Reingucker

Hm, sehr interessant. Wenn ich bei 2012 R2 die authenticated users aus der prä-win2000 raus nehme (also leer), kann ich immer noch per PS alle Userproperties auslesen. Auch wenn ich nicht Dom-Admin oder dergleichen bin. Scheint also nichts mit dem Problem des TO zu tun zu haben? Hat sich da was geändert in 2012? Werde nacher mal durch deinen Link durchschmökern und auch durch die Links im Link.

Da hab ich auch nur rudimentär Plan von :D Auf jedenfall ist es ein sehr schönes Problem und ich freue mich schon auf die Lösung, völlig egal wie die aussieht. Hauptsache was gelernt :cool:

Wie vermutet Ist es wahrscheinlich dies hier. Hab ich aber noch nie gemacht. https://msdn.microsoft.com/en-us/library/windows/desktop/aa374917%28v=vs.85%29.aspx

Yep. Wie ist es mit ADS_RIGHT_DS_READ_PROP + Damit kann man ja auch Berechtigungen setzen welche properties eines Objektes von wem gelesen werden können. Naja, ich hör mal auf zu spammen :)

Mit den Filtern "Verbindlich" und "Optional" im AD-Benutzer-Computer auf einen ACC Eigenschaften des Users im Reiter "Attribut-Editor" hat es mal nichts zu tun. Die Powershell kann dann trotzdem auslesen.

Als Idee (ohne ausreichenden Wissenshintergrund) Vielleicht fehlt ihm mit seinem Acc das Recht die erweiterten Attribute anderer User zu lesen? Edit: Gut, widerspricht sich hier aber mit dem Zugreifen über adsiedit.

Stimmt. In 2012 r2 geht es mit "get-aduser -identity karl -properties enabled,passwordneverexpires | fl Name,enabled,passwordneverexpires" in der Powershell und gibt dann "Name: Karl enabled: True passwordneverexpires: True" aus. Edit: Oder wenn man viele auf spezielle properties mit bestimmten Werten abfragen will, dann z.B. "get-aduser -filter * | where-object -property "enabled" -eq $true | ft Name,enabled" Listet dann alle mit enabled true in einer Tabelle mit zwei Spalten auf, links der Name, rechts Wert für enabled.

Edit7: So gelöst. Ich hab mir nochmal die Fehlermeldung im Eventlog angeschaut und da ist mir aufgefallen, dass der Dienst, welcher die Fehlermeldung bringt, der Iphlpsrv ist. Und das hat mich dann an den "ip helper-address" von Cisco erinnert. Und dann hab ich einfach mal meinen wsd-dhcp-Memberserver hochgefahren damit der den beiden DCs gesellschaft leistet. Und siehe da, alles schick :) Die Fehlermeldung hat sich in die Information "Die isatap-Schnittstelle.....mit der Adresse FE80::5efe:172.16.0.9 wurde hervorgebracht." gewandelt. Die Fehlermeldung ist also anscheinend wenn die isatap-Schnittstelle keinen DHCP im Netz erreicht.

Ich tüftel ja schon gerne rum. Aber die Zeit für den Gesamt-Kurs ist limitiert und ich muss ja erst einmal lernen was es alles gibt und wie es zusammen hängt. Troubleshooting von etwas was man noch gar nicht kennt ist nicht so lustig. Aber es funktioniert jetzt wenigstens Bin jetzt am exportieren und dann wird importiert/kopiert und dann schau mer mal ob die AD noch funktioniert. Edit: So, der erste import/kopieren hat kläglich versagt. Die IP-Adresse ect. wurde übernommen, aber der Name nicht. Nach start konnte ich mich nicht anmelden weil kein Anmeldeserver da war. Also mit ".\Administrator" (wiederherstellungskonto) angemeldet und siehe da: Alle Dienste die etwas mit AD zu tun haben waren deaktiviert. Ich konnte sie aber auch nicht starten weil der AD-domänendienst erst startet wenn der DNS gestartet ist....und der DNS startet erst wenn der AD-domänendienst da ist - Hauptmann von Köpenick oder wie? Das gleiche auch mit Kerberosdienst, Replikation ect. Also komplett misslungen. Allein schon dass der DC-Name nicht gesetzt wurde zeigt dass die clone-config nicht richtig übernommen wurde. Auf ein Neues! Edit2: So, im 2ten Anlauf hats funktioniert. Einziger Unterschied: Ich hab als DNS den DC von dem ich geklont habe angegeben und nicht ihn selbst. Sollte aber eigentlich keinen Unterschied machen da der geklonte ja auch den DNS hat. Zumindest wurde der DNS einwandfrei auf dem geklonten eingerichtet. BPA ist zufrieden bis auf die üblichen Kleinigkeiten (OUs vor löschen schützen ect.). Replikation wurde auch alles automatisch eingerichtet und die manuell angestoßene Rep verlief einwandfrei. Das einzige das ich in den Eventlogs habe ist der Lizenzmanager, was aber wahrscheinlich normal ist da es eine eval ist und ich wahrscheinlich nochmal slmgr / rearm machen muss. Also aus meiner bescheidenen Sicht scheint das Klonen von DCs unter 2012 R2 zu funktionieren wenn man die paar Klippen die aufgetaucht sind umschifft. Ich werde es aber nochmal testen mit mehreren Tagen abstand zwischen export und import und in der Zwischenzeit neu angelegte und gelöschte Objekte. Edit3: Also das mit der Lizenz muss ich noch nachforschen. Normal macht man da slmgr /upk und slui3, was aber auf einer Eval aber nicht so wirklich geht ^^ Weiterhin moserte der DNS rum dass die Host-Einträge die er hat ja gar nicht bei ihm registriert worden sind. Ist aber AD-Integriert. Da hab ich einfach mal alle Clients gestartet und nochmal manuell repliziert und dann wars ok. Scheint sich also in real dann auch mit der Zeit von selbst zu erledigen. Und über die ISATAP-Schnittstelle hat er sich beschwert dass die IP-Adresse nicht aktualisiert wurde. Muss ich mir aber erst mal Info besorgen. Edit4: So, mit der Lizenz bei einer geklonten Eval scheint es so zu gehen: "slmgr /upk"; "slmgr /rearm". Der Key scheint fest drin zu sein und wird bei rearm einfach wieder eingetragen. Zumindest taucht auch nach mehrmaligen Neustart nichts mehr im Eventlog auf. Edit: Nö, der Key is weg und der umgewandelte Hex-key vom anderen DC nimmt er nicht an obwohls auch ne eval ist. Was aber nervt ist das ISATAP-Interface. Selbst deinstalieren im Gerätemanager, neustart, neu installieren im Gerätemanager ändert nichts. Und die ganzen social.technet, die ich dazu gelesen habe, haben keine Lösung. Das wird ne harte Nuss. Edit5: Sch.... Isatap. Mit New-Netipaddress eine ipv6 auf das isatap vergeben funktioniert zwar, aber ändert absolut nichts an der Fehlermeldung. Und in den Einstellungen der VM die bisherige Nic raus und ne andere rein bringt auch nichts. Falls jemand diese Fehlermeldung Die IP-Addresse für die isatap-Schnittstelle .......... wurde nicht aktualisiert. Updatetyp: 1. Fehlercode: 0x490. schon mal gelöst hat -> bitte melden. Edit6: Und was sagt Microsoft dazu? netsh winsock reset ! Funktioniert aber auch nicht! Fehlermeldung immer noch da :cry: http://social.technet.microsoft.com/wiki/contents/articles/23982.event-id-4202-tcpip-network-interface-configuration.aspx

Hiho, ich teste gerade das Klonen von DCs unter 2012 R2. Ich habe den DC in die Gruppe "Klonbare Domänencontroller" eingefügt, bekomme aber beim Ausführen von "New-ADDCCloneconfigfile" folgende Fehlermeldung (s. Klon-dc.png) Dabei ist der DC in der Gruppe der klonbaren Domänencontroller mit drin (s. klonbare-gruppe.png) Ich mach hier schon ne halbe Stunde rum damit, finde aber keinen Fehler und google gibt dazu auch nichts her. Edit: Haha, ich habs! Man muss die Gruppe "Klonbare Domänencontroller" umbenennen in "Cloneable Domain Controllers" :mad: Und zwar auch den Prä-Win2000-Namen! Mann Mann Mann, die deutschen Mocbücher haben Fehler, der Dozent liest nur vom vorgegebenen Script ab und hat ansonst viel Lücken, und jetzt ist auch noch die Deutsche Eval (oder alle deutsche Versionen?) von 2012 R2 mit Fehlern gespickt. Kann doch nicht wahr sein! -.-

Ah, dann sind die Werte in der CMD die Defaultwerte eines AD wenn keine Kennwortrichtlinien definiert sind? Hat sich erledigt.

Tja, hätte ich auch drauf kommen sollen :rolleyes: Danke.

Würde mich auch interessieren, kommt aber ne 404.

Sorry dass ich mich hier dran hänge, aber das Thema kommt demnächst bei mir im Kurs und ich will schon mal rein schnuppern :) Müsste da in Option 66 nicht der FQDN drin stehen und nicht die IP? Vielleicht kann der PXE-Treiber von Intel nicht mit einer IP in Option 66 und die anderen können es. Und im DHCP des anderen Kunden ist der FQDN anstatt der IP eingetragen. Naja, was man sich so denkt :D Edit: Zumindest werden in der RFC bei Option 66 (Punkt 9.4) Character benuzt, also Buchstaben/Zeichen. https://tools.ietf.org/html/rfc2132

Weiß ich nicht. Hab mich vorher damit noch nicht auseinandergesetzt.

Yep, kamen 2 Fragen dazu ^^ Mit der Möglichkeit des kopierens innerhalb des GPO-Containers und der Möglichkeit des Exports/Imports von GPO sind die Starter-GPO mMn überflüssig.

Yep, ist aber eine normale GPO. Danke fürs nachschauen :) Jetzt kann ich ruhig schlafen und geh morgen früh frisch in den Test :thumb1:

Ok. Es ist eine Multiple-choice-Frage. "Sie müssen auf Basis der Einstellungen von GPO1 ein neues Starter-Gruppenrichlinienobjekt erstellen. Wie gehen sie vor? a) Powershell New-GPstarterGPO + copy-gpo B) GPO1 sichern und unter Starter-GPO von sicherung wieder herstellen c) neue starter-gpo erstellen und manuell bearbeiten d) GPO1 rechtsklick kopieren und in starter-gpo-container einfügen Als richtige Antwort wird d) ausgewiesen und seitenweise geschwafelt wie toll mann starter-gpo kopieren kann. Das hab ich mir durchgelesen und mir fiel auf dass da aber nichts von normalen gpo kopieren drin steht in der Erklärung. Und dann hab ich alles ausprobiert und bin für c), wollte aber nochmal absichern.

Was macht denn der Schalter /c ? Den finde ich gar nicht unter http://technet.microsoft.com/en-us/library/cc733160.aspx

Danke. Bin noch bis spät wach, testen, testen, testen...

Hast du 2012 R2 in einer Domäne und könntest du es bitte mal testen?

Ich will die 1000 -.-

Es soll dazu mehrere Fragen in verschiedenen Variationen geben. Mehr weiß ich auch nicht.

Ha ja, das hab ich mir im Stillen auch schon gedacht ;) Aber es soll Prüfungsrelevant sein und daher.

Hiho, ich kann in 2012 R2 in der Gruppenrichtlinienverwaltung kein GPO kopieren und dann in Starter-GPO einfügen. Ich kann auch keine GPO sichern und dann in Starter-GPO über "Sicherung verwalten" wieder herstellen. Und auch in der Powershell kann ich keine GPO auf eine neu erstellte Starter-GPO kopieren. Ich kann nur innerhalb der Starter-GPO kopieren oder innerhalb der GPO kopieren. In meinen Schulungsunterlagen, die ich vom Dozenten bekommen habe, steht drin dass man eine GPO einfach in den Starter-GPO-Ordner kopieren kann, sozusagen wenn man eine bestehende GPO als Vorlage haben möchte. Geht aber nicht. Muss ich da noch irgendeinen Schalter aktivieren?