testperson

Hi, danke für den Auszug aus der Registry. Auf die Schnelle sehe ich, dass ihr aber bei angemeldeten Usern nicht neu startet (https://gpsearch.azurewebsites.net/#2799) oder ist das eine der Richtlinien, wo die Beschreibung nicht stimmt: Allerdings kommt da bei einem der Server die heute nicht gebooted sind bei mir gar nichts von in der Registry an, obwohl die Policy dahinter auf "Deaktiviert" steht. In einem "gpresult" sehe ich grade auch keine der "Neustart Settings", obwohl alles andere aus meiner "WSUS Grundkonfig GPO" ankommt. Danke jedenfalls schonmal für einen Schubs in eine neue Richtung. Allerdings frage ich mich grade, ob ich die letzten Tage einfach nur ins Leere gestarrt habe.. Gruß Jan

Da wird jemand fremdes einfach mit meinen Federn geschmückt. Tz.. $HosttoPing = "example.com" $LogPath = "InternetStatus01.txt" $CurStatus = $true $LastStatus = $null $Date = Get-Date $Heartbeat = $Date Write-Output $("Start: {0} {1}" -f $Date.ToShortDateString(), $Date.ToShortTimeString()) Out-File -FilePath $LogPath -InputObject $("Start: {0} {1}" -f $Date.ToShortDateString(), $Date.ToShortTimeString()) -Append do{ $CurStatus = Test-Connection -ComputerName $HosttoPing -Count 1 -Quiet $Date = Get-Date if($CurStatus -ne $LastStatus -or $Date -ge $Heartbeat.Second(3600)){ switch($CurStatus){ $true{ Write-Output $("Internet: {0} {1}" -f $Date.ToShortDateString(), $Date.ToShortTimeString()) Out-File -FilePath $LogPath -InputObject $("Start: {0} {1}" -f $Date.ToShortDateString(), $Date.ToShortTimeString()) -Append $LastStatus = $true } $false{ Write-Output $("Kein Internet: {0} {1}" -f $Date.ToShortDateString(), $Date.ToShortTimeString()) Out-File -FilePath $LogPath -InputObject $("Start: {0} {1}" -f $Date.ToShortDateString(), $Date.ToShortTimeString()) -Append $LastStatus = $false } } $Heartbeat = $Date } }while($true)

Hi, mein WSUS bzw. einzelne Windows Update Clients (Windows Server 2012 R2 / 2016 / 2019) und ich haben noch ein Problem: Nach Updates (die einen Reboot benötigen) erfolgt nicht immer ein Reboot. Meine Policies: Automatische Updates konfigurieren (aktiviert): 4 - Autom. Herunterladen und laut Zeitplan installieren Automatischen Neustart nach Updates während der Nutzungszeit deaktivieren (Nicht konfiguriert) Erneut zu einem Neustart für geplante Installationen auffordern (aktiviert): 5 Minuten Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind (Deaktiviert) Neustart für geplante Installationen verzögern (aktiviert): 5 Minuten Neustart immer automatisch zur geplanten Zeit durchführen (aktiviert): 15 Minuten Frist angeben, nach der ein automatischer Neustart zur Updateinstallation ausgeführt wird (Nicht konfiguriert) Zeitplan für geplante Installationen neu erstellen (deaktiviert) Habe ich hier irgendwelche Einstellungen gesetzt, welche einen Reboot verhindern oder sich gegenseitig aufheben? Bzw. wie sollte ich WU konfigurieren, dass definitiv nach der Installation gebootet wird, egal ob User angemeldet oder nicht? Vielen Dank und Gruß Jan

Das ist ein Mythos. Der Host kann problemlos in die Domäne aufgenommen werden und funktioniert sogar noch problemlos, selbst wenn die Domäne grade in Urlaub ist. Der Domain-Join ändert auch nichts an der Berechtigung zwei VMs zu betreiben. Das wäre erst der Fall, wenn der Host tatsächlich eine Freigabe o.ä. bereitstellt, was man wiederum nicht macht.

Wenn es (dauerhaft) technisch funktioniert, wäre es wohl ein Lizenzverstoß. Ich gehe aber davon aus, dass die Lizenz früher oder später "rausfliegt", da der Host aufgrund der fehlenden Datacenter Lizenzierung das Guest OS einfach mit "Leider nein, leider gar nicht" "ablehnt". Du kannst ja mal im Eventlog schauen (https://docs.microsoft.com/en-us/windows-server/get-started-19/vm-activation-19#reporting-and-tracking):

Vielleicht fangen wir nochmal vorne an. "Dein Problem" kennen wir ja jetzt. ;) Was für ein Szenario betreibst du denn da? Mit ein wenig mehr an Infos, kann man dir vielleicht auch andere / bessere Wege aufzeigen. Was für Clients? Welche VPN Lösung? Client to Site? Site to Site? Wo befinden sich die Clients? Wo befindet sich die RDS Farm? Was befindet sich alles in der Bereitstellung? Sind die Clients in einer Domäne? Von einer Kennwortänderung über ein (SSL) VPN Portal über Remote Desktop Web Access bis hin zu ganz wilden 3rd Party Lösungen ist hier sicherlich vieles in mehr oder wenige komplex machbar.

"pwdLastSet" Attribut des Users.

Hi, das sollte über RDWeb machbar sein. Um was für Clients handelt es sich bzw. ist eine Anmeldung / Passwortänderung nicht am Client machbar und dann per SSOn weiter zu den RDSHs? Gruß Jan

Hi, und (ungetestet) auf die Schnelle in PowerShell: $HosttoPing = "example.com" $CurStatus = $true $LastStatus = $null $Date = Get-Date Write-Output $("Start: {0} {1}" -f $Date.ToShortDateString(), $Date.ToShortTimeString()) do{ $CurStatus = Test-Connection -ComputerName $HosttoPing -Count 1 -Quiet if($CurStatus -ne $LastStatus){ $Date = Get-Date switch($CurStatus){ $true{ Write-Output $("Internet: {0} {1}" -f $Date.ToShortDateString(), $Date.ToShortTimeString()) $LastStatus = $true } $false{ Write-Output $("Kein Internet: {0} {1}" -f $Date.ToShortDateString(), $Date.ToShortTimeString()) $LastStatus = $false } } } }while($true) Gruß Jan

Ich verdränge die KMS Limits immer obwohl sie mir selber einmal "auf den Fuß gefallen" sind. :)

Bei Host + DC + RDS Aber ja, machen kann man das sicherlich. Allerdings sehe ich hier auch nicht wirklich einen "AVMA-Bedarf"... ;)

https://docs.microsoft.com/en-us/windows-server/get-started-19/vm-activation-19#system-requirements (vermutlich auch Windows Server 2012 R2 Datacenter, was irgendwo "verschluckt" wurde) HTH Jan

Hi, die Frage wäre, was hast du denn im Anschluss mit der Information vor? Ansonsten: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee890967(v=ws.10)?redirectedfrom=MSDN Bzw.: Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> TerminalServices-PnPDevices / TerminalServices-ClientUSBDevices Gruß Jan

Hi, ich würde so wenig wie möglich per GPO ausblenden / einschränken. Seit Server 2012 (R2)(?) oder auch Server 2016(?) kann auch der neugierige User kaum noch was (aus versehen) "kaputt" machen. Er kann zwar hier und da Dinge ggfs. öffnen, wird dann aber früher oder später mit einem "Zugriff verweigert" abgelehnt. Generell würde ich eher zu "Applocker" tendieren und Software whitelisting betreiben. Startmenü: https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout Default Profile: https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/customize-default-local-user-profile Ansonsten: https://www.microsoft.com/en-us/download/details.aspx?id=55319 https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines https://cloudblogs.microsoft.com/windowsserver/2017/08/22/now-available-windows-server-2016-security-guide/ Wenn die User möglichst wenig zu Gesicht bekommen sollen: RemoteApps. Die verhindern aber auch nicht, dass der User sich trotzdem zum Desktop verbindet. Das ist nicht notwendig. Das neue Device bekommt dann vorerst eine temporäre CAL, die 90 Tage gültig ist. Wenn das alte Device x (AFAIK irgendwas um 50 Tage) bis 89 Tage keine Verbindung mehr herstellt, wandert diese CAL zurück in den Lizenz-Pool. Gruß Jan

Hi heute hat Citrix folgende Security Updates veröffentlicht: https://support.citrix.com/article/CTX285059 Betroffen sind folgende Releases: Citrix Virtual Apps and Desktops 2006 and earlier versions Citrix Virtual Apps and Desktops 1912 LTSR CU1 and earlier versions of 1912 LTSR Citrix XenApp / XenDesktop 7.15 LTSR CU6 and earlier versions of 7.15 LTSR Citrix XenApp / XenDesktop 7.6 LTSR CU8 and earlier versions of 7.6 LTSR HTH Jan

Hi, das würde ich einfach direkt beim Hersteller anfragen. Allerdings würde ich auch davon absehen, einen Scanner im WLAN zu betreiben. Gruß Jan

Hi, ggfs. ist das gp-pack Defender ein Ansatz / eine Anlaufstelle: https://www.gp-pack.com/gp-pack-defender-antivirus/ Gruß Jan

Ich zitiere mich mal selber (https://www.mcseboard.de/topic/218704-windows-terminalserver-2019-ohne-ad/?do=findComment&comment=1409981) Funktioniert es per PowerShell (New-RDSessionCollection)? New-RDSessionCollection -CollectionName "Session Collection 02" -SessionHost @("RDSH01.Contoso.com"," RDSH02.Contoso.com") -CollectionDescription "Session collection for West office hosts." -ConnectionBroker "RDCB.Contoso.com"

Wie so oft beim Troubleshooting: Einfach mal vorne/unten mit den Basics anfangen und dann koordiniert weiter machen. Und danke für die Rückmeldung!

Hi, ja. Mit Zwischenschritt (https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-functional-levels): Auch bei Netzwerken kommt es nicht auf die Größe an. Möglich ist es jedenfalls. Ob es auch sinnvoll sein könnte, kann man "von außen" nicht sagen. Gruß Jan

Hi, in der GUI bzw. im ECP geht das nicht mehr. Da brauchst du die EMS und Set-RemoteDomain: # Einstellungen für alle Remote Domains ansehen: Get-RemoteDomain | fl Name, AllowedOOFType, AutoReplyEnabled, AutoForwardEnabled # Anpassen: Set-RemoteDomain -Name <deine Domain / default> -AutoReplyEnabled <$true/$false> Set-RemoteDomain -Name <deine Domain / default> -AutoForwardEnabled <$true/$false> Set-RemoteDomain -Name <deine Domain / default> -AllowedOOFType <None/InternalLegacy/External/ExternalLegacy> Gruß Jan

# del ohne Shift del %exchangeinstallpath%\transportroles\data\temp\unifiedcontent\* # del mit Shift DEL %EXCHANGEINSTALLPATH%\TRANSPORTROLES\DATA\TEMP\UNIFIEDCONTENT\*

Welche Rollen hast du denn installiert? Sind die Server komplett gepatched? Ich habe von Kollegen immer mal wieder gehört, dass die RDS-Verwaltungs-GUI unter Server 2019 nicht immer mitspielt. In diesen Fällen wurden die Sammlungen per PoSh konfiguriert und konnten danach auch in der GUI verwaltet werden.

Hi, die neueren Yubikey können als SmartCard genutzt werden und dann wäre folgendes denkbar: https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/interactive-logon-smart-card-removal-behavior Bzw. schreibt Yubico dazu: https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Windows-Server-for-YubiKey-PIV-Authentication Allerdings bringt Zertifikat/SmartCard wieder ein weiteres Level an Komplexität mit. Gruß Jan

Du kannst aber "mstsc.exe" öffnen und dir eine eigene zum Testen erstellen. Ansonsten sollten sich AFAIK die Eigenschaften der Sammlung, die im RDP File landen, per PowerShell anpassen lassen. Fürs "RD Gateway" werden vermutlich die Einträge mit "gateway" am Anfang verantwortlich sein.