Robinho1986

Gerade eben schrieb testperson:

Hi,

 

was kostet denn der Betrieb der lokalen Printserver vs. was kostet das längere Warten auf den Ausdruck? ;)

 

Gruß

Jan

ich weiß, auf diese Diskussion werde ich es wohl ankommen lassen müssen. Zentral redundante Server sollten wohl genügen. 

vor 5 Minuten schrieb BOfH_666:

Wow.

das ist hier leider ein ganz ganz großes Problem für die Anwender 

pro Standort ca. 20 Drucker und ca. 50 Clients. VPN Anbindung mit genügend Bandbreite ist in die Hauptverwaltung gegeben. Dennoch dauert der Druck ca. 10 Sekunden länger, wenn alles zentral über den Hauptstandort läuft. 

vor 18 Minuten schrieb Squire:

wieviele Clients hast Du vor Ort? Software Verteilung im Einsatz? Wie schaut das Umfeld aus ... Virtualisierung?

 

Kostenlos ... ne Linux Büchse mit CUPS und entsprechenden Samba Share ... Kostenlos aber muss auch gewartet werden

im Schnitt 20 Drucker und 50 Clients, Softwareverteilung wird gerade auf INTUNE umgestellt. 

Morgen zusammen,

gerne würde ich diverse Windows Server an Außenstandorten abschaffen, diese werden lediglich aufgrund des installierten Print Service Dienstes am Leben gehalten. 

Gibt es vernünftige kostenlose Alternativen? 

Filialdruck ist keine Alternative, diese Option funktioniert nicht optimal. 

Kurzer Brainstorm sollte helfen :) 

Danke lg!

Am 18.3.2024 um 12:44 schrieb testperson:

Hi,

 

du würdest vermutlich in die Dokumentation gucken, wenn diese (vollumfänglich) vorhanden wäre. ;) Dann nutze die Gegebenheiten jetzt und dokumentiert alles.

 

Gruß

Jan

korrekt. Danke nochmal für alle Eure Infos, mit dem Input kann ich definitiv starten!

Eine Frage zu einem konkreten Beispiel hätte ich dennoch. Es existiert ein Berechtigungskonzept auf einem Fileserver, soweit so gut.

Dennoch ist in jedem Ordner die Gruppe der Domänenadmins mit Vollzugriff eingetragen, Besitzer ist der lokale Admin des Servers.

Würdet Ihr das ändern? 

Am 13.3.2024 um 10:58 schrieb NilsK:

Moin,

 

fangen wir doch mal vorne an - wie groß ist denn das Netzwerk überhaupt? Jede Maßnahme muss ja auch angemessen sein.

 

Gruß, Nils

 

Hallo, 

wir reden von ca. 70 Windows VMs und ca. 500 Mitarbeitern. 

vor 16 Stunden schrieb toao:

Hi Robinho1986,

 

zum Thema "Wo wird der Domain-Admin genutzt" ein paar potentielle Anwendungsbereiche:
- Scheduled Tasks

- Local Services

- IIS Application Pool

- Scripts, batches

- Tools, Applications

 

Richtig, dass alles solltest Du versuchen mit einem Script abzufragen.  Zusätzlich könntest Du auch etwas über die nachfolgenden Windows EventIDs (auf den Domain Controllern) herausbekommen (auch mit ins Script einarbeiten):

Kerberos:

4768: A Kerberos authentication ticket (TGT) was requested.

4769: A Kerberos service ticket was requested.

4770: A Kerberos service ticket was renewed.

NTLM:

4779: The computer attempted to validate the credentials for an account.

*Bitte prüfe ob das Auditing zumindestens für die oben genannte EventID's, bei Euch entsprechend eingerichtet ist.

 

Du erhälst in allen EventIDs zwar nicht den genauen Prozess, Service serviert, jedoch die IP-Adresse(Hostname) des Endsystems. Quasi ein Anfang um weitere Nachforschungen durchzuführen.

 

Sobald es ans eingemachte geht, den Domain-Admins gegen einen Service-Account zu tauschen, bitte favorisiere als Service-Account immer einen MSA/GMSA (object class ms-DS-Group-Managed-Service-Account) wo immer es geht und nicht einen Service-Account auf Basis der object class: user.

 

Je nach Größe des Unternehmens, kannst Du damit sicherlich ersteinmal ordentlich zu tun haben.

 

Das Tiering- und Delegation Model würde ich sagen ist nie verkehrt. Da müsst Ihr schauen welche Kapazitäten ihr habt das parallel laufen zulassen , wie versiert Ihr mit der Delegierung von Berechtigungen im AD seid und einiges mehr. Da kann man sich schnell verlieren und soetwas muss sorgfältig geplant und durchgeführt werden.

 

Viel Erfolg beim Aufspühren der Nutzung des Domänen-Admins in den nächsten Tagen und Wochen :)

 

Toao

 

 

 

Vielen Dank für die ausführliche Antwort. Ich habe schon vermutet, dass es kein Tool oder Patentrezept geben wird. Ich denke das wichtigste ist, erstmal anzufangen.

Jeder Schritt wird einen Mehrwert an Sicherheit bringen. Wir werden uns nun erstmal einen Schlachtplan entwerfen. 

Hallo zusammen,

ich stehe vor der Herausforderung in einer gewachsenen Domänenstruktur die Sicherheit im Bezug auf einen bekannten Domänen-Admin zu erhöhen. 

Vermutlich sind viele Anwendungen / Dienste vor geraumer Zeit mit genau diesem implementiert worden. Aktuell stellen wir uns die Frage, wie wir am besten vorgehen und was das Ziel sein sollte.

Folgend meine Ideen und Gedanken: 

1. Grundsätzlich sollte die Domänenadmin-Gruppe NUR den Domänenadmin enthalten

2. Im besten Falle kann ich per Skript und Co. alle Dienste auslesen und erkennen, worin der User enthalten ist

3. Sukzessive stellen wir alle Applikationen auf eigene entsprechend berechtige User um

4. Die Einführung eines TIER Modells sollte das Ziel sein?!

5. LAPS haben wir bereits eingeführt

Hat jemand Erfahrungen bei dieser Thematik und kann eventuell gute Tipps und Ideen dazu beitragen? 

Vielen lieben Dank im Voraus! 

Thema hat sich erledigt!

Morgen zusammen, 

aktuell setzen wir 2x Server 2019 als Domänencontroller ein und Firewalls von PaloAlto.

Bei diesen haben wir das Transport Protocol von WIM auf WINRM HTTPS umgestellt. 

Seitdem haben wir erhebliche Performance-Probleme auf den Domänencontrollern.

Diese sind zu 100% ausgelastet, den größten Teil nehmen folgende Dienste ein. 

Ich nehme an, dass die Anzahl der Anfragen einfach zu hoch ist, gibt es vielleicht jemanden, der diese Problematik kennt und vlt. auf die Schnelle eine Idee zur Optimierung hat?

Wie immer, vielen Dank im Voraus! Weitere Infos kann ich gerne nachliefern. 

Zur Info, die Migration hat super geklappt. Einige Fehler konnte ich im Vorfeld in der Testumgebung schon sehen und im produktiven Betrieb direkt lösen. 

Werde mich als nächsten wohl mit dem Thema KB5008380—Authentication updates (CVE-2021-42287) auseinandersetzen müssen. 

Danke für die Unterstützung!

vor 3 Minuten schrieb NorbertFe:

Genau das wäre sicherlich die sauberste Lösung, die beide Anforderungen (Namen/IP und Verfügbarkeit/Redundanz) vernünftig zu geringen Kosten erfüllt.

Blöde Frage zu der Lösung: 

Damit ist also folgendes gemeint:

DC3 Server 2019 installieren und als DC hochstufen

DC2 vollständig aus der Domäne entfernen 

DC2 als Server 2019 wieder installieren und als DC hochstufen mit altem Namen und IP

DC1 vollständig aus der Domäne entfernen 

DC1 als Server 2019 wieder installieren und als DC hochstufen mit altem Namen und IP

DC3 vollständig aus der Domäne entfernen

Ich nehme an mit aktualisieren meint man kein IN-Place Upgrade? xD

nochmal danke für die angeregte Diskussion. Hier ist es so, dass viele Geräte die IPs für DNS hart eingetragen haben. 

Ich habe aktuell die Systeme in einer Testumgebung und werde es nun einmal durchspielen.

Mir wäre wichtig, dass es am Ende zwei DCs mit den aktuellen IPs gibt.

Zu diesem Ziel führen scheinbar viele Wege. 

Ich glaube ich habe mich etwas falsch ausgedrückt. Ich versuche es nochmal.

Aktuell laufen 2x DCs 2012 R2. In der Theorie könnte ich vor der Migration einen davon bereits komplett aus der Domäne entfernen, sodass nur noch ein Server 2012 R2 läuft. Dann würde ich einen neuen Server 2019 installieren in die Domäne aufnehmen und die Rollen verschieben. Sobald der neue Server 2019 läuft, würde ich dann einen weiteren 2019er aufsetzen. 

Ein In-Place Upgrade würde ich nicht durchführen. 

Danke für die Rückmeldungen! Eine Frage habe ich noch.

Aktuell laufen 2x DCs 2012 R2. Macht es Sinn den zweiten, welcher NICHT die FSMO Rollen beherbergt, vorher komplett aus der Domäne zu entfernen und dann den einzelnen zu migrieren. Anschließend würde ich dann wieder einen zweiten redundanten DC aufsetzen. 

Gerne würde ich eine Domäne mit 2x Server 2012 R2 auf Server 2019 / 2022 aktualisieren.

Die Schritte die eine Migration erfordern sind mir bekannt. Allerdings befindet sich in der aktuellen Domäne noch ein Exchange Server 2016 und ich versuch aktuell zu ergründen, welche Hürden da auf mich zukommen werden, gerade in Hinblick auf heraufstufen der Funktionsebenen und Co.

Habe schon gesehen, dass Server 2022 mit on prem Exchange 2016 nicht supported wird!

Exchange Server supportability matrix | Microsoft Docs

Würde von daher erstmal auf Server 2019 gehen. Gibt es denn Dinge, die ich bei der Migration der Domäne in Hinblick auf Exchange 2016 beachten muss?!

Das Ganze werde ich natürlich vorab in einer Lab-Umgebung durchspielen mit exportierten produktiv Servern.

Vielen Dank vorab!

Morgen zusammen,

aktuell haben wir ADBA auf einem Server 2012 R2 laufen mit entsprechender Aktivierung. Gerne würde ich Server 2022 aktivieren und ich meine gelesen zu haben, das geht nicht mehr mit ADBA auf Server 2012 R2.

Leider habe ich mich mit diesem Theme nie beschäftigt. Wie wäre an dieser Stelle das beste Vorgehen?

ADBA paralell auf einem neueren Server aufsetzen?

ADBA von 2012 R2 zu 2016 oder neuer migrieren?

Vielleicht kann mir jemand ein paar nützliche Tipps geben, vielen Dank im Voraus!

Hat denn niemand eine Idee? Aktuell ist es sogar so, dass wir täglich immer mehr tote Sessions bekommen, die sich nicht abmelden lassen.

Morgen zusammen,

wir haben einen PrintServer für Drucker und setzen in der RDP-Umgebung RemoteApps ein, aktuell verbinden wir die Drucker per GPO, damit diese in den Sessions verbunden werden.

Leider ist es so, dass dieses Konstrukt in der letzten Zeit immer wieder zu Problemen führt und sich Drucker nicht mehr verbinden und es zu Fehlern kommt.

Gibt es eine bessere Alternative? Vielleicht hat jemand ein paar Tipps und Stichwörter für mich, vielen Dank im Voraus!

Hallo zusammen,

folgende Umgebung steht bereit:

2x RDP Connection Broker (unterschiedliche)

4x Sammlungen

7x RDP Hosts

seit heute morgen ist es so, dass sich teilweise BESTIMMTE Benutzer nicht anmelden können und die FM erhalten, die Remotedienste wären ausgelastet.

Seit der letzten Nacht sind auf allen RDP Servern folgende Fehlermeldungen in den LOGS zu sehen.

Die Installation der Standardverbindung wurde abgebrochen. Standardverbindungen können nicht auf Systemen verwendet werden, die Teil einer Bereitstellung mit Remotedesktopdiensten sind.

Fehler beim Übergang von "Disconnected" in Reaktion auf "EvLogon". (Fehlercode: 0x800708CA)

Fehler beim Senden der disconnect (17)-Nachricht an das Windows-Videosubsystem. Der relevante Statuscode lautete 0xD0000001.

Der Fehler Die Installation der Standardverbindung wurde abgebrochen. Standardverbindungen können nicht auf Systemen verwendet werden, die Teil einer Bereitstellung mit Remotedesktopdiensten sind.

tritt auch alle paar Minuten bei schon bereits eingeloggten Usern auf.

aktuell stochern wir komplett im dunkeln.

vor 3 Minuten schrieb testperson:

Hi,

 

hast du mal die NTFS Rechte der Icons / des Ordners gechecked?

 

Gruß

Jan

ja das habe ich bereits. Selbst wenn ich per rechter Maustaste eine Verknüpfung anlege und mir ein Symbol manuell auswähle, bleibt dieses weiß!

Hallo zusammen,

die Icons, welche sich im Public Desktop Folder befinden oder neu lokal im Profil angelegt werden, sind weiß. Eingesetzt werden Server 2016 mit FSLogix.

Problem tritt auch auf wenn ich mich mit einem User anmelde, welcher ein lokales Profil hat. Ändere ich das Symbol eines Icons manuell, passiert ebenfalls nicht.

Die gesamte Taskleiste und das Startmenü zeigen ebenfalls NUR weiße Symbole an.

Ich habe bereits IconCache gelöscht, Size erhöht und Profile neuerstellt, ich bekomme das Problem nicht gefixt. Hat jemand eine Idee?

Gerade eben schrieb cj_berlin:

Weil das unter 2008R2 so war  

ja und da habe ich das zuletzt einen aufgesetzt! Nun läuft es! Vielen Dank!

Die Frage wäre, warum es zu einer Zertifikatsfehlermeldung kommt, wenn ich den RoundRobin DNS-Eintrag anspreche. Mein erstelltes Zertifikat habe ich entsprechend überall verteilt. Die DNS Namen ALLER relevanten Server sind als alternative DNS Namen im Zertifikat hinterlegt.

Ich habe die WebServer Vorlage entsprechedn dupliziert und dafür verwendet, natürlich habe ich als Erweiterung Serverauthentifizierung hinzugefügt.

Gehe ich per MSTSC direkt auf einen der Server, kommt keine Fehlermeldung.

Hallo zusammen,

ich habe eine neue RDP Umgebung mit folgenden Server aufgebaut.

1x Connection Broker, WebAccess

2x RDP Hostserver (LoadBalance)

ich habe die Umgebung komplett durchkonfiguriert, bis auf blöde Zertifikatswarnmeldungen funktioniert auch alles. Aber da komme ich einfach nicht weiter!

Ich habe bei unserer internen CA das WebServer Zertifikat geklont und entsprechend angepasst. Ich habe alle relevanten DNS Namen zuätzlich eingetragen, inklusive des LoadBalancing DNS Namens.

Dieses Zertifikat habe ich den Rollen auf dem Broker zugewiesen. WebAccess funktioniert ohne Probleme. Das Zertifikat habe ich auch auf den SessionHosts ebenfalls unter "eigene Zertifikate" hinterlegt.

Spreche ich nun per mstsc den RoundRobin DNS Namen an, kommt es für den SessionHost zu einer Zertifikatsfehlermeldung! Ich versteh es einfach nicht ;(