Saegenjupp

vor 4 Minuten schrieb zahni:

Ich rate mal: Die "Abrufer"  sind ältliche  Windows  Versionen? Microsoft hat diese API  entweder mit 2008R2  oder 2012 geändert. Ältere Systeme wie 2008 ohne R2  können über diese  API nichts mehr abrufen.

Musst Du halt  manuell machen.

Was genau muss ich manuell machen ? Ich bin von 2003 auf 2012 R2 nach der genannten Anleitung.

https://blogs.technet.microsoft.com/canitpro/2014/11/11/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2003-to-2012-r2/

Genau nach dieser Anleitung bin ich vorgegangen. Irgendwie scheint der Dienst ja da zu sein. Gepingt bekomme ich ihn ja. Arbeitet aber wohl nicht so wie er soll....

Hallo zusammen,

bekomme auf Memberservern folgende Melungen:

Ereignis-ID: 6 Bei der automatischen Zertifikatregistrierung für lokales System ist ein Fehler aufgetreten (0x800706ba) Der RPC-Server ist nicht verfügbar.

Ereignis-ID: 13Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat Machine mit der Anforderungs-ID N/A von XXXXXXXXXXXXXXXXXXXXXX (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)) registrieren.

Ereignis-ID: 82 Fehler bei der Zertifikatregistrierung für Lokales System bei der Authentifizierung für alle URLs für den Registrierungsserver, der folgender Richtlinien-ID zugeordnet ist: {3E3E7628-D887-496A-A670-635AC8E3FF04} (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)). Fehler bei der Registrierung für Vorlage: Machine

Den Dienst habe ich von einem alten DC auf einen neuen übertragen. Auch gepingt bekomme ich den Dienst:

U:\>certutil -ping FQDN
Verbindung mit FQDN wird hergestellt...
Server "XYZ": Die Schnittstelle ICertRequest2 ist aktiv.
CertUtil: -ping-Befehl wurde erfolgreich ausgeführt.

Was wird das sein ?

Moin,

Zertifikate werden nicht repliziert.

Danke Nils ! Dein Beitrag sagt was aus und hilft auch weiter...

Ich habe mich in das CA Thema mal eingelesen und habe die Daten auf einen 2012R2 DC migriert. War einfacher als erwartet !

Hallo zusammen,

ich habe einen alten DC (Windows Server 2003) auf dem noch ein Zertifikatdienst installiert ist. Beim entfernen der DC Rolle wird gemeldet das ich diesen Dienst erst deinstallieren muss. Soweit kein Problem, ich weiß nur nicht ob dies auswirkungen auf das Netzwerk haben kann.

den DC habe ich jetzt mal zwei Monate aus gelassen um zu schauen ob es irgendwelche Auswirkungen hat, bevor ich ihn lösche.

Ich weiß nur nicht ob dieser Zertifikatdienst evtl. auf andere DC´s repliziert wird und noch aktiv ist. Wenn ich jetzt den alten DC einschalte und die Rolle für die Zertifikate deinstalliere und dadurch auch die eventuelle Replizierungen lösche, spüre ich ja dann wirklich erst die Auswirkungen. Das längere abschalten des alten DC´s hätte dann somit nichts gebracht. Liege ich da richtig mit meinen überlegungen ? was wird wohl passieren ?

Mein Rat: Lass das Fummeln in der Registry! Schaue die Gruppenrichtlinien!

Ja da ist ja der Haken, in der Pro Version kann man über die standard GPO´s nichts reißen. Erst ab Enterprise oder Education. Aber selbst dort auch nicht im vollen Umfang wie bei älteren Windows Version. Sonst würde es ja schon Lösungen zu finden geben.

Hi, etwa das gleiche Ziel habe ich auch. Ich möchte Windows 10 pro einschränken und eigentlich nur RDP Verknüpfungen vom Desktop starten. Bist du schon weiter gekommen ?

http://www.mcseboard.de/topic/210850-windows-10-pro-zum-thin-client-machen/

Ja, war b***d ausgedrückt von mir. Kann den Titel nicht mehr ändern. Sollen RDP Clients sein.

Die RDP Performance war mit dem Intel NUC und vollem Windows am Besten. Videos und Browser ruckeln nicht mehr im Vergleich zu Futros oder IGEL.

Jetzt geht es mir um das Einschränken :-) Habe in der Reg schon mal rum gefummelt, bisher ohne Erfolg. Ich bin auf Ideen Angewiesen !

Ja, das stimmt schon. Windows 10 pro ist nicht die beste Wahl. Entscheident war, dass wir lokal McAfee Data Loss Prevention drauf laufen lassen können um USB Port zu überwachen/sperren(mit AD Anmeldung an Win10).

Zusätzlich haben wir die Option einzelne Geräte bei Bedarf als Workstations zu nutzen (Intel NUC´s). Daher sollten es richtige PC´s mit vollen Lizenzen sein. Die Performance ist auch unschlagbar, haben mit Futros und Igel in Teststellungen verglichen.

Die Windows 10 pro Lizenzen sind jetzt da. Die kann ich leider nicht mehr zurück gehen lassen. Genau, es sollen RDP Clients sein. Am besten eingeschränkt, damit User nicht auf die Idee kommen damit lokal zu arbeiten. Es muss nicht 100% alles geblockt. sein. Solange zum Beispiel die Taskbar weg ist und man nur die Symbole auf dem Desktop findet, würde mir das reichen.

Klar kommt man mit Tastenkombinationen dann dennoch überall hin, das ist auch nicht schlimm. Aber für den Endbenutzer ist die Oberfläche clean. Das ist OK, das reicht.

Ich denke meine Herangehensweise ist nicht optimal. Auch meine Win 10 pro Versionen bieten nicht alle Konfigurationsmöglichkeiten wie die Enterprise version. Habe meine Strategie geändert.

Die Anmelung soll jetzt einfach über AD laufen. Gerne würde ich die Startleiste komplett deaktivieren. Eine RDP Verknüpfung auf dem Desktop reicht.

Weiß wer ob und wo ich in Regedit die Startleiste/Startmenü komplett killen kann ? 

Hey, es hat geklappt. War mir wohl nicht klar das ich die App für den lokalen User separat laden muss. Jetzt kann ich die App auswählen, danke !

Jetzt kommt aber hinzu das ich keine RDP Verbindung aufbauen kann. Der steht die ganze Zeit auf "Connecting..."  muss ich RDP noch für den User freigeben ?

War der Meinung Windows 10 pro wird schon merken, dass wenn ich RDP benutzte, ich dafür auch Rechte brauche :D

Keine Fehlermeldung, garnichts.

Hi, habe beides ausprobiert, bekomme das mit der richtigen Schreibweise nicht hin. Welche Variante ist erstmal egal. Hauptsache es klappt irgendwie :-)

Hallo, im wesentlichen war es der McAfee Email Client im Outlook.

Habe ihn deaktiviert, seitdem ist Ruhe. Er ist auch nicht zwingend notwendig. Habe an der Firewall zwei Scanner, einen auf dem Exchange und einen am Client. Natürlich jeweils unterschiedliche Scanner. Ist schon fast zu viel des Guten....

Hallo zusammen,

in Windows 10 gibt es die Möglichkeit "Zugewiesenen Zugriff einrichten"

Damit hat man die Möglichkeit einem lokal angeleten User eine "App" zuzuweisen. Soweit funktioniert das auch.

Allerdings wird mir hier nicht die Remote Desktop App angezeigt.

Das Problem konnte ich mehrfach googlen, eine Möglichkeit wäre über Powershell diese Zuweisung manuell zu setzten.

Leider weiß ich die AppID vom Remote Desktop nicht, oder die richtige Schreibweise. Gibt mehrere Möglichkeiten. Auch weiß ich nicht ob die Remote Desktop App wirklich als App definiert werden kann, ist ja mehr ein Feature.

Hier mal was worauf man evtl. aufbauen kann:

https://msdn.microsoft.com/en-us/library/dn449301(v=winembedded.82).aspx


Examples

EXAMPLE 1

    Set-AssignedAccess -UserSID S-1-5-21-523423449-2432423479-234123443-1004 -AppName CustomApp

    -----------

    Description

    -----------

    This example shows how to configure assigned access by using the user SID and the app name.

EXAMPLE 2

    Set-AssignedAccess -UserName UserName -AppUserModelId microsoft.windowsphotos_8wekyb3d8bbwe!app

    -----------

    Description

    -----------

    This example shows how to configure assigned access by using the user name and AppUserModelID.

EXAMPLE 3

    Set-assignedaccess –username UserName -AppUserModelId ‘DefaultBrowser_NOPUBLISHERID!Microsoft.InternetExplorer.Default’

    -----------

    Description

    -----------

    This example shows how to configure assigned access for the browser.

 

Hallo zusammen,

ich habe das Problem das für die Zeit des Email Empfangs das Outlook kurzzeitig einfriert.

Dies tritt bei allen Clients auf. Egal ob Workstation oder ThinClient.

Im Verdacht war auch der neue ESET Scanner auf dem 2010er Exchange, nach der Deinstallation hat sich aber nichts gebessert.

Habt ihr eine Idee was das sein kann ?

Kann gelöscht werden, ein Addin hat gestört. Sorry !

Da sind wohl aktive Zertifikate bei die noch gültig sind, allerdings wurde das letzte 2015 ausgestellt :schreck:

Wie gesagt, der DC war jetzt mehrere Wochen aus und keiner hat sich beschwert. Mein Bauchgefühl würde jetzt sagen "weg damit"

Ist diese Zertifizierung wichtig ? Muss oder sollte ich sowas auf einem der neuen DC´s konfigurieren ?

Danke ! Da steh noch einiges drin. In wie weit das wichtig ist kann ich nicht beurteilen.

Hallo zusammen,

ich wollte zwei alte DC´s abschalten (W2k3). FSMO Rollen sind übertragen.

Bei dem DC1alt habe ich mit dcpromo alles entfernen können.

Bei dem zweiten DC2alt bekomme ich die Meldung das noch Zertifikat Dienste installiert sind. Habe jetzt ein Fragezeichen über dem Kopf stehen. Ich habe keine Ahnung was meine Vorgänger darauf installiert haben und ob dies noch benötigt wird. (Habe zum test die alten DC´s mal für zwei Wochen aus gelassen. Niemand hat Fehler gemeldet)

Ich weiß nicht wie ich den Zertifikatdienst einsehen, übertragen oder löschen kann. Hab ich noch nie mit gearbeitet. Ich vermute fast das das löchsen reichen sollte, ich möchte vorher aber wenigstens mal reingesehen haben.

Danke schonmal !

Habe Lazarus gestartet, dort wurden die ältesten Einträge von vor knapp zwei Monaten gelistet. Leider wurde das Objekt wohl schon vor längerem gelöscht.

Kann mir wer sagen warum die Schaltfläche "Papierkorb aktivieren" bei mir grau ist ? Für die Zukunft wäre die Funktion nicht schlecht.

Moin,

 

wenn der User bereits gelöscht ist, darfst du den Papierkorb auf keinen Fall anschalten. Diese Änderung entfernt einmalig den Zugriff auf alle vorher erzeugten Tombstones.

 

Falls es dir also darum geht, jetzt einen User wiederherzustellen, der bereits gelöscht ist, dann besorgst du dir ADRestore von Sysinternals und holst den User zurück:

https://technet.microsoft.com/de-de/sysinternals/bb963906.aspx

 

Sofern der AD-Papierkorb schon an ist, hast du den User vollständig zurück. Falls er noch nicht an ist, ist es nur das Rumpfobjekt, aber eben mit SID.

 

Ob der Papierkorb aktiv ist, sagt dir:

Get-ADOptionalFeature 'Recycle Bin Feature'

Gruß, Nils

Der Befehl hat mir folgendes ausgegeben:

DistinguishedName  : CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows

                     NT,CN=Services,CN=Configuration,DC=XXXXXXXX,DC=XXXXXXXXX,DC=de

EnabledScopes      : {}

FeatureGUID        : 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a

FeatureScope       : {ForestOrConfigurationSet}

IsDisableable      : False

Name               : Recycle Bin Feature

ObjectClass        : msDS-OptionalFeature

ObjectGUID         : 3eab5ae7-c3d2-4e35-8e18-1c024bdf8a14

RequiredDomainMode :

RequiredForestMode : Windows2008R2Forest

Hallo zusammen,

ich will einen gelöschten AD User wiederherstellen. Dafür wollte ich im AD Verwaltungscenter den Papierkorb aktivieren.

Jetzt ist dieser Menüpunkt bei mir ausgegraut. Warum weiß ich leider nicht.

Vielleicht wurde diese Funktion schon von einem anderen Admin aktiviert, jedoch hätte ich dann einen Ordner "Deleted Objects" vermutet, welcher aber nicht vorhanden ist. Kann mir da wer helfen ?

Habe die WSUS Rolle entfernt, die DB manuell gelöscht und das ganze von neu aufgezogen. Bisher habe ich keine Fehler feststellen können.

Vielen Dank für eure Hilfe !

Ach das meintest du. Habe eine Automatisierung für "Sicherheitsupdates" und "wichtige Updates" für die von mir angehakten Produkte und Klassifizierungen. Den Rest gebe ich manuell frei oder eben nicht.

Ja, ich meinte den gesamten Content mit den 350GB.

Meine WSUS Version ist 6.3.9600.18324

Testweise habe ich die Hardware auf 8vCPU und 16GB RAM geändert. Der Fehler bestand weiterhin.

Den Speicher habe ich nach der Anleitung auf NULL gesetzt, danke dafür ! Erst dachte ich der Fehler sei verschwunden, grad eben im Augenwinkel ist er wieder auf FEHLER gesprungen.

@Dukel: Weitestgehend habe ich bei der Installation nur angehakt was auch im Einsatz ist oder nützlich wäre. Kam doch einiges zusammen. 

Hallo zusammen,

ich habe einen neuen WSUS auf 2012 R2 auf VM-Version 11 aufgesetzt (4vCPU, 8GB RAM). SAN und Hosts haben genug Ressourcen frei, da kann ich relativ ausschließen das es da Probleme gibt.

Bei der Konfiguration habe ich geklotzt und nicht gekleckert, habe z.B. Treiber mit aufgenommen, was mir die DB bisher auf 350GB aufgebläht hat.

War wohl nicht so klug.

Im Betrieb kommt regelmäßig ein Fehler, der aber auch schon seit Anfang an auftrat als die DB noch klein war. Updates habe ich alle gezogen und den Postinstall durchgeführt. Ich muss dazu sagen das ist mein erster selbst aufgesetzter WSUS. Vielleicht habe ich einfach schlecht konfiguriert, wobei ich glaube das man hier nicht viel falsch machen kann.

Kann ich die DB zurück setzen, sodass diese ohne Treiber neu aufgebaut wird ? Oder sollte der auch auf dieser Größe gut arbeiten ? Benötigt der WSUS mehr RAM, CPU ?

Habe keinen SQL Server verwendet !

Fehler: Verbindungsfehler

Log: