meinerjunge
-
Gesamte Inhalte
129 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von meinerjunge
-
-
Hallo Forum,
nach dem Umzug unserer Domain CA auf einen neuen Server, erhalte ich bei Anfrage auf die CA, von einem Domain-Member (DC oder normaler Server), immer die Fehlermeldung:
Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat DomainController mit der Anforderungs-ID N/A von CAServer\CAName (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)) registrieren.
Die Berechtigung für den PKIEnrollmentService habe ich bereits neu gesetzt, die Zertifikatvorlage (hier für den DC) sehe ich beim beantragen.
Firewall und Netzwerkeinstellungen passen soweit. Lokal auf dem CAServer funktioniert auch alles.
Kann mir einer von euch einen Tipp geben wonach ich noch schauen kann?
Vielen Dank!
MfG Meiner
-
vor 8 Minuten schrieb mcdaniels:
Hallo und danke für die rasche Rückmeldung.
Ich hab jetzt grade nochmal mit dem Dienstleister gesprochen, der das damals gemacht hat (Tenant Anlage). Der meinte, es gibt keine Verknüpfung unserer Domain (domain.at) mit dem Tenant und der Tenant läuft komplett separat auf @domainat.onmicrosoft.com.
Bzgl. Microsoft 365 kann überhaupt nicht mitreden, weshalb ich jetzt leider komplett auf externe Unterstützung angewiesen bin. (was mich ärgert -- hilft jetzt aber nicht).
Hat bei uns auch keiner absichtlich bzw. wissentlich gemacht (intern wie extern).
Aber irgendwer hat sich bei MS mit unserer Domain als Mail-Adresse (Arbeitskonto) registriert und dann hatten wir den Salat.
Einzige Lösung laut MS-Support, war die Autorisierung unserer Domain.
Edit: Selben Fehler/Fehlerbild erhielt ich auch
-
Hallo,
das gleiche Problem hatten wir auch.
Ich versuch es mal zusammen zu bekommen (Achtung kann falsch sein)
Eure Domain scheint mit Office365 verknüpft zu sein (Arbeitskonto) aber noch nicht autorisiert.
Ich habe mich damals bei Office365 registriert und dann unsere Domain autorisiert.
Auszug aus einer Mail vom Support welche ich gefunden hab.
"Versuchen Sie nach der Registrierung, auf das Office 365 Portal zuzugreifen. Wenn Sie angemeldet sind, sollten Sie aufgefordert werden, den TXT-Datensatz als Administrator einzugeben."
Administratorübernahme eines nicht verwalteten Verzeichnisses – Azure AD | Microsoft Docs
Diesen dann im Domain DNS eintragen.
MfG Meiner
-
vor 15 Minuten schrieb NilsK:
Moin,
übrigens scheint mir die oben zitierte Angabe auch nicht korrekt zu sein. @meinerjunge, hast du eine Quelle dazu?
Die Angaben, die ich dazu finde, sind:
- es darf nicht der komplette SAM Account Name vorkommen ("NilsK") - sofern der kürzer als drei Zeichen ist, gilt die Regel nicht
- der Display Name wird in seine Teile zerlegt, und keiner der Teile darf vollständig vorkommen ("Nils", "Kaczenski") - auch hier die 3-Zeichen-Regel
Das ist ja dann doch was anderes und senkt die Ausschlusswahrscheinlichkeit.
Meine Quellen z.B.:
Gruß, Nils
Edit: Zwei Nerds, ein Gedanke.
Ich hab das aus der Erklärung im Gruppenrichtlinienverwaltungs-Editor (ist wohl mal wieder schlecht übersetzt):
Dann mach ich mich mal auf die Suche nach einem Tool.
Vielen Dank an alle!
MfG Meiner
-
Da hab ich ja was losgetreten..
Also noch mehr Zeichen sind besser als mehr Zeichen, das ist klar.
Aber mit den Komplexitätsvoraussetzungen komme ich dann trotzdem nicht weiter, da diese ja auch beinhalten "Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.".
Wie soll man das bei einer Zeichenlänge von 10+ verhindern?
D.h. ich kann diese Komplexitätsvoraussetzungen in der Richtlinie nicht aktivieren und dann auch nicht verhindern, das jemand 20 x ein "a" als Passwort vergibt.
MfG Meiner
-
Großbuchstaben, Kleinbuchstaben, Zahlen, min 1 Sonderzeichen und min 10 Stellen
Die Komplexitätsvoraussetzung verlangt ja nur 3 der 4 Zeichenarten.
-
vor 1 Minute schrieb NorbertFe:
Die Länge kannst du ja vorgeben für diese schützenswerten Konten. Komplexität ist ja eine andere Frage.
Unsere Vorgabe beinhaltet leider beides.
-
Ok, hätte es wohl besser so schreiben sollen. "Bo(a)rdmittel"
Eine Azure Anbindung ist nicht vorhanden.
Es geht vor allem um schützenswerte Konten welche mit hochkomplexen und langen Passwörtern versehen sein sollen.
Was gibt es denn da für kommerzielle Software und ggf. Community-Projekte?
MfG Meiner
-
Hallo Forum,
gibt es eine Möglichkeit die Komplexitätsvoraussetzungen in den Gruppenrichtlinien (mit "Boardmittel") zu editieren, die von MS vorgegebene Einschränkungen sind uns zu "dünn".
Vielen Dank!
MfG Meiner
-
vor 10 Minuten schrieb cj_berlin:
...die Firewall-Problematik bleibt aber, denn Du kannst jeden bereits aktivierten KMS-Host bis zu 9-mal neu aktivieren. Wenn die Firewalls das verhindern, wird es mit dem neuen KMS vermutlich auch nicht besser
Nur damit wir Übrigen nicht dumm sterben müssen: Wie habt ihr die "Migration" denn technisch durchgeführt?
Nunja, den neuen KMS kann ich ja per Telefon aktivieren, den Migrierten ja eben nicht.
VM herunter gefahren, auf gemeinsamen Share migriert, dann auf dem neuen Cluster die VM registriert (Option verschobene VM angeklickt) und die Tools aktualisert. Fertig.
-
Hallo Forum,
Ergebnis nach der Migration des Server mit KMS-Rolle auf den neuen ESX-Cluster ist wie folgt.
Das Server-OS, der KMS und alle eingetragenen Schlüssel (Office usw.) sind nicht mehr lizenziert bzw. aktiviert. -> keine Aktivierung der Clients per KMS mehr Möglich
Eine tel. Aktivierung des KMS ist nicht mehr möglich (Windows kann nicht tel. aktiviert werden - Wenden sie sich an den Admin...)
Onlineaktivierung geht auch nicht, da hinter einem Proxy. (mag MS wohl nicht) Man benötigt wohl direkt Access zum Interwebs (netsh winhttp.... hilft auch nicht)
Konsequenz:
KMS aus dem Backup wieder auf den alten Cluster zurück geholt. -> läuft glücklicherweise noch
Muss ich wohl einen neuen KMS auf dem neuen ESX-Cluster installieren.
Das dauert genau so lang, wie das Erlangen der Erkenntnis, dass das Migrieren nicht geht.
MfG Meiner
-
Danke für Eure Antworten.
MfG Meiner
-
vor 4 Stunden schrieb zahni:
Könnt Ihr jetzt bitte die VM einfach in den neuen Cluster hängen? Wenn Ihr hier schon beim KMS-Server ein Problem habt, was macht Ihr mit den ganzen wichtigen VM's?
Hallo,
es ging mir nicht primär um die VM nach dem umhängen, sondern um den KMS, ob dieser dann auf der neuen Hardware ohne Probleme startet oder neu registriert/aktiviert werden muss. Weil wenn dieser nicht läuft, kann ich ja gleich einen neuen aufsetzen.
Denn zu diesem Thema ist google relativ maulfaul und bietet einem zu 99% einen so genannten KMS-Activator an.
MfG Meiner
-
vor 1 Minute schrieb NorbertFe:
Da klemmt nix. Also im Worst Case müßtest du den KMS Server neu aktivieren. ;)
Das mein ich mit "wenn´s klemmt".
-
Jut, dann zieh ich die VM auf den neuen Cluster und wenn´s klemmt, muss ich die VM halt neu installieren.
Aber ich gehen davon aus, dass ich neu aktivieren muss, da neue CPU-ID usw.... (dann kann ich auch gleich neu installieren),
MfG Meiner
-
vor 36 Minuten schrieb NorbertFe:
Doch. Der KMS Key läßt sich nur bedingt oft (ich meine 5x) aktivieren. ;) ALso je nachdem wie oft ihr schon umgezogen seid...
Also muss ich nach dem Umzug den KMS neu aktivieren?
Meine mich zurück zu erinnern, das beim letzten Umzug (Jahre her
) der KMS neu aktiviert werden musste, bis dahin aktivierte er wohl keine Maschinen.
Daher meine Eingangsfrage.
MfG Meiner
-
Hallo Forum,
wir bekommen einen neuen ESX-Cluster und ich muss den bestehenden KMS (Windows 2019) auf diesen umziehen.
Gibt es dabei was zu beachten bzgl. Registrierung usw.?
MfG Meiner
-
vor 2 Stunden schrieb Tektronix:
Moin,
die Reg-Datei kann man sich nach belieben modifizieren. Kontexmenue auf Desktop.
Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\DesktopBackground\Shell\Herunterfahren] "MUIVerb"="Herunterfahren" "SubCommands"="restart;|;shutdown;hybridshutdown;|;sleep;hibernate;|;lock;logoff;switch" "Icon"="shell32.dll,215" "Position"="bottom" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\restart] @="Neu starten" "Icon"="comres.dll,4" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\restart\command] @="Shutdown -r -f -t 00" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\shutdown] @="Herunterfahren" "Icon"="SyncCenter.dll,5" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\shutdown\command] @="Shutdown -s -f -t 00" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\hybridshutdown] @="Herunterfahren (Hybrid)" "Icon"="shell32.dll,137" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\hybridshutdown\command] @="Shutdown -s -f -t 00 -hybrid" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\sleep] @="Energie sparen" "Icon"="powrprof.dll,2" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\sleep\command] @="rundll32.exe powrprof.dll,SetSuspendState Sleep" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\hibernate] @="Ruhezustand" "Icon"="powrprof.dll,1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\hibernate\command] @="Shutdown -h" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\lock] @="Sperren" "Icon"="shell32.dll,47" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\lock\command] @="Rundll32 User32.dll,LockWorkStation" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\logoff] @="Abmelden" "Icon"="input.dll,1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\logoff\command] @="Shutdown -l" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\switch] @="Benutzer wechseln" "Icon"="imageres.dll,220" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell\switch\command] @="tsdiscon.exe"Icons auf dem Desktop sind genau so "neu" wie das jetzige Abmelden und daher für den DAU ungeeignet.
vor 31 Minuten schrieb cj_berlin:Das führt tatsächlich zu lustigen Workarounds wie extra Abmelde-Icons auf dem Desktop, im Startmenü usw.
Soweit ich es bisher recherchieren konnte, ist es weder möglich, Abmelden in den Ausschalter zu integrieren noch den (in der VDI meist leeren) Ausschalter ganz zu entfernen.
Falls das Trennen und Wiederverbindung einer Sitzung bei euch nicht ein Teil des Service ist, die Lebensdauer getrennter Sitzungen radikal begrenzen.
Nun ja, das radikale Begrenzen der Lebensdauer hilft auch nicht, da die Nutzungsdauer der VDI stark unterschiedlich ist.
vor 14 Minuten schrieb Weingeist:Das Menü scheint irgendwie mit den Energie-Presets/Power-Dienst zusammenhängen. Zumindest suggeriert das der "Ausschaltknopf" der bei VDI keine Einträge hat. Wäre so meine erste Anlaufstelle. Möglicherweise könnte man es daher mit einem speziellen Power-Schema beinflussen. Ob man sich die Mühe antun möchte? Wohl eher nicht. Das war schon in alten Windows-OS der totale Wahnsinn ein eigenes zu erstellen. Zumal es dann nicht gesichert ist, dass es auch tatsächlich so ist. ;)
Wenn dem so ist, werde ich wohl resignieren und die Nutzer versuchen zu schulen.
Vielen Dank!
MfG Meiner
-
Hallo Forum,
gibt es unter Windows 10 die Möglichkeit, per Gruppenrichtlinie..., die Möglichkeiten das "Abmelden" und "Sperren" zu integrieren, welches man im Startmenü unter dem Benutzersymbol findet?
Grund:
Wir benutzen eine VDI-Umgebung und die Benutzer sind halt schlecht lernfähig...
, da ich dort die Möglichkeit des Herunterfahren und Neustarten entfernt habe.
Vielen Dank!
MfG Meiner
-
Hallo,
bei mir hat es einmal geholfen unter "c:\Windows\System32\GroupPolicy\Machine\" die "Registry.pol" umzubenennen/löschen und die Maschine neu zu starten.
Im gpresult wurden auch alle Richtlinien "angewendet" aber im RSOP.msc waren keine Änderungen.
MfG Meiner
-
Am 22.4.2021 um 10:20 schrieb djmaker:
Hast Du schon einmal die KPDL-Treiber probiert?
Selbe Problem, Schachteinstellungen werden übernommen Papiereinstellungen nicht.
-
Ich habe den Druckern die KX (PCL) Treiber zugewiesen.
MfG Meiner
-
Hallo Forum,
ich habe auf einem Server 2019 RDS zur Verfügung gestellt.
Mehrere Benutzer verbinden sich mit dem klassischen RDP oder auch RDWeb zum Server.
Drucker stelle ich den jeweiligen Nutzern per Gruppenrichtlinie zur Verfügung (Netzwerkdrucker von einem Printserver).
Das Verbinden der Drucker und das Zuweisen des Standarddrucker funktioniert soweit (werden im Programm z.B. Notepad in der Druckerauswahl angezeigt).
die Probleme:
- die Drucker erscheinen in der Systemsteuerung gar nicht oder mehrfach
- die Papiereinstellungen werden nicht vom Printserver übernommen, Schachteinstellungen schon
- Windows Server 2019 mit Patchstand von 02/2021
- Druckertreiber aktuell (Kyocera-Drucker)
Das neu Erstellen des Reg-Eintrages :
REG_DWORD Value to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Providers\Client Side Rendering Print Provider
-
RemovePrintersAtLogoff
- VALUE: 0
brachte leider keinen Erfolgreich.
Ist dieses Problem bekannt bzw. kenn jemand einen Lösungsansatz?
MfG Meiner
-
RemovePrintersAtLogoff
-
Prüf mal ob das Netzwerk bei den betroffenen Servern als Domänennetzwerk und nicht als "öffentliches" erkannt wird.
Kein Zugriff auf Domain Zertifizierungsstelle
in Windows Forum — Allgemein
Geschrieben · bearbeitet von meinerjunge
Danke Norbert,
dass hat geholfen.
Anschließend müssen nur noch die Rechteeinstellungen überprüft werden, auch die der Vorlagen.
Hier beschrieben:
Event ID 91 — AD CS Active Directory Domain Services Connection | Microsoft Learn
Bzgl. nicht Sichtbarer Vorlagen:
https://www.gradenegger.eu/?p=3916
Vielen Dank!