzt, aber der Anwender hat die Zugriffsrechte auf den Ordner. Wenn ich über\\dfssvr\share1\subshare1 gehe kommt er ganz normal drauf.

Habe aber folgendes festgestellt, und nun geht das Ganze:

Vorher war die Verzeichnisstruktur so:

\\Namespace\

    - Share 1 (+Ordnerziel)

    - Share 2 (+Ordnerziel)

    - Share 3 (+Ordnerziel)

Durch die Änderung musste ich folgendes machen:

\\Namespace\

     - Share 1 

           - Subshare 1 (+altes Ordnerziel)

           - Subshare 2 (+neues Ordnerziel)

Da aber der Name "Share 1" identisch war, hat er sich bei dem Anwender geweigert (bei mir aber nicht). Hab den Share nun umbenannt in "Share-1" und siehe da, er sieht sofort die ganzen Unterordner.

Jetzt wäre die Frage, ist das wirklich so im Sinne von MS, das man den Share umbenennen, sprich nicht identisch heißen soll, wenn man an der Struktur Erweiterungen oder Änderungen vornimmt?

Aber wenn das so ist, wieso konnte ich als Anwender im Zugriff die Änderungen sofort sehen, aber der andere Anwender erst durch die Umbenennung? 

Hallo in die Runde,

bin da gerade auf etwas gestoßen. Wir nutzen einen DFS-Namespace mit mehreren Shares. Für einen Mitarbeiter hab ich einen Unterordner hinzufügen sollen, soweit durchgeführt und Ordnerziel eingetragen.

Der Anwender sieht aber diesen neuen Unterordner nicht. Wenn ich als Anwender auf das Verzeichnis gehe, sehe ich ihn aber. Hab dann auf dem Terminalserver und dem DFS-Server ein gpupdate mal durchgeführt,

der Anwender hat sich auch einmal ab- und wieder neu angemeldet. Selbes Ergebnis. Er sieht den neuen Ordner nicht.

Wenn aber ich den Namespace richtig angezeigt bekomme, sollte dies doch für den anderen Anwender auch der Fall sein oder übersehe ich da etwas?

Gruß

Forseti

wobei ich die Frage nochmal aufgreifen würde, was spricht generell dagegen die DC's mit der DNS-Rolle zu versorgen, eine Weiterleitung von denen an den BIND9-Server wäre ja auch denkbar.

vor 13 Stunden schrieb Cryer:

2) Ich weis nicht, wie ich den Benutzern die zugewiesenen Programme auf das Desktop legen kann. Gerne würde ich auch Laufwerksverknüpfungen auf das Desktop legen.

Mittels GPO kannst Du Desktopverknüpfungen definieren, damit nur bestimmte Benutzer/Benutzergruppen diese erhalten einfach über Sicherheit auf die jeweilige Sicherheitsgruppe beschränken.

Das ganze dann unter die Benutzereinstellungen der GPO gepackt, kann so aussehen:

Dabei aber nicht vergessen, auch die Programmordner unter Program Files mit dem entsprechenden Recht versehen - dann kann auch kein User ohne Berechtigung beim stöbern mittels Explorer Anwendungen starten, die er nicht sollte. Ob man Laufwerksverknüpfungen auf den Desktop legen sollte, ist dagegen Geschmackssache, ich persönlich bin davon kein Freund.

vor 13 Stunden schrieb Cryer:

3) Es stehen (im Startmenü) Programme zur Verfügung, die man als normaler Benutzer nicht sehen sollte, beispielsweise der Server-Manager. Es soll im Grunde alles raus, bis auf die zugewiesenen Programme.

Auch das einfach per GPO runterbügeln, leg Dir dazu eine GPO_Terminaluser an und setzt alles rein, was Du standardmäßig willst oder nicht willst, was ein Terminaluser so alles können sollte.

Zu den Profilen - wenn Du die RDS-Sammlung angelegt und die Profile & Roaming zugewiesen hast, wurde auf dem gewünschten Ablagepfad das Template angelegt? Wenn das nicht sauber aufgesetzt ist, oder die Zugriffsrechte nicht passen, hast Du auch Probleme mit den benutzerbezogenen Profilen.

Im Regelfall sollte in einem VPN-Netzwerk der Zugriff über MSTSC funktionieren. Erfolgt die Ansteuerung an den Server über die IP-Adresse oder den FQDN?

Hast Du bei den betroffenen Servern auch den Haken gesetzt, das eine Remotesitzung erlaubt ist?

vor 23 Minuten schrieb Nobbyaushb:

 

PS: wie groß ist die Umgebung?

100 User

vor 12 Minuten schrieb testperson:

Hi,

warum? Nur wegen .local? Geht evtl. (noch) einmal tief in euch und überlegt euch das.

Durch .local hab ich ja das Problem mit externen SSL-Zertifikaten, dies betrifft in gleicherweise Exchange, wie auch Anmeldungen an Terminalservern und deren Zertifikate.

Nutze ich ein selfsigned Zertifikat, was zwar geht, hab ich aber einige andere Probleme, gerade durch Browser. Auf dem Exchange selbst hab ich dann auch noch das Problem,

das ECP und OWA nicht zwangsläufig auf HTTPS umstellen - auch einige Eigenschaften lassen sich dann nicht mehr über den Browser aufrufen.

Ich kann zwar einen UPN-Suffix für die Domain definieren und darin dann die Konten der Anwender verändern - aber das ist für den Exchange dann wiederum ohne Belang. Wir haben zwar am Exchange schon die Interal/External-URL's auf die reguläre Domain geändert, aber er gibt weiterhin Meldungen mit dieser .local nach außen, so dass wir dann wiederum da auch kein Zertifikat erhalten.

Ich bin aber natürlich für jeden Hinweis dankbar, der mir Arbeit erspart

Hallo in die Runde,

ich habe einen Exchange 2013 im Einsatz, dieser läuft über eine .local-Domain. Wir möchten eine zweite Domain aufbauen und von dort dann einen neuen Exchange (2016/2019) einsetzen.

Nun das Problem/Frage: Kann man vom Exchange 2013 alle Mails generell an einen bestimmten (in dem Fall den neuen Mailserver) weiterleiten lassen? So das die User in der neuen Domain

ihre Mails erhalten? Sobald die Umstellung auf die neue Domain vorbei wäre, würden wir den Exchange 2013 außer Betrieb nehmen und dann alles direkt über den neuen laufen lassen.

Wäre das überhaupt so möglich?

Grüße

Forseti

Okay, dann wird der zweite wieder eingestampft. Dann schau ich mir mal die 2016 und was für Möglichkeiten sich dann da bieten.

Danke für Eure Hilfe.

Naja ich fand das jetzt nicht sooo abwegig - zur Anforderung, ich wollte eigentlich nur den Transport vor der Firewall stehen haben und die Mailboxen dahinter. Mein Gedanke war es, das bei einer eventuell auch erfolgreichen Serverattacke somit nur der Transportserver ausfällt, aber auch die Downtime im Update-Fall zu reduzieren.

Zu den Rollen:

Mail1 hat Postfach und Clientzugriffsrolle

Mail2 nur Postfach

Hallo in die Runde,

ich hab da eine grundsätzliche Frage zu Exchange 2013. Bisher hatten wir immer einen Exchange-Server am laufen, der alle Rollen gehalten hat.

Nun wollten wir einen zweiten Server aufsetzen, der dann die Postfächer trägt, und den ersten nur noch für den Mailein- und ausgang nutzen.

Dazu haben wir erstmal einen zweiten Exchange-Server aufgesetzt und mal zum Test ein Postfach hin und her migriert, hat alles geklappt.

Wenn wir aber nun den Traffic beobachten, stellen wir fest, das eigentlich die meisten Mails nun vom zweiten Server hin und hergeschickt werden,

nicht wie zu erwarten, vom Ersten. An was kann das genau liegen, oder hab ich da einen grundsätzlichen Denkfehler?

Grüße

Forseti

Hallo,

ich hab mal eine Frage zum Formatieren von Zahlen mit PowerShell, über Google & Co bin ich aktuell nicht direkt fündig geworden.

Das Problem:

Ich möchte aus Excel verschiedene Werte in eine Variable übergeben. Klappt soweit, aber bei Zahlen kommt ein Problem auf. Die Darstellung von Zahlen wie 12.100 / 6.100 oder 771 führt zu Fehlern, wenn ich die Variable dann später bearbeiten möchten, z. Bsp über eine IF-Schleife.

Beispiel:
 

#Variable ermitteln

$LAENGE = $Table.cells.item($Zeile,15).Text

#Prüfung der Variable auf bestimmte Werte

if ($LAENGE -lt 15100){echo "1"}
elseif ($LAENGE -gt 16100) {echo "2"}
else {echo "3"}

Ausgabe:

12.140 = 1

6.000 = 2

771 = 2

Ich gehe davon aus, dass die Powershell die Formatierung aus der XLSX-Datei falsch interpretiert, vermutlich als us-US oder en-EN. Kann ich bereits bei Erstellung der Variable der PowerShell mitteilen welches Format eigentlich wirklich dahingehört, also in dem Fall Zahlen als de-DE formatieren um darauf später normal zu zugreifen, oder muss ich dann mit einem Zwischenschritt arbeiten?

Okay, hab den "Fehler" gefunden.

Mußte nur die Variable beim deklarieren mit dem Hinweis value2 und nicht text markieren. Manchmal sieht man den Wald vor lauter Bäumen nicht

@Sunny61 hat doch aber eigentlich schon weiter oben eine ganz einfache Möglichkeit für Anwender genannt.
Wenn Du eine Mail an den Anwender schickst in dem der URL \\printserver\drucker enthalten ist, kann dieser ihn anklicken und damit wird der Drucker automatisch installiert.

Wer das ganze ein wenig hübscher haben will, setzt sich ein CMS auf und fügt diesen Link als URL in eine Übersichtsseite, so kann der User die Webseite ganz normal aufrufen und mit dem Klick auf den Link wird der Drucker installiert.

Ergänzend zu den GPP's hier kannst Du auch die Drucker direkt einfügen und dem Anwender unterschieben, ohne das er etwas machen muss.

vor 30 Minuten schrieb MurdocX:

Hehe, den Fehler kenne ich 

 

-> Nochmal machen!

 

Wenn Sysprep fehl schlägt, dann aus einem guten Grund. Wichtig ist immer ein Snapshot davor. Die Maschine wieder "hinzubasteln" würde ich nicht empfehlen.

Das ist schon klar das es einen Grund gibt, aber mir ist er nach 2 Tagen Arbeit daran nicht klar geworden
Die Maschine hinzubasteln ist in diesem Fall aber kein Problem, da es eh nur eine Testmaschine war.

vor 13 Stunden schrieb lefg:

 

Moin

 

Erscheint das Bootmenü, gibt es die Möglichkeit den Neustart nach Fehler deaktivieren?

In das Bootmenü konnte ich reinkommen, die Auswahl waren aber mehr auf die Versionen des Abgesicherten Modus beschränkt, also mit und ohne Eingabeaufforderung und ähnliches. Wenn ich darein gebootet habe, war aber das selbe Problem. Ich hab jetzt kurzerhand die Festplatte gelöscht und eine neue VHDX eingebunden und diese dann mit dem OS neu bespielt.

Aber dennoch Danke für eure Hinweise und Mühen

vor 1 Minute schrieb zahni:

Wie wurde  die ursprüngliche installiert? Wie  wurde geklont? c000003a könnte  lt. Google ein defekter Bootmanager sein...

installiert wurde es ganz normal, also leere VM erstellt, Festplatte zugewiesen, mittels ISO-Image das Betriebssystem installiert. Also soweit nichts außergewöhnliches.

Beim Klonen wurde die Maschine heruntergefahren, exportiert und die exportierte Einheit dann wieder als neue VM importiert, hochgefahren, sysprep ausgeführt, Neustart und dann in die Schleife gekommen.

Gerade eben schrieb zahni:

Verstehe  ich das  richtig: Hyper-V UND  Terminal-Server auf einer Installation?

 

Nicht ganz, der Hyper-V ist ein Host und auf dem läuft der WTS als virtuelle Maschine

Hallo in die Runde,

hab mal wieder eine kniffelige Nuß auf dem Monitor stehen. Ein geklonter Terminalserver unter Windows Server 2012 R2 und Hyper-V sollte mittels sysprep "einsatztauglich" gemacht werden.

Nach dem Reboot bleibt der Server aber nun in einer Schleife hängen, da die Konfiguration nicht abgeschlossen werden kann. Soweit so gut.

Den Server ausgeschaltet die Festplatte gemountet und unter Windows\Panther die setup.etl zu einer csv gewandelt und ausgelesen - es stehen zwar mehrere failed drin, aber kein Hinweis auf Programme, die das ausgelöst haben.

"		<Data Name=""SourceLine"">     388</Data>"
"		<Data Name=""SourceFunction"">SclpExecuteRequestInternal</Data>"
"		<Data Name=""Message"">(c000003a): Failed to process registry</Data>"
"	</EventData>"
"	<RenderingInfo Culture=""de-DE"">"
"		<Level>Fehler </Level>"
"		<Opcode>Info </Opcode>"
"		<Keywords>"
"			<Keyword>keyDiagnostic</Keyword>"
"		</Keywords>"
"		<Task>SetupCl task </Task>"
"		<Message>SclpExecuteRequestInternal@388 : (c000003a): Failed to process registry </Message>"

Danach über msconfig den abgesicherten Modus aktiviert, hochgefahren, in die Schleife gekommen, den Modus wieder deaktiviert und Neustart probiert, keine Änderung. Der Server bleibt weiterhin in der Schleife drin und kommt nicht mehr raus.

Jetzt zur Frage, gibt es noch weitere Möglichkeiten, mit denen man das System wieder regulär bootfähig machen kann?

Zum Zertifikat bei Exchange - der Sachbearbeiter hat ein falsches Zertifikat erneuert und eingebunden, darin waren nicht alle Domains und Namen des Servers enthalten.

Der Exchange selbst ist auch nicht meine Fragestellung, sollte nur als Hintergrund dienen, wie ich auf den CA gekommen bin.

Zur Webregistrierung, die hab ich jetzt mal entfernt. Mich hat es nur etwas überrascht, das plötzlich nach vier Jahren das Teil rumzickt. Sollte ja eigentlich nicht sein

Aber danke für die Info.

Guten Morgen in die Runde,

habe da aktuell ein Problem mit einer STAMM-Zertifizierungsstelle, vorab zur Konfiguration:

1x Windows Server 2012 R2 / IIS 8.5

Auf dem betroffenen Server ist lediglich die Rolle "AD Zertifikatsdienste" und darin die Punkte "Zertifizierungsstelle" und "Zertifizierungsstellen-Webregistrierung" ausgewählt/installiert.

Bis zum Montag lief der Server rund 4 Jahre problemlos.

Problem:

Am Freitag lief ein Zertifikat auf einem Exchange-Server aus und wurde erneuert. Am Dienstag lief alles ohne weitere Störung, heute morgen war dann plötzlich wieder ein Problem mit dem Zertifikat auf dem Exchange aufgetreten.

Zwecks Lösung wollte ich dann einfach eine neue Anforderung starten und die der CA einreichen - diese war aber über die URL (https://localhost/certsvr/) nicht erreichbar und brache einen 404.0 Fehler.

Ich prüfte die Bindung auf 443 und stellte ein Zertifikat ein (war keines mehr drin). Nach einigen Versuchen über die URL gelangte ich dann auch wieder auf die Webregistrierung und konnte das Zertifikat erfolgreich ausstellen.

Jetzt, rund 2 Stunden später wollte ich nochmal das ganze an der CA prüfen und komme wieder nicht auf die URL, wieder Fehler 404.0 wobei jedoch die Bindung auf 443 und dem Zertifikat weiterhin vorhanden ist. Der Pfad liegt lokal und ist auch vorhanden.

Frage:

Wie kann man dieses Verhalten in den Griff kriegen, einige Dokumentationen dazu hab ich zwar gelesen, aber es greift nicht wirklich etwas.

Eine Empfehlung war es, dem Server das Feature CA zu deinstallierne und neu zu installieren (wobei der Dienst CA sauber läuft, zumindest in der MMC) - hab ich aber bisher noch nicht gemacht, mir erscheint das Problem mehr am IIS direkt zu liegen und einer Fehlkonfiguration.

Für Tipps im Vorfelde schonmal vielen Dank

Forseti

Stimmt, sorry war ein SAN. Die Hosts selbst sind aber nicht das Problem, die laufen ja alle. Nur einer weigert sich.

Da ich bis dato die Ursache dazu nicht rausgefunden habe, werde ich aber einfach den Host rausnehmen und löschen und einen weiteren klonen, der seinen Platz wieder einnimmt.

Mich hätte nur interessiert, was sowas auslöst.