Reingucker

Es erscheint mir aber als am wahrscheinlichsten denn es gehen ja die Webseiten google und ms. Wenn es irgendwas mit DNS wäre würde ja gar nichts gehen oder es wäre falscher DNS-Server/Hosts-Datei. Am Routing kann es auch nicht liegen weil dann würde gar nichts gehen - außer es wäre eine ACL oder eine Routingregel da die alles ins Nirvana, loopback schicken würde bis auf google und ms - eher unwahrscheinlich. Die andere Möglichkeit wäre ein Proxyfilter - auch eher unwahrscheinlich. Da klingt ipv6 noch am wahrscheinlichsten. Propier doch mal ob man vom DC aus auf http://www.six.heise.de/ zugreifen kann oder eine von diesen Seiten hier http://www.ipv6forum.com/ipv6_enabled/approval_list.php

Hmm, mir kommt da gerade eine Idee. Google und MS gehen ja auch mit IP6. Vielleicht verbinden sich deine VMs mit IP6 und das LTE kann das und der Mikrotek entsprechend auch. Die Clients haben IP6 auch und finden mit der Linklocal auch die VM-Server. Lade dir doch mal den Wireshark runter und sniffe mal die Pakete die am DC ankommen oder weggehen. Aha, die Telekom schaltet IPv6 auf LTE auf. Rollout ist gerade. Ist dann ein sogenannter Dualstack. Der Mikrotik hat den Dualstack auch (wie eigentlich alle neueren Router). Deswegen kommen die Clients mit IP4 auch noch durch. Und in deinen VMs wird irgendwie das IPv6 bevorzugt bzw das IP4 nicht angewendet da es IPv6 gibt.

Und die Clients sind in einem eigenen Subnet und geroutet zum und vom ESXi wird über den Mikrotik?

Also für die Clients funktioniert alles, nur für den DC selbst ist es gestört? Was steht denn in der NIC vom DC für ein DNS drin? Oder in der hosts Datei :D

Doch, cisco kann DNS, mindestens aber Anfragen weiter leiten http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dns/configuration/15-mt/dns-15-mt-book/dns-config-dns.html

Für mich hört sich das so an als wäre da mal ein zweiter DC im AD gewesen bzw. es waren 2 und der 1te mit dem fertigen DNS ist weg und der 2te mit noch nicht repliziertem DNS findet den 1ten und seinen DNS nicht. Und das AD müsste ja dann auch noch gesperrt sein wenn zwar ein Replikationspartner drin steht aber von dem noch nie eine Replikation gemacht wurde. War das schon immer so? Ah, lesen bildet. Es ging vorher.

Update: Es ist irgendwas mit den 2012R2-Eval-Versionen warum das Anzeigen des Menüs in Deutsch nicht geht, also die "locale" nicht übernommen wird. Ich hab die Client-VM in ein 2016er Netz mit exakt den gleichen WDS ect. Einstellungen geschoben und sie dort pxe starten lassen und siehe da Was mir an Unterschied aufgefallen ist: Die MUI-Datei im Ordner de-DE auf dem 2012R2-Eval ist 26 kb und auf dem 2016er ist sie 35 kb ^^ Ich werde mal die MUI vom 2016er rüber auf den 2012r2-Eval schieben und dann schauen obs dann. Nö, geht auf dem 2012R2-Eval auch mit der anderen MUI nicht. Aber Grundsätzlich weiß ich jetzt wie es geht und setze es auf gelöst. Ich hab hier noch ne 2012R2 Standard mit Lizenz und werde den Eval-WDS platt machen und mal mit dem Lizenz-2012R2 nochmal aufsetzen.

Ja, so habe ich mir das auch gedacht und schon probiert. Aber da kommt dann der besagte Fehler :( Oder liegt es an x64? PS C:\Users\administrator.AS> bcdedit /store e:\RemoteInstall\Boot\x64\default.bcd /set {bootmgr} locale de-DE Der angegebene set-Befehl ist nicht gültig. Führen Sie "bcdedit /?" aus, um die Befehlszeilenunterstützung aufzurufen. Falscher Parameter. PS C:\Users\administrator.AS> Update: Das mit dem x64 hab ich auch mal überlegt und mir gedacht, daß vielleicht der Textmodus gar nicht mehr bearbeitbar ist sondern dann nur noch der GUI-Modus. Hab dann probiert den GUI-Modus einzuschalten (sollte aussehen wie im Reparaturmodus - hellblauer Hintergrund und so, Kacheln ect.), aber PS C:\Users\administrator.AS> bcdedit /store e:\RemoteInstall\Boot\x64\default.bcd /set {bootmgr} BOOTUXDISABLED FALSE Der angegebene set-Befehl ist nicht gültig. Führen Sie "bcdedit /?" aus, um die Befehlszeilenunterstützung aufzurufen. Falscher Parameter. PS C:\Users\administrator.AS> Noch mehr Update: Da es ja uefi-default ist, da vermute ich nun daß der default.bcd unter boot\x64uefi genommen wird, und der sieht so aus PS C:\Users\administrator.AS> bcdedit /enum all /store e:\RemoteInstall\Boot\x64uefi\default.bcd Windows-Start-Manager --------------------- Bezeichner {bootmgr} path \Boot\x64\bootmgfw.efi fontpath \boot\fonts inherit {dbgsettings} bootems Yes timeout 30 Debuggereinstellungen --------------------- Bezeichner {dbgsettings} debugtype Serial debugport 1 baudrate 115200 Geräteoptionen -------------- Bezeichner {68d9e51c-a129-4ee1-9725-2ab00a957daf} ramdisksdidevice boot ramdisksdipath \Boot\Boot.SDI ramdisktftpblocksize 1456 ramdisktftpwindowsize 4 ramdisktftpvarwindow Yes nur x64 ist ja legacy. Ganz interessant ist der path-Eintrag "path \Boot\x64\bootmgfw.efi", allerdings kann der Rechner nicht mit diesem bootmgfw.efi starten. Dafür steht da im DHCP ja die wdsmgfw.efi als Startdatei welche funktioniert. Normal sollte man gar keine Startdatei im DHCP brauchen wenn in der plattformspezifischen default.bcd der entsprechende Path zu einer funktionierenden Startdatei drin steht. Aber auch diese default.bcd kann ich nicht ändern. Ich komm einfach nicht weiter wegen diesem angeblich falschen /set Schalter im bcdedit -.- OOOHHHH MAANNNN! Es liegt an der Powershell! Da fällt dir doch nichts mehr ein! Umgeschaltet auf cmd und C:\Users\administrator.AS>bcdedit /store e:\remoteinstall\boot\x64uefi\default.bcd /set {bootmgr} path boot\x64\wdsmgfw.efi Der Vorgang wurde erfolgreich beendet. Och jo. Zu früh gefreut :( Jetzt kann ich zwar ohne eingetragene Stratdatei im DHCP (option 67) in UEFI starten, aber es ist immer noch englisch. Na, zumindest habe ich das System der default.bcd verstanden :) Jetzt noch die mui. Ich bin zäher! Update So sieht die default.bcd in x64uefi jetzt aus C:\Users\administrator.AS>bcdedit /enum all /store e:\remoteinstall\boot\x64uefi\default.bcd Windows-Start-Manager --------------------- Bezeichner {bootmgr} path boot\x64\wdsmgfw.efi locale de-DE fontpath \boot\fonts inherit {dbgsettings} bootems Yes timeout 15 Debuggereinstellungen --------------------- Bezeichner {dbgsettings} debugtype Serial debugport 1 baudrate 115200 Geräteoptionen -------------- Bezeichner {68d9e51c-a129-4ee1-9725-2ab00a957daf} ramdisksdidevice boot ramdisksdipath \Boot\Boot.SDI ramdisktftpblocksize 1456 ramdisktftpwindowsize 4 ramdisktftpvarwindow Yes Wie man sieht hab ich unter Windows Start Manager jetzt die wdsmgfw.efi, die locale de-DE und ein anderes timeout (15 sec). Das nimmt er auch alles....bis auf die locale -.- Mann Mann Mann.....displayorder, also wo man die Reihenfolge der Anzeige der zur Auswahl stehenden OS festlegt....kann man in der default.bcd festlegen. Wird aber dann nicht in der entsprechend generierten bcd im tmp-Ordner übernommen. Der übernimmt immer nur so in der Reihenfolge wie man die in den WDS eingepflegt hat. Will man jetzt eine andere Reihenfolge der Angezeigten OS haben, so muss man die korrespondierende bcd im TMP bearbeiten - was wieder flöten geht wenn der tmp aktualisiert wird - oder die images neu in der richtigen Reihenfolge einlesen. Der vorgesehene Weg über die Pflege der Änderungen in der boot\<arch>\*.bcd und die dann übertragene zusammenlegung mit den Boot-imges in der tmp-bcd funktioniert nicht für Displayorder. Alles andere was ich bisher probiert habe schon. Da fragt man sich echt manchmal....

Moin moin :) Ich blick gerade nix und bräuchte Hilfe damit ich aus diesem Nixblick wieder raus komme. Ich habe einen WDS und der bietet Images für virtuelle Maschinen der 2ten Generation und UEFI, welche im Hyper-V laufen. Alles 2012R2. Es funktioniert rein technisch auch alles wie es soll. Jetzt wollte ich noch "optisch" was machen, und zwar das pxe-Menü auf deutsch haben. Im Moment sieht es ja so aus also alles auf standard-englisch. Die Startdatei ist die wdsmgfw.efi, zu finden unter boot\x64. Nun gibt es noch eine wdsmgfw.efi.mui unter boot\x64\de-DE, welche ja dann die deutsche Version wäre. Und deutsch soll das Menü auch sein. Ich blick halt gerade nicht wie ich diese mui einsetzen muss damit das Menü deutsch wird :( Jemand ne Idee? Update: Inzwischen bin ich der Meinung es muß irgendwie mit bcdedit und /set locale de-DE gehen. Und zwar auf den default.bcd im gleichen Verzeichnis wo der wdsmgfw.efi ist, also hier in boot\x64. Aber auch das bekomme ich gerade nicht gebacken -.- Oder ist es ein falscher Denkansatz von mir? Update2: Aussehen tuts in dem so: PS C:\Users\administrator.AS> bcdedit /enum all /store e:\remoteinstall\boot\x64\default.bcd Windows-Start-Manager --------------------- Bezeichner {bootmgr} fontpath \boot\fonts inherit {dbgsettings} timeout 30 Debuggereinstellungen --------------------- Bezeichner {dbgsettings} debugtype Serial debugport 1 baudrate 115200 Geräteoptionen -------------- Bezeichner {68d9e51c-a129-4ee1-9725-2ab00a957daf} ramdisksdidevice boot ramdisksdipath \Boot\Boot.SDI ramdisktftpblocksize 1456 ramdisktftpwindowsize 4 ramdisktftpvarwindow Yes PS C:\Users\administrator.AS> Steht also nix von "locale" drin. Aber locale gibts, nur nimmt er es mit Fehlermeldung "falscher Parameter" nicht an :( Oder bezieht sich das "locale" da nur auf die Anwendung die mit dem Loader dann gestartet werden, also das Setup selbst? Gibt aber auch nix vernünftiges an Doku! -.- PS C:\Users\administrator.AS> bcdedit /? TYPES BOOTAPP STARTANWENDUNG Die folgenden Typen gelten für Einträge von Startanwendungen. Sie gelten auch für den Start-Manager, die Arbeitsspeicherdiagnose-Anwendung, das Windows-Betriebssystem-Ladeprogramm und die Fortsetzungsanwendung. Führen Sie "bcdedit /? FORMATS" aus, um weitere Informationen zu den Datenformaten für diese Typen zu erhalten. Anzeige ======= GRAPHICSRESOLUTION Definiert die Grafikauflösung (also 1024 x 768, 800 x 600, 1024 x 600 usw.) HIGHESTMODE (boolesch) Ermöglicht Startanwendungen die Verwendung des höchsten von der Firmware verfügbar gemachten Grafikmodus. GRAPHICSMODEDISABLED (boolesch) Deaktiviert den Grafikmodus. HIGHESTMODE (boolesch) Erzwingt die höchste von der Firmware unterstützte Auflösung. NOVESA (boolesch) Deaktiviert die Verwendung der VESA- Anzeigemodi. (Außer Kraft gesetzt.) NOVGA (boolesch) Deaktiviert jegliche Verwendung von VGA-Modi. BOOTUXDISABLED (boolesch) Deaktiviert die Grafik beim Start. Debuggen ======== BAUDRATE (Ganzzahl) Definiert die Baudrate für den seriellen Debugger. BOOTDEBUG (boolesch) Aktiviert den Startdebugger. CHANNEL (Ganzzahl) Definiert den Kanal für den 1394-Debugger. BUSPARAMS (Zeichenfolge) Definiert Nummern für PCI-Bus, Gerät und Funktion des Debuggeräts. So wird beispielsweise mit "1.5.0" das Debuggerät am Bus 1, Gerät 5 und Funktion 0 angegeben. DEBUGADDRESS (Ganzzahl) Definiert die Adresse eines seriellen Ports für den Debugger. DEBUGPORT (Ganzzahl) Definiert die serielle Portnummer für den seriellen Debugger. DEBUGSTART Kann ACTIVE, AUTOENABLE oder DISABLE sein. DEBUGTYPE Kann SERIAL, 1394, USB, NET oder LOCAL sein. DHCP (boolesch) Steuert die Verwendung von DHCP durch den Netzwerkdebugger. Ist DHCP auf FALSE festgelegt, wird eine Adresse mit lokalem Link erzwungen. HOSTIP Definiert die Host-IP-Adresse für den Netzwerkdebugger. KEY Enthält den Schlüssel zum Verschlüsseln der Netzwerkdebugverbindung. NOUMEX (boolesch) Veranlasst, dass Benutzermodusausnahmen ignoriert werden. PORT (Ganzzahl) Definiert den Netzwerkport für den Netzwerkdebugger. TARGETNAME (Zeichenfolge) Definiert den Zielnamen für den USB-Debugger. Arbeitsspeicher =============== BADMEMORYACCESS (boolesch) Ermöglicht einer Anwendung die Verwendung von Arbeitsspeicher aus der Liste mit ungültigem Arbeitsspeicher. BADMEMORYLIST (Ganzzahlliste) Definiert die Liste mit den Seitenframenummern zum Beschreiben von ungültigem Arbeitsspeicher im System. TRUNCATEMEMORY (Ganzzahl) Ignoriert den Arbeitsspeicher an oder oberhalb der angegebenen physischen Adresse. AVOIDLOWMEMORY (Ganzzahl) Verhindert nach Möglichkeit die Verwendung des Arbeitsspeichers unterhalb der angegebenen physischen Adresse im Startladeprogramm. Notverwaltungsdienste ===================== BOOTEMS (boolesch) Aktiviert die Notverwaltungsdienste. EMSBAUDRATE (Ganzzahl) Definiert die Baudrate für die Notverwaltungs- dienste. EMSPORT (Ganzzahl) Definiert die serielle Anschlussnummer für die Notverwaltungsdienste. Geräte und Hardware =================== CONFIGACCESSPOLICY Kann DEFAULT oder DISALLOWMMCONFIG sein. FIRSTMEGABYTEPOLICY Kann USENONE, USEALL oder USEPRIVATE sein. EXTENDEDINPUT (boolesch) Aktiviert erweiterte Konsoleneingabe- funktionen. Anwendungen =========== LOCALE (Zeichenfolge) Definiert das Gebietsschema der Start- anwendung. NOUMEX (boolesch) Veranlasst, dass Benutzermodusaus- nahmen ignoriert werden. Wiederherstellung ================= RECOVERYENABLED (boolesch) Aktiviert die Wiederherstellungssequenz. RECOVERYSEQUENCE (Liste) Definiert die Wiederherstellungssequenz. Überprüfung =========== TESTSIGNING (boolesch) Lässt Prerelease-Testcode-Signierungs- zertifikate zu. Fehlerbildschirme ============= BOOTSHUTDOWNDISABLED (boolesch) Gibt an, dass der Computer nicht heruntergefahren werden soll, wenn ein Fehlerbildschirm für eine Minute angezeigt wurde. Standardmäßig wird versucht, den Computer herunterzufahren. Funktioniert nicht mit älterer Firmware. BOOTERRORUX (Ganzzahl) Definiert die grafische Darstellung für Startfehler. Kann "Legacy", "Standard" oder "Simple" sein. Ist nur auf Geräten ohne Tastatur gültig. Führen Sie "bcdedit /? TYPES <Anwendungstyp>" aus, um Informationen zu zusätzlichen Typen für den Start-Manager, die Arbeitsspeicherdiagnose- Anwendung, das Windows-Betriebssystem-Ladeprogramms oder die Fort- setzungsanwendung zu erhalten, wobei <Anwendungstyp> einer der folgenden Werte ist: BOOTMGR Start-Manager MEMDIAG Arbeitsspeicherdiagnose-Anwendung OSLOADER Windows-Betriebssystem-Ladeprogramm RESUME Fortsetzungsanwendung PS C:\Users\administrator.AS>

@Forseti2003 Ah, ich glaube ich weiß was du meinst. Das hatte ich auch schon. Mein dirty dazu war die gespeicherten Anmeldedaten zu löschen und wieder neu einzutragen. Ist aber nicht hilfreich wenns der User machen muss. Hmm, vorne hast du den Virtuellen Computer, auf den du dich verbinden willst, eingegeben und den Username/Passwort. Und hinten unter "erweitert" "verbindung von überall herstellen" hast du was eingestellt? Funktioniert es wenn du die rdp ohne Usernamen abspeicherst, also immer der Username/passwort neu eingegeben werden muss? Edit: Jo, is schon spät. Das hat ja nichts mit deinem Problem zu tun ^^ Du brauchst die Maske in der du das PW ändern kannst. Und das geht nur über web-access oder owa (wenn nach außen), oder wie hier erwähnt Passwort ändern über RDP-Clienthttps://www.windowspro.de/wolfgang-sommergut/passwort-aendern-ueber-remotedesktop-rd-web-access Zeit fürs Bett ^^

Das glaube ich nicht, Tim.

Also ich sehe jeden Morgen mein Skype for Business integriert in meinem Outlook 2013 mir zuzwinkern. Ist sowieso alles Lync.

Das Problem mit dem Resourcemanager ist, dass er zwar Dateien blockieren kann, aber dabei stur nach Dateiendungen geht. Der kann also nur das blockieren was du ihm als Dateiendung vorgibst. Wenn da jetzt ein User hingeht und sein Her der Ringe Collection bei den Dateiendungen umbenennt, sagen wir mal zu film.xyz, dann wird es nicht geblockt weil es der Resourcenmanager nicht erkennt.

Soweit ich mich erinnere muss man bei OWA auch erst mal das Häkchen setzen damit man dort Passwort ändern kann. Hört sich dann so an Wahrscheinlich ist es bei RDWeb-access genauso. Ah, und schon was gefunden Gefunden unter "Password Reset Available for Users" auf http://www.rdsgurus.com/rds-resource/working-with-rd-web-access-in-windows-server-2012/

Danke. Ich hatte schon Erfolg :) :jau:

Na, jetzt wirst du aber albern :) Ich glaube eher DU hast noch nicht diese Einstellung im 2013er EAC bearbeitet, denn sonst wüsstest du dass bei ändern dieser Url die Meldung "...virtuelle Verzeichnisse auf dem IIS entsprechend ändern..." auftaucht :p Edit: Und wenn ich mir es nochmal durchlese, dann glaube ich sogar du hast gar nicht verstanden worum es geht...

Hmm, ich habe eine Testumgebung dafür mal eingerichtet. Und was soll ich sagen? Du hast recht. Zumindest was die Einträge in der "externel Url" zu OWA in der EAC (alles mit 2013 getestet) angeht. Da frage ich mich allerdings wozu ich da etwas eintragen soll? :unsure: Denn eigentlich sollten diese Einträge dort dann im IIS das entsprechende Virtuelle Verzeichnis ändern - machen sie aber nicht. Wenn ich dann selbst hin gehe und dann das entsprechende virtuelle Verzeichnis ändere und die IP-Adressen auf die Hostnamen zuteile und den IIS neu starte, DANN klappt es so wie ich es geschrieben hatte :) Allerdings mit dem faden Beigeschmack dass man da einfach die virtuellen Verzeichnisse des Exchange auf dem IIS bearbeitet hat und nicht wirklich im Exchange etwas geändert hat. Zumindest weiß ich jetzt wieder einiges mehr was ich da alles rumschrauben kann :D

Hmm, bei OWA gibt es ja auch eine external uri. Was ist jetzt wenn der externe Client über seinen Provider-DNS an blablubb.de geschickt wird, dort auch wirklich der CAS steht, aber als external uri bei OWA bundestag.de drin steht? Also meiner Meinung nach kommt der Client dann nicht auf OWA unter https://blablubb,de/owa. Edit: Oder wenn gar nichts unter external url steht ^^ Na, ich schlafe mal drüber :)

Kann sein. Manchmal fehlt mir der Durchblick. Was ich mir bis jetzt zusammen gereimt habe: Der SCP ist nur für die internen Clientanfragen. Von extern brauch der Client einen dns der ihn zum CAS schickt. Am CAS frägt der Client an ob der der richtige ist. Der CAS sagt "Nö" wenn er als external uri z.B: "https://Bundestag.de/hahaha"steht. Der Client heult und macht lauter rote ixe. Wie siehst du das?

Holla, stimmt, da steht ja OWA im Eröffnungspost. Na, dann editier ich mal. Gut, mal abgesehen dass ich den Opener nur mit halboffenen augen gelesen habe, wieso sollte der CAS von Außen nicht erreichbar sein?

[Eingangspost falsch gelesen]

Hm, das erschließt sich mir aber dann auch nicht. Aber danke für feedback. :)

@Drachie Rein Interesse halber: Hast du mal mit sslscan.exe nachgeschaut was dein Server überhaupt annimmt und es dann mit dem was der Client benutzt verglichen?

Bezüglich Verschlüsselung und Bit (wie oben angemerkt) habe ich das hier gefunden

Für mich hört sich das so an dass der Exchange eine andere Verschlüsselungstiefe benutzt als der Client, oder anders herum. Vielleicht benutzt der Client z.B. 128 bit weil es eventuell ein XP ist oder fest eingestellt ist und der Exchange kann nur minimum 256 oder mehr.