cj_berlin

Ja.

Ja, auch SDDC Premium. Meine Idee wäre, 40 Euro auszugeben und mir ein HPE ROK Medium zu besorgen. @msdtp Kommt der Fehler schon bevor Du Edition, Festplatte usw. auswählen kannst oder erst danach? Falls danach: Was ist der Zieldatenträger?

Moin, ich habe es schnell nachgestellt. Selbes Verhalten wie bei Dir, obwohl der Check am Anfang meines Tests sagt. dass es mit erhöhten Rechten läuft. Offensichtlich fehlt ihm seDebugPrivilege oder so etwas. Aber bevor ich anfange, das zu enablen, dann schon lieber Registry

Moin, kannst Du mit dem jeweiligen Account erfolgreich Enter-PSSession ausführen? Vielleicht ist einfach WinRM Remoting noch nicht vorbereitet, oder irgendwie totgetreten, oder jemand hat sich in JEA ausgetobt und den Default Endpoint verbogen...

Moin, a. [spoiler] weist auf einen Cross-Post hin. Bitte Hinweis und Link. b. wer ist LABDOM? Ist es der Name des Computers oder der Name der Domäne? Wie ist das Skript getriggert? c. Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\State --> UEFISecureBootEnabled (1 = ja, 0 = nein)

Naja, ich weiß nicht, was mit dem Erzwingen nicht hilfreich sein sollte... es sei denn, Du hast die Domäne schon länger und hast sie nie von NTFRS auf DFS-R gehoben. Dann würde der Fix mit dem Erzwingen natürlich nicht funktionieren. Für NTFRS gilt dann https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/use-burflags-to-reinitialize-frs und dann am besten sofort auf DFS-R migrieren. Wenn Du ein Backup eines DC hast, lassen sich alle Dinge, die Du in SYSVOL kaputt machen *könntest*, reparieren. Ob im Rahmen eines Internet-Forums, ist freilich eine andere Geschichte.

Moin, was ist in Deiner Welt ein "Spiegelserver"? Hast Du eine Domäne mit zwei Domain Controllern? Ist "Server in die Domäne gehängt" für Dich "einen neuen Domain Controller promotet"? Oder ist es etwas anderes? Es hilft enorm, wenn Du Terminologie benutzt, mit der der Rest von uns etwas anfangen kann, denn wie Reacher sagte, "in an investigation, details matter, assumptions kill". Wenn - Du tatsächlich zwei Domain Controller in der Domäne hast - und die AD-Replikation funktioniert... - ...aber die SYSVOL-Replikation nicht, kannst Du Letztere erzwingen, musst aber entscheiden, welcher DC die bessere Kopie hat: https://learn.microsoft.com/en-us/troubleshoot/windows-server/group-policy/force-authoritative-non-authoritative-synchronization

Moin, eine Gen. 1 VM solltest Du auf jeden Fall installieren können, wenn's reicht. Für Gen. 2 könntest Du versuchen, bei Secure Boot das Template von "Windows" auf "Microsoft CA" umzustellen, oder Secure Boot halt zu deaktivieren... Auch wieder, wenn's reicht...

Also wenn Du ein AD-Objekt für eine GPO hast aber keine Dateien, hast Du ein Problem mit der DFS-R Replikation. Da GPMC meistens den PDCe für die Bearbeitung ansteuern wird, existiert die bessere Kopie evtl. dort. Wenn die Dateien auf allen DCs fehlen, brauchst Du entweder ein Backup oder, falls Du weißt, was der Inhalt der GPO war, einfach neu bauen.

Ja, im Herbst. Wenn Du auf "Buchen" klickst, müsste da ein Dropdown mit diesem und dem nächsten Termin sein.

Online bei IT-ADministrator: https://www.it-administrator.de/trainings/active-directory-security

Links, die gepostet wurden, lesen und verstehen, insbesondere den zweiten.

same. Hat aber vor 10 Minuten scheinbar aufgehört

Genau. Ansonsten @_magkro_ mein nächstes AD Security-Seminar startet am 30.06.

...aber das nur dann, wenn Authenticated Users dort verschachtelt ist. Habe letzte Woche die erste Umgebung seit Jahren gesehen, wo das nicht mehr der Fall ist.

Ja, die Begründung würde mich auch interessieren.

Das war mal Default. @pischel poste mal nen Screenshot von der Registerkarte "Start" in msconfig

Das Boot-Menü. Das kann man über den Bootmanager einstellen.

Moin Davorin, es wurde schon angedeutet, dass das von dem Modul verwendete COM-Interface nicht remote funktioniert. Was Du machen kannst, ist per GPO einen Scheduled Task überall hin deployen, der nur on-demand läuft. Den kannst Du dann remote triggern. Brauchst auch das Modul nicht überall, kannst direkt das COM-Interface ansteuern: $wu_session = New-Object -COM "Microsoft.Update.Session" $wu_searcher = $wu_session.CreateUpdateSearcher() $wures = $wu_searcher.Search("IsInstalled=0 and Type='Software'") $updates_to_install = $wures.Updates.Count Write-Host "Updates: $($updates_to_install)" if ($updates_to_install -gt 0) { $wu_dl = $wu_session.CreateUpdateDownloader() $wu_dl.Updates = $wures.Updates $dlres = $wu_dl.Download() if ($dlres.HResult -eq 0) { $wu_in = $wu_session.CreateUpdateInstaller() $wu_in.Updates = $wures.Updates $inres = $wu_in.Install() if ($inres.RebootRequired) { Restart-Computer -Force -Confirm:$false } } }

Genau. Und bei wem holt er sich das Ticket? Und woher weiß er, dass er sich das Ticket dort holen muss? Ich habe übrigens nirgends gesagt, dass der Client (also der Drucker) einen LocalKDC haben muss Aber lassen wir's.

@Weingeist Du stehst evtl. auf dem Schlauch, denn bei NTLM ist die Ressource dafür zuständig, die Authentifizierung durchzuführen, und sie sucht dann einen DC, falls es sich um einen Domänen-User handelt. Bei Kerberos spricht der Client ja *zuerst* mit dem KDC und besorgt sich ein TGT und dann daraus ein Service-Ticket, und erst dann tritt die Ressource in Aktion. Somit muss bei LocalKDC ja erst mal der Client überhaupt wissen, dass er die Ressource nach dem TGT fragen muss. Bei Windows werden sie es vielleicht irgendwie hinbiegen, als Fallback oder so, was dann vermutlich irgendeinen Angriffsvektor öffnet, an den vorher niemand gedacht hat. Bei einem Scan-To-Folder-Gerät hast Du vielleicht nur einen Fileserver und kannst ihn explizit als KDC eintragen. Was aber, wenn Du mehrere Fileserver hast, aber nur einen Eintrag für den KDC im Client-System, weil der Hersteller davon ausgeht, dass das ganze im AD steht, wenn es schon Kerberos machen will? Alles lösbare Probleme, die aber nicht einseitig durch MSFT gelöst werden können. Da muss die ganze Branche mit anpacken. Und dass Canon, die heute gar kein Kerberos können, morgen neben einem zentralen KDC auch noch LocalKDC spielen, ist eben illusorisch. Insofern wäre IAKerb meines Erachtens erst mal wichtiger, und wenn die ganzen Dritthersteller es sich angewöhnt haben, die Zielressource nach Kerberos zu fragen (IAKerb), *dann* könnte man für Workgroup-Ressourcen auch LocalKDC implementieren.

Das ist eine Illusion. Dafür ist es ja notwendig, dass ein zugreifendes System davon ausgeht, dass der KDC identisch mit der Zielressource ist. Wenn IAKerb sich irgendwann herumgesprochen hat, werden manche Hersteller das als Standard oder als Konfigurationsoption übernehmen - Quasi Kerberos ohne explizite KDC-Angabe und ohne einen KDC Locator-Algorithmus. Bis dahin wird es auf Kommunikationsbeziehungen beschränkt bleiben, wo man EIN Ziel und EINEN KDC eintragen kann, dann ginge das.

Ja, aber der macht ja im Moment noch nix...

Moin, also beide Netze sind WLAN? Und in einem gibt es entweder kein DHCP, oder Du möchtest es nicht nutzen?

Moin, die Formatierung Deines Posts sieht nach Copy/Paste aus. Falls es ein Cross-Post ist, bitte darauf verweisen. In den Umgebungen, die ich gebaut habe/betreuen durfte, war CDP/AIA in der Regel ein Webserver, der "ganz woanders" stand, daher wurden die CRLs und CRTs eh mit einem Skript kopiert. Allerdings meine ich mich an eine Umgebung zu erinnern, wo das ein Windows Server im gleichen Sicherheitsbereich war, und da hat alles automatisch funktioniert. Ist der UNC-Pfad für AIA und CDP der SubCA identisch? Falls nicht, ist sichergestellt, dass die SubCA mit ihrer Maschinen-Identität dorthin schreiben kann? Ansonsten hätte ich gesagt, AIA aktualisiert sich einmal in mehreren Jahren, das kann man für heute manuell kopieren, und ob es zur Erneuerung noch dieselben Server sind, wird sich zeigen. CDP ist wichtiger, und das funktioniert ja.