daabm

Der PW-Reset ändert ja auch nichts an Problemen in der technischen Infrastruktur  Was DNS mit der Uhrzeit zu tun hat, kann ich grad nicht nachvollziehen. Was liefert denn in cmd.exe ein

klist purge & klist get host/%computername%

auf dem problematischen Client in dem Moment? Und man kann auch das Kerberos-Logging ein wenig hochdrehen - https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/enable-kerberos-event-logging

(würde ich in dem Fall erst mal nur auf ein paar Clients machen)

#0 ist das TGT, #1 ist das TGS für den Client.

Aktuelle Anmelde-ID ist 0:0x1818c1
Ein Ticket f?r host/<Clientname> wurde erfolgreich abgerufen.

Zwischengespeicherte Tickets: (2)

#0>	Client: <Username> @ <Domain-FQDN>
	Server: krbtgt/<Domain-FQDN> @ <Domain-FQDN>
	KerbTicket (Verschl?sselungstyp): AES-256-CTS-HMAC-SHA1-96
	Ticketkennzeichen 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize 
	Startzeit: 9/2/2025 17:41:24 (lokal)
	Endzeit:   9/3/2025 3:41:24 (lokal)
	Erneuerungszeit: 9/9/2025 17:36:30 (lokal)
	Sitzungsschl?sseltyp: AES-256-CTS-HMAC-SHA1-96
	Cachekennzeichen: 0x1 -> PRIMARY 
	KDC aufgerufen: <DC-FQDN>

#1>	Client: <Username> @ <Domain-FQDN>
	Server: host/<Clientname> @ <Domain-FQDN>
	KerbTicket (Verschl?sselungstyp): AES-256-CTS-HMAC-SHA1-96
	Ticketkennzeichen 0x40a10000 -> forwardable renewable pre_authent name_canonicalize 
	Startzeit: 9/2/2025 17:41:24 (lokal)
	Endzeit:   9/3/2025 3:41:24 (lokal)
	Erneuerungszeit: 9/9/2025 17:36:30 (lokal)
	Sitzungsschl?sseltyp: AES-256-CTS-HMAC-SHA1-96
	Cachekennzeichen: 0 
	KDC aufgerufen: <DC-FQDN>

Ich werfe dann noch mmc.exe mit dem gpedit Snapin in den Raum, das macht das mit den lokalen Richtlinien noch mal etwas komplizierter  Sollte man schlicht abschalten - https://gpsearch.azurewebsites.net/#318

Dann weiß man immer, wo man zuerst suchen muss.

Am 27.8.2025 um 19:37 schrieb NorbertFe:

Männerspielzeug OpenDTU

Nachtrag: Geht nicht mit den HMS-800W-2T Wechselrichtern. Problem ist das "W" - die haben WLAN und die DTU ist integriert bzw. gibt es nicht mehr.

@MurdocX Das sind eigentlich Camper-Module (WoMo-Dach) - weder das Garagentor noch der Gartenzaun eignen sich für "normale" Module, die sind viel zu breit. Oder zu lang. Oder zu schwer...

https://1drv.ms/i/c/dfb9cfbc79e75468/ESHS8Y3iDBtFhko6wx2-pUQByHuiCoSFIN8DoJxvi9yJqg?e=Tu1NLL

https://1drv.ms/i/c/dfb9cfbc79e75468/ETD0jj_3NxZNg7pqEy02fn0BBLcuwCkw-5McTvkDlZ0DYg?e=nm4i0o

https://1drv.ms/i/c/dfb9cfbc79e75468/EWI5Wh_88ApChAlbpcV4O2kBBu81x8zoQHd4VrHXcO335g?e=rDexQS

https://1drv.ms/i/c/dfb9cfbc79e75468/Ee8TURYNyt5AsRKqDam1_o8B8YyjHl74idXux99LQcPlZw?e=nkbaZf

https://1drv.ms/i/c/dfb9cfbc79e75468/EUX-dp1vrHVOoolaI-fhZ4UB5DUpIt8tO-1I2HXRne-gog?e=GCUFMD

Ich hoff mal daß die Links funktionieren. Gekauft bei Aliexpress - in Deutschland gibt's so was schlicht nicht. Oder nur zu homöopathischen Preisen...

Mehr Rendite als bei nem BKW kriegst grad nirgends. Stuttgart fördert die auch noch mit 200,- -> effektive Kosten unter 200,-... "Nobrainer" ist glaub das Buzzword dafür  Und die Panels sind bei Aliexpress halt echt billig.

Ne, aber das brauch ich auch nicht. Entweder es produziert oder halt nicht - mit den paar Watt brauch ich hier nix xteuern, das versinkt im Grundverbrauch.

Am 22.8.2025 um 18:02 schrieb NorbertFe:

Beste Voraussetzungen also. 😆 welche wr nimmst du?

HMS-800W-2T - gibt's gelegentlich für unter 100,-. Keinen Bock auf Experimente mit Aliexpress, wo die 2-MPPT-Dinger auch nicht weniger kosten, aber dubiose Backends dahinter stecken.

So sieht das am Garagentor jetzt aus. Kabel alle von den MC4-Steckern befreit, durch ein 6mm-Loch nach innen in nen Kabelkanal auf Höhe der Lücke zwischen den Panels gesteckt. Oben und unten jeweils in Reihe, die zwei dann parallel.

WAF hat jedenfalls funktioniert  

vor 18 Stunden schrieb NorbertFe:

Und wieso zwei WR? Verschiedene Wände?

Jepp. Garage und Zaun. 15 Meter auseinander. An die Garage kommen 800w, an den Zaun 700. Die Panels sind 100w 900x530mm 18v/6A flex (Montagesituation ist schwierig  - Standardpanels passen nirgends, und Verschattung ist auch ein Thema.)

Bräuchte man jetzt jemand mit Source Code Zugriff und -Verständnis, der prüfen kann, ob der RPC-Listener auch noch "Code dahinter" hat, der auf was reagiert... Oder ob die Firewall nur noch den Listener registriert, der aber auf nix antwortet.

Wenn er mit dem Test-TcpPorts den RPC-Port sieht, muss er wohl offen sein - ich hoffe ja, das war "remote" und nicht lokal  

Hier trübe und feuchtwarm... Heute Balkonsolar 1,6 kWp bestellt (DYI mit 2 gedrosselten MWR, bei senkrechter Montage kommt nicht besonders viel raus).

Das ist dann seltsam... Kann ich jetzt spontan leider nicht erklären  Die Portnummer ist wurscht, das ist RPC-Highport, die sind "random" ab 49152 aufwärts. Evtl. findest Du in nem Wireshark-Trace was, den Du auf dem Client mitschneidest, wo Du die MMC aufrufst. Mein Skript gibt leider "out of the box" die RPC Interface GUIDs nicht aus, hat sie intern aber. Vielleicht haben sie die GUID in 24H2 geändert, ich weiß es nicht.

# for hex 0x6d9 / decimal 1753 :
  EPT_S_NOT_REGISTERED                                          winerror.h     
# There are no more endpoints available from the endpoint
# mapper.
 

Da gibt's keinen RPC-Listener... Kannst ja mal lokal und remote schauen, ob Du was findest: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1

.\test-tcpports.ps1 -computer <IP-Adresse> -Ports 135 -IncludeEPM

Da sollte ein RPC Highport auftauchen, der was mit Firewall im Namen hat. Kann Dir leider kein Beispiel dafür anbieten, hier läuft nix mehr "vor 24H2".

Wir haben über 20 Domänen, die alle identische GPOs haben. Und zwar wirklich identisch - identischer Inhalt - keine Migrationstabellen. Das geht schon, wenn man sich ein wenig mit Zielgruppenadressierung beschäftigt und dann im Inhalt der GPOs etwas von Administrative Vorlagen weg und hin zu Preferences - Registry geht. Ebenso weg von Restricted Groups und hin zu Preferences local users and groups.

Und dann redet man noch ein wenig mit den OS-Deployment-Leuten und läßt sich ein paar hilfreiche Umgebunsgvariablen erstellen - die eignen sich auch hervorragend für Zielgruppenadressierung.

Zum Einstieg: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Du hast nen Streifen, der auf beiden Seiten eine bestimmte Fläche hat. Die Überlappung geht auf beiden Seiten davon weg. Ich verstehe das Problem grad auch nicht  Die Dehnung/Stauchung durch das Verbiegen gleicht sich dabei - bei gleichmäßig flexiblem Material - vollständig aus, weil die Materialmitte (sowohl in Quer- als auch in Längsrichtung) immer gleich lang bleibt. 

vor 8 Stunden schrieb StRe:

 

Es tut m. E. nichts zur Sache, welcher Logonserver (wir haben 2) genutzt wird. 

 

%logonserver% hat aber mal gar nichts mit GPO-Verarbeitung zu tun. Funktioniert Deine Sysvol-Replikation? Ich hab dazu auch was geschrieben  https://github.com/daabm/PowerShell/tree/master/Modules/GetGPVersionMismatch

Was auch immer "temporäres Profil" mit "GPOs werden nicht angewendet" zu tun hat... Und "nicht möglich" ist auch eine sehr sparsame Fehlerbeschreibung.

gpresult /h report.html ist da meistens ziemlich hilfreich.

"Wegignorieren" wäre ne valide Lösung  

So gesehen - ja, PDF ist keine Druckersprache mehr, sondern schon eine ausgewachsene Sandbox  

"Stack" zeigt Dir die DLLs an, die der Prozess geladen hat. Da sollte irgendwas dabei sein, was nicht zu Windows gehört  

Bei mir taucht da z.B so ne lustige E_YLMBOBE.DLL auf, die von Seiko Epson ist - kein Wunder, ist auch ein Epson-Drucker hier... (Anzeige ist etwas b***d, Symbols sind nicht konfiguriert, aber sollte verständlich sein)

Creator-Owner ist wer?

Am 23.7.2025 um 22:17 schrieb Damian:

Ist die blaue Tür à la "Notting Hill" das Projekt oder das, was sich dahinter verbirgt? 

Das war das aktuelle Projekt - dahinter kommt ein Gewölbekeller mit ca. 25 m². Ich hätte die Tür gern "natur" gelassen, aber die wurde im 2. Weltkrieg schnell zusammengezimmert. Kern ist Massivholz, aber die Fronten sind Faserplatte. Und "austauschen" ist nicht ganz so einfach, weil die Schließriegel eine bestimmte Dicke voraussetzen, die sind nicht einstellbar. Im Keller gibt es ansonsten auch kein Holz, das war so die einfachste Lösung. Gescheite Folie, wenn's nicht mehr gefällt "Fön, abziehen und neu aufziehen"... Würde ich bei so einer Fläche immer der Lackierung vorziehen.

Am 23.7.2025 um 20:05 schrieb NorbertFe:

Du beschreibst grad das Klima im Keller? 😆

Nein - in der Tat ist es im Keller grad kühler und trockener (!) als draußen.

@testperson "problem for future Matt"?

Anders formuliert: Man kann eine Unternehmenswebseite intern (!) nicht unter dem gleichen Namen bereitstellen, den die Domäne hat. Außer auf jedem (!) Domain Controller läuft ein Reverse-Proxy, der das zum "richtigen" Ziel durchschiebt. Aber das will man auch nicht - ein DC ist ein DC ist ein DC.

Am 25.7.2025 um 16:49 schrieb NB-Katta:

Ich hatte sie tatsächlich als für Computer definiert statt für Nutzer. Ich habe sie nun für Benutzer definiert und habe dadurch ein neues Problem. Beim Anmelden am Terminalserver heisst es:

 

Sie sind mit dem Remotecomputer verbunden, doch aufgrund eines Fehlers beim Starten eines Erstbenutzerprogramms werden Sie abgemeldet.

 

Wie finde ich nun heraus, welches Erstbenutzerprogramm das ist? In der Ereignisanzeige finde ich nichts auffälliges.

Müsste man jetzt wissen, was Du in deiner SRP-GPO so alles verboten hast. Wenn explorer.exe nicht gestartet werden kann, dann war's das mit der Anmeldung   Das ist einer der Haken von SRP - kein gescheites Logging.

Sorry, schon lang kein W10 mehr gesehen... :-( Kannst ja mal mounten und gucken, was da so drin rumlungert.