igwadmin

Hallo miteinander, ich habe mal eine Frage bezüglich des Verbinden von Druckern, wir haben in unserem AD einen Druckserver an diesen sind die einzelnen Drucker angebunden und im Netzwerk freigegeben. Jetzt ist aber manchmal das Problem das die Clients (WIndows10) die Drucker über Systemsteuerung Geräte und Drucker hinzufügen verbinden wollen. Bei einigen werden dort aber die Drucker nicht angezeigt (bei anderen ja) und ich versteh nicht warum? Die Alternative ist dann direkt die UNC Freigeben des Druckserver auf zu rufen und die freigegebenen Drucker zu verbinden. Kann mir einer sagen wie die Drucker über die Systemsteuerung, Drucker dort gefunden werden (wird das das AD abgefragt oder so)? Im Bild sieht man den Dialog und die Direkte UNC Abfrage dahinter. Grüße und Danke

Hallo, also ich habe ein selbstsigniertes Zertifikat (vermute von der Installation, Microsoft Exchange ) wo an folgendes gebunden ist Diensten zugewiesen IMAP, POP, IIS Jetzt gibt es noch unser zertifikat (was an Outlook ausgeliefert wird usw...) Diensten zugewiesen IMAP, POP, IIS, SMTP Bis auf das Smtp Protokoll sind die doch an die selben Dienste gebunden oder nicht? Grüße

Hi, Also ich bin es durchgegangen, aber wenn nur ein DC (aus einer Rücksicherung) Online ist funktioniert es nicht, der startet die FSMO Rollen oder Dienste nicht. Ich habe aber folgendes gefunden, das ist wohl by Design von Microsoft so Initial Synchronization of FSMO Owners When a DC that owns a FSMO role boots up, it must complete inbound replication with its known replication partners before it will operate as the FSMO master. Specifically, it must replicate the partition that contains the FSMO role the DC owns. For example, if a DC holds either or both of the forest wide operations masters (the Domain Naming or Schema master), then that DC must successfully replicate the Configuration partition of Active Directory. Similarly, if the DC holds one or more of the domain specific FSMO roles (RID, PDC, Infrastructure) then that DC must successfully replicate the domain partition at startup before it will function as that operations master. See: http://support.microsoft.com/kb/305476 Was ich dann aber nicht versteht, wenn man mal beide Dcs runterfahren würde (Wartung Hardware wie auch immer) dann würde der FSMO DC nie On gehen wenn der zweite nicht Online ist? Oder Trift das nur zu wenn sich die Invocation ID geändert hat? Weis noch einer ne Antwort auf die Frage mit dem DFSR oder FRS Replikationsdienst wie haben 2 x DC2016 und 2012 Funktionsebene Gesammt und Domäne? Grüße

Hallo Miteinander, kann mir einer sagen wie ich sehe welches Zertifikat genau an welchen Dienst gebunden ist? Wenn man in der EMC unter Zertifikate schaut stehen dort mehrere, und wenn man schaut auf welchen Dienst diese gebunden sind IIS, POP, IMAP, SMTP sind das dann mehrere Zertifikate. Wenn ich dort jetzt ein neues einfüge und den Dienst auswähle worauf es gültig sein soll kommt eine Meldung die sagt das schon ein Zertifikat dem Dienst zugeordnet ist. Das alte zertifikat ann ich zwar löschen aber dennoch gibt es noch weitere Zertifikate wo der selbe Dienst gebunden ist, gibt es da so ne art Bindungsreihenfolge? Grüße marcel

Guten Morgen Miteinander, also ich habe gestern Abend das ganze mal aufgezeichnet was genau passiert, im Anhang die Fotos. Der DC (DC1)wird rückgesichert (die Liveumgebung hat 2 Dcs einer davon hat alle FSMO Rollen diesen nenne ich mal DC1), sobald dieser hochgefahren ist kann man sich normal anmwlden und es scheint so als wäre alles OK das AD funktioniert und die Replikation des Sysvol auch. Wenn man jetzt aber ca. 3 Min wartet und nochmal in der cmd net Share aufruft ist das Sysvol und netlogon verschwunden, auch der Aufruf dsa.msc meldet einen Fehler (es konnte aufgrund des folgenden Problems keine Namensinformation gefunden werden , die angegebene Domäne ist nicht vorhanden...). Im Eventlog steht 2092 Server ist Besitzer der FSMO Rollen die jedoch nicht als Gültig eingestuft wird, Für die PÜartition wurde der Server seit dem letzten neustart nicht repliziert.... Im Eventlog steht 1202 Der DFS Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum zugrif auf die Konfigurationspartition herstellen. Was ich nicht ganz verstehe sind die Sysvol Replikation und die des AD zwei paar Schuhe oder nicht, weil wenn man diese Bur Flag setzt läuft ca. 4 min später wieder alles. Das Bur Flag 0xd4 sagt doch aber nur was über das Sysvol aus das der DC hier der Authorative ist und sein Sysvol Verzeichnis "das sagen hat", oder nicht? Auch habe ich mal KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalState geprüft ob DFSR oder FRS zum Einsatz kommt, das steht bei uns 0 im Key, das wäre dann das ältere FRS ? Im Voraus schonmal Recht vielen Dank der Hilfe P.s bei den Bildern ist Foto 1 direkt nach dem start und 2-4 ca. 3 Min später Grüße Marcel

Mir sind die Thematiken mit der Testumgebung bewusst, es ist nun mal aufwändig alles neu nach zu bauen um es dann ggf. wieder zu löschen. Man tut sich aber auch leichter mit dem ganzen Thema wenn man es einmal durchgesielt hat und die vor u. Nachteile weis.

Hallo Miteinander zunächst noch ein gesundes neues Jahr an alle. Grund meines Themas ist das ich mich momentan mit der Thematik Disaster Recovery im AD Umfeld beschäftige. Ich habe jetzt schon einiges gelesen was das Thema Rücksicherung eines DCs angeht , vorallem das was man nicht machen soll oder nur mit vorsicht wegen USN (Snapshot usw...). Wir setzen bei uns im AD zwei Dcs mit WinServer2016 ein und diverser Memberserver Exchange, CAD usw... das ganze wird per VMware 6.7 Virtualisiert, die Sicherung fahren wir mit Veeam. Jetzt habe ich in unserer Firma ein zweites Vcenter aufgesetzt um dort einige Fälle im Falle des Falles aus zu probieren. Hier habe ich einen der beiden DCs aus einer Sicherung (eig. eher Veeam Replication) in diese geschottete Umgebung rückgesichert, jedoch stellt dieser DC ca. 5 min nach dem einschalten die AD dienste ein. Der Hintergrund ist das wohl VMware die Invocation ID mit dem Anschalten ändert und somit der DC weis das er aus einer Sicherung gestartet wurde und auf seine anderen "Kollegen" wartet das Sie ihm die aktuellen AD Daten replizieren (ich habe auch mit repadmin den Clone und das original verglichen, die Invocation ID ist anders). Jetzt gibt es ja nur den einen, weil wenn ich den anderen auch Rücksichere denkt der ja auch so. Im Eventlog steht auch in etwa das er kein AD von einem andern DC replizieren konnte. Gibt es hier einen Reg Key das man sagen kann er ist der DC wo die aktuelle Version des AD hält und seinen Betrieb wieder aufnimmt? Ebenso einmal die Frage, ich habe gelesen das wenn man ein USN verursacht dieser DC herabgestuft werden soll, läuft dann das AD wieder ganz normal weiter? Auch stand irgendwo das bei einem AD mit z.b 3 DCs und einer davon Rückgesichert wurde die anderen zwei ihre Dienste einstellen können, reicht es dann hier auch nur den Rückgesicherten herab zu stufen so das die beiden anderen wieder laufen? Ich frage deshalb um einfach das ganze besser verstehen zu können . Mfg Marcel

Hi, also wir versenden bei uns in der Firma Mail über Projektadressen, jetzt haben wir Regeln wo steht wenn von Adresse x dann Kopie der Mail an Öffentlichen Ordner 18\18103\Postausgang. Wenn von außen Mails reinkommen werden diese ebenso an einen Öffentlichen Ordner 18\18103Posteingang kopiert. Wobei 18 das Jahr und 1803 die Projektnummer ist. Jetzt wollen wir nur noch einen Ordner E-Mai also 18\1803\E-Mail somit wollte ich alles vom Postausgang in den Posteingang kopieren und Posteingang in E-Mail umbenennen. Bei neuern Projekten haben wir es schon so angelegt, bei älteren nicht. Da einige Projekte schon seit Jahren so laufen sind in den Ordern natürlich einige Mails gelandet. Grüße und schonmal Danke im Vorfeld

Hallo Miteinander, kann mir bitte einer sagen mit welchen Powershell Befehl ich Mails aus einem Öffentlichen Ordner in einen anderen Kopieren bzw. verschieben kann? Ich finde da nichts wirklich im Netz. In einem Post war ein Link aber "moveitems -Mailbox" geht nicht (vermute nur bis EX10). Ich habe es im Outlook versuch zu verschieben, aber dann hängt er immer , das habe ich auch oft gelesen das Outlook sich dann oft aufhängt (weis da einer warum, das tät mich mal interessieren) Grüße und Danke

Ja in Outlook, nur da habe ich es ausprobiert. Was ist dann aber der Unterschied weil in der ecp immer zwischen Primär und Sekundär unterschieden wird?

Also es geht, man kann in beiden Postfächern Ordner mit Unterordner erstellen wie man möchte, es gibt keine Einschränkungen. Danke nochmal

Vielen Dank! Heist das dann aber wenn ich den Ordner im zweiten Postfach erstelle ich dann keine Unterordner für Ordner wo im Postfach 1 sind mehr erstellen kann , oder habe ich das jetzt falsch verstanden? Gruß

Hi, ich finde aber diesen Powershellbefehl nicht so recht New-PublicFolder -Name Reports -Path \Marketing\2016 Da wird jetzt aber ein Ordner angelegt für Mails und das Postfach kann man da auch nicht angeben.

Hallo, wie kann ich für Exchange einen ÖffentlichenOrdner vom Typ Kontakte erstellen und das Postach auswählen? Hintergrund, ich habe zwei ÖffentlicheOrder Postfächer und das eine ist jetzt bei ca. 70GB , habe ich ein zweites Postfach für Öffentliche Order angelegt weis aber nicht wie ich sage der Odner soll ins Postfach 1 der ins Postfach 2? Grüße und Danke

Hallo, mal noch eine Frage nebenher, wenn ich den PC starte und ich Scipte auf Computerebene laufen lasse, mit welchen Anmeldedaten greift der PC auf das Share zu $Computername? Mfg

Hallo Miteinander, ich habe seit ein paar Tagen einen Fehler mit der ANwendung von Gruppenrichtlinien auf allen Clients. Mir ist aufgefallen das wenn ich irgentwelche scripte mit dem PC start ausführen möchte diese nie angewendet werden. Heute habe ich mal Zeit gefunden und bin dem nachgegangen und habe sowohl auf den Clients als auch auf den DCs mmer folgend Meldung Rsop auf dem DC Freitag, 6. Juli 2018 09:23:18 Scripts ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen. Das System kann die angegebene Datei nicht finden. gpresult auf dem Client Bei der Verarbeitung der Computerrichtlinie sind folgende Warnungen aufgetreten: Fehler beim Anwenden der "Scripts"-Einstellungen. Die "Scripts"-Einstellungen besitzen möglicherweise eine eigene Protokolldatei. Klicken Sie auf den Link "Weitere Informationen". Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen. Im eventlog vom CLient EventRecordID 1712 - Correlation [ ActivityID] {78E06BBD-4BB5-485A-AEB2-F2F2966BDA55} - Execution [ ProcessID] 3692 [ ThreadID] 4712 Channel Microsoft-Windows-GroupPolicy/Operational Computer Buero_GanserI.igw.local - Security [ UserID] S-1-5-18 - EventData CSEElaspedTimeInMilliSeconds 16 ErrorCode 2 CSEExtensionName Scripts CSEExtensionId {42B5FAAE-6536-11D2-AE5A-0000F87571E3} Jetzt habe ich was mit der Netzwerkfreigabe vermutet, aber da kommen alle drauf auch die Rechte habe ich nochmal überprüft, alles OK. Das System hat vollen zugriff, als auch Authentifizierte Benutzer. Kann es etwas mit der CSE selber zu tun haben? Ich hoffe einer weis hier Rat?! Grüße

Danke

Hallo, ich beschäftige mich momentan mit dem Thema und hätte mal eine Frage. Wenn ich einen nicht authorativen restore mache, muss der wiederhergestellte DC den anderen doch sagen das er aus ner Sicherung restored wurde? Ansonsten replizieren die doch nicht bzw. es gibt probleme mit doppelten Sids usw. Das lese ich doch überall, USN Rollback usw. Im authorativen fahre ich ja erstmal in den Wiederherstellungsmodus beim nicht authorativen, boote ich direkt ins Windows? Ich lese das hier so, nimm dein gemachtes Image vom ausgefallenen DC, mounte es auf einen ESXI Host und starte die VM, alles läuft wieder. Grüße

Hi, der Server ist ne VM und ich restore den auf nem anderen ESXI Host. Was ich aber jetzt herausgefunden habe ist, in Veeam kann man Application Aweare Backup einstellen, so das dort ein VSS Provider info an den DC wenn er gesnaptshot wird. Schalte ich das ab und mache ein backup dann läuft der Server und das AD (Backup ist dann aber wohl inkonsistent). Das ganze muss irgentwas mit dem Thema USN Rollback oder so zu tun haben. Wie ist das, gibt es ein Flag was man auslesen kann wo man erkennt das der DC ein USN Rollback hat und deswegen alles einstellt? Grüße

HI, Es kann doch aber nicht sein das jetzt gar nix mehr Läuft, da weis man ja gar nicht wo man anfangen soll?! Im Internet habe ich das gefunden, ist da was drann? ...

Hallo Miteinander, ich habe einmal folgende frage und hoffe das ihr mir da weiterhelfen könnt. Ich habe einmal Testweise versucht in unserer VM Umgebung eine Rücksicherung des DomainControllers (wo alle FSMO Rollen hält) gemacht. Gestern Abend alle gesichert mit veeam und dann den einen von beiden DomainControllern in ner abgeschotteten Umgebung Rückgesichert und gestartet. Als Netzwerk habe ich einen Switch ohne Uplink Adapter erstellt und verbunden, jedoch kommt sobald ich mich am DC anmelde beim Start von das das keine Namensinformationen gefunden wurden und die angegebene Domäne ist nicht vorhanden. Im Eventlog steht dieser Server besitzt die FSMO rollen die jedoch nicht als gültig eingestuft wurden .... DCDIAG mault auch wurde kein Zeitserver gefunden, kein Global Cataloge usw. Ich verstehe gar nicht warum sich der Server nicht mehr für nen DC hält nur weil er seinen Kollegen DC2 nicht findet stellt er alles ein? DNS habe ich geprüft Auflösung geht alles, der Server hat sich selber als DNS eingetragen in der Netzwerkkarte. Hoffe hier weis einer rat, würde gerne verstehen wollen warum das so ist Im Anhang mal nen Foto

Hallo Miteinander, also jetzt die Fakten Die ausgerauten DDP und DDCP heben folgende GUID die DDP 31B2F340-016D-11D2-945F-00C04FB984F9 die DDCP 6AC1786C-016F-11D2-945F-00C04fB984F9 Ich kann die aber net löschen, ich konnte eine umbenennen, deshalb ist bei der DDP ein ö mit am Ende des Namens. Ich kann das ö aber auch nicht entfernen weil er dann mault das es den Namen schon gibt. Die frage ist jetzt wie bekomme ich die ausgerauten weg wo die Meldung immer kommt das System kann die Datei nicht finden? Ich verstehe auch gar net warum die zweimal da sind, im Adsi kann ich die GUID auch nicht löschen , kommt ja auch immer nen Fehler. Im Ahang jetzt nochmal zwei Fotos Kann mir das nochmal einer Beantworten ? Mal noch zwei Fragen nebenbei, wenn ich im Internet lese die DefaultPolicy.... sei hartcodiert was bedeutet das genau? Warum zeigt mir ADSI nicht Domänenkontext an sondern Standardmäßiger Namenskontext? Grüße die ausgerauten DDP und DDCP sind nicht verknüpft, die sind nur in der OU Gruppenrichtlinienobjekte.und diese kann ich unter System/Polices ja nicht löchen. Die DDP und DDCP wo verknüpft sind sind schwarz hinterlegt in der OU Gruppenrichtlinienobjekte, die kann man auch ganz normal bearbeiten.

Hi, also die IDs sind auch nicht gleich sondern unterschiedlich.

Hallo Miteinander, ich habe bei uns im ad (warum auch immer) jeweils 2 x die Default Domain Controller Policy und die default Domain Policy. Wobei einmal je Name immer ausgeraut ist und diese auch keine Verknüpfung zu einer OU hat. Die wo ganz normal angezeigt werden sind Verknüpft. Wenn man auf die GPO Klickt kommt immer System kann die angegebene Datei nicht finden, auch löschen geht nicht. Nehme ich die GUID gehe ins ADSI und versuche die in der DomainPartition zu löschen geht das auch net. Fehler beim Vorgang, am Objekt befindet sich ein Systemkennzeichen.... Was kann ich denn da machen? Im Anhang seht ihr das ganze. Mal noch zwei fragen nebenbei, wenn ich im Internet lese die DefaultPolicy.... sei hartcodiert was bedeutet das genau? Warum zeigt mir ADSI nicht Domänenkontext an sondern Standardmäßiger Namenskontext? Grüße Marcel

Hi, also das Problem ist es nicht, da sind evtl. 10 Gruppen drin. Ich habe mich als besagter Clientadministrator angemeldet und whoami /all /fo list ausgeführt