Marco31

Was machst du denn, wenn gerade im Moment deines Images jemand sein Passwort ändert oder ein Client das Computerkennwort ändert? Dann hättest du das von Gulp beschriebene Szenario. Klar, lässt sich schlimmstenfalls reparieren. Aber für den Fall der Fälle würde ich da keinen Snapshot verwenden, sondern wie auch von Gulp vorgeschlagen die Windows-Sicherung oder ein Offline-Backup.

Soweit ich weiß sind Snapshots von DC's nicht unterstützt. Ich würde da eher mit nem Offline-Backup oder der Windows Sicherung ran gehen. Und die Sicherung auch nur, wenn tatsächlich NICHTS anderes am laufen ist was auch nur im entferntesten vom AD abhängt. Vielleicht bin ich da etwas paranoid, aber lieber zu vorsichtig als dann die große Sch…..

Google einfach mal nach den Stichworten DC, Recovery und Snapshot. USN Rollback sagt dir was?

Ich hoffe nur in deinem Testlab? In der produktiven Umgebung ist das Harakiri...

Mit einem DC-Recovery aus einem Image bei laufenden Systemen kannst du dir dein komplettes AD zerschießen. Lass die Finger davon...

Davon würde ich in einer produktiven Umgebung unter allen Umständen die Finger lassen... Sowas würde ich höchstens machen, wenn ausser den beiden DC's seit dem promoten NICHTS anderes läuft oder gelaufen ist, kein Server, kein PC, kein gar nichts. Image von DC's wiederherstellen ist seltenst eine gute Idee.

Will man überhaupt auf irgendeine Stabilität wetten bei Software aus dem Hause Microsoft? (Zumindest haben das die letzten 3 Jahre gezeigt)

Ist das denn noch aktuell? Ich habe hier ne 1803 Testmaschine, da funktioniert die Appdata-Umleitung...? Ist mir grade mal ins Auge gefallen da ich Änderungen an unserer Ordnerumleitung gemacht hatte. Der Rest der PC's ist alles noch auf 1709

Dann wäre ich gespannt wie ihr die Reaktionszeit nach einer Malware Infektion gefallen wird...

Ok, hatte ich dann tatsächlich missverstanden. Ja. Server habe ich natürlich. Vielen Dank!

Dazu mal eine "dumme" Frage: Wir haben hier SRP im Einsatz. Das wird nicht mehr weiterentwickelt, vermutlich wird das ganze irgendwann nicht mehr unterstützt und ich muss Applocker oder eine andere Software einsetzen. Für Applocker brauche ich aber zwingend W10 Enterprise, WENN ich diese über GPO steuern will... Soweit richtig? Es gibt aber (wenn ich das richtig verstanden habe) eine Möglichkeit, Applocker noch anders zu konfigurieren: über MDM. Ich weiß zwar was ein Mobile Device Management ist, aber kann mir mal jemand auf die Sprünge helfen wie ich damit dann Applocker konfigurieren könnte? In meinem Falle geht's ja "nur" um PC's... Und geht es hier bei "MDM" um eine Software von Microsoft oder wie muss ich das verstehen? Sorry für die dummen Fragen, aber mit MDM musste ich mich bisher noch nicht beschäftigen, und die oben genannten Quellen werfen für mich nur mehr Fragen auf.

Hallo liebes Forum, ich hatte am Freitag die beiden oben genannten Patches auf unseren Backup-Server (Windows 2008 R2 mit Veeam B&R 9.5u3a) sowie auf unsere DC's (Windows 2012 R2) die Patches KB4338824 & KB4338815 installiert. Bis Samstag morgen keine Probleme, ab dann schlugen sämtliche Veeam-Backups der virtuellen Maschinen fehl: Falscher Benutzername oder Kennwort. Obwohl beides definitiv richtig war . Da ich von Problemen mit einigen Patches gelesen hatte, habe ich Montag morgen die oben genannten Patches auf dem Backup-Server und den DC's deinstalliert. Bis jetzt sind alle Updates wieder ohne Abbrüche durchgelaufen... Könnte also durchaus sein dass diese Updates auch Veeam (bzw. die Authentifizierung an den Maschinen aus Veeam B&R heraus) aus dem Tritt bringen. Wäre interessant zu wissen ob jemand ähnliches beobachtet hat?

So, kurze Rückmeldung zum Thema. Die automatische Aufräumfunktion hat geschafft, was die GUI nicht hinbekommen hat - die alten Einträge sind seit heute alle weg Nochmal vielen Dank an alle für die Hilfen und Tipps, insbesondere herzlichen Dank an Nobbyaushb

Vielen Dank erstmal für die Tipps und Hilfen von euch! Da die Einträge anscheinend keine Probleme bereiten und nicht löschbar sind, werde ich diese erstmal so stehen lassen; bleibt ja auch nix anderes übrig Vielleicht fällt ja noch jemandem was ein oder ich mache mal nen kostenpflichtigen Call bei MS auf. Wenn ich was neues erfahre werde ich es euch wissen lassen. Noch ne kurze Frage zur Alterung im DNS; aktiviere ich das auf allen DNS Servern?

Sorry, PN ist raus

Sorry wenn ich hier b***d Frage, aber lieber eine Frage zu viel als eine zu wenig... Welche übergeordneten Einträge meinst du? Die _tcp und _udp ?

Du meinst ich soll alle Objekte unterhalb meiner Forward Lookup Zone domäne.local löschen? Sorry für die blöde Frage...

So, das Thema mit den nicht aktualisierten A und PTR Einträgen hat sich erledigt, die Einträge sind jetzt alle aktuell. Alterung habe ich wieder angeschaltet. Was bleibt ist allerdings das Problem der nicht löschbaren SRV-Einträge der DC's...

Ok... Da scheint also noch eine andere Baustelle zu sein. Wo könnte ich hier anknüpfen? Probleme gab's bisher bei Namensauflösung und Co. nicht.

Also nach einem genauen Blick ins DNS habe ich das automatische aufräumen erstmal wieder deaktiviert. Die meisten Einträge sind ziemlich alt - liegt das daran, dass ich die IP Adressen immer manuell am Client vergebe und nicht per DHCP verteile?

Auch das starten der Konsole als Admin hat keine andere Wirkung gezeigt; die gelöschten alten Einträge sind sofort wieder da. Neu gestartet hatte ich natürlich auch. Aufräumen ist jetzt eingerichtet, als frühestes Datum hat er aber jetzt den 11.04. Einen PTR-Eintrag aus Großbuchstaben konnte ich übrigens auch nicht löschen, bzw ist dieser umgehend nach dem löschen wieder da...

Du meinst alle Einträge? Habe ich schon versucht. Dann sind im ersten Moment alle weg, nach Aktualisierung der Anzeige sind die Einträge mit 2017 Zeitstempel wieder da. Die Alterung ist nicht aktiviert (Haken nicht gesetzt). Sollte dieser aktiviert sein? Haben übrigens manuelle IP Vergabe ohne DHCP (falls das wichtig sein könnte)

Die alte Dose die herabgestuft wurde? Nee, die ist schon sozusagen "entsorgt" (aus der Domäne raus und neu installiert). Hier mal ein Screenshot der Misere; DC1 ist der alte Server, vmdomcon1 der aktuelle Server. Und der mit aktuellem und 2017er Zeitstempel...

Ich hatte zwei, jetzt nach der Herunterstufung nur noch den einen. Als Nameserver steht nur noch der aktuelle DC drin. Ich hatte alle SRV-Einträge gelöscht, die auf den alten DC verweisen und die Einträge mit 2017er Zeitstempel des aktuellen DC. Und wie gesagt, ich lösche die und die sind sofort wieder da... Die HOST und NS Einträge sind alle ok, die gibt's nur für den aktuellen DC.

Wenn's denn so einfach wäre... Ich lösche die Einträge, aktualisiere die Anzeige und, schwupps, sind die Einträge wieder da als hätte ich die nie gelöscht... Ich habe nur das hier bisher gefunden: https://support.microsoft.com/en-us/help/2749240/you-cannot-delete-dns-ptr-records-that-were-created-in-windows-2003 Da geht's aber um PTR-Einträge, ich habe das Problem bei den SRV Einträgen in der Forward Lookup Zone.