GalaNr1

Hallo allerseits, seint unser DHCP auf eine eigene Maschine gezogen ist (vorher war DHCP "zusammen" mit einem DC installiert), erhalten wir im DNS-Eventlog den Fehler 4015, Der DNS-Server hat einen kritischen Active Directory-Fehler ermittelt. Stellen Sie sicher, dass Active Directory ordnungsgemäß funktioniert. Die erweiterten Fehlerdebuginformationen (die eventuell leer sind) lauten "0000051B: AtrErr: DSID-030F25B0, #1: 0: 0000051B: DSID-030F25B0, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 20119 (nTSecurityDescriptor)". Die Ereignisdaten enthalten den Fehlercode. Die Clients-IP werden auch nicht eingetragen/aktualisiert. Schalten wir auf "sichere und nicht sichere" dyn. Update im DNS um, dann ist der Fehler weg, und die Clients tauchen im DNS auf. Zur Struktur: Domain- und Forestlevel: Server 2012R2 Server: Windows Server 2019 (aktueller Patchstand 09-2020 per WSUS) DNS ist AD-Integriert ipconfig DC1 (statische IPv4, dyn IPv6): Verbindungslokale IPv6-Adresse . : fe80::3cdf:cfe:1840:2760%8(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 10.10.44.50(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 10.10.44.1 DNS-Server . . . . . . . . . . . : ::1 10.10.41.51 127.0.0.1 ipconfig DC2 (statische IPv4, dyn IPv6): Verbindungslokale IPv6-Adresse . : fe80::7171:43c0:59d1:27d6%9(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 10.10.44.51(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 10.10.44.1 DNS-Server . . . . . . . . . . . : ::1 10.10.41.50 127.0.0.1 Der DHCP01 ist Mitglied der DNSUpdateProxy-Gruppe, eine dedizierter Benutzer ("UpdaterDNS") ist im DHCP in IPv4 - Eingenschaften - Erweitert - Anmeldinformationen eingetragen. Habe ich hier noch was übersehen, und es funktioniert deshalb nicht? Konfig des Bereichs: dcdiag gibt (ausser dem neuartigen Event 5829 "Sicherer Kanal") auf beiden DC keine Fehler aus. Gefunden hatte ich zu dem obigen Fehler schon: https://community.spiceworks.com/topic/261035-dns-active-directory-issue https://www.reddit.com/r/sysadmin/comments/2tfdf3/anyone_seen_this_dns_error_before/ https://social.technet.microsoft.com/Forums/en-US/8195f889-9231-401f-8202-cf28ef9f66d4/event-4015-errors?forum=winserveripamdhcpdns hat mich aber nicht weiter gebracht, alles was da empfohlen/gesagt wurde, brachte keine Besserung. Hat irgend jemand noch eine Idee ... bin leider mit meinem Latein am Ende ...

Hallo, ich habe hier ein seltsames Phänomen, und weiß nicht, wie ich den Fehler eingrenzen soll. 6 identische PC (HP EliteDesk 705 WS), alle gleich installiert (Win 10 Pro 1909), alle in den gleichen Gruppen (ziehen damit die gleichen GPO). Alle über den WSUS auf dem selben Patchstand. (PC sind CAD-Systeme, haben daher alle auch die gleiche Software installiert) 6 Benutzer, welche alle in den gleichen Gruppen im AD sind (alles Zeicher). Die Zuordnung ist immer Planer1 - PC1, Planer2 - PC2, etc Jetzt ist es so, Planer1- Planer3 sich an "ihren" Systemen (PC1 - PC3) anmelden können, und die Apps (geht hauptsächlich um die Foto-App, um Bilder "von Draußen" schnell durchzuschauen) starten. Planer4 - Planer6 können an "ihren" Systemen (PC4 - PC6) die Apps jedoch nicht öffnen (es ist nicht einmal ein Startmenüeintrag vorhanden). Meldet sich Planer1 (oder Planer2 oder Planer3) an PC4 (oder PC5 oder PC 6) so lassen sich sich die Apps öffnen (Startmenüeintrag ist hier vorhanden) , genauso wenn sich Planer4 (oder5 oder6) an PC1 (oder PC2 oderPC3) anmeldet (Startmenüeintrag vorhanden). Was ich auf den PC 4-PC6 probiert habe: Deinstallation der Apps per Powershell, anschließende Installation - keine Änderung. App aus dem Store installieren - wir angezeigt, ist schon installiert - zum Startmenü hinzufügen - Startmenüeintrag wird erstellt - App startet, schließt aber nach ca 1-2 Sekunden. Ein Öffnen einer Bilddatei ergibt den Fehler "Dateisystemfehler (-2147219195)" incl. Pfad zum Bild (Bilddatei lässt sich in Paint oder Paint3d öffnen). Ein googln nach dem Dateisystemfehler brachte nur Einträge aus 2018 mit Hinweisen auf Updates zu Win10 1803 ... Ein Löschen des Benutzerprofils* brachte auch nichts ... der Fehler sitzt "außerhalb" des Benutzerprofils ... aber wo? (* auch das Roaming Profile auf dem Server habe ich gelöscht!) Ich hoffe, es hat jemand ein Tipp, wo ich noch nachschauen kann. MfG GalaNr1

Im abgesicherten Modus ging's nicht, da das Konto deaktiviert war, , aber mit der Recovery-Console war's dann möglich. Wieder was gelernt (bisher brauchte ich die Konsole allerdings noch nie ...) Danke :)

Hallo, System: Win10Pro, Domänenlevel 2008 Zur Anwendungsinstallation habe (wie der Hersteller es empfohlen hat) die Netzwerkkarte des PC deaktiviert. Leider habe ich dann vor dem Neustart vergessen, selbige wieder zu aktivieren. Per Gruppenrichtlinie sind nur noch 2 Domänenbenutzer (in der Gruppe "W10-Admins") als lokale Admins "zugelassen" (der Standardadmin "Administrator" ist umbenannt und deaktiviert, der bei der Systeminstallation angelegte Benutzer kein Mitglied der Gruppe "Adminstratoren" mehr). Eine Anmeldung als Domänenbenutzer (Sind mehrere bereits angemeldet gewesen!) scheitert mit der Fehlermeldung "Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist...." Per GPO ist der Wert "Anzahl zwischenzuspeichernder Anmeldungen" auf 0 gesetzt. :( Gibt es noch eine Möglichkeit, die Karte wieder zum laufen zu bringen, oder hilft nur noch ein Rollback bzw. Neuinstallation? Ist der erste Win10-Rechner in der Domäne, daher "hakelt" es noch ein wenig ;) Gruß GalaNR1

Mea Culpa, das "lösen" hätte ich in Anführungszeichen setzen sollen. Ich meinte damit, dass ich die noch nicht vom DC "weggeschoben" habe, da ich mir noch nicht so richtig im klaren war, wo diese am Besten aufgehoben sind. Das diese noch auf dem DC sind, ist halt dioe "Altlast" aus der Zeit, als es nur einen DC gab, der alles andere mit gemacht hat. Wohin jetzt? Fileserver? Printserver? einen eigenen "Profileserver"? Exchange und SQL scheiden für mich aus, die haben genug zu tun... 'Tschuldigung für die Verwirrung.

Hallo, auch wenn ich nicht der der Experte bin, was DesasterRecovery angeht (Gott sei Dank ausser einer geleerten Freigabe musste ich noch nichts wiederherstellen), mal meinen Ansatz: 2 Gebäude - In jedem Gebäude ein Hostserver mit seinen VM (u.A. auf jedem Host ein DC). In jedem Gebäude ein physischer Backupserver mit einem internen LTO6 und 6 TB HD-Kapazität im Raid5 (3x3TB), derzeit 60% belegt. Jeder Backupserver beinhaltet die Sicherungen aller Server auf Platte, die Daten werden nachts dann auf Band geschrieben (jeweils die vom "anderen" Gebäude). Die Kosten je Backupserver incl. Laufwerk lagen bei etwa 4.200 € (zzg. Bänder). Bei mir hängen mittlerweile 80 Nutzer dran. Da konnte ich unsere GF leicht davon überzeugen, dass 4 Stunden Ausfall der halben Mannschaft mehr kostet als beide Backupsysteme incl Bänder zusammen. Sogar den Wartungsvertrag (3yNBD) habe ich anstandslos bekommen (für die Hosts sogar 3y4h). Jetzt müssten schon beide Gebäude (Abstand etwa 80 m) abfackeln, damit alles hinüber ist (die Bänder liegen jeweils in einem Tresor im anderen Gebäude). Also, wenn Du mehr Ausfallsicherheit willst, und 2 Gebäude hast, dann ist das eine Möglichkeit (ich hab mal was Clustering gehört, aber da sind wir IMHO noch zu klein für...)

Hallo und guten Morgen :) ich habe da mal eine generelle Frage: Auf welchem Server habt ihr die Freigabe für die Roaming Profiles? Vor Jahren (2001) hatte ich nur eine eierlegende Wollmichsau, die DC/DNS/DHCP/File/Printserver gemacht hat, und da lagen halt auch die Profile auf einer separaten Partition mit drauf. Mittlerweile sind wir gewachsen, und haben dank Virtualisierung zwar immer noch nur 2 physische Kisten stehen, aber mittlerweil macht der DC "nur" DNS und DHCP. Für File und Print stehen eigene virtuelle Maschinen bereit. Die Benutzerprofile haben es aber nicht geschafft, sich vom DC zu lösen... Also hat jedes Gebäude die Profile "seiner" Benutzer auf "seinem" DC (wobei in jedem Gebäude eine physischer Server steht). Glücklich bin ich damit nicht so ganz (ist nur ein Bauchgefühl!). Danke und einen schönen Tag :) Edit: Rächdschraipfelah im Titel korrigiert

Hallo und guten Morgen! Ich habe hier einen Exchange 2013 CU14 (ja ich weiß, CU 15 ist raus!). Auf diesem sind mehrere öffentliche Ordner eingerichtet. Sieht im Outlook so aus: Öffentlicher Ordner |---Alle Öffentlichen Ordner |---Allgemein |---Kontakte Sub |---Kontakte Lieferanten |---Geburtstage |---BuHa |---Kalender |---KD |---Kalender |---Kontakte Der Ordner "Allgemein" wurde gleich zu Anfang, noch unter CU1, eingerichtet und mit Zugriffsrechten versehen ("Prüfer" für die universale Gruppe "alle MA" (in der alle Benutzer sind), "Editor mit Veröffentlichungsrechten" nur univ. Gruppe "OeO-Allgemein"). Den Ordner sehen auch alle, und nur die Mitglieder in der univ. Gruppe "OeO-Allgemein" dürfen was ändern... Passt :) Der Ö-O "KD" wurde ebenfalls unter CU1 eingerichtet, und mit Zugriffsrechten versehen. ("Editor mit Veröffentlichungsrechten" für univ. Gruppe "OeO KD", keine weiteren Berechtigungen). Den Ordner sehen nur die Mitglieder der univ. Gruppe "OeO KD", sonst keiner (auch ich mit meinem Benutzerkonto nicht!)... Passt :) Den Ordner "BuHa" habe ich gerade angelegt, und ebenfalls mit Zugriffsrechten versehen ("Editor mit Veröffentlichungsrechten" für univ. Gruppe "OeO BuHa", sonst keine Berechtigungen. Den Ordner sieht aber plötzlich jeder... Passt nicht :( Kann mir jemand einen Tipp geben, wo ich noch schauen kann? Edit: Hier noch die Aussage von Powershell: Get-PublicFolderClientPermission -identyty "\xxx" FolderName User AccessRights ---------- ---- ------------ KD Standard {None} KD Anonym {None} KD Exchangeadmin {Owner} KD OeO_KD {PublishingEditor} FolderName User AccessRights ---------- ---- ------------ BuHa Standard {None} BuHa Anonym {None} BuHa Exchangeadmin {Owner} BuHa OeO_BuHa {PublishingEditor} FolderName User AccessRights ---------- ---- ------------ Allgemein Standard {None} Allgemein Anonym {None} Allgemein Exchangeadmin {Owner} Allgemein alle MA {Reviewer} Allgemein OeO_Allgemein {PublishingEditor}

Danke, werd das dann nächste Woche ausprobieren. Wie ist das mit dem "Abschalten" der Nachricht für die Freigaben? Im Winterurlaub hatte das Script den Parameter "EndTime $endTime" nicht gefressen, und ich hatte die Freigaben (sind nur 8) dann per "Set-MailboxAutoReplyConfiguration -Identity $strUser -AutoReplyState Disabled" deaktiviert. Das musste doch dann auch mit Get-Mailbox -Database "intern" -Resultsize unlimited | Set-MailboxAutoReplyConfiguration -AutoReplyState Disabled funktionieren (wobei dann natürlich auch alle AN der anderen Postfacher gelöscht deaktiviert werden)

Hallo Robert, ich will eine Meldung für alle Postfächer der DB "intern" setzen. Warum: Wir haben bald wieder Beriebsurlaub, und damit auch sicher gestellt ist, dass jeder eine Abwesenheitsnachricht drin hat, will/soll ich das zentral machen. Das mit dem "Set-MailAutoReplyConfiguration" ist ja soweit in Ordnung, und funktioniert ja auch. Ich hätte nur gerne, dass ich das etwas vereinfache, indem im Script alle Postfacher der db "intern" ausgelesen, und dann die AN aktiviert wird.

Hallo :) Erst mal zum System: Exchange 2013 CU5 Server 2008R2 ich ärgere mich (mal wieder) darüber, dass man im Exchange keine zentrale Abwesenheitsnachricht für gewisse Benutzerkonten einstellen kann (oder ich finde es nur nicht). Derzeit löse ich das über ein kleines Script: Das Ganze wird, da für jedes Postfach/jede Freigabe eine eigene Zeile existiert, doch schnell übersichtlich, und wenn im Laufe des Jahres neue Postfächer und Fragaben dazu kommen, kanns doch sein, dass man mal was vergisst. Meine Frage: Kann man, da sich alle Postfächer und Freigaben, für die diese Nachricht erstellt werden soll, in der selben Datenbank befinden (db-Name: "intern", für die Postfächer in der db "extern" soll keine Nachricht erstellt werden), diese Postfächer per PS auslesen und an das Script übergeben? Hat jemand da eine Idee, oder sogar schon Erfahrung damit? Der Einsatz eines Drittanbietertools scheitert hier (leider) am Budget...

Na, verstehen tu ich's nicht, aber wenn's so ist, muss ich mit leben (und da eine RiLi incl. akzeptierter Domain a la "keineadressefürkontakte.de" anlegen) Danke euch beiden :)

Hallo Norbert, ich möchte ja, dass die Kontakte ger keine Adresse per Richtline bekommen. Die haben ja Ihre eigene externe Adresse, auf die dann die Nachrichten gesendet werden (sollen).

Hallo allerseits, Ich stehe gerade vor der Frage, wie ich verhindern kann, dass die im Exchange 2013 angelegten Kontakte über die Default-Adressrichtline eine Mailadresse erhalten. Zur Verdeutlichung (ich kann halt schlecht erklären): Unsere Mailrichtlinie ist alias@domain.de (eine eigene Richtlinie ist dafür erstellt) Ein Kontakt bekommt nun über die Default Policy die Adresse Vorname.Nachname@domain.de. Da ich weder über die Ex-Management-Shell noch ECP an die Empfängertypen dran komme (alles ausgegraut), aber diese Richtlinie auch nicht deaktivieren kann, hätte ich mal gerne gewusst, wie Ihr das handhabt?

So, am 20.06. kam das CU5 drauf, und seitdem läuft der Exchange. Die Rückmeldung kam so spät, weil ich erst mal das beobachten wollte.