Gu4rdi4n

Mal ein Wild guess nur ums auszuschließen, weil mir das ständig passiert: Du hast gpresult nicht zufällig in einem CMD Fenster, welches als Administrator bzw. in einem anderen Nutzerkontext gestartet wurde ausgeführt?

Was mich halt wundert ist, dass es über IP funktioniert, über DNS Namen aber nicht, obwohl die Auflösung eben ohne Probleme durch geht. Die Einträge bei den DNS Servern sind auch identisch. DCDIAG brachte auch keine Fehler. Nur um nochmal klar zu stellen: Es handelt sich hier nicht um einen Terminalserver, sondern um User, die sich z.B. vom Besprechungsraum auf ihre Rechner mit RDP verbinden.

@daabm IPs sind alle gleich geblieben. Auch alles problemlos in beide Richtungen mittels nslookup auflösbar Er kommt ja auch zur Passwort Abfrage. Das würde ja gar nicht gehen, wenn die Auflösung nicht klappen würde. Im Eventlog des RDS Hosts stehen unter RemoteDesktopServices-RdpCoreTS event log das hier: Warnung ID 101 - Die Funktion zur Erkennung von Netzwerkmerkmalen wurde deaktiviert. Ursache: Reason Code: 2(Server Configuration).. Fehler ID 227 - 'Failed GetConnectionProperty' in CUMRDPConnection::QueryProperty at 3347 err=[0x80004001] Fehler ID 227 - 'Connection doesn't support logon error redirector' in CUMRDPConnection::GetLogonErrorRedirector at 4660 err=[0x80004001] Im Security Log stehen nur die ganz normalen Special Log on events. Die unterscheiden sich nicht voneinander. @cj_berlin Ja, das hier:

Hi, ich habe einen DC geupgraded der auch DHCP und DNS macht und vergessen beim DHCP Server den Commit auszuführen. Jetzt hatte ich das Problem, dass man keine RDP Sitzungen mehr über den DNS Namen verbinden konnte, weil er immer " anmeldeversuch fehlgeschlagen" gebracht hat. Hat man sich jedoch mit der IP verbunden, dann ging es problemlos. Direkt nach dem Commit ging alles wie gewohnt wieder. Was hat der DHCP Server mit der Anmeldung über RDP zu tun? (Es gibt zwei DHCP Server im Failover Modus)

Hi, ich habe scheinbar mein Attachment Limit von 5mb aufgebraucht, finde aber keine Option, wo ich alte löschen kann. Hat jemand einen Hinweis für mich? :)

alles klar. Massgrave ist zwar kein kleines licht, aber ja seh ich ein :)

Top! Das wars. Echt fies, dass MS nur die EVAL öffentlich zum Download anbietet. [ Hinweis der Moderation: Link zu den ISO-Files entfernt. ]

Äh ja stimmt, da hatte ich einen Denkfehler lol Also 2012R2 Standard -> 2016 Standard 2016 Standard -> 2016 Datacenter und jetzt will ich 2016 Datacenter -> 2019 Datacenter Nur das funktioniert nicht Er bietet mir das Inplace nicht an. Kann es sein, dass es daran liegt, dass ich die 2019 Datacenter Eval Iso dafür nehme?

Hi, ich habe einen Server 2012R2 Standard gehabt, den ich mittels Inplace auf Server 2016 Standard geupgraded habe. Dann habe ich mittels Dism die Version auf die Server 2016 Datacenter gewechselt Jetzt wollte ich auf 2019 upgraden, allerdings bekomme ich bei Dism /online /Get-TargetEditions die Meldung: "Die aktuelle Edition kann auf keine Zieledition aktualisiert werden." Current Edition ist ServerDatacenter Hat jemand eine Idee, wie ich das Inplace Upgrade noch durchführen kann? Upgrade ist wichtig, da auf dem Server ein Webservice installiert wurde, der weiter laufen muss, der Entwickler aber eine Weile nicht mehr greifbar ist. Neu installation kommt deswegen leider nicht infrage

Ja, ist gelöst worden. Es war wie Testperson es geschrieben hat RSC

Hi, ich habe ne weile gegoogled und bin aber immer noch nicht ganz sicher, deswegen frag ich mal ganz doof: Die Profilbilder werden nicht nach extern angezeigt, richtig? Es gibt momentan auch keine Möglichkeit das zu ändern (zumindest bei anderen Outlook usern), richtig? Ich danke schonmal recht herzlich für Antworten ;)

Ich gebe zu, ich hab das Logfile gelesen, aber nicht kapiert, was der von mir wollte. Hatte irgendwie eine Denkblockade ;) Ich dachte, der will, dass ich das Konto in die MFA aufnehme. Ich muss aber auch sagen, eigentlich könnte Microsoft hier auch seine Requirements angeben. Wäre schön gewesen, wenn dort stehen würde "Deaktiviere MFA für Verzeichnissynchronisierungsrolle" oder so Ist bereits anonym :)

Also Problem ist behoben. Ich hatte vergessen die Verzeichnissynchronisierungs Rolle aus der MFA Richtlinie auszunehmen. Jetzt klappt das! :)

Eigentlich schon. Also jeder hat MFA aktiviert. Ich habe die Security Defaults aktiviert. Ich versuche mal das neu erstellte Konto in die MFA Ausnahme zu packen

Hi, ich habe ein Problem mit dem AADC. Das alte wurde ja eingestellt. Also habe ich das alte deinstalliert, und wollte das Neue auf einem neuen Server installieren. Gesagt, getan. Nur ist jetzt das Problem, dass die Installation beim letzten Schritt, wenn er das Synchronisierungsdienstkonto in Azure erstellen will, einen Fehler bringt. 09:45:15.276] [ 28] [WARN ] Failed to read ServicePrincipal registry key: Fehler beim Ausführen des Befehls "Get-ItemProperty". Die Eigenschaft ServicePrincipal ist im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect nicht vorhanden. [09:45:15.357] [ 28] [INFO ] Creating new azure service account for sync installation 6f3b00ccaaf1402b97c0b7f9725b639e using global tenant admin adminaccount@domain.de. [09:45:15.805] [ 28] [INFO ] GetServiceAccount: successfully created a service account (Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com). Sleeping an initial backoff time to facilitate account propagation. [09:45:31.228] [ 28] [WARN ] GetServiceAccount: service account authorization failed for Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com. Waiting for account to be provisioned. Details: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 35c0e470-e300-49c2-8fa0-b0bde6d93601 Correlation ID: 07065cf0-d944-41c2-9463-9461c9ff61d7 Timestamp: 2024-04-25 07:45:31Z --- Ende der internen Ausnahmestapelüberwachung --- bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier) bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext) bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText) [09:50:37.343] [ 28] [ERROR] ConfigureSyncEngineStage: Caught exception while creating azure service account. [09:50:37.344] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: AADConnectResult.Status=Failed [09:50:37.345] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: Error details: Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.AzureADServiceAccountException: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben. ---> Microsoft.Identity.Client.MsalUiRequiredException: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 658ebcf0-d308-4ced-9d3d-1ee121562301 Correlation ID: 07d214f7-d151-4af3-98db-b8412dae742d Timestamp: 2024-04-25 07:50:22Z bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService azureService, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode, String& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError) bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException, Boolean throwExceptionOnMFAError) bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException) bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& additionalDetail, Boolean throwOnException) bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken() bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.InitializeProvisionHelper() bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Initialize() bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.GetCompanyConfiguration(Boolean includeLicenseInformation) bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier) --- Ende der internen Ausnahmestapelüberwachung --- bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier) bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext) bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText) [09:50:37.345] [ 28] [ERROR] ExecuteADSyncConfiguration: configuration failed. Skipping export of synchronization policy. resultStatus=Failed [09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Fehler beim Erstellen des Synchronisierungsdienstkontos in Azure AD: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben. [09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben. Kann es sein, dass ich erst das alte Konto entfernen muss? Der alte Server ist leider nicht mehr verfügbar, also kann ich von dort keine Config mehr exportieren. Ich habe die Set-MsolDirSyncEnabled –EnableDirSync $false. Ich denke, mal, dass wenn ich den ausführe, konvertiert er alle Synced accounts in Cloud Only und danach müsste ich doch wieder einen neuen AADC verbinden können. Stimmt das soweit? Habe ich etwas nicht beachtet? Geht es einfacher? Ich hoffe, jemand hatte sowas schonmal :)

Weil ich alleine bin und gerade keine Zeit habe (ERP und Zeiterfassung upgrade) mich um eventuelle Fehler die Auftreten zu kümmern. Oder empfiehlst du einen 2012er DC mit der Windows upgrage funktion einfach hoch zu ziehen? Bisher hieß es immer neu installieren und rollen übertragen

Weil halt Ich wollte erstmal die Zeit jetzt fixen, weil die Replikation der DHCP server Probleme gemacht hat. Warum der PDCe damals verschoben wurde kann ich nicht mehr genau sagen ;) Aber die DCs werden sowieso bald mal geupgraded und in dem Zug dann die FSMO Rollen auf den Server übertragen, der jetzt den PDCe beherbergt

Ding Ding Ding Ding Dankeschön! Das war's :)

Hi @testperson Das weiß ich ehrlich gesagt nicht mehr so wirklich. Es gab damals ein Problem mit der Zeit und da hatte ich rum experimentiert und mit der Konfig lief es dann. Die GPO ist schon so konfiguriert wie in der Anleitung Ich hab das schon richtig verstanden, dass die Clients ihre Zeit vom DC bekommen, an dem sie sich anmelden, richtig? Deswegen steht bei meinem Client auch "ADSRV" und nicht "ADSRV3" beim query C:\windows\system32>w32tm /query /status Sprungindikator: 0(keine Warnung) Stratum: 2 (Sekundärreferenz - synchr. über (S)NTP) Präzision: -23 (119.209ns pro Tick) Stammverzögerung: 0.0019048s Stammabweichung: 11.0863704s Referenz-ID: 0x0A0A0A0A (Quell-IP: 10.10.10.10) Letzte erfolgr. Synchronisierungszeit: 20.02.2024 11:29:22 Quelle: ADSRV.EK.de Abrufintervall: 11 (2048s) Problem ist halt, dass ADSRV2 im Gegensatz zu ADSRV seine Zeit von ADSRV3 bezieht. @zahni Die NT5DS wird in der GPO bereits geliefert Was ich halt nicht verstehe ist, warum lässt sich ADSRV nicht auf den ADSRV3 umstellen, so wie der ADSRV2?

Hi, ich habe drei DCs. Zwei der drei sind aktuell Zeitsynchron und zeigen auch die korrekte Zeit an. Der Dritte im Bunde (bzw. der erste DC, der auch alle FSMO Rollen, außer dem PDC Emulator, inne hat) weicht ab PS C:\Users\administrator.EK> w32tm /monitor ADSRV.EK.de[10.10.10.10:123]: ICMP: 0ms Verzögerung NTP: -75.4066869s Offset von ADSRV3.EK.de RefID: 'LOCL' [0x4C434F4C] Stratum: 1 ADSRV3.EK.de *** PDC ***[[fe80::ebc5:59fd:70e4:29f%13]:123]: ICMP: 0ms Verzögerung NTP: +0.0000000s Offset von ADSRV3.EK.de RefID: time1.uni-paderborn.de [131.234.220.231] Stratum: 2 ADSRV2.EK.de[10.10.10.11:123]: ICMP: 0ms Verzögerung NTP: -0.0104353s Offset von ADSRV3.EK.de RefID: ADSRV3.EK.de [10.10.10.12] Stratum: 3 [Warnung] Die Reversenamenauflösung ist die beste Möglichkeit. Sie ist ggf. nicht korrekt, da sich das Ref-ID-Feld in Zeitpaketen im Bereich von NTP-Implementierungen unterscheidet und ggf. keine IP-Adressen verwendet. Ausgabe auf dem DC, der falsch läuft (ADSRV) PS C:\Users\Administrator> w32tm /query /status Sprungindikator: 0(keine Warnung) Stratum: 1 (Primärreferenz - synchron. über Funkuhr) Präzision: -6 (15.625ms pro Tick) Stammverzögerung: 0.0000000s Stammabweichung: 10.0000000s Referenz-ID: 0x4C4F434C (Quellname: "LOCL") Letzte erfolgr. Synchronisierungszeit: 20.02.2024 10:01:49 Quelle: Free-running System Clock Abrufintervall: 6 (64s) PS C:\Users\Administrator> w32tm /query /peers Anzahl Peers: 1 Peer: Status: Ausstehend Verbleibende Zeit: 684.6799506s Modus: 0 (Reserviert) Stratum: 0 (nicht angegeben) PeerAbrufintervall: 0 (nicht angegeben) HostAbrufintervall: 0 (nicht angegeben) Ausgabe auf dem PDCE PS C:\Users\administrator.EK> w32tm /query /status Sprungindikator: 0(keine Warnung) Stratum: 2 (Sekundärreferenz - synchr. über (S)NTP) Präzision: -23 (119.209ns pro Tick) Stammverzögerung: 0.0242381s Stammabweichung: 0.0153879s Referenz-ID: 0x83EADCE7 (Quell-IP: 131.234.220.231) Letzte erfolgr. Synchronisierungszeit: 20.02.2024 10:06:49 Quelle: de.pool.ntp.org Abrufintervall: 7 (128s) PS C:\Users\administrator.EK> w32tm /query /peers Anzahl Peers: 1 Peer: de.pool.ntp.org Status: Aktiv Verbleibende Zeit: 7.8532854s Modus: 1 (Symmetrisch aktiv) Stratum: 1 (Primärreferenz - synchron. über Funkuhr) PeerAbrufintervall: 7 (128s) HostAbrufintervall: 7 (128s) PS C:\Users\administrator.EK> Ich habe schon versucht folgenden Befehl zu setzen: w32tm /config /update /manualpeerlist:ADSRV3 /syncfromflags:manual /reliable:yes Das quittiert er auch mit ok, aber er ignoriert es dann einfach und bleibt weiterhin auf local Wie kann ich den DC dazu bringen die Zeit vom PDC zu ziehen?

Schau ich mir auch mal an! Danke :)

Hi, die Clients sind mit 1 GBit und die Server mit 10 GBit angebunden. Switche sind Unifi Aggregation und die 48 Port POE

Ok! Alles klar. Dann werde ich mir das mal zu Gemüte führen :)

Ich hab kein Teaming :) Auf dem Server gibt's nur eine 10gbit fiber karte oder muss man das auch machen wenn es nur eine Karte ist?

Sooooooooo!!!!(da muss ich mal die Rudeltiere auspacken) Danke auf jeden Fall für den vielen und grandiosen Input bisher! Ich habe folgendes gemacht: Bisher scheint es gut zu laufen. Ich werde es definitiv beobachten! Danke für den wertvollen Hinweis. Alles andere werde ich mir in meinen Notizen niederschreiben um es zur hand zu haben falls mal wieder sowas ist ;) Ich werde auf jeden Fall nochmal Rückmeldung geben, ob's das jetzt war. Danke nochmal <3