Saegenjupp

vor 6 Minuten schrieb Stibo:

Hey,

 

auch, wenn es Dir zu diesem Problem nicht weiterhilft (Testperson konnte ja schon helfen), aber NDR bedeutet Non-Delivery Report bzw. Receipt, also Unzustellbarkeitsnachricht. :)

Ahso, ok. Den kenne ich natürlich, da habe ich den String raus kopiert. Danke für die Aufklärung

Hat geklappt. Vielen Dank testperson!

Hey, die Lösung sieht gut aus. Leider bin ich da nicht so bewandert. Alternativ sollte im NDR.... NDR sagt mir nichts, wo kann ich den finden? Ich schaue mal ob ich eine ausführliche Anleitung finde.

Oh, doch nicht so schwer, ich dachte diese ganzen +20 Werte usw. sind individuelle Werte. Sind ja immer gleich. Lasse das mal eben laufen.

*Update

Hallo zusammen,

ich hatte Probleme mit einem Postfach auf dem Exchange 2010, ich sah keine andere Möglichkeit als das Postfach zu löschen und neu anzulegen.

Hat soweit auch funktioniert, die alten Daten habe ich als Archiv angebunden.

Da bei allen Kollegen im Outlook die Adresse aus dem Cache automatisch vervollständigt wird, bekommen alle die Meldung:

"Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen:"

#550 5.1.1 RESOLVER.ADR.ExRecipNotFound; not found ##

Was kann ich da tun? Anscheinend passt irgendein hash Wert nicht mehr, da es ein neues Postfach ist, mit der alten Adresse.

Wahrscheinlich bin ich vollkommen falsch ran gegangen, aber zurück geht jetzt auch nicht mehr :-/

Hallo zusammen,

ich wollte mal von euch wissen wir ihr in der Domäne unterwegs seid. Welche Art von Accounts benutzt ihr für welche Aufgaben um im Fall der Fälle wenigstmöglich kaputt zu machen?

Zum Beispiel zum anpassen von Servereinstellungen.

Nutzt ihr einen AD-Admin Account zur Anmeldung? Oder einen AD-Admin Account um einem lokalen oder normalen AD-User temporär zum Admin zu machen? Oder einen lokalen Admin generell? Oder seid ihr immer ohne Rechte unterwegs und führt nur nötige Aufgaben mit Rechten eines AD/lokalen Admins aus? Es gibt so viele sichere und unsichere Kombinationen....

Und macht ihr in bestimmten Situationen etwas anders als sonst? Beispielsweise bei Backupservern...

Hatte neulich ein Gespräch mit anderen Admins, hier waren die Meinungen im Bezug auf Ransomware usw. schon sehr unterschiedlich.

Funktioniert, war wohl nicht geduldig genug. War schneller als der DC

Test war erfolgreich, habe das schon live setzten können. Alles super. Danke !

Ich muss jetzt nur noch elegant auf ein lokales Profil an den RDP Clients umstellen. Das GPO greift bei denen nicht mehr, trotzdem laden die bei der Anmeldung wieder die Umleitung. Das lokale Benutzerprofil habe ich gelöscht, das hat nicht geholfen. Wie kann ich das wieder zurück stellen? Die Folder Redirection will ich nicht anfassen.

kann ich das lokal irgendwie an den Clients zurück setzen? Oder muss ich eine neue GPO bauen, welche die vorhandene Umleitung auf dem Gerät abschaltet? Greift das dann die Daten der eigentlichen Umlenkung an? Noch habe ich keine Elegante Lösung. 

vor 2 Stunden schrieb testperson:

 

Ja, so ist es.

Bekomme das nicht hin. Habe eine Testrichtlinie erstellt, Authentifizierte Benutzer raus genommen, Domänen-Benutzer rein, und dann die selbst erstellte Gruppe "Workstations". Er nimmt aber anscheinend alle Geräte die in der OU liegen, nicht nur die aus der Gruppe Workstations.

super, danke! Teste ich.

Bei der Folderredirection ist es ja so, selbst wenn die GPO weg fällt, werden die Einstellungen so lange behalten, bis es eine Änderung zu einer neuen Redirection mitgeteilt wird. Also werden alle User die die GPO einmal erhalten haben, diese erstmal nicht wieder her geben. Gibt es eine Möglichkeit diese wieder aufzuheben?

Habe unter Delegierung die Gruppe mit den RDP Client "Verweigert", dann habe ich mich als admin, nach einem Neustart des RDP Clients angemeldet, um das Benutzerprofil einer Anwenderin zu löschen.

Sie hat sich dann wieder angemeldet (Profil lokal gelöscht, Gerät wurde für die GPO "Verweigert"), trotzdem war die Umleitung noch aktiv. An den RDP Clients würde ich das gerne rückabwickeln.

vor einer Stunde schrieb testperson:

Du könntest noch überlegen, es andersrum zu machen.

 

• Authentifizierte Benutzer -> Entfernen
• Domänen Benutzer -> Hinzufügen; Lesen + Übernehmen
• Gruppe mit den Computerkonten der RDS-Hosts -> Hinzufügen; Lesen

In der Regel wechselt man den Client häufiger wie die Session Hosts. Dann hättest du weniger Aufwand / Verwaltung. ;)

Ja, so wäre es besser. Zum Verständnis für mich... Authentifizierte Benutzer entfernen. Verstehe ich. Dann Domänen Benutzer mit Leserechten, würde allen Benutzern in der Domäne erlauben die GPO umzusetzen. In der Vergangenheit habe ich es mal mit Gruppen von Benutzern anstatt Authentifizierte Benutzer probiert. Hat nicht funktioniert.

Dann die Gruppe mit den RDS-Host mit Leserechten versehen.

Dann wären alle Domänenbenutzer und die RDS Hosts leseberechtigt. Sind dadurch dann alle anderen Computer ausgeschlossen? Womit schließe ich denn alle anderen Computer aus? Dadurch das die Authentifizierten Benutzer raus fallen?

Genau, wir haben lokal arbeitende User, hier kann die Folderredirection greifen. Genau wie auf den RDS Hosts. Bei anderen "Computer" die rein RDP nutzen, sollen dies nicht greifen.

stimmt, war übereifrig

Super, habe es gefunden, danke euch! Habe alle RDP Computer in die Gruppe RDP-Clients gepackt und die Folderredirection verweigert:

Muss ich mal beobachten ob das so klappt wie ich mir das vorgestellt habe

Ich glaube ich habe es gefunden.

Wenn ich dort einen Computer mit rein nehme, auf den die Richtlinie dazu nehme, sind dann automatisch alle anderen gesperrt? Doch nicht oder? Wenn dann ein User Rechte hat und einen Computer nutzt der nicht explizit getrusted ist, müsste die Richtlinie ja trotzdem greifen oder? Ich kann hier ja nur erlauben, nicht ausschließen.

Wäre es auch möglich das Ganze über den Fileserver zu ändern ? Dann muss ich die GPO nicht verändern.

vor 22 Stunden schrieb testperson:

Hi,

 

es wäre vermutlich einfacher die GPO mit der FolderRedirection zu filtern und dort den RDP Clients das Lesen / Übernehmen zu verweigern.

 

Gruß

Jan

Hi, das hört sich auch gut an! In der GPO weiß ich nicht wie ich das anstellen kann. Glaube die Sicherheitsfilterung ist doch nur für Gruppern und User vorgesehen oder? Wie sieht das dann aus?

Habe noch mal überlegt, die GPO´s scheinen nur für Windows 7 und 2012r2 zu gelten. Bei Windows 10 müsste ich neuere/andere nehmen. Somit ist das ganze doch kein Problem, sondern nur eine unbegründete Annahme.

Was mich aber dennoch interessieren würde, hätte ich einzelnen Geräten, unabhängig vom angemeldeten Benutzer, den Zugriff auf den Fileserver verweigern können? Und Wie?

Mir ist da was eingefallen! Das Ziel der Folderredirection liegt ja auf meinem Fileserver. Wenn ich also einer bestimmte Gruppe an Computern den Zugriff auf den Fileserver verbieten würde, kann nur ein leeres, lokales Profil geladen werden, fertig! Ich wüsste grad nur nicht wie ich das verbieten könnte. Auf meinem Fileserver sehe ich ja welcher User von welchem PC zugreift. Also müsste der Fileserver ja auch unterscheiden können. Wer weiß wie?

Hallo zusammen,

habe die Folderredirection von den Servern auf die User gelegt, da wir bei wechselnden Servern immer Probleme hatten. Jetzt funktioniert alles gut.

Der Nachteil ist, bei den eingesetzten RDP Clients haben die User ihren kompletten Desktop schon auf dem lokalen PC angezeigt, da der Zustand der Redirection ja erhalten bleibt und nicht auf lokal wechselt.  Dieser sollte eigentlich erst nach der RDP Anmeldung am Server sichtbar sein.

Ich denke ihr versteht was ich meine.

Auf den RDP Clients melden sich die Anwender schon mit den Domänenaccounts an, bevor sie sich nochmals mit ihren Credentials zum Server verbinden.

Deswegen sollen die Clients relativ clean bleiben. Vielleicht gibt es eine Möglichkeit den redirected Desktop lokal auszublenden. Benötigt wird eigentlich nur eine RDP Verknüpfung auf dem Desktop - eine Art Kioskmode.

Die Folderredirection kann ich hier nicht vereinzelt unterbinden. Hin und her macht nur alles kaputt. Diese soll schon so auf den Usern liegen bleiben.

Hauptsächlich sind es Win10Pro Clients. Hat da wer eine Idee?

Hallo zusammen,

von unserer Sophos kenne ich das SMTP Protokoll, wo ich sehen kann welche Mail wann, von wo, wohin ging. Leider nicht für den Emailverkehr intern.

Manche Systeme können Status Emails ohne Authentifizierung senden. Beispielsweise meldet sich eine NAS, wenn der Platz knapp wird, oder eine Platte versagt.

Leider weiß ich nicht wie ich diesen Traffic überwachen kann. Gefunden habe ich nur Übermittelungsberichte, welche aber nur fest eingerichtete Postfächer abbilden. Der ganze Postfachlose Traffic ist mir nicht sichtbar. Kann mir wer sagen wie man das händelt ?

Musste manuell vorher die NTDS Settings löschen, dann ging es. Danke !

Was genau ist mit Unterstruktur gemeint ? Es wird nichts weiter angezeigt.

Es waren mal DNS Dienste dort installiert, diese werden aber von den neueren DC überommen. Habe etwas Hämmungen da drauf zu drücken.

Der alte DC war auch länger aus, also vermisst hatte ich nichts.

vor einer Stunde schrieb NorbertFe:

Wieviele DCs hast du und welche Version haben die?

habe noch zwei 2012 R2 DC und einen uralten SQL Server, welcher mir als DC angezeigt wird.

Also dcpromo /forceremoval und in der AD einfach das Computerkonto löschen ? Merken die DC das der händisch gelöscht wurde und schmeißen ihn aus dem Inventar ?

über /forceremoval löscht er ja lokal die Rolle, ohne das die DC das mitbekommen oder ?

Hallo zusammen,

ich möchte einen Windows 2003 DC aus dem Netzwerk schmeißen, leider hat dieser die Verbindung verloren.

Wenn ich dcpromo ausführe und die Rolle löschen möchte, meldet er "keine Verbindung zu XYZ DC"

Die Kommunikation wollte ich wie folgt wieder erzwingen, leider ohne Erfolg. Manuell aus der AD will ich ihn nur im Notfall löschen. Will ihn lieber sauber abmelden. Hat wer noch eine Idee ?

HKLM\System\CurrentControlSet\Services\nTDS\Parameters\Allow Replication With Divergent and Corrupt Partner

vor 22 Stunden schrieb zahni:

Wo tritt der Fehler denn auf.?

Bemerkt habe ich den Fehler an einem 2012R2 Server den ich neu aufgesetzt habe. Dann habe ich im CA DC nachgesehen, dort wurden nach dem Umzug keine Zertifikate mehr ausgestellt.

Ja, CA brauche ich. Die ungenutzten Templates sind mir ja egal, ich bin mir nur nicht sicher ob ein passendes für die Server bereits besteht, da die Templates aus der Anleitung sich nicht mit meinen decken.

Noch weiß ich nicht warum ich diese Fehlermeldungen bekomme. Ein fehlendes Template erschien mir da plausibel.

vor 2 Minuten schrieb zahni:

Ich meine  welche Windows-Version die Geräte haben, welche  die Zertifikate haben.

Hauptsächlich viele weitere 2012R2. Aber auch ältere Kisten. Ich würde fast behaupten von jedem OS ist noch was dabei neue Server tauchen im certsrv noch nicht auf. Also irgedwie arbeitet er noch nicht, ist aber erreichbar.

Genau, sieht jetzt bei mir wie folgt aus. Muss ich manuell dann das entsprechende Template erstellen ? Oder reicht das so wie ich es momentan habe ?

Liegt das an dem Template ?  Laut der Anleitung soll das "PC Certificate" gewählt werden. Dieses steht mir nicht zur Verfügung.