ponchofiesta

Hi zusammen, ich versuche gerade einen Remote Desktop Gateway aufzusetzen. Der Server läuft soweit aber ich bekomme keine Verbindung darüber zustande. Das Ereignislog sagt beim Verbindungsversuch: In der Verbindungsautorisierungsrichtlinie ist dieser Nutzer allerdings über die lokale Administratoren-Gruppe eingetragen. In der Richtlinie habe ich keine Clientcomputer eingetragen um den Zugriff von überall zu erlauben. Ich habe auch versucht diese Richtlinie und die Resourcenautorisierungsrichtlinie zu deaktivieren (keine Richtlinie=jeder darf?). Aber es klappt nicht. Woran könnte es liegen? Braucht man für den Remote Desktop Gateway denn extra Lizenzen? Auf den Zielsystemen sind nämlich keine extra RDS-Lizenzen vorhanden, d.h. maximal zwei gleichzeitige Sitzungen, was völlig ausreichend ist. Könnte es daran liegen?

Nein, ist nicht produktiv. Der soll mal 14 TB Bild-Daten als Fileserver bereit stellen. Mein Kollege dachte, dass man den einfach per Windows Update und über die Aktivierung zu einem vollwertigen finalen Server machen kann. So hätte er halt jetzt schon anfangen können. Mit Server 2012 will er halt auch nicht mehr anfangen. Danke für die Info. Werds weiter geben.

Hallo, ein Kollege hat kürzlich einen Server 2016 TP5 installiert. Er ist der Meinung, dass man den dann auf die Final-Version updaten kann. Ist das so? Ich kann dazu im Netz nichts finden aber vermute, dass das nicht gehen wird. Weiß da jemand mehr? Ging das denn bei Server 2012?

Danke für eure Antworten. Ich hab mich jetzt doch für Powershell entschieden. Die nötigen Funktionen waren dann doch recht einfach zu implementieren. Mir ist ein Script schon lieber, da ich damit auch andere Dinge machen kann. Es ist einfach flexibler.

Hallo zusammen, ich würde gern wissen, was ihr als Scriptsprache für eure Anmeldetscripts nutzt. Wir nutzen derzeit noch KiX und leider ist die sehr wichtige Funktion InGroup (prüft, ob der Nutzer in einer bestimmten Gruppe ist) unzuverlüssig. Wir steuern bspw. das Anbinden von Netzlaufwerken über Gruppen und dafür brauche ich diese Funktion und eine Auflistung der Gruppenmitgliedschaften. Theoretisch kann KiX das aber wie gesagt: unzuverlässig. Da es dafür scheinbar keine Lösung gibt, suche ich nach Alternativen. Powershell wäre ja schön aber es fehlen solche Funktionen. Und die AD-Cmdlets sind ja eher für die Verwaltung auf dem Server gedacht und daher auf Windows 7 standardmäßig nicht verfügbar. AutoIt hatte ich sogar auch schon überlegt. Aber ideal ist das auch nicht. Was nutzt ihr um solche Probleme zu lösen?

Der WebDAV-Dienst soll auf dem Fileserver laufen. Die Gründe hatte ich weiter vorn schon geschrieben. Der Fileserver läuft mit Windows Server 2003 (noch bis 2015 Support). Im nächsten Jahr soll der auf eine neue Version gebracht werden (auch schon erwähnt). Ich muss also die Konfiguration noch mal durchführen (zumindest kam hier nichts gegenteiliges). Erwartest du nicht von einem Dienst, dass es Möglichkeiten der Migration gibt? Stell dir vor, du hast nur solche Dienste. Ob der einzelne Aufwand nun groß oder klein ist, ist dabei doch egal. Sowas gehört in meinen Augen einfach dazu. Das ist aber hier auch nicht entscheidend und diese Diskussion auch nicht wert, was man ja am Ergebnis sieht. Das Problem wurde ja gelöst, alle Fragen geklärt und du musst mich von nichts überzeugen. Du darfst dich also wieder beruhigen und ich bedanke mich nochmals für deine Hilfe :)

Ich habe das Gefühl, wir reden aneinander vorbei. Mein (Teil)Problem war doch, dass eine IIS-Version auf eine Betriebssystem-Version beschränkt ist. Ich wusste nicht, ob das in dem alten IIS 6 funktioniert. Denn gegeben ist ein Windows Server 2003 (war nicht ganz deutlich). Und beim Apache ist es so, dass ich auch die neuste Version auf dem alten Windows installieren kann. Die Konfiguration ist nicht aufwendig. Aber darum gehts auch gar nicht. Sollte sowas nicht in irgendeiner Weise migrierbar sein? Ich könnte ja auch viel mehr Instanzen davon haben. Das soll, wie gesagt, kein Battle sein. Das sind einfach Fragen, die man sich als Admin doch stellt.

Apache kann ich auf einem beliebigen Server installieren. D.h. ich bin unabhängig vom Betriebssystem. Ich bräuchte bei einem Umzug des Dienstes einfach nur die Verzeichnisse rüber kopieren. Oder was meinst du? Und ja, der sollte dann auch auf dem Fileserver laufen. Das soll jetzt auch kein Webserver-Battle sein. Ich kenne mich einfach mit dem IIS nicht aus, sehe aber Vorteile im Bezug auf die Zugriffsrechte, da er es von Haus aus so macht, wie ich es will. Ich wüsste nur nicht, wie ich den Dienst jetzt einfach umziehen kann, ohne alles neu Konfigurieren zu müssen. Jedenfalls hab ichs jetzt mit dem IIS eingerichtet und es läuft fast einwandfrei. Danke :)

Dann bräuchte ich entweder einen extra Server nur dafür (kostet eine Windows-Lizenz) oder einen Server, der eigentlich nichts damit zu tun hat. Macht in meinen Augen beides keinen Sinn und dazu verschiebt man das Problem ja nur. Denn auch der andere Server muss mutmaßlich irgendwann ein Upgrade bekommen.

Es geht ja nur um den WebDAV-Server bzw. -Dienst, der eingeführt wird. Der Server ist ja schon da - der Fileserver. Es ist geplant den nächstes Jahr auf eine neue Windows-Version zu upgraden aber WebDAV soll vorher schon her. OK, ich werd mich da mal ransetzen und das einrichten. Ihr habt mir soweit gut geholfen. Danke!

@Sunny61 Das Scheint aber nur die grundsätzliche Installation zu beschreiben. Darum geht es mir weniger. @Dukel Die jeweilige version des IIS kommt mit dem Betriebssystem. Ich kann nicht einfach eine andere IIS-Version nutzen. @NorbertFe Danke @Lian Auch danke Funktioniert das ab einer bestimmten IIS-Version? Das mit den Versionen ist deshalb ein Thema, weil ich mich mit Apache auskenne und eher im Linux-Umfeld arbeite. Da kann ich selbst bestimmen, welche Version ich einsetze. Wenn ich nun auf einem betagten Windows Server 2003 mit IIS 6 WebDAV installiere, wird auch da die Dateisystem-Berechtigung greifen? Oder gibt es das erst seit neueren Versionen? Und wenn ich später auf eine neuere Windows Server Version umsteige, bekomme ich das so einfach migriert? Copy&Paste von Konfigurationen wird ja vermutlich nicht gehen!? Oder muss ich das dann neu konfigurieren?

Ich hab mich da noch nicht festgelegt. Ich vermute, dass es mit dem IIS einfach einzubinden ist. Da der IIS aber auch immer ans Betriebssystem gebunden ist, finde ich das eigentlich nicht so super. Sprichst du aus eigener Erfahrung oder hast du das so aufgeschnappt? Ich habe ja noch keinen IIS mit WebDAV laufen, an dem ich mal eben nachschauen könnte.

Hallo zusammen, ich möchte unter Windows einen WebDAV-Server installieren um auf bestehende Verzeichnisse zugreifen zu können. Die Authentifizierung soll über LDAP bzw. Active Directory laufen. Ist es möglich, dass die Nutzer dann auch genau die Dateiberechtigungen haben, die schon im Dateisystem festgelegt sind oder muss man im WebDAV die Berechtigungen noch mal extra setzen?

OK, also ich hab jetzt wohl eine funktionierende Variante: Für das MSI-Paket habe ich die MSI-Parameter "REBOOT=ReallySuppress" angehängt und in der Applikation hab ich eingestellt, dass nach der Installation ein Reboot erzwungen wird - inkl. einem Häkchen für den Reboot, damit er nicht erst das Wartungsfenster abwartet für den Reboot. Das ist zwar immer noch nicht so schön wie bei den Gruppenrichtlinien aber damit bin ich zufrieden, denn damit sollte kein "inkonsistentes System" entstehen.

Hallo zusammen, es klingt ganz einfach aber ist es scheinbar nicht. Ich möchte über den Config Manager 2012 eien Software installieren. Diese Software (MSI-Paket) deinstalliert automatisch eine ältere Version und erfordert zwangsläufig einen Neustart. Wenn der Config Manager nun standardmäßig installiert, dann wird die alte Version deinstalliert, dann folgt ein Neustart. Danach dauert es wieder bis der PC es neu versucht und dann wird irgendwann die neue Version installiert und es folgt wieder ein Neustart. Wie bekomme ich es denn hin, dass die alte Software deinstalliert wird, dann sofort die neue installiert und dann ein Neustart ausgelöst wird? So lief es damals bei der Softwareverteilung über Gruppenrichtlinien.

Ja, das Profil wird wieder geladen. Fehler gibts keine im Log. Ich hab auch einen GP-Report erstellt und auch der sagt, dass alle Richtlinien korrekt angewendet wurden, obwohl sie das offentsichtlich nicht wurden. Ich hab eben kurz vorm Feierabend noch mal ein komplett neues Profil erstellt - auf einem anderen Weg. Es waren zugegebenermaßen beide nicht nach Microsofts Anleitung. Ich werd es damit morgen noch mal testen und wenn das auch nicht klappt, dann noch mal nach Microsofts Anleitung.

Hi Leute, ich habe ein neues Mandatory Profil für unsere 30 Schulungs-Notebooks mit Windows 7 erstellt. Die Profile funktionieren bei der ersten Anmeldung wunderbar - Gruppenrichtlinien werden alle korrekt angewendet. Dann werden die Rechner neu gestartet, man meldet sich wieder an und Überraschung: Die Benutzergruppenrichtlinien werden nur noch teilweise angewendet. Das Startmenü sieht nach Standard-Menü aus (also ohne meine Einschränkungen), Firefox wird nicht mehr automatisch gestartet (auch per GPO gesetzt) und man kann die Widnows-Sounds verändern (ist auch per Richtlinie deaktiviert). Wenn ich dann hingehe, das Profil vom Rechner lösche und mich wieder mit dem Mandatory-Profil anmelde, ist wieder alles OK - Bis zum nächsten Neustart. Ich kann mir das absolut nicht erklären. Hat jemand eine Ahnung, woran das liegen könnte?

Ja, die Lösung war doch relativ einfach aber warum Microsoft das so gebaut hat, verstehe ich nicht so ganz. Habs jetzt so gemacht: http://www.open-a-socket.com/index.php/2010/12/02/powershell-script-to-copy-gpo-links/

Es soll ja eine Kopie werden, also muss ich auch die evtl. gestzten Parameter kopieren. Wenn ein Link enforced oder disabled ist, muss das ja auch mit. Ohne die beiden Parameter funktioniert das Script einwandfrei.

Hi, ich versuche ein Powershell-Script zu schreiben, das quasi eine OU kopiert. Beim Zuweisen der GPO-Links bekomme ich es aber nicht hin die Parameter Enforced und Enabled zu übergeben. New-GPLink : Der Parameter "Enforced" kann nicht gebunden werden. Der Wert "False" kann nicht in den Typ "Microsoft.GroupPolicy.EnforceLink" konvertiert werden. Fehler: "Ungültige Umwandlung von "System.Boolean" in "Microsoft.GroupPolicy.EnforceLink"." In H:\scripts\testgpo.ps1:72 Zeichen:101 + ... ain) -Enforced $GPO.Enforced -LinkEnabled $GPO.Enabled + ~~~~~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [New-GPLink], ParameterBind ingException + FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.GroupPo licy.Commands.NewGPLinkCommand bzw. das gleiche für Enabled. Der Aufruf sieht so aus: New-GPLink -Guid $GPO.GpoId -Target ("OU=" + $foundOUs.Name + "_Test," + $domain) -Enforced $GPO.Enforced -LinkEnabled $GPO.Enabled $GPO wurde mit Set-GPLink abgerufen. Offensichtlich liest Set-GPLink für Enabled und Enforced boolean Werte ab aber New-GPLink fordert diesen Speziellen Microsoft-Typ. Ich habs aber auch nicht geschafft über eine tempräre Varable diesen speziellen Typ zu übergeben. Wie kann ich diese boolean-Werte an New-GPLink übergeben?

Sysprep nehmen wir normalerweise auch. Aber NewSID geht etwas schneller. Ansonsten hätte ich nämlich direkt ein neues Image drauf knallen können. Da läuft dann eh Sysprep durch. Das Softwareinstallation-per-WSUS-Thema hatten wir ja schon in dem andren Thread :) So ganz überzeugt bin ich davon aber nicht.

Es handelt sich nicht um eine spezielle Software oder GPO. Es werden grundsätzlich keine Softwareinstallationen mehr gemacht. Ich habe bisher versucht: - GpNetworkStartTimeoutPolicyValue auf 60 (hat besonders im Zusammenhang mit nicht funktionierenden Softwareinstallation per GP schon oft geholfen) - History-Einträge gelöscht (wie oben genannt) - WMI-Repository zurückgesetzt, weil ich da Fehler vermutet hatte (secedit ...) - Lokale Richtlinie zurückgesetzt (secedit ...) - chkdsk - Berechtigungen einiger Ordner geprüft - Und zu guter Letzt den ganzen Rechner aus der Domäne genommen, Software manuell deinstalliert, NewSID, Rechner wieder rein in die Domäne ...hat alles nichts geholfen. Ich hab das Problem jetzt allerdings anders gelöst: Rechner platt gemacht und ein frisches Image drauf gespielt. Nun ist Ruhe im Karton :) Trotzdem nicht zufriedenstellend, wenn man keine Lösung findet :/

1. Auf Netzwerk warten: ja, Anmeldescripts weiß ich spontan nicht, sollte aber doch für die Softwareinstallation egal sein!? 2. Jap, hab ich schon durchgeschaut aber mein Fehler ist nicht dabei :/ 3. Wie gesagt, das konnte ich lösen. (übrigens auch mit eventid.net)

Hallo Leute, auf einer Workstation hab ich ein merkwürdiges Problem. Es wird keine per Gruppenrichtlinie verteilte Software installiert. Das Eventlog sagt dazu: Auf C: und D: sind noch mehrere GB frei. Arbeitsspeicher ist auch genug vorhanden, falls das gemeint ist. Ich kann mir nicht erklären, wo das Problem liegt. Anfangs gab es direkt davor noch diesen Eintrag: ...was ich aber durch das Löschen der History-Einträge in der Registry beseitigen konnte. Hat jemand eine Ahnung, was da schief läuft und wie ich es beheben kann?

Das kann man natürlich machen aber ich denke, es ist ein grundsätzlicher Fehler bei mcseboard.de. Bei mir landen die Mails auch immer Spam (eigener Mailserver mit Spamassassin) und mein Spamassassin sagt folgendes: Content analysis details: (5.1 points, 5.0 required) pts rule name description ---- ---------------------- -------------------------------------------------- 3.0 SPF_FAIL SPF: sender does not match SPF record (fail) [sPF failed: Please see http://www.openspf.org/Why?s=mfrom;id=boardadmin%40mcseboard.de;ip=141.0.17.153;r=osor.de] -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1% [score: 0.0000] 1.0 RDNS_DYNAMIC Delivered to internal network by host with dynamic-looking rDNS 1.0 TO_NO_BRKTS_DYNIP TO_NO_BRKTS_DYNIP 2.0 HELO_DYNAMIC_IPADDR Relay HELO'd using suspicious hostname (IP addr 1) Zumindest das SPF-Problem könnte man ja mal korrigieren.