Emmermacher

Hallo zahni.

Danke für Deine Antwort. Die VMware Patches werde ich mir bei Gelegenheit mal anschauen.

Schönes Wochenende :)

Dirk

Hallo.

da ich keine Testumgebung habe, würde ich von Euch gerne wissen, ob der Patch KB4091664 für Windows Server 2016 Probleme macht. Askwoody hat davon abgeraten, die Microcode Updates vom 13.09.2018 zu installieren.

Unsere Server laufen auf VMware 6.5.

Wie sind hier Eure Erfahreungen?

Vielen Dank im voraus für Eure Antworten.

Schönen Feierabend :)

Dirk Emmermacher

Hallo magheinz.

Da die Lösung für diesen Fehler bekannt ist, würde ich hier erst versuchen zu beheben.

Rechner neu aufsetzen ist auf jeden Fall die sauberste Lösung, das ist keine Frage. Backups von Workstations haben wir kaum. Gerade bei den Kollegen im Außendienst wäre das notwendig. Diese sind eher in unserer Außenstelle.  Backups tagsüber über eine 4 MBit/s Leitung zu schieben, ist zwar möglich, aber nicht gerade schön für die anderen Kollegen. Einen Rechner manuell neu aufsetzen dauert halt auch und bindet Arbeitszeiten. Ist halt alles von A...., wenn man in einem Netz mit ca. 70 Usern und reichlich vielen Servern die meisten Dinge alleine lösen muss. Das Thema werdet Ihr ja mir Sicherheit auch kennen.

LG

Dirk

Hallo magheinz.

Der Benutzer konnte sich halt im Netz nicht mehr anmelden. Die Kollegen hatten das über LAN und WLAN probiert. Ein Abschalten des WLANs auf dem Rechner geht nicht, da kein Schalter dafür vorhanden ist. Per Fernwartung kam ich auch nicht weiter, da der User der Bildschirmfreigabe zustimmen muss. So auf die Schnelle hatte ich keine andere Idee mehr. Der Fehler kommt in meinen Netz ziemlich selten vor. Bislanng hatte ich das in unserer Geschäftsstelle. Da holt man kurz einen Kaffee und erledigt das Problem vor Ort...

LG

Dirk

Hallo MurdocX.

Hier ging leider nichts mehr. Dem Rechner wurde nicht vertraut und das lokale Adminpasswort werde ich nicht herausgeben. Das mit dem LAPS werde ich hoffentlich im Laufe der Woche testen können.

Dann kann damit wohl weiter kommen.

LG

Dirk

Guten Morgen magheinz.

Das isz leider nicht machbar. Das Gerät habe ich leider nicht konstant im Zugriff. Der Eigentümer ist nur sporadisch in der Außenstelle. Hat aber entsprechend eine Anweisung von mir bekommen, sich bei mir zu melden. Das ist halt so bei Außendienstmitarbeitern. Einen Zugriff über Mobile VPN haben wir nicht .

LG

Dirk

Hallo testperson.

Ja, ja, ich das weis ich ja. Bei Citrix sitzen auf jeden Fall genug Leute, die sich ständig neue Produktnamen ausdenken müssen. Ob das die Qualität der Programme verbessert, wollen wir aber nicht diskutieren.

Dirk

Hallo und danke für Eure Antworten.

@tesso: Leider haben wir dort kein Systemhaus. Die müssen auch min. 30 Minuten fahren.

@testperson: Auch eine Lösung. Für die Einrichtung aber erst mal zeitaufwändig.

@lefg: Zufgriff habe ich auf das Netz. Bei dem System war meiner Meinung nach mind. das Computerkonto beschädigt. Die Meldung mit der nicht vorhandenen Vertrauensstellung kennt man ja. Auf unseren virtuellen Desktops hat das bislang immer geholfen, den Maschinenaccount zurückzusetzen.

@Sunny61: Das mit dem LAPS sieht gut aus. Das Programm kenne ich (noch) nicht. Das werde ich nächste Woche mal testen.

Euch alle wünsche ich arbeitsfreies und sonniges Wochenende.

Dirk

Hallo.

Hier mal eine Frage zum Thema Reparatur von Workstations. Wir hatten in unserer Außenstellen einen Rechner, bei dem das Computerkonto wohl beschädigt war. Das Zurücksetzen des Computerpasswortes war leider nicht erfolgreich.

Was macht man am sinnvollsten, ohne  den Kollegen in der Außenstellen das lokale Adminpasswort zu geben oder erst stundenlang zur Außenstelle zu fahren? 4-5 Stunden Arbeitszeit für eine solche Wartung sind irgendwie uneffektiv...

Vielen Dank im voraus für Eure Antworten.

LG

Dirk Emmermacher

Hallo mwiederkehr.

Herzlichen Dank für die Info. Solange es keine beschwerden gibt, werde ich meine Füße still halten - Never touch a running system...

Schönen Wochenende :)

Dirk

Hallo

Nach Installation von KB4457131 auf zwei Windows Server 2016 mit Citrix Xenapp 7.15 LTSR CU1 kam es uns dazu, das User nicht mehr richtig abgemeldet worden sind. Dies wurden als getrennt angezeigt.

Aus Anwendersicht war ein arbeiten fast nicht möglich (Bei Tests wurde die Verbindung verloren und das Bild fror zeitweise ein).

Eine Deinstallation hat hier  wieder zu einem normalen Verhalten der Server geführt.

Schönes Wochenende :)

Dirk Emmermacher

Die Idee ist nicht schlecht. Das kann ich leider nicht. Der IIS ist wohl nur in der Lage ein Zertifikat zu binden.

Vollkommen bescheuert! Apache ist dieser Stelle besser. Leider kann ich das nicht umstellen. Die Anwendung dahinter ist auf IIS angewiesen.

Beim stöbern bin ich noch auf diese Seite gestoßen: https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Mehrere Wildcardzertifikate kann der IIS nicht nutzen :(.

Trozdem Danke für Eure Hilfe!

LG

Dirk

Habe jetzt mal die Bindungen angepasst.

http läuft ohne Hostname, und ist an die IP-Adresse gebunden. Das funktioniert erwartungsgemäß.

Im Firefox bekomme ich mit der neuen Domain die Meldung NS_ERROR_NET_INADEQUATE_SECURITY

Mit der alten Domain kommt das Zertifikat der neuen Domain. Ein iisreset hilft hier auch nicht :(.

Hier habe ich jeweils https mit dem jeweiligen Hostnamen und der IP-Adresse gebunden. SNI ist abgeschaltet.

Gibt da auf dem Client nicht Probleme mit dem Zertifikat? Wenn ich ein Zertifikat einsetze, das für eine andere Domain gedacht ist, passt das ja nicht.

Hallo.

@NorbertFe:

Das halte ich für weniger schön.

@Dukel:

Werde ich mal testen. Um den alten Domainnamen zu erhalten könnte ich mir vorstellen, diese auf einem apache einzurichten und dann auf die neue URL weiterzuleiten. Ist zwar keine Ideallösung, aber die alte Domain wir ja nicht ewig bestehen...

LG

Dirk

Hallo Jan.

Herzlichen Dank für Deine Antwort.

Bei den Zertifikaten handelt es sich um Wildcardzertifikate.

LG

Dirk

Hallo.

Wir sind hier dabei, unsere Webautritte auf eine neue Domain umzustellen. Die alten Namen sollen aber erst noch einmal bestehen bleiben.

Beim IIS habe ich eine neue Website angelegt. Der Sitename ist neu. Anwendungspool und der Pfad bleiben gleich.

Aktuell ist die Bindung des Protokolls *:80 und *:443  auf der alten Site.

Die neue Site ist aktuell nur auf Port 80.

Erstelle ich eine neue Bindung für https bekomme ich diese Meldung:

Mindestens eine andere Site verwendet die gleiche HTTPS-Bindung und die Bindung ist mit einem anderen Zertifikat konfiguriert. Möchten Sie diese HTTPS-Bindung wirklich wiederverwenden und den anderen Sites das neue Zertifikat zuweisen?

Was muss man hier tun, damit beide Sites mit "ihrem" Zertifikat laufen?

Vielen Dank im voraus für Eure Antworten.

LG

Dirk Emmermacher

Hallo Tektronix.

Das Aktivieren von smb2 hat das Problem gelöst. Der Server hat jetzt wieder alle Netzlaufwerke.

Vielen Dank für Deine Unterstützung!

Schönes Wochenende :)

Dirk

Hallo Tektronix.

Wie checkt man den DFS-Client? Dazu habe ich nichts gefunden.

Da das Problem nach deaktivieren von SMB v1 augfgetreten ist (https://support.microsoft.com/de-de/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and),

habe ich

das mal ausgeführt:

Aktivieren: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

Die Maschine kann ich aber erst morgen neu starten.

LG

Dirk

Hallo Tektronix.

Der Pfad ist auf beiden DCs vorhanden.

Auf beiden DCs gibt es die gleiche Anzahl Ordner (Policies)

Die Rechte von Ordner und gpt.ini habe ich verglichen. Auf beiden Server gibt es keine Unterschiede.

Der Fileserver löst sowohl Name als auch IP auf. Getestet mit ping und nslookup.

LG

Dirk

Hallo Tektronix.

Das ist XML-Ansicht des Fehlers:

Hallo Tektronix.

Den Artikel habe ich mir angeschaut. Worauf willst Du hinaus?

Heute morgen hab eich mir die Sicherheitseinstellungen in gpedit angeschaut und mit einem anderen Server verglichen, der keine Probleme hat. Die Einstellungen sind identisch.

Der Fehler ist aufgetaucht, nachdem ich SMB v1 deaktiviert hatte. Eine Reaktivierung hatte auch nicht geholfen.

Unter https://community.spiceworks.com/topic/536108-group-policy-event-id-7017-error-code-3 habe ich ein ähnliches Problem finden können.

Hilft hier eine Analyse mit dcdiag weiter?

LG

Dirk

Hallo Duerener.

Eine direkte Migration würde ich bei Windows nicht riskieren. Lieber ein neues System aufsetzen und dann die Daten auf das neue System schieben (Robocopy).

LG

Dirk

Hallo Tektronix.

Die Gruppe Authentifizierte Benutzer ist auf dem File-Server Mitglied der Gruppe Benutzer.

Auf dem DC sind die Authentifizierten Benutzer Mitglied der Gruppe Benutzer.

LG

Dirk

Hallo Norbert.

Die Adresse ist geändert.

Der Fileserver löst Namen ohne Probleme auf. Es ist hier egal, ob das per ping oder nslookup tue.

Eine Verbindung zu den DCs muss zumindest über LDAP vorhanden. Im Sicherheitslog gib es aktuelle Einträge.

Könnte es helfen, die Maschine aus dem AD zu nehmen und ohne Neustart wieder hinzu zufügen?

LG

Dirk