screamager

vor einer Stunde schrieb kamikatze:

Bei mir läuft es jetzt ohne Fehler. Also alles gut bei mir.

Moin!

Erst ja - aber dann stoppt der fms (Microsoft-Filterverwaltungsdienst). Oder ist der obsolet wenn das Malwarescanning auf dem Exchange deaktiviert ist?

Grüße, Rüdiger

vor 20 Stunden schrieb Weingeist:

Ist lizenztechnisch sowieso problematisch wenn dann die Arbeitsplätze auf welchen Pro Plus nicht lizenziert ist, sich auf den RDS-Server verbinden können und schlimmer, auch noch tun wo ProPlus installiert ist. Ziemlich heikles Thema und beliebt für die Prüfung.

Wenn nachweisbar ist, dass das Office nur bestimmte Gruppen nutzen (AppLocker) geht das durch (hatte ich letztens).

Vermutlich aber im Fall der Fälle auch abhängig von der Prüfungsgesellschaft.

Grüße,

Rüdiger

vor 25 Minuten schrieb Dukel:

Nicht die Browserversion.

Dann sieht es bitter aus..  - evtl. Browser content redirection.

Aber das ist viel hätte, hätte...

Mehr Infos zur Infrastruktur und was geht/erlaubt ist wäre wohl hilfreich.

Grüße,

Rüdiger

Teams geht auch im Browser.

Terminalserver ist hier allerdings eine Spaßbremse falls nicht Citrix mit Optimierung verwendet wird.

Grüße,

Rüdiger

vor 16 Minuten schrieb djdanby:

 

Und hier der Versuch mit robocopy
 

@echo on

robocopy C:\Programme (x86)\Steam\steamapps\workshop\content\387990\2251509391\ H:\ScrapMechanic\ /E /COPYALL

pause
exit

Beides funktioniert nicht. Xcopy kopiert die Dateien/Ordner nicht, sagt aber das sie kopiert wurden. Und roboycopy haut mir immer den Fehler "Ungültiger Parameter # 3 raus.

Die Dateien im Zielordner sollen komplett überschrieben werden.

Was mache ich falsch?
 

robocopy wäre hier schon passend.

Versuch mal die Pfade in Anführungszeichen zu schreiben - da ist ein Leerzeichen drin.

Grüße, Rüdiger

Am 10.10.2019 um 00:14 schrieb Wolke2k4:

Hallo,

 

mich würde interessieren, wie ihr aktuell eure Exchange Umgebungen aus dem Internet absichert, wenn ihr den Zugriff darauf für Active Sync, OWA, Outlook Anywhere usw. ermöglicht, ohne, dass ihr einen VPN Zugang dafür bereitstellt, was ja kein direkter Zugriff aus dem Internet wäre.

 

Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server. WAP geht wohl auch, hier stört mich aber der Konfig Overhead mit ADFS um die reine AS, OWA usw. Durchleitung nutzen zu können.

 

Hi!

"Relativ" simpel geht das mit einer Sophos UTM, egal ob auf Blech oder virtuell und dann die Web Application Firewall (Reverse Proxy) davor.

Anleitung gibt es bei frankysweb.

Grüße,

Rüdiger

Moin!

Wir legen die Drucker im Regelfall auch lokal auf dem TS direkt über die IP an. Hierbei erstellen wir für jeden sichtbaren Drucker auch einen neuen Anschluss - so findet im Regelfall jeder User seinen Drucker.

Die Probleme die Du beschreibst kenne ich. Manchmal führt leider kein Weg dran vorbei - bspw. fragt SAGE alle Drucker ab bevor es irgendwas tun (so hat uns das der Koop-Partner erklärt). Damit verlängert sich die Zeit bis zum Ausdruck im Regelfach seeeehr deutlich und führt zu Unmut.

Grüße,

Rüdiger

Am 23.9.2019 um 15:06 schrieb Dominik Weber:

Der RDP Server hat eine Intel Xeon Silver 4210 CPU (4vCPU) und 16 GB RAM (5 User) (HP DL360g10)

Der Server hat ein lokales SAS Storage mit 4x900 15k SAS im RAID-10 

Windows 2019 Standard und Office 365bit

Windows Server 2019 Hyper-V als Host

Eine Fräge wäre ja auch, was sonst noch auf dem Host läuft. Das muss man dann natürlich in Relation sehen.

Noch dazu ist der Xeon Silver 4210 CPU ja kein GHz-Wunder.

Hallo zusammen,

erstmal danke für die vielen hilfreichen Hinweise.

Nachdem ich gestern und heute ca. 20 verschiedene Backups des Servers gebootet habe, konnte ich die Ursache finden.

Es war tatsächlich der Virenscanner - genauer das HIPS-Modul des Eset File Security welches auf dem regelbasierten Filtermodus stand. Zurückgestellt auf den Automatischen Modus funktionierte der Server sofort wieder, wie er sollte.

Darauf gekommen bin ich, falls es jemanden interessiert, das bei einem der gebooteten Backups eine Meldung des AV hochkam, wie man das HIPS denn konfigurieren möchte... Als ich mich das erste Mal mit dem bestehenden Fehler auf des Server geschaltet habe, war die Meldung nicht mehr zu sehen.

Jetzt gilt es noch herauszufinden, wer da drauf geklickt hat.

Viele Grüße,

Rüdiger

Antwort ist leider: nö

Lässt sich auch über die Powershell nicht deinstallieren - vermutlich weil auch hier die msiexec.exe zu Einsatz kommt.

Ich hol mir gerade mal die VM aus dem Backup zurück um da weiter dran rumzuspielen.

@testperson Danke für den Tipp

@MurdocX Hättest Du zufällig noch den Link parat.

Zur Info, es läuft die Eset File Security auf dem Server (mit der ich sonst allerdings keine Probleme hatte und habe). Es sind auch keine wilden Policies gesetzt - ich teste das mal und melde mich.

Vielen Dank

vor 2 Stunden schrieb MurdocX:

Ist dort ein Antiviren oder Firewall Programm installiert? Ja, dann deinstallieren.

Funktioniert nicht - "kein Zugriff auf den Windows Installationsdienst"

Meines erachtens hat es irgendwas mit dem System32-Ordner zu tun - genauer der cmd.exe.

WIe gesagt, die cmd.exe kann ich öffenen - aber alles weitere innerhalb dieser funktioniert nicht. Sei es netstat oder netsh - beides funktionier übrigens auch nicht wenn ich aus dem Ordner heraus diese mit Doppelklick starte.

Berechtigungen können es eigentlich nicht sein. Habe ich zum einen geprüft und die Powershell mit den internen CMD-lets funktioniert. Sobald ich hier aber wieder netstat etc. aufrufen will, fährt das Ganze wieder vor die Pumpe da im Hintergrunf wahrscheinlich die cmd.exe in irgendeiner Art und Weise referenziert wird.

Versucht wurde mittlerweile bereits auch Offline über DVD mittels

dism /image:c: /Cleanup-Image /RestoreHealth /Source:D:

Ebenfalls ohne positives Ergebnis.

Grüße,

Rüdiger

Gerade eben schrieb magheinz:

Ist das der einzige DC im Netz?

Ja.

vor 4 Minuten schrieb tesso:

Hast du es kontrolliert? Was hat der RDSH damit zu tun?

 

Eine falsch verlinkte GPO würde da schon reichen.

Habe ich ja bereits geschrieben - weder SRP noch Applocker sind konfiguriert. Und ja, ich habe es geprüft - zwischenzeitlich sogar mehrfach.

vor 11 Minuten schrieb tesso:

Könnte das von einem falsch konfiguriertem SRP oder Applocker kommen?

Nein, beides nicht konfiguriert - ist ja auch kein RDSH.

Das in dem Screenshot oben beschreibt es leider recht gut

- die Kommandozeile bekomme ich auf - whoami oder gar ein ipconfig sind verboten

- öffne ich die Powershell darf ich kein ipconfig aber ein get-netipaddress ausführen

- ein sfc /scannow geht online natürlich auch nicht - offline mit einer 2019er DVD ohne Ergebnis

Ich bin da langsam etwas ratlos...

vor einer Stunde schrieb Nobbyaushb:

Dann fällt mir ein, lokales Profil kaputt...

Dann hätte ich das Problem bei dem neu angelegten Domänen-Admin aber nicht.

Die Idee mit dem defekten Profil hatte ich auch schon

Ja, eine Anmeldung ist möglich.

Ich habe auch die Vermutung dass es irgendwie mit der cmd.exe zu tun hat.

Powershell geht - wenn das aber Funktionien wie sfc /scannow aufgerufen werden soll, bekomme ich wieder "Zugriff verweigert".

Die GPO's hatte ich mir auch schon angesehen - dort aber nichts gefunden was auf so ein Verhalten hindeuten würde.

Grüße,

Rüdiger

Moin zusammen!

Ich habe ein fieses Problem auf einem 2019-DC. Dieser ist auf Grund der Größe leider nicht Stand-Alone, sondern gleichzeitig auch Fileserver.

Kurz zur Situation:

- als wir irgendwann für den Kunden etwas ändern sollten, ist aufgefallen, dass der Domänen-Admin keinerlei Rechte mehr auf dem DC hat. Es funktioniert bsp. in der CMD noch nicht einmal ein "whoami" oder "ipconfig". Ein neu angelegter Domänen-Admin unterliegt auf dem DC den gleichen Problemen. Das Eventlog unter Sicherheit gibt leider nichts her

Auf dem parallel laufenden Exchange-Server ist alles wunderbar. Dort sind bisher keine Probleme dieser Art aufgetreten.

Hat jemand von Euch schon einmal so etwas gesehen und eventuelle einen Hinweis wo man suchen könnte? Oder gar eine Lösung

Grüße,

Rüdiger

Hi zusammen,

scheint so als ob ich eine Lösung gefunden habe:

$gpo = Get-GPO -Name GPOName
$adgpo = [ADSI]"LDAP://CN=`{$($gpo.Id.guid)`},CN=Policies,CN=System,DC=domain,DC=local"

$rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule(
		[System.Security.Principal.NTAccount]"domain\Domänen-Admins",
		"ExtendedRight",
		"Deny",
		[Guid]"edacfd8f-ffb3-11d1-b41d-00a0c968f939"
	)

$acl = $adgpo.ObjectSecurity
$acl.AddAccessRule($rule)
$adgpo.CommitChanges()

Hab's getestet, geht

Hier gefunden:

Technet Link

und für die Security Permissions: https://technet.microsoft.com/en-us/library/ff405676.aspx

Viele Grüße, Rüdiger

Hallo zusammen,

kennt  jemand von Euch eine Möglichkeit per Powershell die Deligierung von GPO's anzupassen?

Folgendes Szenario:

Eine bestehende GPO wird per Powershell importiert und korrekt verknüpft (New-GPO -> Import-GPO -> New-GPLink). Für eine bestimmte AD-Gruppe soll jetzt die Berechtigung "GPO übernehmen" auf "Verweigern" gesetzt werden.

Ist dies überhaupt möglich? Habe leider bisher hierzu nichts gefunden.

Vielen Dank für Eure Hilfe,

Rüdiger

Problem wurde durch eine Neuinstallation behoben.

 

Trotzdem vielen Dank.

War auch vor vielen Monaten bei mir die einzige Möglichkeit. :jau:

Hattest Du auch den Fall dass diverse Ordner/Dateien der .net-assemblys im Windows-Ordner fehlten?

screamager

Hallo zusammen,

für unsere Terminalserverumgebungen möchten wir langsam aber sich auf 2012 R2 umschwenken. Aus diesem Grund versuche ich die komplette Umgebung mehr oder weniger skriptbasiert (Powershell) zu installieren.

Dies funktioniert soweit auch ganz gut - Broker, SessionHosts, GW ist drauf.

Nun kann ich ja den RemotedesktopLizenzierungsmanager entweder über die Bereitstellung installieren oder direkt als Rollendienst (soll bei uns auf den Fileserver). Die erste Variante bekomme ich mit der Powershell nicht hin - die zweite schon.

Hat jemand eine Idee wie ich die Installation über die Bereitstellung per Powershell hinbekomme?

Danach kam die Konfiguration, auf meinen Server 2008R2 konnte ich alles per Powershell machen, z.B.

Import-Module RemoteDesktopServices,ActiveDirectory
set-item -path rds:\licenseserver\configuration\Firstname -value Vorname
set-item -path rds:\licenseserver\configuration\Lastname -value Nachname
set-item -path rds:\licenseserver\configuration\Company -value "Firma"
set-item -path rds:\licenseserver\configuration\CountryRegion -value Land

Set-Item -path RDS:\LicenseServer\ActivationStatus -Value 1 -ConnectionMethod AUTO -Reason 5

$LicCount = Read-Host “Anzahl der RDS-CALs?”
New-Item -path RDS:\LicenseServer\LicenseKeyPacks -InstallOption INSTALL -ConnectionMethod AUTO -LicenseType AGREEMENT -AGREEMENTTYPE 0 -AGREEMENTNUMBER XXXXXXX -PRODUCTVERSION 2 -PRODUCTTYPE 1 -LICENSECOUNT $LicCOunt
Get-ADComputer -filter "name -eq '$env:computername'" | Add-ADPrincipalGroupMembership -memberof "Terminalserver-Lizenzserver"
net localgroup "Terminalserver-Lizenzserver" "NT-Autorität\Netzwerkdienst" /add
Restart-Service TermServLicensing

Wie bekomme ich das Skript oben für 2012R2 umgebaut? Das PSDrive RDS: gibt es dort nicht.

Vielen Dank für Eure Hilfe!

screamager