testperson

Dann verbinde die Netzlaufwerke doch mit "NET USE <LW:> <\\Server\Share> /PERSISTENT:YES". Dann bleiben sie da und können nach dem Aufbau des Tunnels genutzt werden.

Hi, was macht das Logon Script denn bzw. warum soll es auf den Clients die per VPN angemeldet sind ausgeführt werden? Ggfs. wäre Always On VPN ein Ansatz: https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn/always-on-vpn/ Gruß Jan

Hi, du solltest die Dateien nicht im Netlogon Share ablegen. An welcher Stelle der GPO hast du die Kopie erstellt? Vermutlich muss das bzw. müssen die Computerkonten Zugriff auf das Share haben. Des Weiteren würde ich beim Kopieren von Dateien ein Script bevorzugen. Gruß Jan

An der Stelle würde ich eher auf ein schnelles und getestest (Disaster) Recovery bzw. Backup Konzept setzen. Was nützt dir das Replica, wenn es nicht sauber läuft bzw. das evtl. Problem erst Tage, Wochen, Monate oder gar Jahre später auftritt? An der Stelle könnte man natürlich fragen, ob die betagte Hardware für Windows Server 2019 freigegeben ist. ;)

Das würde ich bevorzugt automatisiert tun. Das würde ich ebenso automatisiert reledigen. Dann muss der HelpDesk nur ein Script ausführen / nur ein FrontEnd bedienen und automagisch zwei Gruppen erstellen. Das verstehe ich immer noch nicht so ganz. Du könntest allerdings mit "Get-ADGroup" deine Gruppen auslesen und diese Stück für Stück per "foreach-Object" durchgehen und dann die Verteilergruppe "Enable-DistributionGroup" anhand des Name, DistinguishedName, CanonicalName oder der ObjectGUID der AD-Gruppe erstellen lassen. P.S.: Ich habe / hatte* einige Kunden die (teilweise schmerzhaft) lernen mussten, dass man ihnen nichts böses mit seinen Ratschlägen will. Das heißt nicht, dass du hier mit einer Gruppe zwingend auf die Nase fallen wirst, allerdings würde ich definitiv zwei Gruppen bevorzugen und dem HelpDesk ein entsprechendes Script zur Anlage überlassen. * Die jetzt kein Kunde mehr sind, fühlten sich übrigens im Nachhinein oft schlecht beraten und hatten plötzlich Gedächtnisschwund. ;)

Vor diesem Hintergrund würde ich definitiv mit "Berechtigungs-Gruppen" den Login berechtigen und mit "Verteiler-Gruppen" E-Mails verteilen. Was tun, wenn jemand keinen Login erhalten soll, aber eine Mail-Benachrichtung bekommen soll? Was tun, wenn jemand einen Login hat, aber keine Benachrichtung will? An der Stelle verstehe ich allerdings nicht was dich an dem Property bzw. dem Objekt / der Klasse "Identity" stört? Die Verteilergruppe hat doch bereits ein SamAccountName Property? Du wirst die Identity vermutlich auch nur bedingt mit "Set-DistributionGroup <alter Name> -Name <neuer Name> -Alias <neuer Name> -SamAccountName <neuer Name> -DisplayName <neuer Name>" ändern können.

Hi, was machst du denn derzeit mit den AD-Sicherheitsgruppen? Werden die für NTFS Berechtigungen bzw. "Berechtigungen" genutzt? Wenn dem so ist, würde ich für die Verteilung direkt neue bzw. reine Verteilergruppen anlegen. Gruß Jan

Das steht im ScreenShot. ;P

Hi, da nicht alles auf Port 80 tcp ein Webserver sein muss, könntest du noch "telnet localhost 80" testen. Da aber "netstat -ano | findstr :80" nichts findet, gehe ich davon aus, dass nichts auf Port 80 läuft. Gruß Jan

Hi Nils, danke für den Input und deine Folgerung. Ich kann das aus dem Technet-Thread teilweise reproduzieren bzw. nachvollziehen. Solange man, (meiner Meinung nach) logischerweise, alles über "-ComputerName <Cluster>" referenziert, scheint das zumindest konsequent zu funktionieren. Selbst die Dinge, die im Technet-Thread, nicht funktionieren, lassen sich zumindest heute so ausführen. In meinem Fall wäre ich im Scripting etwas "dynamischer", da ich über die Gruppen ein wenig Script-Logik in eben die Gruppen auslagern könnte. Werde dann "mal flott" ein Test-Cluster bauen und prüfen, was mit bestehenden Gruppen und einem neuen Host passiert. Wenn das nicht den gewünschten Erfolg bringt, schließe ich deiner Meinung an. :) Gruß Jan

Hi, weiß zufällig jemand, ob VMGroups (https://docs.microsoft.com/en-us/powershell/module/hyper-v/New-VMGroup?view=win10-ps) im Cluster "repliziert" oder "im Cluster gespeichert" werden? Mir geht es um den Fall, wenn weitere Hosts ins Cluster kommen, ob die Gruppen dann dort zur Verfügung stehen oder ob da manuel eingegriffen werden muss. Wenn ich im Hyper-V Cluster eine neue Gruppe erstelle dann ist diese jedenfalls schonmal auf allen Hosts im Cluster verfügbar. Gruß Jan

Klingt jetzt aber doch so, als wäre ein dritter Host angesagt. Meistens fallen halt die Dinge, die ausgeschaltet bleiben können / unwichtig sind, genau dann aus, wenn sie ganz ganz dringend benötigt werden. ;)

Dann update / upgrade deine Hosts doch? Mit Windows Server 2019 ist es in der Tat wieder "normal".

Dann ersetzen wir "Wartungsmodus" mit "Single-Host-per-SharedNothingLiveMigration-to-Wartungsmodus.ps1". ;)

Hi, Da hast du doch schon gemerkt, dass das teils ziemlich dürftig ist. Ich verstehe aber auch so wirklich das Problem nicht: Host1 -> Wartungsmodus an -> Update (auch wenn es x Stunden dauert) -> Reboot (ggfs. nochmals Updaten) -> Wartungsmodus aus -> "Test" -> "zurück in Produktion" -> "Warten" -> Mit Host2 vorne anfangen. Wenn euch die Zeit ohne Redundanz zu lange ist, dann muss eben ein Host3 her. BTW.: Ich bilde mir es zumindest ein, dass es mit "sconfig -> 6 -> a -> A" etwas besser läuft. Ansonsten wäre ABC-Update evtl. noch eine Idee zum testen. Gruß Jan

Hi, es wäre deutlich einfacher, wenn du den Code-Schnipsel im Code-Tag und nicht per ScreenShot einfügst. Ich würde ein fehlendes Anführungszeichen (") hinter dem User vermuten. Gruß Jan

Du hast das "onward" überlesen. ;)

Hi, wäre ggfs. Fasttrack (https://www.microsoft.com/de-de/fasttrack / https://docs.microsoft.com/en-us/fasttrack/o365-data-migration) etwas? Gruß Jan

Löscht die Registrierungsinfos aus der Registry. Ich habe es irgendwann mal irgendwo aufgeschnappt und seitdem ists im "Script" mit drin. ;) Viel hilft bekanntlich viel!

Dann aber zwischen "-upk" und "-ipk" noch ein "-cpky". Wenn slmgr.vbs nicht hilft, wäre DISM noch eine Option "DISM /online /Set-Edition:ServerStandard /ProductKey:<dein Key> /AcceptEula"

Hi, an der Stelle wäre es evtl. einfacher alles an WLAN über Unifi APs abzuwickeln. Gruß Jan

An der Stelle würde ich aber auch den Sinn hinter der Anforderung zumindest ein wenig in Frage stellen. Warum sollen priviligierte Admin Konten sich am Server mit Passwort anmelden und der Rest darf nur per SmartCard ran?

Hi, was hast du denn wo im GPO konfiguriert? Vermutlich hast du im Computer-Scope konfiguriert und möchtest jetzt auf Benutzer filtern. Das geht nicht. Ggruß Jan

Hi, das hängt wohl größtenteils davon ab, was denn noch übrig ist vom "gecrashtem Exchange" und was du darunter verstehst. Evtl. wäre es sinnvoller den Exchange erst zu recovern und dann sauber weiterzumachen. Gibt es ein Backup? Sind die Datenbank-Dateien noch da? Gruß Jan

An dieser Stelle müsste man wohl auch mal über das Stichwort "Überwachung" und ggfs. die zu beachtenden Folgen nachdenken.