Adm -MCSE

 

1. Das hängt vom Dienst ab. Hier ist eine wirklich gründliche Recherche notwendig.

   Eventuell gibt es Richtlinien (GPO oder Orga-Richtlinien), die ein bestimmtes Verhalten einfordern oder erzwingen. Diese müssten dann entsprechend angepasst werden

   Im Zweifelsfall alle Empfänger (Benutzer, Computer, DC, Switches, Router usw.) sämtlicher jemals von der CA ausgestelleten Zertifikate prüfen.

   Ein gangbarer Weg könnte sein, die Zertifikate sukzessive zu sperren. Wird nur das Zertifikat für einen Server, einen Dienst gesperrt, sind die Nebenwirkungen meistens abschätzbar und es kann im Zweifelsfall wieder ein neues Zertifikat ausgestellt werden. Die CA lebt ja zu dem Zeitpunkt noch.

2. Auto-Rollout muss deaktiviert werden. Ist keine CA vorhanden, läuft die Anforderung ins Leere und provoziert Fehler.
3. Wenn bei Punkt 1, Bestandsaufnahme und ggf. Anpassung nichts vergessen wurde ...

   Ein Plan-B sollte immer existieren ;)

Je nach Größe der Umgebung, würde ich für das Thema mehrere Wochen bis Monate ansetzen. Eine kleine Testumgebung kann auch nicht schaden.

 

Danke super Post, wir haben garkein Programm was die CA richtig benutzt. Das einzigste sind die DCs und Server die sich iHre Serverauth. und Domänenauth. und sowie Kerberosauth. auf SSL gesetzt haben.

In GPOs gibt es keine zuweissung, ausser der Auto- Rollout!

Also simpel gesagt nur Auto- Rollouts! Die Clients sind zu vernachlässigen dies Aussfääle können in Kauf genommen werden.

 

 

Moin,

• Dienste, die Zertifikate nutzen bzw. benötigen stellen ihren Dienst ein sofern sie nicht angepasst werden. (https, ldaps, vpn usw.). Eine gründliche Bestandaufnahme sollte vorher erfolgen.
• im Technet Wiki gibt es einen Artikel zum Thema:

  http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx

  Auch wenn es im Artikel nicht ausdrücklich erwähnt wird. Es sollten alle Zertifikatsvorlagen an der CA deaktiviert werden.

• Vieles.

 

Danke, folgende Fragen stellen SIch aber uns nach wie vor!

1. Was ist mit der automatischen Clientzertifizierung, Serverzertifikaten, Zertifikaten des AD's und anderen. Stellen diese sich wieder auf lokale Zertifikate zurück?
2. Muss die Automatische Zertifikation deaktiviert werden, wenn die Zertifikate für ungüldig erklärt werden?
3. Gibt es Komponenten auf den Nutzniesern der Ca die danach nicht mehr laufen könnten?

Privates Netzwerk, angebunden via 25G Glasfaser!

Wir wollen auf dem ersten DC die Rolle CA entfernen, und dies auch für die Zukunft vollständig aus unserem Unternehemen. Nun habe ich folgendes Problem.
Im AD sind ca-. 10.000 Objekte, die wir ungerne verlieren möchte.
alle 3 DC's haben ihre komunikation auf Zertifikate umgestellt. Die Server haben sich alle ein Serverauthentifizierungszertifikat besorgt. Ein paar Benutzer sowie Cleints auch.

Kurze Übersicht:

IST:

3 Domänenkontroller

DC-1   : DNS;CA

DC-2   : DNS;DHCP

DC-3   : DNS

SOLL:

DC-1   : DNS                                    "soll erneuert werden, also komplett aus der Domäne verschwinden und umbenannt werden"

DC-2   : DNS; DHCP

DC-3   : DNS

Meine Fragen:

1. Was kann passieren?
2. Wie ist es am besten zu lösen?
3. Was ist zu beachten?

Bitte beachten Sie bei Ihrer Hilfe, das wir nur Basiswissen über CA's besiitzen.

Vielen Dank im Voraus für Ihre Mühen

Prüf mal auch die Einstellungen des TCP/IP-Stacks an Client und Server. Nicht dass da jemand das Offloading oder TCP Window Scaling deaktiviert hat. Das wäre extrem kontraproduktiv.

 

Dazu einmal checken, ob die Netzwerktreiber aktuell sind und dann mit netsb einen Reset des TCP/IP-Stacks machen.

Einstellungen sind in Ordnung, Netzwerkkarten Treiber aktuell! Reset des Stacks bleibt ergebnislos.

Prima Idee... Das heißt, daß bei jeder Anmeldung die Drucker erst gelöscht und dann neu installiert werden. Und dabei wird auch der Treiber neu installiert, selbst wenn er schon vorhanden war... :eek:

Dies sollte ja doch aber kein Problem darstellen, wenn der Druckserver im Inner Lan steht oder?

20 Clients hinter DSL mit Druckermappings von einem Server? Hast Du hier "Aktualisieren" oder "Ersetzen" eingestellt?

 

Beim Diagnostizieren der GPO-Verarbeitung hilft Dir übrigens http://www.sysprosoft.com/policyreporter.shtml hervorragend weiter :cool:

Ersetzen wird zum größten Teil benutzt.

WINS kann auch bei Windows 7 - gerade in gerouteten Netzen - weiterhin sinnvoll sein. Dann aber richtig konfiguriert: http://www.faq-o-matic.net/2004/10/23/wie-sollte-wins-konfiguriert-werden/

 

Die Bootprotokollierung und xbootmgr sollten Dich auf die richtige Spur bringen.

WINS Einstellungen sind wie beschrieben, 2. WINS Server IP aus den Einstellungen entfernt!

Bootprotokollierung geplant für nächste Woche...

Moin,

 

beim DC sind die DNS-Server "über Kreuz" eingetragen, das ist OK. Nimm aber bei den DCs den sekundären WINS raus und stelle nur die eigene IP-Adresse dort ein, sofern der betreffende DC WINS-Server ist. (Und: Nicht mehr als 3-5 WINS-Server insgesamt, sonst ohne MS-Consulting nicht supported.)

 

Die Client-DNS-Konfig sieht auch soweit gut aus (wenn sie flächendeckend so ist). Aber da ist kein WINS eingetragen - wieso? Wenn man WINS nutzt, dann müssen alle es nutzen, sonst ist es sinnlos.

 

Auf der Ebene also zunächst kein rauchender Colt.

 

Gruß, Nils

Die Wins Server sind kurz vor dem Abriß, bei den Clients wird  nur noch via DNS geredet! (Ab Windows 7).

Da einer der Domänencontroller auf eine neue Hardware kommt, werden in dem Zusammenhang auch die Wins Server gelöscht.

Moin,

 

deine Antworten zeigen, dass du dich auf einige Dinge verlässt - du solltest sie aber in deiner Situation überprüfen.

 

Für DNS etwa:

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]

http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/      //Genau so wie es dort beschrieben ist ist es erstellt worden "DNS")

 

Beim Routing meine ich weniger das WAN-Routing, das wird ja für alle gleich sein. Relevant wäre hier, die tatsächlichen IP-Konfigurationen der Clients zu überprüfen. Gerade bei automatischen Installationen übersieht man manchmal Fehler, weil man sich auf die Automatik verlässt.

 

Bei den GPOs können sich auch viele Probleme verbergen. Oft sind es "versteckte Timeouts", weil sich z.B. Namen im Netzwerk geändert haben oder so.

 

Bei den Treibern wäre ggf. zu prüfen, ob es mit der verwendeten Version Probleme gibt - besonders, wenn es viele Clients mit derselben Hardware gibt.

 

Logging: Bevor du irgendwas hochdrehst, verdienen die vorhandenen Protokolle einen näheren Blick. Schau dir vor allem im Zweig Anwendungs- und Dienstprotokolle mal das Protokoll Microsoft/Windows/Group Policy näher an.

 

Eine ganz gute Übersicht über Troubleshooting-Techniken bei Start und Anmeldung findest du auch hier:

 

[What’s Taking So Long? How to Fight Slow Startup Times in Windows 7 >> IT Expert Voice]

http://itexpertvoice.com/home/what%E2%80%99s-taking-so-long-how-to-fight-slow-startup-times-in-windows-7/

 

Gruß, Nils

Wegen bootlogs und anderen Tests bin ich erst die Woche vor Ort, in einer Außenstelle.

Habt ihr im Active Directory Standorte und Dienste alle Standorte und Subnetze korrekt eingerichtet und konfiguriert?

Betreiben im Moment nur noch 2 DC's in der Zentrale

Posta mal ipconfig /all von Client und Server. Nutzt ihr einen öffentlich verwendeten Domänennamen? Hast Du du Bootprotokollierung mit MSCONFIG schon genutzt?

Für lange Loginzeiten kannst Du den Process Explorer oder xperf und xbootmgr aux dem Windows Performance Toolkit zur Analyse nutzen: http://blogs.technet.com/b/markrussinovich/archive/2012/07/02/3506849.aspx und http://www.wintotal.de/windows-performance-toolkit-macht-mudes-windows-wieder-munte

Wir benutzen keinen öffentlichen Domänennamen!

Nein habe ich noch nicht ist aber geplant, danke für den Tip war mir entfallen......(msconfig Bootprotokollierung) 

Das tTolkit müsste ich mir mal anschauen

IPCONFIG /ALL "DC"

IPCONFIG /ALL "Client"

Danke für das Willkommen!

• Ist die Namensauflösung korrekt eingerichtet? zu 99% denke ich das DNS i.O. ist, es stammt aber noch von WS 2003 Domänencontrollern, und ist von mir via Hand eingerichtet.
• Stimmt das Routing? das Routing wird vom MPLS Provider gemanagt, obwohl ich hier nicht weiß ob es i. O. ist das manchmal das Transportnetz im Ping auftaucht, beim Neustart z Bsp.
• Führen die Clients bei der Anmeldung irgend etwas aus, das Timeouts erzeugt? die Clients führen nichts bei der Anmeldung aus außer die GPO`s 
• Gibt es weitere Auffälligkeiten in den Eventlogs? Hauptsächlich die GPClient Timeouts 
• Sind die Clients auf aktuellem Patchlevel? JA via WSUS
• Sind die Treiber aktuell? JA, das Pänomen tritt nach kompletten Umstellungen auf. Wobei die Rechner via WDA neu installiert sind
• Sind erweiterte Debug-Logs eingerichtet? Wenn ja, was fällt dort auf? Nein es sind keinerlei Debug- Logs eingerichtet, welche sollten hier aktiviert werden?

Was ich noch nicht ganz durchschaue ist, das Windows XP sich problemlos verhält in der selben Umgebung!

Hallo,

Wir haben eine sehr große vernetzte Unternehmensstruktur und setzen seit kurzem Windows Server 2008 R2 Domänencontroller und Windows 7 ein.
Die Domäne ist ursprünglich eine Windows 2003 Domän.

Einige Informationen:

Hauptstelle : 2 DCs

Hauptstelle angebunden via 25 G Standleitung

2 Netzwerkbereiche (Arbeitsnetzwerk/ Servernetzwerk)

----------------------------------------------------------------------------------------

Nebenstellen alle angebunden via ADSL Telekom 6000- 16000 Kbit/s

Bis zu 20 Clients pro Außenstelle

Benutze GPO Einstellungen Hauptsächlich:

• Laufwerksmappings
• Druckerverteilung
• Verknüpfungen auf Desktop hinzufügen
• kleinere Anpassungen Windows 7 (Bibliotheken .....)

Anmeldezeiten von optimal 1,9 Minuten- 5 Minuten

Latenzen bei Last im über WAN relativ hoch!

Fehler IDs der Clients:

selten Netlogon 5719 "Anmeldeserver nicht gefunden"

sehr Häufig GPClient 6006 "180 sekunden ......."

Problem besteht nur bei Windows 7, bei Windows XP sehr schnelle Anmeldungen.

Ich benötige Dringen Hilfe um diese Problem abzuschalten!

Dankeschön im Voraus  :)