Marco31

Hallo liebes Forum, ich muss mich hier mal mit einem Problem an die Netzwerk-Spezialisten unter euch wenden. Wir haben vor kurzem ein paar neue Rechner (Dell Optiplex 7060) bekommen. Einer davon macht(e) mir nun schon seit Tagen Probleme - beim hochfahren wird das Domänen-Netzwerk nicht erkannt, die Erkennung (Computereinstellungen werden geladen) dauert ewig. Ich habe wirklich alles probiert - sämtliche Treiber neu, feste Geschwindigkeit an Netzwerkkarte und Switch, Kabel getauscht, Dosen-Einsätze getauscht, anderen Optiplex 7060 hin gestellt. Nix hat geholfen, ich war mir nun zumindest relativ sicher dass es nicht an Windows/Treiber etc. liegt. Ich habe dann unsere Elektro-Firma beauftragt, mal nach dem Kabel zu schauen. Das war auch in Ordnung; die haben auch in die Dosen einen Gigabit-Einsatz eingebaut (vorher war ein Einsatz für 2 Anschlüsse à 100 Mbit verbaut) - und siehe da, mit dem Gigabit-Einsatz läuft bisher alles super.... Als Hintergrund muss ich dazu sagen, dass bei der Verkabelung im Hause vor zwanzig Jahren Cat5-Kabel verbaut wurden, und pro Kabel wurden in der Dose über den Dosen-Einsatz zwei Anschlüsse (jeweils 100 Mbit) realisiert. In zwei neuen Büros, wo die Dosen mit einem Kabel pro Anschluss installiert wurden (=Gigabit) gibt es mit den neuen PC's bisher keine Probleme... Daher meine Frage: Hatte jemand schon mal ähnliche Probleme? Kann es sein, dass die Netzwerkkarten nicht mit der Verkabelung, wie sie bei uns aufgebaut ist, zurecht kommen? In den Optiplex sind Intel I219-LM Netzwerkkarten verbaut.

Das ist (bzw. war) ein Problem mit ein paar Office 2016 Updates, in den WSUS-TechNet-Foren war da einiges zu finden, u.a. (https://social.technet.microsoft.com/Forums/windowsserver/en-US/8350de72-2cf7-4445-857e-1e37ddfac72a/wsus-2016-not-synchronizing-with-microsoft?forum=winserverwsus) Hatte das gleiche Problem, seit 2 Tagen läuft aber zumindest bei uns wieder alles rund.

Was machst du denn, wenn gerade im Moment deines Images jemand sein Passwort ändert oder ein Client das Computerkennwort ändert? Dann hättest du das von Gulp beschriebene Szenario. Klar, lässt sich schlimmstenfalls reparieren. Aber für den Fall der Fälle würde ich da keinen Snapshot verwenden, sondern wie auch von Gulp vorgeschlagen die Windows-Sicherung oder ein Offline-Backup.

Soweit ich weiß sind Snapshots von DC's nicht unterstützt. Ich würde da eher mit nem Offline-Backup oder der Windows Sicherung ran gehen. Und die Sicherung auch nur, wenn tatsächlich NICHTS anderes am laufen ist was auch nur im entferntesten vom AD abhängt. Vielleicht bin ich da etwas paranoid, aber lieber zu vorsichtig als dann die große Sch…..

Google einfach mal nach den Stichworten DC, Recovery und Snapshot. USN Rollback sagt dir was?

Ich hoffe nur in deinem Testlab? In der produktiven Umgebung ist das Harakiri...

Mit einem DC-Recovery aus einem Image bei laufenden Systemen kannst du dir dein komplettes AD zerschießen. Lass die Finger davon...

Davon würde ich in einer produktiven Umgebung unter allen Umständen die Finger lassen... Sowas würde ich höchstens machen, wenn ausser den beiden DC's seit dem promoten NICHTS anderes läuft oder gelaufen ist, kein Server, kein PC, kein gar nichts. Image von DC's wiederherstellen ist seltenst eine gute Idee.

Will man überhaupt auf irgendeine Stabilität wetten bei Software aus dem Hause Microsoft? (Zumindest haben das die letzten 3 Jahre gezeigt)

Ist das denn noch aktuell? Ich habe hier ne 1803 Testmaschine, da funktioniert die Appdata-Umleitung...? Ist mir grade mal ins Auge gefallen da ich Änderungen an unserer Ordnerumleitung gemacht hatte. Der Rest der PC's ist alles noch auf 1709

Dann wäre ich gespannt wie ihr die Reaktionszeit nach einer Malware Infektion gefallen wird...

Ok, hatte ich dann tatsächlich missverstanden. Ja. Server habe ich natürlich. Vielen Dank!

Dazu mal eine "dumme" Frage: Wir haben hier SRP im Einsatz. Das wird nicht mehr weiterentwickelt, vermutlich wird das ganze irgendwann nicht mehr unterstützt und ich muss Applocker oder eine andere Software einsetzen. Für Applocker brauche ich aber zwingend W10 Enterprise, WENN ich diese über GPO steuern will... Soweit richtig? Es gibt aber (wenn ich das richtig verstanden habe) eine Möglichkeit, Applocker noch anders zu konfigurieren: über MDM. Ich weiß zwar was ein Mobile Device Management ist, aber kann mir mal jemand auf die Sprünge helfen wie ich damit dann Applocker konfigurieren könnte? In meinem Falle geht's ja "nur" um PC's... Und geht es hier bei "MDM" um eine Software von Microsoft oder wie muss ich das verstehen? Sorry für die dummen Fragen, aber mit MDM musste ich mich bisher noch nicht beschäftigen, und die oben genannten Quellen werfen für mich nur mehr Fragen auf.

Hallo liebes Forum, ich hatte am Freitag die beiden oben genannten Patches auf unseren Backup-Server (Windows 2008 R2 mit Veeam B&R 9.5u3a) sowie auf unsere DC's (Windows 2012 R2) die Patches KB4338824 & KB4338815 installiert. Bis Samstag morgen keine Probleme, ab dann schlugen sämtliche Veeam-Backups der virtuellen Maschinen fehl: Falscher Benutzername oder Kennwort. Obwohl beides definitiv richtig war . Da ich von Problemen mit einigen Patches gelesen hatte, habe ich Montag morgen die oben genannten Patches auf dem Backup-Server und den DC's deinstalliert. Bis jetzt sind alle Updates wieder ohne Abbrüche durchgelaufen... Könnte also durchaus sein dass diese Updates auch Veeam (bzw. die Authentifizierung an den Maschinen aus Veeam B&R heraus) aus dem Tritt bringen. Wäre interessant zu wissen ob jemand ähnliches beobachtet hat?

So, kurze Rückmeldung zum Thema. Die automatische Aufräumfunktion hat geschafft, was die GUI nicht hinbekommen hat - die alten Einträge sind seit heute alle weg Nochmal vielen Dank an alle für die Hilfen und Tipps, insbesondere herzlichen Dank an Nobbyaushb

Vielen Dank erstmal für die Tipps und Hilfen von euch! Da die Einträge anscheinend keine Probleme bereiten und nicht löschbar sind, werde ich diese erstmal so stehen lassen; bleibt ja auch nix anderes übrig Vielleicht fällt ja noch jemandem was ein oder ich mache mal nen kostenpflichtigen Call bei MS auf. Wenn ich was neues erfahre werde ich es euch wissen lassen. Noch ne kurze Frage zur Alterung im DNS; aktiviere ich das auf allen DNS Servern?

Sorry, PN ist raus

Sorry wenn ich hier b***d Frage, aber lieber eine Frage zu viel als eine zu wenig... Welche übergeordneten Einträge meinst du? Die _tcp und _udp ?

Du meinst ich soll alle Objekte unterhalb meiner Forward Lookup Zone domäne.local löschen? Sorry für die blöde Frage...

So, das Thema mit den nicht aktualisierten A und PTR Einträgen hat sich erledigt, die Einträge sind jetzt alle aktuell. Alterung habe ich wieder angeschaltet. Was bleibt ist allerdings das Problem der nicht löschbaren SRV-Einträge der DC's...

Ok... Da scheint also noch eine andere Baustelle zu sein. Wo könnte ich hier anknüpfen? Probleme gab's bisher bei Namensauflösung und Co. nicht.

Also nach einem genauen Blick ins DNS habe ich das automatische aufräumen erstmal wieder deaktiviert. Die meisten Einträge sind ziemlich alt - liegt das daran, dass ich die IP Adressen immer manuell am Client vergebe und nicht per DHCP verteile?

Auch das starten der Konsole als Admin hat keine andere Wirkung gezeigt; die gelöschten alten Einträge sind sofort wieder da. Neu gestartet hatte ich natürlich auch. Aufräumen ist jetzt eingerichtet, als frühestes Datum hat er aber jetzt den 11.04. Einen PTR-Eintrag aus Großbuchstaben konnte ich übrigens auch nicht löschen, bzw ist dieser umgehend nach dem löschen wieder da...

Du meinst alle Einträge? Habe ich schon versucht. Dann sind im ersten Moment alle weg, nach Aktualisierung der Anzeige sind die Einträge mit 2017 Zeitstempel wieder da. Die Alterung ist nicht aktiviert (Haken nicht gesetzt). Sollte dieser aktiviert sein? Haben übrigens manuelle IP Vergabe ohne DHCP (falls das wichtig sein könnte)

Die alte Dose die herabgestuft wurde? Nee, die ist schon sozusagen "entsorgt" (aus der Domäne raus und neu installiert). Hier mal ein Screenshot der Misere; DC1 ist der alte Server, vmdomcon1 der aktuelle Server. Und der mit aktuellem und 2017er Zeitstempel...