Gu4rdi4n

Gerade eben schrieb NorbertFe:

Muss man quasi nur mal die Logfiles lesen. Du solltest Jans Ratschlag oben beherzigen und dein Log anonymisieren.

Ich gebe zu, ich hab das Logfile gelesen, aber nicht kapiert, was der von mir wollte. Hatte irgendwie eine Denkblockade ;)

Ich dachte, der will, dass ich das Konto in die MFA aufnehme. Ich muss aber auch sagen, eigentlich könnte Microsoft hier auch seine Requirements angeben.

Wäre schön gewesen, wenn dort stehen würde "Deaktiviere MFA für Verzeichnissynchronisierungsrolle" oder so 

Ist bereits anonym :)

Also Problem ist behoben. 

Ich hatte vergessen die Verzeichnissynchronisierungs Rolle aus der MFA Richtlinie auszunehmen.

Jetzt klappt das! :)

Eigentlich schon.

Also jeder hat MFA aktiviert. Ich habe die Security Defaults aktiviert.

Ich versuche mal das neu erstellte Konto in die MFA Ausnahme zu packen

Hi,

ich habe ein Problem mit dem AADC.

Das alte wurde ja eingestellt. Also habe ich das alte deinstalliert, und wollte das Neue auf einem neuen Server installieren.

Gesagt, getan.

Nur ist jetzt das Problem, dass die Installation beim letzten Schritt, wenn er das Synchronisierungsdienstkonto in Azure erstellen will, einen Fehler bringt.

09:45:15.276] [ 28] [WARN ] Failed to read ServicePrincipal registry key: Fehler beim Ausführen des Befehls "Get-ItemProperty". Die Eigenschaft ServicePrincipal ist im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect nicht vorhanden.
[09:45:15.357] [ 28] [INFO ] Creating new azure service account for sync installation 6f3b00ccaaf1402b97c0b7f9725b639e using global tenant admin adminaccount@domain.de.
[09:45:15.805] [ 28] [INFO ] GetServiceAccount: successfully created a service account (Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com).  Sleeping an initial backoff time to facilitate account propagation.
[09:45:31.228] [ 28] [WARN ] GetServiceAccount: service account authorization failed for Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com.  Waiting for account to be provisioned.  Details: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 35c0e470-e300-49c2-8fa0-b0bde6d93601 Correlation ID: 07065cf0-d944-41c2-9463-9461c9ff61d7 Timestamp: 2024-04-25 07:45:31Z

   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier)
   bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext)
   bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText)
[09:50:37.343] [ 28] [ERROR] ConfigureSyncEngineStage: Caught exception while creating azure service account.
[09:50:37.344] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: AADConnectResult.Status=Failed
[09:50:37.345] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: Error details: Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.AzureADServiceAccountException: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben.   ---> Microsoft.Identity.Client.MsalUiRequiredException: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 658ebcf0-d308-4ced-9d3d-1ee121562301 Correlation ID: 07d214f7-d151-4af3-98db-b8412dae742d Timestamp: 2024-04-25 07:50:22Z
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService azureService, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode, String& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& additionalDetail, Boolean throwOnException)
   bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.InitializeProvisionHelper()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Initialize()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.GetCompanyConfiguration(Boolean includeLicenseInformation)
   bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier)
   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier)
   bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext)
   bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText)
[09:50:37.345] [ 28] [ERROR] ExecuteADSyncConfiguration: configuration failed.  Skipping export of synchronization policy.  resultStatus=Failed
[09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Fehler beim Erstellen des Synchronisierungsdienstkontos in Azure AD: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben.  
[09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben.  

Kann es sein, dass ich erst das alte Konto entfernen muss?

Der alte Server ist leider nicht mehr verfügbar, also kann ich von dort keine Config mehr exportieren.

Ich habe die

Set-MsolDirSyncEnabled –EnableDirSync $false.

Ich denke, mal, dass wenn ich den ausführe, konvertiert er alle Synced accounts in Cloud Only und danach müsste ich doch wieder einen neuen AADC verbinden können.

Stimmt das soweit? Habe ich etwas nicht beachtet? Geht es einfacher?

Ich hoffe, jemand hatte sowas schonmal :)

vor 4 Minuten schrieb Nobbyaushb:

Warum warten?

Weil ich alleine bin und gerade keine Zeit habe (ERP und Zeiterfassung upgrade) mich um eventuelle Fehler die Auftreten zu kümmern.

Oder empfiehlst du einen 2012er DC mit der Windows upgrage funktion einfach hoch zu ziehen?

Bisher hieß es immer neu installieren und rollen übertragen

vor 5 Minuten schrieb NorbertFe:

Immer wenn ich diese Probleme lese, muss ich dran denken, dass ich das im How To noch mit einpflegen will (seit Jahren), damit nach einer Verschiebung des PDC-e die Announceflags des bisherigen PDC-e wieder korrigiert werden. Es bleibt aber weiterhin die Frage, warum dein PDC-e nicht mit allen anderen FSMO auf einem DC liegt. :p

Weil halt

Ich wollte erstmal die Zeit jetzt fixen, weil die Replikation der DHCP server Probleme gemacht hat. 

Warum der PDCe damals verschoben wurde kann ich nicht mehr genau sagen ;)

Aber die DCs werden sowieso bald mal geupgraded und in dem Zug dann die FSMO Rollen auf den Server übertragen, der jetzt den PDCe beherbergt 

vor 14 Stunden schrieb daabm:

Stimmen die AnnounceFlags? 5 darf nur der PDCe haben, alle anderen haben 10. Wenn andere DCs auch 5 haben, halten sie sich für "always reliable" und ignorieren NT5DS...

Edit: Warum ich das vermute? Weil Du schreibst, daß einer alle FSMO-Rollen außer PDCe hat - also hat da mal wer den PDCe verschoben...

Ding Ding Ding Ding

Dankeschön! Das war's :)

Hi

@testperson 

Das weiß ich ehrlich gesagt nicht mehr so wirklich. Es gab damals ein Problem mit der Zeit und da hatte ich rum experimentiert und mit der Konfig lief es dann.

Die GPO ist schon so konfiguriert wie in der Anleitung

Ich hab das schon richtig verstanden, dass die Clients ihre Zeit vom DC bekommen, an dem sie sich anmelden, richtig?

Deswegen steht bei meinem Client auch "ADSRV" und nicht "ADSRV3" beim query

C:\windows\system32>w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 2 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0019048s
Stammabweichung: 11.0863704s
Referenz-ID: 0x0A0A0A0A (Quell-IP:  10.10.10.10)
Letzte erfolgr. Synchronisierungszeit: 20.02.2024 11:29:22
Quelle: ADSRV.EK.de
Abrufintervall: 11 (2048s)

Problem ist halt, dass ADSRV2 im Gegensatz zu ADSRV seine Zeit von ADSRV3 bezieht.

@zahni

Die NT5DS wird in der GPO bereits geliefert

Was ich halt nicht verstehe ist, warum lässt sich ADSRV nicht auf den ADSRV3 umstellen, so wie der ADSRV2?

Hi,

ich habe drei DCs.

Zwei der drei sind aktuell Zeitsynchron und zeigen auch die korrekte Zeit an.

Der Dritte im Bunde (bzw. der erste DC, der auch alle FSMO Rollen, außer dem PDC Emulator, inne hat) weicht ab

PS C:\Users\administrator.EK> w32tm /monitor
ADSRV.EK.de[10.10.10.10:123]:
    ICMP: 0ms Verzögerung
    NTP: -75.4066869s Offset von ADSRV3.EK.de
        RefID: 'LOCL' [0x4C434F4C]
        Stratum: 1
ADSRV3.EK.de *** PDC ***[[fe80::ebc5:59fd:70e4:29f%13]:123]:
    ICMP: 0ms Verzögerung
    NTP: +0.0000000s Offset von ADSRV3.EK.de
        RefID: time1.uni-paderborn.de [131.234.220.231]
        Stratum: 2
ADSRV2.EK.de[10.10.10.11:123]:
    ICMP: 0ms Verzögerung
    NTP: -0.0104353s Offset von ADSRV3.EK.de
        RefID: ADSRV3.EK.de [10.10.10.12]
        Stratum: 3
[Warnung]
Die Reversenamenauflösung ist die beste Möglichkeit. Sie ist ggf. nicht
korrekt, da sich das Ref-ID-Feld in Zeitpaketen im Bereich von
NTP-Implementierungen unterscheidet und ggf. keine IP-Adressen verwendet.

Ausgabe auf dem DC, der falsch läuft (ADSRV)

PS C:\Users\Administrator> w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 1 (Primärreferenz - synchron. über Funkuhr)
Präzision: -6 (15.625ms pro Tick)
Stammverzögerung: 0.0000000s
Stammabweichung: 10.0000000s
Referenz-ID: 0x4C4F434C (Quellname:  "LOCL")
Letzte erfolgr. Synchronisierungszeit: 20.02.2024 10:01:49
Quelle: Free-running System Clock
Abrufintervall: 6 (64s)

PS C:\Users\Administrator> w32tm /query /peers
Anzahl Peers: 1

Peer:
Status: Ausstehend
Verbleibende Zeit: 684.6799506s
Modus: 0 (Reserviert)
Stratum: 0 (nicht angegeben)
PeerAbrufintervall: 0 (nicht angegeben)
HostAbrufintervall: 0 (nicht angegeben)

Ausgabe auf dem PDCE

PS C:\Users\administrator.EK> w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 2 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0242381s
Stammabweichung: 0.0153879s
Referenz-ID: 0x83EADCE7 (Quell-IP:  131.234.220.231)
Letzte erfolgr. Synchronisierungszeit: 20.02.2024 10:06:49
Quelle: de.pool.ntp.org
Abrufintervall: 7 (128s)

PS C:\Users\administrator.EK> w32tm /query /peers
Anzahl Peers: 1

Peer: de.pool.ntp.org
Status: Aktiv
Verbleibende Zeit: 7.8532854s
Modus: 1 (Symmetrisch aktiv)
Stratum: 1 (Primärreferenz - synchron. über Funkuhr)
PeerAbrufintervall: 7 (128s)
HostAbrufintervall: 7 (128s)
PS C:\Users\administrator.EK>

Ich habe schon versucht folgenden Befehl zu setzen:

 w32tm /config /update /manualpeerlist:ADSRV3 /syncfromflags:manual /reliable:yes

Das quittiert er auch mit ok, aber er ignoriert es dann einfach und bleibt weiterhin auf local

Wie kann ich den DC dazu bringen die Zeit vom PDC zu ziehen?

vor 3 Stunden schrieb zahni:

Da musst Du dann die Doku lesen oder einen DL fragen.

Schau ich mir auch mal an! Danke :)

Hi, 

die Clients sind mit 1 GBit und die Server mit 10 GBit angebunden. 

Switche sind Unifi Aggregation und die 48 Port POE

vor 30 Minuten schrieb testperson:

Auch mit Single NIC würde ich tatsächlich den Hyper-V Switch per SET bauen. :)

Ok! Alles klar. Dann werde ich mir das mal zu Gemüte führen :)

vor 5 Minuten schrieb testperson:

 

Das würde ich dann gleich mit abschaffen. ;)

Ich hab kein Teaming :) 

Auf dem Server gibt's nur eine 10gbit fiber karte 

oder muss man das auch machen wenn es nur eine Karte ist?

Sooooooooo!!!!(da muss ich mal die Rudeltiere auspacken)

Danke auf jeden Fall für den vielen und grandiosen Input bisher!

Ich habe folgendes gemacht:

vor 4 Stunden schrieb testperson:

RSC am vSwitch deaktivieren

Bisher scheint es gut zu laufen. Ich werde es definitiv beobachten!

Danke für den wertvollen Hinweis.

Alles andere werde ich mir in meinen Notizen niederschreiben um es zur hand zu haben falls mal wieder sowas ist ;)

Ich werde auf jeden Fall nochmal Rückmeldung geben, ob's das jetzt war. 

Danke nochmal <3

vor 24 Minuten schrieb mwiederkehr:

Bei dem Fehlerbild fällt mir spontan DNS ein. Funktioniert die Auflösung in beide Richtungen? Also kann der Client den Servernamen in eine IP auflösen und der Server die Client-IP in einen Namen?

Die IP kann in beide Richtungen aufgelöst werden

C:\Users\name>nslookup tisowaresrv
Server:  adsrv2.ek.de
Address:  10.10.10.11

Name:    tisowaresrv.EK.de
Address:  10.10.10.30

C:\Users\name>nslookup 10.10.10.30
Server:  adsrv2.ek.de
Address:  10.10.10.11

Name:    tisowaresrv.ek.de
Address:  10.10.10.30

auch der Server kann die Clients problemlos auflösen 

ich habe auch schon geprüft, ob einer der DNS Server eine falsche Auflösung macht. Aber in Forward und Reverse Lookup zones sind die richtigen Zuordnungen vorhanden

Ich kann ja auch auf SMB problemlos über den Namen zugreifen.

Ich glaube aber, dass das Thema nicht weit davon entfernt sein kann.

ein seltsames Phänomen bei den Verknüpfungen habe ich nämlich ebenfalls.

Es gibt je nach Programm verschiedene Verknüpfungen (Kommen / Gehen Erfassung und Betriebsdatenerfassung)

Alle Verknüpfungen Laufen auf "\\TisowareSRV\tisoware$\......" 

Eine der Verknüpfungen lädt aber das Icon nicht. Das bleibt weiß. 

Wenn ich dann den Servernamen zur IP ändere, wird das Icon angezeigt. 

Wenn ich es wieder zurück ändere ist es wieder weg

Ich habe gerade auch mal die IP und den Servernamen in die Hosts Datei eingetragen.

Programm lädt aber auch nicht schneller.

Hi,

ich habe einen Server 2019, auf dem eine Zeiterfassungssoftware mit einem SQL Express läuft

Starte ich die software lokal auf dem Server, geht sie relativ schnell auf.

Starte ich sie auf den Clients, dann dauert es manchmal bis zu 2 - 3 Minuten. 

Ab und an (ganz selten) geht es aber auch mal so schnell wie direkt auf dem Server.

Windows Firewalls sind aus, Virenscanner Ausnahme (Sophos intercept X) habe ich für den Freigabepfad auf dem die Software gestartet wird 

Am Netzwerk selbst liegt es nicht. Es sind genau 1gbit/s (112mb/s) getestet. 

Am selben host laufen auch noch ein DC und zwei Windows 10 Clients ohne Performance Probleme.

Hat jemand eine Idee, wo man hier noch ansetzen kann?

Hi und frohes neues Jahr,

ich bin gerade dabei Azure AD Connect zu installieren.

Jetzt will der beim Punkt "Mit AD DS verbinden" einen "Unternehmensadministrator" benutzer.

Was bitte ist das schon wieder?

Der Admin mit Globalen Rechten ist es wohl nicht. Den musste ich bei "Mit Azure AD verbinden" angeben.

Ich kann weder Im Server 2019, noch im M365 Admin center, noch im Entra ID Admin Center eine Gruppe "unternehmensadministrator" finden.

Hat jemand eine Ahnung was Microsoft hier wieder will?

edit:

Ok, hab es rausgefunden. 

Es sind nicht Unternehmensadministratoren sondern Organisationsadministratoren.

Kann Microsoft ihre Begrifflichkeiten nicht ein einziges Mal ordentlich Übersetzen oder in den Griff bekommen?

Bei manchen Usern hat's funktioniert. 

Bei meinem eigenen PC erst nicht. Auch nach Neustart nicht.

Jetzt hab ich 2 Stunden was anderes gemacht und nun isses da....

Seltsam

Hi,

ich habe eigentlich was ganz banales, allerdings macht es mich gerade irgendwie echt kirre.

Im Ordner "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" sind alle Einträge im Startmenü gelistet.

Jedoch kann ich dort keine Ordnern Namen ändern oder erstellen. Ich kann Ordner löschen. 

Die Verknüpfungen kann ich abändern, das geht. Ich kann auch in bereits vorhandenen Ordnern Verknüpfungen erstellen.

Gibt's irgendwo einen Registry Pfad wo ich die ändern muss? Ich kann dazu echt nix finden.

Gesicht hab ich gelöscht, Fingerabdruck gibt's nicht.

Ich hab gerade gesehen, dass es auf allen Geräten so ist. Selbst auf meinem

"Entfernen" ist ausgegraut

btw ich kann keine Bilder mehr posten. Löschen kann ich alte aus meiner "Mediathek" auch nicht Kann man das Limit irgendwie von 5 mb erhöhen?

Hi, ich habe hier ein kurioses Problem.

Ein user hat eine Windows Hello Pin, die er vergessen hat.

Wenn er auf ändern klickt, muss er seine alte PIN eingeben, die er ja nicht kennt.

Entfernen kann er nicht, da die Option ausgegraut ist.

Wenn er sich ausloggt und auf "ich habe meine PIN vergessen" klickt, dann sein Domänenkennwort eingibt und ok klickt, kommt "dieses gerät ist nicht ihrer organisation zugeordnet"

Das Gerät habe ich schon aus der Domäne raus und wieder rein genommen. 

Jemand eine Idee wie ich die Pin entfernen und neu vergeben kann?

vor 1 Stunde schrieb Nobbyaushb:

Ja, ich weiß - aber du kaufst halt keine neue Maschine für über 600.000,00€ nur weil der Rechner vom Hersteller nun mal XP auf dem Teil hat - bei einer neuen war sogar Windows 7 drauf...

Die kommen dann in ein eigenes LAN, meist mit einer Firewall und einem kleinen Ding dazwischen was SMB1 "übersetzt"
Updates mögen solchen Kisten in der Regel eh nicht, es sei denn, der Hersteller lässt das explizit zu

Aber ich denke, das kennen wir alle...

Ah alles klar. Du redest von CNC Maschinen zum Beispiel ;)

Da haben wir auch noch einige im Einsatz mit Windows XP Embedded und W7 Embedded.

Die laufen definitiv im eigenen LAN.

Ich werde noch bis zum ende vom W10 Support abwarten :)

Bis dahin haben hoffentlich die meisten im Privaten schon mal Kontakt mit W11 gehabt. 

vor 22 Minuten schrieb NorbertFe:

Du kannst diese policies dann nicht bearbeiten. 

Alles klar. Danke. Dann habe ich noch kein Problem :)

Setzt ihr denn schon W11 ein oder wartet ihr noch?

vor 6 Minuten schrieb Nobbyaushb:

Installiere doch fix eine W11 VM...

Ja dann muss ich doch aber immer die VM dafür nutzen. 
Bleibt mir aber wohl nix anderes übrig. 

Weißt du, was für Probleme diese Meldung bringt?

Weil so wie es aussieht zieht er die Richtlinien, die ich eingestellt habe