Emmermacher

Hallo

Mittlerweile habe ich die Updates vom April auf den 2016er DCs installiert. Den Regkey 

RegistrierungseintragDnsSrvRecordUseLowerCaseHostNames

RegistrierungsunterschlüsselHKLM\Software\Policies\Microsoft\Netlogon\Parameters

DatentypREG_DWORD

value = 1

habe ich manuell erstellen müssen. Den Schlüssel Netlogon existierte noch nicht. Hier werde ich erst mal abwarten, was alles bereinigt wird.

LG

Dirk

Hallo @daabm

z.B. unter _msdc.meine.domain -> dc ->sites -> Standort 1 -> tcp habe ich für _kerberos 3 Einträge (ist korrekt) und für _ldap 4 Einträge. Ein DC taucht hier mit Groß-und Kleinschreibung auf.

Unter  _msdc.meine.domain -> dc ->sites -> Standort 2 -> tcp sollte es nur 2 je Einträge für _kerberos und _ldap geben. Bei _kerberos sind es 3 und für _ldap 4 Einträge.

_msdc.meine.domain -> dc ->sites -> _tcp sind auch mehr Einträge als Server vorhanden.

Solche doppelten Einträge sind auch unter meine.domain _sites usw. zu finden.

LG

Dirk

Hallo zusammen.

Mach ziemlich viel Troubleshooting läuft das Ganze immer noch nicht sauber. Die Netzwerkverbdindungen zwischen den Standorten wurden überprüft. Hier hat sich gezeigt, das einige Portfreigaben nicht wie erwartet liefen. Das ist korrigiert.

Aktuell gibt es jetzt noch 5 DCs. Davon noch zwei 2008 R2, die bald außer Betrieb gehen werden. Vorher sollte das AD aber sauber laufen.

In dem ganzen Konstrukt habe ich noch ein paar Probleme gefunden.

Im DNS-Server tauchen unter _msdcs.meine.domain und meine.domain immer wieder doppelte Einträge auf. Ich gehe mal davon aus, das Einträge wie _ldap, _kerberos, etc immer nur einmal auftreten.

Bei Einträgen mit Datumsstempel lösche ich die älteren Einträge. Bei Einträgen, bei denen der Zeitstempel aud Static steht, wird es kniffelig.

Sind doppelte Werte hier normal, auch wenn diese meiner Meinung nach überflüssig sind?

Abfragen mit dem AD Replication Staus Tool zeigen auf einem der Server immer wieder Verbindungsfehler an.

Ich versuche mal, die Rerplikation darzustellen:

Standort 1 mit DC1, DC2 und DC3

DC1 repliziert mit DC2, DC2 und DC4

DC2 mit DC1 und DC3

DC3 mit DC1 und DC2

Standort 2 mit DC4 und DC5

DC4 mit DC1 und DC5

DC5 mit DC4

Alles automatisch generierte Werte.

Hier würde ich eigentlich erwarten, das von DC 2 oder DC3 noch eine Verbindung zu DC5 haben müsste.

DC5 sollte dann nocht eine Verbindung zum Standort 1 haben.

Könnte das hier eventuell helfen: https://support.microsoft.com/de-de/help/4496901/windows-dns-registers-duplicate-srv-records-for-a-dc

Bleibt gesund!

Dirk

Hallo.

Sorry für meine späte Antwort. Wir sind hier gerade dabei, ein reichlich intensives Troubleshooting durchzuführen.

Nachdem einige Netzwerkprobleme beseitigt worden, gab und gibt es noch Schwierigkeiten bei Replikation der ADs zwischen unseren Standorten. Automatisch laufen die Replikationen innerhalb der Standorte, aber nicht dazwischen. Auf mehreren DCs haben wir die Maschinenkennwörter zurück gesetzt. Einen DC (2008 R2, Betriebsmaster) haben wir heraus genommen. Neuer Betriebsmastern ist jetzt ein 2k16. Die DCs der Außenstelle haben diese Änderung nicht mit bekommen. Netzwerktechnisch können alle DCs auf den Ports 88, 135, 389, 636, 3268 und 3269 kommunizieren.

Die DNS-Einstellungen wurden auch überprüft und einige Einstellungen angepasst.

LG

Dirk

Hallo Jan.

Das schaue ich mir morgen an. Jetzt ist Feierabend.

Schönen Feierabend - und bleib gesund 

Dirk

Habe mal dcdiag auf allen Servern laufen lassen. Hier gibt es überall Fehlermeldungen :( . Synchron ist in den Policydefinitions nichts mehr. Das wird ein Heidenspaß, das zu reparieren...

Hi @Sunny61. Die neuen ADMX. Dateien hab ich kontrolliert. Die "Sprachordner" De-de und en-US hatte vor einspielen der neuen Datei kopiert. Diese sind repliziert  worden. Die admx-Dateien in PolicyDefinitions nicht ?!? Das sollte ja hier auch automatisch passieren.

Server 2016

Aktuell haben wir auch noch w2k8 R2 DCs in Betrieb. Deswegen auch die Funktionsebene 2008 R2. Die alten DCs fliegen demnächst raus.

Betriebsmaster ist ein w2k8 R2

Direkt auf dem DC

Hallo Jan.

Die Admx-Dateien habe ich jetzt aktuell (Administrative Templates (.admx) for Windows 10 May 2019 Update v3). in C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions. In C:\Windows\Policydefinitions allerdings nicht. Hier gab es beim Kopieren ein Access denied. 

Den Editor habe ich neu gesatartet. Hier sind keine neuen Optionen hinzu gekommen.

LG

Dirk

Hallo Jan.

Danke für die Info. Der Wartungsplan ist eingeschaltet. In den GPO habe ich unter

Computerkonfiguration ->Richtlinien -> Administrative Vorlagen -> Windows Komponenten -> Wartungzeitplan die Einstellung "Richtlinie für die Aktivierung der automatischen Wartung" gefunden.

Aktuell ist diese nicht konfiguriert. 

Für deaktiviert steht hier:

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Aktivierungseinstellung in der Systemsteuerung unter "Sicherheit und Wartung > Automatische Wartung" angewendet.

Bei mir finde allerdings keine Einstellung "Automatische Wartung" in den GPOs. Mein AD ist noch auf dem Stand Server 2008 R2 .

So, wie es für mich aussieht, kann man automatische Updates nicht aus dem Wartungsplan heraus nehmen. Schade...

LG

Dirk

Hallo.

In meiner Citrix-Farm (Xenapp 7 Build 1912, Windowsserver 2016) haben einige Maschinen ein eigenleben bei Installation von Updates.

Im "Normalbetrieb" sind per GPO Automatische Updates deaktiviert. Zum Installieren von Updates habe ich eine OU erstellt, in der dann die Updates aktiviert werden.

Einige Maschinen halten sich nicht an diese GPO. Hier werden Updates automatisch installiert. Darunter auch solche, die vom WSUS nicht für diese Gruppe freigegeben sind.

Aktuell werde ich wohl ein paar Maschinen komplett aus dem Backup zurück holen müssen. Hier wurde das Service Stack Update vom April 2020 installiert. Das lässt sich ja leider nicht deinstallieren und führt dazu, das sich diese nicht starten lässt.

Bei den betroffenen Servern hatte ich auch schon der Registry geschaut, ob da andere Einstellungen vorhanden sind. Hier war alles so, wie die GPO eingestellt ist. Was hilft hier? Löschen den SoftwareDistribution Ordners?

Im normalen Betrieb habe ich jetzt noch zusätzlich "Automatische Updates sofort installieren" deaktiviert.

Vielen Dank im Voraus  für Eure Antworten.

LG

Dirk Emmermacher

Hallo ihr beiden.

Die Einstellung "When Supported" habe ich gemeint. Solche Mitteilungen gehen an mir leider häufiger vorbei. Ich habe noch genug andere Themengebiete, um die ich mich kümmern muss.

Schönen Feierabend :)

Dirk

Hallo @testperson ,

Der Schalter ist auf jedenfall sinnvoll. Jetzt kann ich wieder beruhigt schlafen ;)

Die ersten Workstations werden gerade mit Updates versorgt. Bislang läuft es...

Euch allen einen schönen Tag!

Dirk

Hallo @Sunny61, @NorbertFe.

Danke für Eure Antworten. Ich hatte das, was ich gelesen habe wirklich so gedeutet, dass mit den Updates vom März das große Chaos ausbrechen wird.

Den Link schaue ich mir morgen an. Für heute haben wir alle genug gearbeitet. 

Mal so nebenbei gefragt: Wie hat bei euch Corona die Arbeit verändert? Arbeitet genauso wie immer? Wir haben in Teilbereichen erst mal auf die Bremse getreten, und etliche Projekte auf standby gesetzt. 

Euch beiden einen schönen Feierabend und bleibt gesund. 

LG 

Dirk 

Hallo Norbert.

In Sachen Härtung von Windows dürften wir vermutlich noch ziemlich viel Luft nach oben haben. Beim LDAP-signing bin mir nicht sicher, was unsere Linxserver dazu sagen. Ein Teil  dieser Systeme arbeitet noch unverschlüsselt. Wir schaffen es hier eigentlich nur , das System am leben zu erhalten. Elementare Dinge, wie Systempflege und Verbesserung werden nur umgesetzt, wenn Zeit dafür ist. Das werden mit Sicherheit viele Kolleginnen und Kollegen kennen.

LG

Dirk

Hallo @BOfH_666 ,

danke für die info. Dann werde ic hier auch mal Updates freigeben. Habt Ihr das LDAP-signing im Einsatz?

LG

Dirk

Hallo.

Da ja bei den meisten von uns viele Clients nicht unbedingt in den Firmennetzen sind, würde ich von Euch gerne mal wissen, ob man die aktuellen Updates (April 2020) ohne große Probeme ausrollen kann.

Zur Installation von Updates haben wir jetzt seit einpaar Tagen ein Mobile VPN eingerichtet. Das muss noch auf ca. 50 Rechnern eingerichtet werden, was halt entsprechend dauern wird.

Bei 50 Servern und 100 Workstations habe ich leider keine freien Kapazitäten für eine Testumgebung.

Was ist mit dem LDAP-Signing, was ja im März Thema war? Da ich nicht wußte, wie sich meine Maschinen (auch Linux mit Anbindung ans AD) verhalten, sind keine Updates im März installiert worden.

Normalerweise gebe ich die Updates für Clients und Server parallel frei, was ja auch so in Orndung ist.

Wie geht Ihr aktuell vor, um alles funktionstüchtig und sicher zu halten?

Vielen Dank im voraus für Eure Anworten.

LG aus dem Homeoffice

Dirk Emmermacher

Guten Morgen.

Mittlerweile habe ich eine Lösung gefunden.

Für Chrome muss man sich hier die aktuellen admx-Dateien nutzen. Hier gibt es eine Einstellung unter Computerkonfiguration -> Adminstrative Vorlagen -> Google -> Google Chrome

"Ausführen der Audio-Sandbox" muss deaktiviert werden.

Bleibt gesund!

Dirk

Hallo.

Wir nutzen hier ein Serverfarm mit Server 2016, Citrix Xenapp 7 1912 LTSR mit der Webapp für MS Teams (Published Desktops).

Als Browser ist Chrome 80 im Einsatz. Ich habe hier das Problem, dass das Mikro ohne Probleme auf den Servern genutzt wird, dieses aber leider nicht in Chrome ankommt.

Für Teams habe ich schon URLS eingetragen, die ohne Nachfrage Zugriff aus das Mikro haben.

https://teams.microsoft.com/*
https://*.lync.com/*
https://*.teams.microsoft.com/*
https://*.broadcast.skype.com/*
https://broadcast.skype.com/*
https://*.skypeforbusiness.com/*
https://*.keydelivery.mediaservices.windows.net/*
https://*.streaming.mediaservices.windows.net/*
https://officespeech.platform.bing.com
https://login.microsoftonline.com/*teams*
https://office.microsoft.com/*

Die Policies von Citrix erlauben den Zugriff auf Mikrofon und Lautsprecher. Für Video werde ich wohl eine HDX-Umeitung einrichten.

Auch ohne "/*" funktioniert es nicht.

Was fehlt mir noch an Konfig, damit das funktioniert?

Teams wollte ich eigentlich nicht installieren müssen. Das frisst mir zu viele Ressourcen...

Vielen Dank im voraus für Eure Antworten.

LG

Dirk Emmermacher

Hallo.

Leider konnte das Logging erst heute einrichten. Zur schnelleren Übernahme hatte bemerkt, dass das gpudate /force Probleme mit meinem Adminkonto hatte. Die Maschine habe ich kurz aus derm Domain genommen und ohne Neustart wieder hinzu gefügt. Seitdem funktionieren das gpupdate wieder ohne Probleme. Meinen eigentlichen Fehler konnte ich komplett leider nicht reproduzieren. Der Kollege hatte seinen Rechner wirklich man herunter gefahren. Heute morgen fehlte noch ein Laufwerk, das über WAN gemappt wird.

Hier mal ein Ausschnitt aus dem Log:

2020-02-26 08:17:38.226 [pid=0x630,tid=0x14d8] EVENT : Das Benutzer "S:"-Einstellungselement im Gruppenrichtlinienobjekt "B_Laufwerke_ {yyyyyyy-zzzz-vvvv-xxxx-xxxxxxxxxxxx}" wurde erfolgreich angewendet.
2020-02-26 08:17:38.242 [pid=0x630,tid=0x14d8] Completed class <Drive> - S:.
2020-02-26 08:17:38.242 [pid=0x630,tid=0x14d8] Completed class <Drives>.
2020-02-26 08:17:38.257 [pid=0x630,tid=0x14d8] Completed package execution.
2020-02-26 08:17:38.257 [pid=0x630,tid=0x14d8] Completed execution of apply package.
2020-02-26 08:17:38.279 [pid=0x630,tid=0x14d8] Update GPH : apmCreateFoldersEx
2020-02-26 08:17:38.279 [pid=0x630,tid=0x14d8] Update GPH : xmlRemovalPackage
2020-02-26 08:17:38.295 [pid=0x630,tid=0x14d8] Update GPH : apmWriteFile
2020-02-26 08:17:38.295 [pid=0x630,tid=0x14d8] Updated GPH.
2020-02-26 08:17:38.311 [pid=0x630,tid=0x14d8] Completed apply GPO.
2020-02-26 08:17:38.311 [pid=0x630,tid=0x14d8] Completed GPO post-processing.
2020-02-26 08:17:38.326 [pid=0x630,tid=0x14d8] Completed get next GPO. [SUCCEEDED(S_FALSE)]
2020-02-26 08:17:38.342 [pid=0x630,tid=0x14d8] Completed calculate precedence.
2020-02-26 08:17:38.342 [pid=0x630,tid=0x14d8] Completed get RSoP class.
2020-02-26 08:17:38.357 [pid=0x630,tid=0x14d8] Completed initialize namespace.
2020-02-26 08:17:38.357 [pid=0x630,tid=0x14d8] WQL : SELECT * FROM RSOP_PolmkrSetting WHERE polmkrBaseCseGuid = "{yyyyyyy-zzzz-vvvv-xxxx-xxxxxxxxxxxx}"
2020-02-26 08:17:38.373 [pid=0x630,tid=0x14d8] Executed WQL query.
2020-02-26 08:17:38.373 [pid=0x630,tid=0x14d8] Purged 0 old RSoP entries.
2020-02-26 08:17:38.389 [pid=0x630,tid=0x14d8] Logging 3 new RSoP entries.
2020-02-26 08:17:38.404 [pid=0x630,tid=0x14d8] RSoP Entry 0
2020-02-26 08:17:38.404 [pid=0x630,tid=0x14d8]  <INSTANCE CLASSNAME="RSOP_PolmkrDriveSetting">

Muss man beim mappen Laufwerken über WAN dann noch zusätzliche Einstellungen durchführen? Die Kollegen in der Außenstelle nutzen ein Share von unserem Standort. Da gab es meines Wissens nach noch keine Probleme.

LG

Dirk

vor 2 Stunden schrieb lefg:

Moin

 

Ich vermute einmal, das Windows ist bereit zur Anmeldung des Benutzers und die Netzwerkverbindung es noch nicht. Eine Möglichkeit zur Prüfung ist, mit dem Anmelden etwas zu warten. Die Wartedauer, dass muss man ausprobieren.

 

Oft tritt dieses Phänomenen erstmals auf nach dem Umrüsten des Rechners von einer HD auf SSD. Brauchte mit einer HD das Starten des Windows und das Etablieren der Netzwerkverbindung noch hinreichend lange -falls nicht, da reichte die Gruppenrichtlinie ....immer auf das das Netzwerk warten-, geht es mit einer SSD bedeutend schneller.

 

Wurde schon einmal in die Ereignisanzeige geschaut?

 

Hallo @lefg .

Per GPO habe ich generell "Warten auf Netzwerk aktiviert. Dem Mitarbeiter hatte ich auch schon gebeten, 1-2 Minuten zu warten, bis eine Anmeldung durchgeführt wird. Ob das getan wird, kann ich nicht sagen. Leider kann ich hier am Dienstag weiter arbeiten.

in den Logfiles hatte ich schon geschaut. Bezgl. der Anmedlung hatte ich nichts gefunden. Es gab ein paar andere "critical" Fehler. Nach einer kurzen Suche habe ich sfc /scannow laufen lassen. Hier wurden auch Fehler korrigiert. Das Notebook hatte von Anfang an eine SSD.

Euch allen ein schönes Wochenende! :)

LG

Dirk

vor 14 Stunden schrieb testperson:

Hi,

 

ggfs. spuckt das Logging was aus: https://gpsearch.azurewebsites.net/#4910

 

Gruß

Jan

Hallo Jan.

Danke für die Anwort. Die Website kannte ich noch.

Dad Logging habe ich jetzt aktiviert. Den User muss ich noch dazu kriegen, den Rechner neu zu starten (Die Kiste läuft schon wieder 4 Tage...  Geschäftsführer dazu zwingen, den Rechner neu starten, ist halt so die Sache. Wir Admins haben ja eh nie recht)

Ich hatte als Admin mal gpresult ausgeführt. Da sind angeblich keine Daten vorhanden. Auch ein gpupdate /force gibt Fehlermeldungen. Hier gibt Probleme mit dem Benutzerkonto.

LG

Dirk

vor 1 Stunde schrieb zahni:

Hat der User lokale Admin-Rechte? 

Hallo zahni. 

Danke für Deine Antwort. 

Nein, meine User bekommen keine lokalen Adminrechte. 

LG 

Dirk 

Hallo.

Auf einem einzelnen Rechner (Geschäftsleitung) habe ich Probleme mit Laufwerksmapping. Die Zuordnung wird per GPO durchgeführt. Verbunden wird auf zwei 2012 R2 Server und einen 2008 R2 Server. Die Einstellungen per Get-SmbClientconfiguration sind auf den 2012 R2 Servern identisch.

Hier ist nur das Mapping des Home-Laufwerks erfolgreich.

Laut Gruppenrichtlinienmodellierung sind die Laufwerke vorhanden. Ein gpresult auf dem Rechner hat auch ein Mapping angzeigt. Nutzt man das alte Net use ist alles Ok.

Eine Anmeldung mit einem anderen User auf dem gleichen Rechner funktioniert ohne Probleme. Der Rechner hat Build 1903 installiert (mit 1809 trat das Prblem auch schon auf).

Außer löschen des Userprofils fällt mir hier nichts gescheites mehr ein, um das zu beheben.

Habt ihr hier noch Ideen zur Fehlerbeseitigung?

Vielen Dank im voraus für Eure Antworten.

LG

Dirk Emmermacher