Magroll

Hallo Jan, Laufwerk C: ist ja über Policies ausgeblendet! Den Explorer dürfen die User auch gerne starten... Problem ist: Startseite aufmachen c: eingeben und ein Explorer mit Laufwerk C: öffnet sich! Cu Mag

Hallo zusammen, nach stundenlangem Suchen in den Weiten des Internets, hab ich fast aufgegeben, aber vielleicht ist ja wem von Euch hier eine Lösung bekannt. Ich versuche einen 2012R2 Terminalserver aufzusetzen. Wenn der mittlerweile stark beschränkte User sich dann an dem System anmeldet und die Windowstaste drückt kommt er auf die Startseite, hier braucht er nur einfach z.B.: c: eingeben und es öffnet sich ein Explorer mit Laufwerk C:\, obwohl dies über die Policies untersagt ist und der User im Normalfall auch keine Möglichkeit hierzu hat! :schreck: Dieses vermaledeite Suchfenster gibt generell Zugriff auf alles mögliche, was nicht explizit versteckt, gesperrt, oder sonst was ist. Das meiste habe ich mittlerweile ausgeblendet bekommen, aber den Laufwerkszugriff bekomme ich nicht unterbunden. :( Gibt es für 2012R2 irgendeine Möglichkeit die Suche aus der Startseite heraus zu verhindern, oder einzuschränken? Danke und Gruß, Mag

Im Grunde bekommt mein zweiter Domain Controller jetzt eine andere NTP Konfiguration via Policy, nämlich die, welche alle anderen Memberserver auch bekommen. Nur der PDC bekommt über die WMI Filterung die NTP Server Konfiguration. Warum das jetzt aber das Problem gelöst zu haben scheint, erschließt sich mir aber nicht ganz: - Woher genau wissen die Clients an welchen Server Sie sich wenden sollen? Aus dem AD? - Was genau ging dabei vorher schief? Gruß, Mag

Auch, wenn ich nicht jedes Detail der Konfiguration verstehe, funktioniert zur Zeit alles so wie gewünscht! Vielen Dank für Deine Hilfe, Mag

Wenn ich die Anleitung auf http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ exact abbilde, bleiben die Policies "Windows NTP-Client aktivieren und Windows NTP-Server aktivieren" in der PDC Policy deaktiviert? Der NTP Serverdienst läuft dann aber trotzdem? "Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Uhrzeit des lokalen Computers nicht mit NTP-Servern synchronisiert." "Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann der Computer keine NTP-Anfragen von anderen Computern verarbeiten."

Also, als erstes bin ich Dir dankbar, das Du versuchst mir zu helfen, allerdings verstehe ich ein / zwei Zusammenhänge noch nicht ganz: 1. Also ist es vollkommen Latte, was du da per GPO an irgendwelche PCs und Server als Timeserver verteilst - Dann ist es ja auch egal ob da time.windows.com, oder dc01.meinedomain.com drinsteht, das regelt dann eh das NT5DS Protokoll? 2. Du meinst also, wenn ein Memerserver sich meinen zweiten Domaincontroller als anmeldeserver rauspickt will er sich von dort auch die Zeit holen und das schlägt fehl, weil der ja nicht der PDC ist? - Wenn das so ist, verstehe ich auch den Sinn des WMI Filters, welchen ich zur Zeit nicht habe, beide DCs haben die gleiche NTP Konfiguration. Das muss ich anpassen und dann weiter testen. Danke, Mag

Ja das probiere ich gleich aus. Aber wenn ich time.windows.com anpinge bekomme ich 23.99.222.162 als Antwort. Da können die Memberserver nicht drauf zugreifen. Wenn das AD da intern auf Port 123 was umbiegt, damit das auf dem PDC landet, ist mir das zwar unklar, aber wenn's funktionieren soll...

Der einzige Unterscheid ist der fehlende WMI Filter und das ich nicht auf time.windows.com referenziere, sondern auf dc01.meinedomain.com und die externe URL für den Zeitdienst auf dem DC ist eine andere, aber das sollte ja wohl egal sein, welchen Zeitanbieter ich nutze, solange er stabil läuft und die richtige Zeit ausgibt, von daher sehe ich das als Standard an und nicht als "konfus". :p

Die Memberserver bekommen via Policy den Eintrag des DCs (siehe Threadstart). Mich wundert das ich diesen Eintrag in der Config nicht sehe, das ist alles. Auf den meisten Servern läuft das ja auch seit Monaten problemlos.

Hi, was mir weiter aufgefallen ist: Wenn ich ein C:\Windows\system32>w32tm /query /configuration starte, sehe ich z.B. auf dem DC einen Eintrag für NtpServer: de.pool.ntp.org,0x1 (Richtlinie), auf den Servern welche nicht funktionieren, fehlt dieser EIntrag völlig, obwohl er ja via Richtlinie verteilt wird und auch in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time sichtbar ist? Gehört das so? DC: C:\Windows\system32>w32tm /query /configuration [Konfiguration] EventLogFlags: 2 (Lokal) AnnounceFlags: 10 (Lokal) TimeJumpAuditOffset: 28800 (Lokal) MinPollInterval: 6 (Lokal) MaxPollInterval: 10 (Lokal) MaxNegPhaseCorrection: 172800 (Lokal) MaxPosPhaseCorrection: 172800 (Lokal) MaxAllowedPhaseOffset: 300 (Lokal) FrequencyCorrectRate: 4 (Lokal) PollAdjustFactor: 5 (Lokal) LargePhaseOffset: 50000000 (Lokal) SpikeWatchPeriod: 900 (Lokal) LocalClockDispersion: 10 (Lokal) HoldPeriod: 5 (Lokal) PhaseCorrectRate: 7 (Lokal) UpdateInterval: 100 (Lokal) [Zeitanbieter] NtpClient (Lokal) DllName: C:\Windows\system32\w32time.dll (Lokal) Enabled: 1 (Lokal) InputProvider: 1 (Lokal) AllowNonstandardModeCombinations: 1 (Lokal) ResolvePeerBackoffMinutes: 15 (Richtlinie) ResolvePeerBackoffMaxTimes: 7 (Richtlinie) CompatibilityFlags: 2147483648 (Lokal) EventLogFlags: 0 (Richtlinie) LargeSampleSkew: 3 (Lokal) SpecialPollInterval: 900 (Richtlinie) Type: NTP (Richtlinie) NtpServer: de.pool.ntp.org,0x1 (Richtlinie) NtpServer (Lokal) DllName: C:\Windows\system32\w32time.dll (Lokal) Enabled: 1 (Lokal) InputProvider: 0 (Lokal) AllowNonstandardModeCombinations: 1 (Lokal) VMICTimeProvider (Lokal) DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal) Enabled: 0 (Lokal) InputProvider: 1 (Lokal) Server der nicht funktioniert: C:\Windows\system32>w32tm /query /configuration [Konfiguration] EventLogFlags: 2 (Lokal) AnnounceFlags: 10 (Lokal) TimeJumpAuditOffset: 28800 (Lokal) MinPollInterval: 10 (Lokal) MaxPollInterval: 15 (Lokal) MaxNegPhaseCorrection: 4294967295 (Lokal) MaxPosPhaseCorrection: 4294967295 (Lokal) MaxAllowedPhaseOffset: 300 (Lokal) FrequencyCorrectRate: 4 (Lokal) PollAdjustFactor: 5 (Lokal) LargePhaseOffset: 50000000 (Lokal) SpikeWatchPeriod: 900 (Lokal) LocalClockDispersion: 10 (Lokal) HoldPeriod: 5 (Lokal) PhaseCorrectRate: 1 (Lokal) UpdateInterval: 30000 (Lokal) [Zeitanbieter] NtpClient (Lokal) DllName: C:\Windows\system32\w32time.dll (Lokal) Enabled: 1 (Lokal) InputProvider: 1 (Lokal) CrossSiteSyncFlags: 0 (Richtlinie) AllowNonstandardModeCombinations: 1 (Lokal) ResolvePeerBackoffMinutes: 15 (Richtlinie) ResolvePeerBackoffMaxTimes: 7 (Richtlinie) CompatibilityFlags: 2147483648 (Lokal) EventLogFlags: 0 (Richtlinie) LargeSampleSkew: 3 (Lokal) SpecialPollInterval: 3600 (Richtlinie) Type: NT5DS (Richtlinie) VMICTimeProvider (Lokal) DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal) Enabled: 1 (Lokal) InputProvider: 1 (Lokal) NtpServer (Lokal) DllName: C:\Windows\system32\w32time.dll (Lokal) Enabled: 0 (Lokal) InputProvider: 0 (Lokal) Unterschied ca. 5 Minuten, hab ich mittlerweile auch mal manuell auf richtige Zeit gesetzt und dann /resync probiert, hat nicht geholfen. Es ist eine VM auf einem ESXi 5.5.

Nein, der Befehl wird erfolgreich ausgeführt, wie auf den meisten anderen Servern auch, welche ich getestet habe.

Hmmm.. okay ^^ Dann verstehe ich Deine Frage nicht ganz?

In meinem Fall ist der primäre Domaincontroller, Zeitserver und PDC. Gruß, Mag

Hi Norbert, da ist kein Tunnel, dieses WAN ist bei uns Layer 2 dark fiber. Da wird nix gefiltert, sind nur 2 unserer eigenen Router zwischen. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Config gibt es bei mir nicht. Nur w32Time/Parameters und w32Time/TimeProviders/NtpClient, hier sind exact die Settings zu sehen, welche ich via Policy (siehe oben) verteile. gruß, Mag

Unter: HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config steht auf dem DC steht eine 5, auf den "Clients" eine 10. Ich habe das noch nicht zu 100% sicher geprüft, habe aber das Gefühl, das nur Server betroffen sind, welche sich in einem anderen Standort befinden und mit dem DC via WAN kommunizieren. Als primärer DNS Server ist aber überall der DC eingetragen und Netzwerkprobleme, Namensauflösungsprobleme usw. sind auf den ersten Blick nicht erkennbar.

Hallo zusammen, ich habe ein Problem mit der Zeitkonfiguration auf einigen 2008R2 Servern im AD, der DC ist ein 2012R2 Server und hat die aktuelle Zeit. Ich verteile via Policy folgende Settings: NTP-Client aktivieren NTP-Client konfigurieren - NTP Server: meinserver.domain.com,0x09 - Type: NT5DS - CrossiteSyncFlags:0 - ResolvePeerBackoffMaxTimes:15 - ResolvePeerBackoffMaxTimes:7 - SpecialPollIntervall:3600 - EventlogFlags:0 Auf dem Server kamen bisher folgende Time Warnungen im Eregnislog, leider längere Zeit unbemerkt: - Der Zeitdienst hat eine Zeitdifferenz von mehr als 5000 ms auf 900 Sekunden festgestellt. Die Zeitdifferenz wurde möglicherweise durch die Synchronisation mit einer ungenauen Zeitquelle oder durch schlechte Netzwerkbedingungen verursacht. Von nun an wird der Zeitdienst nicht mehr synchronisiert, die Zeit keinem weiteren Client mehr zur Verfügung gestellt und die Systemuhr nicht mehr synchronisiert. Sobald ein gültiger Zeitstempel von einem Zeitdienstanbieter empfangen wird, wird der Zeitdienst sich selbst korrigieren. - Aufgrund eines Ermittlungsfehlers konnte von "NtpClient" kein Domänenpeer als Zeitquelle festgelegt werden. In 3473457 Minuten wird ein weiterer Versuch ausgeführt und das Intervall für weitere Versuche anschließend verdoppelt Fehler: Der Eintrag wurde nicht gefunden. (0x800706E1) - Der Zeitdienst hat die Systemzeit für 86400 Sekunden nicht synchronisiert, weil keiner der Zeitdienstanbieter einen verwendbaren Zeitstempel bereitgestellt hat. Der Zeitdienst aktualisiert die lokale Systemzeit nur dann, wenn die Synchronisierung mit einer Zeitquelle möglich ist. Wenn das lokale System als Zeitserver für Clients konfiguriert ist, beendet es die Ankündigung als Zeitquelle für Clients. Der Zeitdienst versucht weiter, die Zeit mit den Zeitquellen zu synchronisieren. Überprüfen Sie, ob das Systemereignisprotokoll andere W32time-Ereignisse enthält, um weitere Details zu erhalten. Führen Sie "w32tm /resync" aus, um eine sofortige Zeitsynchronisierung zu erzwingen. Die Namensauflösung scheint einwandfrei zu funktionieren, ein w32tm /resync gibt folgenden Fehler: Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren. Weiß jemand Rat? Danke, Mag

Aaaaaaaaaaaaaaarrrrrrrrrrrrrgggggggggggggghhhhhhhhhhhhhhhh! Dafür teste und suche ich jetzt 2 Tage rum, weil MS eine neue Policy eingeführt hat, welche Skripte 5 Minuten verzögert!?! Wie geil ist das denn? Könnte Dich knutschen, da hätte ich noch ewig nach gesucht... Danke, Mag

Hallo zusammen, ich verteile via GPO ein Login PS Script. Dieses soll auf unseren RDS Server ausgeführt werden. Starte ich das Script nach der Anmeldung manuell läuft es ohne Probleme. Bei der Anmeldung auf einem 2012 R2 RDS Server dauert es aber ca. 6 Minuten bis es ausgeführt wird, melde ich mich an einem 2012 Server an, wird es sofort bei der Anmeldung ausgeführt. Mir scheint irgendein Problem mit der Scriptsicherheit vorzuliegen und die Powershell wartet auf eine Antwort ob das Script ausgeführt werden soll, die Frage timed aus und dann wird es ausgeführt, ist aber nur eine Vermutung. Gibt es da einen Unterschied zwischen 2012 und 2012 R2? Das Script wird in einer Policy via Loopbackmodus zusammenführen und unter Benutzer/Richtlinien/Windows Einstellungen/Skripts/Anmelden ausgeführt. Es liegt unter \\domäne\sysvol\Domäne\Policies\Policyname\User\Scripts\Logon Auf dem Server ist zudem eine Policy aktiv, welche die Skriptsicherheit auf "Alle Skripts zulassen" konfiguriert. Computer\Richtlinien\Administrative Vorlagen\Windows Komponenten\Powershell\Skriptausführung aktivieren - Alle Skripte zulassen Um Fehler im Script auszuschließen, habe ich ein möglichst einfaches, welches einfach nur eine Messagebox öffnet: [System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms") $Result = [System.Windows.Forms.MessageBox]::Show("Möchten Sie das Script fortführen?","Frage an den Benutzer",1) If ($Result -eq "OK") { $Result = [System.Windows.Forms.MessageBox]::Show("Ja!") } else { $Result = [System.Windows.Forms.MessageBox]::Show("Nein!") } Manuell über den Explorer gestartet läuft es auch sofort, ich bekomme jedoch folgende Fehlermeldung im PS Fenster: Set-ExecutionPolicy : Die Ausführungsrichtlinien wurden von Windows PowerShell erfolgreich aktualisiert, die Einstellung wird jedoch von einer in einem spezielleren Bereich definierten Richtlinie überschrieben. Aufgrund Überschreibung wird die aktuelle geltende Ausführungsrichtlinie "Unrestricted" für die Shell beibehalten. Gebe "Get-ExecutionPolicy -List" ein, um die Ausführungsrichtlinieneinstellungen anzuzeigen. Weitere Informationen Sie mit "Get-Help Set-ExecutionPolicy". In Zeile:1 Zeichen:46 + if((Get-ExecutionPolicy ) -ne 'AllSigned') { Set-ExecutionPolicy -Scope Process ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: ( :) [set-ExecutionPolicy], SecurityException + FullyQualifiedErrorId : ExecutionPolicyOverride,Microsoft.PowerShell.Commands.SetExecutionPolicyCommand Da ich nicht weiß, ob es ein Policy, ein PS, oder ein Windows 2012 R2 Problem ist, habe ich es mal hier eingestellt... :confused: Danke und Gruß, Mag

Supi, danke!

Hallo zusammen, ich habe in einer 2012 Domäne einen 2012 R2 Domänencontroller hinzugefügt und würde nun auch gerne die 2012 R2 GPOs nutzen, diese sind aber anscheinend nicht vorhanden. Ich habe zur Zeit einen 2012 und einen 2012 R2 Domänencontroller am laufen. Wenn ich z.B. den Windows Store abschalten will, habe ich den entsprechenden Punkt unter Richtlinien/Administrative Vorlagen/Windows Komponenten/Store nicht verfügbar. Was muss ich tun um die entsprechenden Funktionen verwenden zu können? Danke und Gruß, Mag Reicht es, wenn ich die von MS https://www.microsoft.com/de-DE/download/details.aspx?id=43413 herunterlade (gerade gefunden) und auf dem AD Controller installiere? Funktionieren meine Win7 Client Policies danach ganz normal weiter? Danke und Gruß, Mag

Hi, genau das Frage ich mich auch, ist das bei Win 10 immer noch so? Das bisher Volumenlizenzen notwendig waren ist mir bekannt. Ich muss gestehen ich habe von der Eula keine Ahnung, mir ist nur aufgefallen wie einfach der Wechsel zwischen den Sprachen geworden ist, daher meine Eingangsfrage. Ich nutze in der Firma allerdings auch ein Win 10 Pro mit Volumenlizenz, ich weiß eben nicht wie das bei OEM Versionen ausschaut, oder bei Windows 10 Home. Danke, Mag

Hi, ich habe es gerade mal mit einer Pro Version nach dieser Anleitung getestet und auf English umgestellt: http://www.tenforums.com/tutorials/3813-language-add-remove-change-windows-10-a.html Funktioniert tadellos. Weiß wer ob das mit jeder Win10 Version geht, auch mit den privaten, von 8.1 migrierten? Ist das lizenztechnisch so alles in Ordnung? Gruß, Mag

Hallo zusammen, ich würde gerne mal wissen ob mir wer von Euch sagen kann, wie das bei Win10 mit der Unterstützung mehrerer Sprachen ausschaut. Wir würden gerne einen russischen Client für die deutschen Admin temp. auf Deutsch umstellen. Sind dafür spezielle Lizenzen notwendig um das zu nutzen, oder geht das auch mit einem Win10 Home? Gibt es hier lizenztechnische Unterscheide zwischen Win 10 und Win 8.1? Danke und Gruß, Mag

Hi Dunkelmann, das mit dem Thumbprint habe ich gemacht, damit er lokal auf dem Sessionhost das richtige Zertifikat benutzt (das erstellte Zertifikat für rdsfarm.mydomain.com), was ja auch funktionierte. Standardmäßig hat der Server ja nur sein eigenes für rds02.mydomain.com. Ich habe das Problem jetzt aber endlich behoben :o) Durch die Erstellung eines SAN Zertifikates, welches ich jetzt an den entsprechenden Stellen verwende, antwortet der Sessionhost jetzt mit einem Zertifikat alle in dem Zertifikat eingetragenen Namen, in meinem Fall rds02.mydomain.com und rdsfarm.mydomain.com, dies hat mein Problem gelöst! Bei Interesse siehe : https://www.windowspro.de/wolfgang-sommergut/san-zertifikate-ausstellen-ueber-active-directory-ca Vielen Dank und Gruß, Mag

Hi Dunkelmann, ich habe das Farmzertifikat in den Bereitstellungseigenschaften der Sammlung konfiguriert. Dort gibt es drei Punkte : - Remotedesktop-Verbindungsbroker - einmaliges Anmelden aktivieren - Remotedesktop-Verbindungsbroker - Veröffentlichung - Web Access für Remotedesktop Bei allen dreien habe ich das Farmzertifikat rdsfarm.mydomain.com hinterlegt. Zudem habe ich auf dem Sessionhost rds02 das Farmzertifikat lokal in den Zertifikatsspeicher hinterlegt (unter Eigene Zertifikate) und den folgenden Befehle ausgeführt: - gci cert:\LocalMachine\My | select FriendlyName, Thumbprint (zur Anzeige des Fingerabdruckes des Farmzertifikates) - wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Fingerabdruck des Farmzertifikates>" ... Also nach weiterem Testen ergibt sich, das wenn ich die Zertifikate auf dem rds02 mittels - wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Fingerabdruck des Farmzertifikates / lokalen Hosts>" tausche, (Zertifikate für rdsfarm.mydomain.com und rds02.madomain.com) komme ich via WebAccess ohne Fehler drauf, aber nicht mehr via Remotedesktopverbindung und vice versa... Kann mir jemand sagen, ob der WebAccess nicht über den Brokerdienst geht, sondern sich direkt mit den RDS Hosts verbinden will? Das wäre für mich zur Zeit die einzige mögliche Erklärung, auch wenn ich dann noch nicht weiß, wie ich das Problem lösen könnte, da beide Zugangsmöglichkeiten auf die Farm gewünscht sind. Danke Mag