Gu4rdi4n

vor 4 Minuten schrieb Nobbyaushb:

Warum warten?

Weil ich alleine bin und gerade keine Zeit habe (ERP und Zeiterfassung upgrade) mich um eventuelle Fehler die Auftreten zu kümmern.

Oder empfiehlst du einen 2012er DC mit der Windows upgrage funktion einfach hoch zu ziehen?

Bisher hieß es immer neu installieren und rollen übertragen

vor 5 Minuten schrieb NorbertFe:

Immer wenn ich diese Probleme lese, muss ich dran denken, dass ich das im How To noch mit einpflegen will (seit Jahren), damit nach einer Verschiebung des PDC-e die Announceflags des bisherigen PDC-e wieder korrigiert werden. Es bleibt aber weiterhin die Frage, warum dein PDC-e nicht mit allen anderen FSMO auf einem DC liegt. :p

Weil halt

Ich wollte erstmal die Zeit jetzt fixen, weil die Replikation der DHCP server Probleme gemacht hat. 

Warum der PDCe damals verschoben wurde kann ich nicht mehr genau sagen ;)

Aber die DCs werden sowieso bald mal geupgraded und in dem Zug dann die FSMO Rollen auf den Server übertragen, der jetzt den PDCe beherbergt 

vor 14 Stunden schrieb daabm:

Stimmen die AnnounceFlags? 5 darf nur der PDCe haben, alle anderen haben 10. Wenn andere DCs auch 5 haben, halten sie sich für "always reliable" und ignorieren NT5DS...

Edit: Warum ich das vermute? Weil Du schreibst, daß einer alle FSMO-Rollen außer PDCe hat - also hat da mal wer den PDCe verschoben...

Ding Ding Ding Ding

Dankeschön! Das war's :)

Hi

@testperson 

Das weiß ich ehrlich gesagt nicht mehr so wirklich. Es gab damals ein Problem mit der Zeit und da hatte ich rum experimentiert und mit der Konfig lief es dann.

Die GPO ist schon so konfiguriert wie in der Anleitung

Ich hab das schon richtig verstanden, dass die Clients ihre Zeit vom DC bekommen, an dem sie sich anmelden, richtig?

Deswegen steht bei meinem Client auch "ADSRV" und nicht "ADSRV3" beim query

C:\windows\system32>w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 2 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0019048s
Stammabweichung: 11.0863704s
Referenz-ID: 0x0A0A0A0A (Quell-IP:  10.10.10.10)
Letzte erfolgr. Synchronisierungszeit: 20.02.2024 11:29:22
Quelle: ADSRV.EK.de
Abrufintervall: 11 (2048s)

Problem ist halt, dass ADSRV2 im Gegensatz zu ADSRV seine Zeit von ADSRV3 bezieht.

@zahni

Die NT5DS wird in der GPO bereits geliefert

Was ich halt nicht verstehe ist, warum lässt sich ADSRV nicht auf den ADSRV3 umstellen, so wie der ADSRV2?

Hi,

ich habe drei DCs.

Zwei der drei sind aktuell Zeitsynchron und zeigen auch die korrekte Zeit an.

Der Dritte im Bunde (bzw. der erste DC, der auch alle FSMO Rollen, außer dem PDC Emulator, inne hat) weicht ab

PS C:\Users\administrator.EK> w32tm /monitor
ADSRV.EK.de[10.10.10.10:123]:
    ICMP: 0ms Verzögerung
    NTP: -75.4066869s Offset von ADSRV3.EK.de
        RefID: 'LOCL' [0x4C434F4C]
        Stratum: 1
ADSRV3.EK.de *** PDC ***[[fe80::ebc5:59fd:70e4:29f%13]:123]:
    ICMP: 0ms Verzögerung
    NTP: +0.0000000s Offset von ADSRV3.EK.de
        RefID: time1.uni-paderborn.de [131.234.220.231]
        Stratum: 2
ADSRV2.EK.de[10.10.10.11:123]:
    ICMP: 0ms Verzögerung
    NTP: -0.0104353s Offset von ADSRV3.EK.de
        RefID: ADSRV3.EK.de [10.10.10.12]
        Stratum: 3
[Warnung]
Die Reversenamenauflösung ist die beste Möglichkeit. Sie ist ggf. nicht
korrekt, da sich das Ref-ID-Feld in Zeitpaketen im Bereich von
NTP-Implementierungen unterscheidet und ggf. keine IP-Adressen verwendet.

Ausgabe auf dem DC, der falsch läuft (ADSRV)

PS C:\Users\Administrator> w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 1 (Primärreferenz - synchron. über Funkuhr)
Präzision: -6 (15.625ms pro Tick)
Stammverzögerung: 0.0000000s
Stammabweichung: 10.0000000s
Referenz-ID: 0x4C4F434C (Quellname:  "LOCL")
Letzte erfolgr. Synchronisierungszeit: 20.02.2024 10:01:49
Quelle: Free-running System Clock
Abrufintervall: 6 (64s)

PS C:\Users\Administrator> w32tm /query /peers
Anzahl Peers: 1

Peer:
Status: Ausstehend
Verbleibende Zeit: 684.6799506s
Modus: 0 (Reserviert)
Stratum: 0 (nicht angegeben)
PeerAbrufintervall: 0 (nicht angegeben)
HostAbrufintervall: 0 (nicht angegeben)

Ausgabe auf dem PDCE

PS C:\Users\administrator.EK> w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 2 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0242381s
Stammabweichung: 0.0153879s
Referenz-ID: 0x83EADCE7 (Quell-IP:  131.234.220.231)
Letzte erfolgr. Synchronisierungszeit: 20.02.2024 10:06:49
Quelle: de.pool.ntp.org
Abrufintervall: 7 (128s)

PS C:\Users\administrator.EK> w32tm /query /peers
Anzahl Peers: 1

Peer: de.pool.ntp.org
Status: Aktiv
Verbleibende Zeit: 7.8532854s
Modus: 1 (Symmetrisch aktiv)
Stratum: 1 (Primärreferenz - synchron. über Funkuhr)
PeerAbrufintervall: 7 (128s)
HostAbrufintervall: 7 (128s)
PS C:\Users\administrator.EK>

Ich habe schon versucht folgenden Befehl zu setzen:

 w32tm /config /update /manualpeerlist:ADSRV3 /syncfromflags:manual /reliable:yes

Das quittiert er auch mit ok, aber er ignoriert es dann einfach und bleibt weiterhin auf local

Wie kann ich den DC dazu bringen die Zeit vom PDC zu ziehen?

vor 3 Stunden schrieb zahni:

Da musst Du dann die Doku lesen oder einen DL fragen.

Schau ich mir auch mal an! Danke :)

Hi, 

die Clients sind mit 1 GBit und die Server mit 10 GBit angebunden. 

Switche sind Unifi Aggregation und die 48 Port POE

vor 30 Minuten schrieb testperson:

Auch mit Single NIC würde ich tatsächlich den Hyper-V Switch per SET bauen. :)

Ok! Alles klar. Dann werde ich mir das mal zu Gemüte führen :)

vor 5 Minuten schrieb testperson:

 

Das würde ich dann gleich mit abschaffen. ;)

Ich hab kein Teaming :) 

Auf dem Server gibt's nur eine 10gbit fiber karte 

oder muss man das auch machen wenn es nur eine Karte ist?

Sooooooooo!!!!(da muss ich mal die Rudeltiere auspacken)

Danke auf jeden Fall für den vielen und grandiosen Input bisher!

Ich habe folgendes gemacht:

vor 4 Stunden schrieb testperson:

RSC am vSwitch deaktivieren

Bisher scheint es gut zu laufen. Ich werde es definitiv beobachten!

Danke für den wertvollen Hinweis.

Alles andere werde ich mir in meinen Notizen niederschreiben um es zur hand zu haben falls mal wieder sowas ist ;)

Ich werde auf jeden Fall nochmal Rückmeldung geben, ob's das jetzt war. 

Danke nochmal <3

vor 24 Minuten schrieb mwiederkehr:

Bei dem Fehlerbild fällt mir spontan DNS ein. Funktioniert die Auflösung in beide Richtungen? Also kann der Client den Servernamen in eine IP auflösen und der Server die Client-IP in einen Namen?

Die IP kann in beide Richtungen aufgelöst werden

C:\Users\name>nslookup tisowaresrv
Server:  adsrv2.ek.de
Address:  10.10.10.11

Name:    tisowaresrv.EK.de
Address:  10.10.10.30

C:\Users\name>nslookup 10.10.10.30
Server:  adsrv2.ek.de
Address:  10.10.10.11

Name:    tisowaresrv.ek.de
Address:  10.10.10.30

auch der Server kann die Clients problemlos auflösen 

ich habe auch schon geprüft, ob einer der DNS Server eine falsche Auflösung macht. Aber in Forward und Reverse Lookup zones sind die richtigen Zuordnungen vorhanden

Ich kann ja auch auf SMB problemlos über den Namen zugreifen.

Ich glaube aber, dass das Thema nicht weit davon entfernt sein kann.

ein seltsames Phänomen bei den Verknüpfungen habe ich nämlich ebenfalls.

Es gibt je nach Programm verschiedene Verknüpfungen (Kommen / Gehen Erfassung und Betriebsdatenerfassung)

Alle Verknüpfungen Laufen auf "\\TisowareSRV\tisoware$\......" 

Eine der Verknüpfungen lädt aber das Icon nicht. Das bleibt weiß. 

Wenn ich dann den Servernamen zur IP ändere, wird das Icon angezeigt. 

Wenn ich es wieder zurück ändere ist es wieder weg

Ich habe gerade auch mal die IP und den Servernamen in die Hosts Datei eingetragen.

Programm lädt aber auch nicht schneller.

Hi,

ich habe einen Server 2019, auf dem eine Zeiterfassungssoftware mit einem SQL Express läuft

Starte ich die software lokal auf dem Server, geht sie relativ schnell auf.

Starte ich sie auf den Clients, dann dauert es manchmal bis zu 2 - 3 Minuten. 

Ab und an (ganz selten) geht es aber auch mal so schnell wie direkt auf dem Server.

Windows Firewalls sind aus, Virenscanner Ausnahme (Sophos intercept X) habe ich für den Freigabepfad auf dem die Software gestartet wird 

Am Netzwerk selbst liegt es nicht. Es sind genau 1gbit/s (112mb/s) getestet. 

Am selben host laufen auch noch ein DC und zwei Windows 10 Clients ohne Performance Probleme.

Hat jemand eine Idee, wo man hier noch ansetzen kann?

Hi und frohes neues Jahr,

ich bin gerade dabei Azure AD Connect zu installieren.

Jetzt will der beim Punkt "Mit AD DS verbinden" einen "Unternehmensadministrator" benutzer.

Was bitte ist das schon wieder?

Der Admin mit Globalen Rechten ist es wohl nicht. Den musste ich bei "Mit Azure AD verbinden" angeben.

Ich kann weder Im Server 2019, noch im M365 Admin center, noch im Entra ID Admin Center eine Gruppe "unternehmensadministrator" finden.

Hat jemand eine Ahnung was Microsoft hier wieder will?

edit:

Ok, hab es rausgefunden. 

Es sind nicht Unternehmensadministratoren sondern Organisationsadministratoren.

Kann Microsoft ihre Begrifflichkeiten nicht ein einziges Mal ordentlich Übersetzen oder in den Griff bekommen?

Bei manchen Usern hat's funktioniert. 

Bei meinem eigenen PC erst nicht. Auch nach Neustart nicht.

Jetzt hab ich 2 Stunden was anderes gemacht und nun isses da....

Seltsam

Hi,

ich habe eigentlich was ganz banales, allerdings macht es mich gerade irgendwie echt kirre.

Im Ordner "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" sind alle Einträge im Startmenü gelistet.

Jedoch kann ich dort keine Ordnern Namen ändern oder erstellen. Ich kann Ordner löschen. 

Die Verknüpfungen kann ich abändern, das geht. Ich kann auch in bereits vorhandenen Ordnern Verknüpfungen erstellen.

Gibt's irgendwo einen Registry Pfad wo ich die ändern muss? Ich kann dazu echt nix finden.

Gesicht hab ich gelöscht, Fingerabdruck gibt's nicht.

Ich hab gerade gesehen, dass es auf allen Geräten so ist. Selbst auf meinem

"Entfernen" ist ausgegraut

btw ich kann keine Bilder mehr posten. Löschen kann ich alte aus meiner "Mediathek" auch nicht Kann man das Limit irgendwie von 5 mb erhöhen?

Hi, ich habe hier ein kurioses Problem.

Ein user hat eine Windows Hello Pin, die er vergessen hat.

Wenn er auf ändern klickt, muss er seine alte PIN eingeben, die er ja nicht kennt.

Entfernen kann er nicht, da die Option ausgegraut ist.

Wenn er sich ausloggt und auf "ich habe meine PIN vergessen" klickt, dann sein Domänenkennwort eingibt und ok klickt, kommt "dieses gerät ist nicht ihrer organisation zugeordnet"

Das Gerät habe ich schon aus der Domäne raus und wieder rein genommen. 

Jemand eine Idee wie ich die Pin entfernen und neu vergeben kann?

vor 1 Stunde schrieb Nobbyaushb:

Ja, ich weiß - aber du kaufst halt keine neue Maschine für über 600.000,00€ nur weil der Rechner vom Hersteller nun mal XP auf dem Teil hat - bei einer neuen war sogar Windows 7 drauf...

Die kommen dann in ein eigenes LAN, meist mit einer Firewall und einem kleinen Ding dazwischen was SMB1 "übersetzt"
Updates mögen solchen Kisten in der Regel eh nicht, es sei denn, der Hersteller lässt das explizit zu

Aber ich denke, das kennen wir alle...

Ah alles klar. Du redest von CNC Maschinen zum Beispiel ;)

Da haben wir auch noch einige im Einsatz mit Windows XP Embedded und W7 Embedded.

Die laufen definitiv im eigenen LAN.

Ich werde noch bis zum ende vom W10 Support abwarten :)

Bis dahin haben hoffentlich die meisten im Privaten schon mal Kontakt mit W11 gehabt. 

vor 22 Minuten schrieb NorbertFe:

Du kannst diese policies dann nicht bearbeiten. 

Alles klar. Danke. Dann habe ich noch kein Problem :)

Setzt ihr denn schon W11 ein oder wartet ihr noch?

vor 6 Minuten schrieb Nobbyaushb:

Installiere doch fix eine W11 VM...

Ja dann muss ich doch aber immer die VM dafür nutzen. 
Bleibt mir aber wohl nix anderes übrig. 

Weißt du, was für Probleme diese Meldung bringt?

Weil so wie es aussieht zieht er die Richtlinien, die ich eingestellt habe

Hab ich keinen Client da. 

oh man muss ich wieder schauen wo ich alte vorlagen her bekomme >.>

mein Rechner hat aber die neuesten W10 updates drauf :/

Wollte die Chrome ADM importieren. Scheinbar löst die das aus.

edit;

auf einem Server 2019 kommt die Meldung auch.

Guten Morgen,

beim öffnen des Editors und Klick auf Richtlinien in der Computerkonfiguration kommt folgende Meldung

"Der folgende Eintrag im Abschnitt "[strings]" ist zu lang und wurde abgeschnitten.

Die Nutzung der Entwicklertools in Apps und Erweiterungen, die über die Unternehmensrichtlinie oder ab Version 114 installiert wurden oder in den Browser eines verwalteten Nutzers integriert sind, ist nicht zulässig. Ist dies ein verwalteter Nutzer, sind"

und da hört die Meldung auf. 

Hat jemand eine Idee wo das her kommt?

vor 57 Minuten schrieb Weingeist:

Wenn Du ein wirklich gutes und fortlaufend gepflegtes Script möchtest wäre AJTEK noch eine Überlegung wert. Früher war das Script kostenlos und quasi schon "Gold-Standard" und bügelte auch gewisse MS-Fehler z.B. in den Verkettungen oder OS-Bezeichnungen aus. Heute kostet es einen kleinen Obolus pro Jahr, ist dafür immer sehr up to date.

Seither sind meine WSUS-Installationen clean und brauchen im Vergleich sehr viel weniger Platz. Obwohl ich alles an Updates behalte, die mal effektiv gebraucht wurde und nur verwerfe was tatsächlich ersetzt wurde und nicht mehr gebraucht wird. Und das wichtigste, ich muss mich nicht mehr Ärgern Der Pflegaufwand für die WSUS-Server ist quasi gegen 0 geworden und beschränkt sich auf das reine Freigeben/Überwachen.

 

SQL-Express würde ich tunlichst vermeiden. Habe mich selbst Jahrleang damit rumgeärgert. Die DB wächst selbst mit sehr wenigen Clients rasant und mit den guten Scripts recht schnell über 10GB, auch wenn es sich normal immer in der Gegend um die 8-12GB einpendelt wenn man fleissig cleaned. Scheint so das minimum zu sein was es ungefähr braucht. Also entweder Interne DB die - ich weiss es klingt schräg - praktisch keinerlei Sicherheitsupdates seitens MS bekommt oder aber eine Kauf-Version. Zumindest konnte ich noch nie eine SQL-CU über eine interne DB bügeln.

 

SQL-Server hat ein paar Geschwindigkeitsvorteile, auch mit dem AJTEK Script.

 

Oh cool. Kannte ich noch gar nicht. Ist gekauft :)