speer

Angenommen der DNS/AD Eintrag kann nicht vollständig entfernt werden. Protokolliert ein DC dieses Event als Fehler?Angenommen der neue DC erhält gleiche IP und DNS Name, was würde bei einer unvollständigen Säuberung passieren?

Hi,

ist nur für mich zur Info. Hat nichts mit einer richtigen Umgebung zu tun.

Hallo zusammen,

hätte eine Frage zum herabstufen eines AD Controllers. Angenommen sei eine GEsamtstruktur mit 20-30 DC und RODCs. Verteilt über mehrere Sites und verschiedenen Replikationsintervallen.

Jetzt soll ein DC 2012 durch einen 2016 ersetzt werden. Der neue soll dabei den gleichen Namen wie der alte DC erhalten.

Was passiert nun genau im Hintergrund. Informiert der zu herabstufende DCs seinen Replikationskumpel dass er ab sofort kein DC mehr ist. Dieser entfernt alle Einträge im AD/DNS die auf

diesen DC zeigen und informiert wiederum seine replikationsparter. Erfolgt hier automatisch eine Pushreplikationen?

Wann tritt in diesem Fall der KDC auf den Plan und generiert neue Replikationsrouten bzw. berechnet diese neu?

Stimmt das obige soweit oder liege ich weit weg...?

Grüße

Speer

Hallo zusammen,

spiele gerne in der Testumgebung mit dem Orchestrator 2016. Ich bin nun auf ein Problem gestoßen, auf das ich mir keinen Reim machen kann.

Also, im Orchestrator ein Parent und Child Runbook erstellt. Mittels Invoke-Runbook rufe ich das Child Runbook auf. Dort wird ein Ordnerpfad übergeben und anschließend ein Powershell Skript darauf ausgeführt.

Beim Invoke-Runbook ist der Haken bei Wait for completion gesetzt. Starte ich das Parent-Runbook über den TEster, bleibt dieser stehen beim Ausführen des Childrunbooks. Selbst nach 5 Minuten gibt es keine Statusänderung.

Führe ich hingegen das Childrunbook über den Tester aus, funktioniert alles wie gewollt. Auch das setzten anderer Anmeldedaten in der Invoke-Runbook Aktivity hat keine Änderung gebracht.

Wieso hängt sich Orchestrator beim Aufruf des Childrunbooks weg sobald ein Powershell Skript gestartet werden soll?  Ist das ein bekanntes Problem?

Danke für die Antworten. Die Webseite die BofH verlinkt hat ist super!

Muß jetzt nur noch herausfinden weshalb im Orchestrator in einem Child-Runbook kein Powershell Skript ausgeführt wird :(

Hallo zusammen,

möchte für eine Basisordnerstruktur die Berechtigungen entsprechend setzen. Dabei soll auf den Basisordner des benutzers die Vererbung von überliegenden Objekt deaktivert sein. Außerdem sollen nur

der Benutzer, Administratoren und System Zugriff erhalten.

$Acl.SetAccessRuleProtection($true, $false)
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule($Username, 'Modify','ContainerInherit,ObjectInherit', 'None', 'Allow')
$Acl.SetAccessRule($Ar)
Set-Acl -path $Path -AclObject $Acl

Kann ich zwar meinen Benutzer $Username die Berechtigungen erteilen, allerdings bleibt beispielsweise die Gruppe User trotzdem berechtigt und sind in der ACE Auflistung enthalten. Wie bekommt man

eine Gruppe aus der ACE Aufzählung raus???

Hallo,

ein Schuß von mir ins blaue... gebe zusätzlich zur Weiterleitung des GW noch die Sessionhosts mit an. Soweit ich weiß benötigst du von extern zum GW nur HTTPS und kannst RDP Port schließen.

Wieso verwendest du einen anderen Port als den Default 3389 Port für RDP?

Schau dir den Verbindungsversuch auf der Firewall an. Somit weißt du ob die FW blockt oder das RDP-GW ein Problem hat.

Hm, wie ist den der Weg eines gedruckten Dokuments. Ist ein Printserver vorhanden, direkt zum Drucker oder evtl. etwas über GPO geregelt?

Schau mal ob im Spoolerverzeichnis der Druckauftrag auftaucht und tatsächlich gelöscht wird.

Hallo,

wir verwenden für diesen Zweck eine Orchestrierungssoftware. Wobei man ehrlicherweise sagen muss, es ist total überdimensioniert, letzten Endes liest das Powershellskript das pwdLastSet jedes Benutzeraccounts aus und vergleicht diesen mit der Domänenvorgabe. Liegt das pwdLastSet unter 5 Wochen, erhält der Benutzer täglich eine Erinnerungsmail. Das funktioniert bei uns hervorragend. Es gibt mit Sicherheit fertige Skripts im Internet die dieses Thema aufgreifen. Ist keine Orchestrierungssoftware vorhanden kann auch der Aufgabenplaner verwendet werden.

Ansonsten käme evtl. ein Selfservice Portal in Frage?

Gibt wahrscheinlich zig Möglichkeiten... ist halt immer von den Anforderungen des Betriebes abhängig.

Speer

Also ich kann in dem Skript keinen Fehler erkennen. Der einzige mögliche Fehler könnte ein falscher Wert in $folder sein.

Hallo,

das Vorgehen paßt soweit. Wir verwenden für unsere Testumgebung den Broker und Lizenzserver der produktiven Umgebung mit. Falls die Testumgebung nicht autark arbeiten muss ist dieser Weg der gemeinsamen Nutzung der Ressourcens möglich.

Je nachdem wie groß die Farmen sind/werden und wie deren Verfügbarkeit eingestuft ist/wird, käme evtl. zur Redundanz ein zweiter Broker in Erwägung. Seit 2012 ist das über Bordmitteln möglich. Auch ein Broker braucht Updates, Neustarts, etc. und ohne Broker ist/sind die Farm(en) im Chaos :)

Ich könnte mir allerhöchstens vorstellen, dass es zu einer Verzögerung bei einer NTLM Authentifizierung kommen kann. Wobei man dann Fragen muß, warum NTLM überhaupt verwendet wurde...

Wir verwenden hierfür eine Orchestrierungssoftware. Der Ein- bzw. Austritt von Mitarbeitern erledigt die Personalabteilung direkt ohne weiteres zutun der IT. Meistens sind viele Module für die gängisten Systeme integriert (AD, Exchange, Azure, Hyper-V, SAP, etc.) oder lassen sich zukaufen. Zudem ist fast immer ein Modul für eine Programmier/Skriptsprache vorhanden (C# oder Powershell). Vieles läßt sich einfach zusammenklicken und für den Rest... Powershell

Bei größeren Runbooks macht es Sinn vorher einen Ablaufplan zu erstellen. Ansonsten verhaspelt man sich gerne mal ;)

Falls Ihr SCCM lizenziert haben solltet, vielleicht habt ihr auch den System Center Orchestrator gekauft.

Hallo Jan,

vielen Dank für den Link, genau diese öffentliche Microsoft Aussage suchte ich. Wir verwenden natürlich bei den DCs bereits DFS. Mir war nur unklar ob beim 2016er sich irgendwas geändert hat.

Vielen Dank nochmals :)

Am 24.5.2018 um 21:14 schrieb NorbertFe:

Am Client? Das würde mir dann zu denken geben. ;)

Das meiste >96% filtert schon die Spam Appliance ab. Trotzdem kommt noch einiges durch, vorallem bei veröffentlichten E-Mail Adressen im Internet. Der Kaspersky Web Content Filter steht für uns eher eine Last dar. Über Produkte läßt sich trefflich streiten. Keines ist wirklich frei von Fehler. Kaspersky macht bei uns seit Jahren einen guten Job. Die jährlichen IT Audits verliefen, bis auf kleinere Punkte, immer im guten bis sehr guten Bereich.

Was die Loyalität angeht, bin ich 100% loyal zur Firma. Seitdem ich dort arbeite sind viele Mitarbeiter gekommen und gegangen. Dieser Umstand wird zukünftig genauso sein wie es immer war :)

Hallo zusammen,

bei einer 2000er, 2003er Domäne war standardmäßig FRS als Replikationtechnik im Einsatz. Seit 2008(R2) wird auf DFS gesetzt. Mich würde interessieren, was bei einem 2008r2 DC mit FRS passiert, wenn nun ein 2016er DC integriert wird.

Läuft der 2016 DC weiterhin mit FRS oder migriert auf DFS oder wird die Hochstufung als DC verweigert?

Weiß das jemand oder hat es jemand schonmal gemacht?

Ich würde das gerne testen doch habe ich weder ein 2000er noch ein 2003er ISO File mehr :(

Speer

Also Kaspersky filtert täglich mehrere hundert schadhafte E-Mails/Web-Content etc. heraus. Ob alles wirklich schadhafter Code ist, sei dahingestellt. Um alles zu analysieren sind tägliche mehrere Mannstunden notwendig. Diesen Streß machen wir uns nicht mehr. Kommt kein Aufschrei eines Mitarbeiters, war der gefilterte Inhalt nicht wichtig. Außerdem ist die Summe des potentiell gefährlichen, aber herausgefilterten Content für unseren Chef super, für die monatliche Powerpoint Präsentation bei der GF :)

Management des Defenders funktioniert mit SCCM, hätten wir. Da wir keine Cloudanbindung haben fällt Intunes schonmal weg. Wir klopfen mal die Anforderungen ab und sehen dann weiter... :)

Was CCleaner angeht, macht eh nur das, was wir über GPO machen. Was die Registry angeht, pfeiff drauf, die paar verwaiste Einträge bei Server/Client machen den Kohl nicht fetter. Unsinniges Spielzeug...

Vielen Dank soweit für Eure Infos :)

Sorry, habe ich verwechselt, ist keine GPO sondern über manage-bde gewesen. Die GPO die ich meinte war das überschreiben des Arbeitsspeichers verhindern. :(

Also ich kenne Bitlocker nur von Windows 7 bzw. 2008R2. dort gab es eine GPO die veranlasste, nach einem Neustart nicht nach dem Passwort zu fragen.

Ohne HGS würde ich komplett auf VMs mit Bitlocker Verschlüsslung verzichten und eher meinen Serverraum absichern.

Hallo zusammen,

wir haben seit Mai einen neuen IT-Leiter bekommen. Dieser wirbelt sehr zum Verdruss der IT-Mitarbeiter an jeder Ecke herum. Wahrscheinlich um aufzuzeigen was der Vorgänger alles falsch gemacht hat...

Eine dieser Ecken ist unser AV Lösung von Kaspersky. Wir verwenden seit Jahren Kaspersky Security Center für Clients, Server und als VMAgent.

So, unser neuer IT-Leiter hat beschlossen zukünftig das Geld für Kaspersky Lizenzen einzusparen und stattdessen auf den integrierten Windows Defender mit Windows 7,10, 2012 und 2016 Client/Server und als Zusatz das Programm CCleaner einzusezten. Meine Kollegen und ich waren total baff, da der frühere IT-Leiter strenge Anforderungslisten an Produkte erstellte. Gerade bei Kaspersky war beispielsweise das integrierte E-Mail Client Add-Ins Plug In oder auch das Web PlugIn als wichtiges Muss Kriterium spezifiziert. Soweit ich informiert bin, kann das der Windows Defender nicht.

Möchte nun gerne Wissen, wer von Euch Windows Defender produktiv verwendet möglicherweise mit dem CCLeaner Programm.

Grüße an Alle :)

Hallo,

die genannten Befehle sind auch falsch geschrieben. Natürlich funktioniert das in einer Batch als Administrator ausgeführt.

change logon /query

change logon /drainuntilrestart

Powershell ist natürlich zu bevorzugen :)

Wenn es nur darum geht, heraufzufinden auf welchem Server er sich befindet ist mein bevorzugtes Tool immernoch BGInfo.

Hallo,

soweit ich es verstehe, sind bei dir Fileserver (mit Profilen) und die Session Hosts in der gleichen Site und netzwerkseitig über LAN verbunden.

Ich würde folgende Schritte tun:

a. die Berechtigungen auf beiden Servern prüfen

b. vor der Anmeldung des besagten Users, prüfen ob bereits eine Session besteht

c. den Fileserver neu booten und prüfen, ob anschließend die Fehlermeldung erneut auftritt

d. prüfen, ob der Broker korrekt funktioniert

Hi,

also ich würde den Broker immer auf einer separaten Server installieren. Es mag gehen, alles auf einer Maschine zu installieren, erfordert aber beim Patchmanagement erhöhte Wachsamkeit und Abklärung mit den App-Admins.

Wir verwenden 2 Broker im Cluster für mehrere Farmen mit rund 350 Farmmitglieder.

Muß aber jeder für sich selbst entscheiden...

Wir sichern unsere SQL Datenbanken nur noch mit Bordmitteln. Das erzeugen und auflösen der Snapshots zog bei uns die Perfomance dermaßen runter, dass es selbst die Mitarbeiter merkten und natürlich ordentlich meckerten. Auch im Ernstfall ist ein Restore mit SQL Bordmitteln deutlich angenehmer. Aber die Wahl muss jeder/jedes Unternehmen selbst treffen.

Hi,

wie viele Personen arbeiten überhaupt auf dem besagtem Terminalserver? Wie groß ist in dem Fall die Betriebssystempartition?

Ist die Outlook Verwendung festgeschrieben oder käme ggf. OWA in Frage?