Jump to content

Küstennebel

Members
  • Gesamte Inhalte

    55
  • Registriert seit

  • Letzter Besuch

Reputation in der Community

0 Neutral

Über Küstennebel

  • Rang
    Newbie
  1. Wen's interessiert, hier die Rückmeldung zur Lösung, welche zumindest bei uns Wirkung zeigt. Teile davon habe ich z.B. hier gefunden: für die Sperrung des Computers nach zeitlicher Inaktivität: GPO an eine User OU geknüpft: Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Systemsteuerung > Anpassung: Bildschirmschoner aktivieren Kennwortschutz für den Bildschirmschoner verwenden Zeitlimit für Bildschirmschoner setzen Bestimmten Bildschirmschoner erzwingen (sofortiger Lock Screen mit „rundll32.exe user32.dll,LockWorkStation“) für die erzwungene Domänenanmeldung (kein Durchstarten des Rechners bis zum Desktop bei gespeicherten Anmeldedaten) GPO an eine Computer OU geknüpft: Computerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung: Hier muss dann folgender Registrywert angelegt und auf "Aktualisieren" gesetzt werden: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon > AutoAdminLogon auf „0“ Falls also ein User ein AutoLogon in seinem Windows aktviert hat (AutoAdminLogon auf „1“), wird dieser Wert überschrieben und wieder auf „0“ gesetzt.
  2. In diesem Zusammenhang haben wir eben auch mal die GPO "Interaktive Anmeldung: Inaktivitätsgrenze des Computers" getestet. Hier wollten wir gerne erreichen, dass nach 30 Minuten Inaktivität der Rechner gesperrt wird. Doch die genannte GPO funktioniert nicht bei normaler Domänenanmeldung. Hier müssen wir wohl jetzt doch über den erzwungenen Bildschrimschoner gehen.
  3. Moin und Dank für die zahlreichen Rückmeldungen. Hätte gedacht, da gibt's mittlerweile 'ne GPO für. Aber dann setze ich per GPO einfach den Registrywert "AutoAdminLogon" wieder auf "0" und die automatische Anmeldung müsste gegessen sein. Das Löschen des Schlüssels "DefaultPassword" kann ich mir dann schenken. (Bei uns sind einige User auch Lokale Admins auf Ihren Maschinen. Die Softwareentwickler müssen halt ständig Sachen installieren und testen. Und einige haben halt das AutoLogon aktiviert. Und wenn sie das dann später wieder auf "1" setzen, .... mal sehen, wann sie aufgeben. ) Gruß Jörg
  4. Moin Forum, gibt es eine GPO für das Erzwingen des Anmeldebildschirms bei Rechnerstart? Bei uns haben einige User ihren Rechner auf "Durchstarten bis zum Desktop" eingestellt, ohne das die Anmeldeinformationen erneut eingegeben werden müssen. Nun, im Zuge der Einführung der EU-DSGV wollen wir hier mal einige Schwachstellen ausmertzen. Eine GPO für das Locken des Computers nach bestimmter Inaktivität habe ich gefunden, aber einen erzwungenen Anmeldebildschirm bei Rechnerstart leider nicht. Könnt Ihr mir da auf die Sprünge helfen? Gruß Jörg (DC Server 2016 / Windows 7 Clients)
  5. GPO Fehler: "Die Schnittstelle ist unbekannt" (Zeitsync)

    Hi Norbert, IPv6 ist am Client wieder aktiviert, am DC lief es eh die ganze Zeit. Dank für die Aufklärung. An der Fehlermeldung, dass die Domäne (angeblich) nicht vorhanden ist, hat dies aber nichts geändert. Anmeldedienst läuft auch. Zumindest die Zeit synct ja erst mal wieder, seit der Rechner aus der Domäne entfernt und wieder reingesetzt wurde. Insofern ist die Domäne ja erst mal vorhanden.
  6. GPO Fehler: "Die Schnittstelle ist unbekannt" (Zeitsync)

    Sowohl Richtung Internet, als auch intern nutzen wir aktiv nur das IPv4 Protokoll, deshalb ist bei allen Rechnern in den Adaptereinstellungen der Haken bei IPv6 rausgenommen Meint Ihr, das ist Quatsch? Sollte dies irgendetwas mit den genannten GPO Fehlern zu tun haben?
  7. GPO Fehler: "Die Schnittstelle ist unbekannt" (Zeitsync)

    Hi Norbert, Rechner ist sauber in der Domäne. IPv6 ist schon immer komplett disabled. IPv4 kommt über DHCP. In dieser Richtung sieht alles sauber aus. Ich habe jetzt den Rechner trotzdem einmal aus der Domäne genommen, neu gestartet, Rechner wieder in die Domäne gesetzt, neu gestartet. > keine Änderung, Zeit bleibt weiterhin falsch - GPO scheint also wieder nicht übernommen worden zu sein. Daraufhin GPRESULT erneut laufen lassen. Jetzt kommt als Fehler nicht mehr: Schnittstelle unbekannt, sondern: Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar. Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 20.03.2018 13:21:10 und 20.03.2018 13:21:11. In der Domäne bin ich aber drin. Der Rechner ist ohne Fehler wieder aufgenommen worden. Das Ereignisprotokoll zeigt zu der betreffenden Zeit keinen Fehler. Etwas eher gibt es allerdings eine Warnung im Log, dass "der Windows-Benachrichtigungsabonnent <GPClient> nicht verfügbar war, um das Benachichtigungsereignis zu verarbeiten. Nachtrag: Jetzt, ca. 5 min später hat er die Zeit vom DC doch übernommen, allerdings bleibt die Fehlermeldung von GPRESULT weiter bestehen.
  8. Hallo Leute, Umgebung: 1 DC: Server 2016 Standard, ca. 18 Windows 7 Clients, aktueller Updatestand Heute habe ich durch Zufall mitbekommen, dass die Zeit meines Rechners um ca. 2 Min von der des DCs abweicht. Auf dem DC läuft eine GPO "PDC Zeitserverkonfiguration", welche nur auf den DC mit WMI Filter "PDC Emulator" angewendet wird. Außerdem ist der OU "Client Computer" die GPO "Client Zeit Sync" zugeordnet. Neben dieser gibt es nur noch eine weitere Client Rechner GPO, welche die automatische Wiedergabe auf allen Laufwerken der Client Rechner abschaltet. Andere, User-bezogene GPOs, werden angewandt. GPRESULT bringt unter dem Bereich Gruppenrichtlinieninfrastruktur folgenden Fehler: Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen. Die Schnittstelle ist unbekannt. Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar. Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 20.03.2018 09:55:54 und 20.03.2018 09:55:54. Das Anwendungsereignisprotokoll ist aber sauber. Wer kann mir mal einen Tipp geben, wie ich den Fehler eingrenzen und beseitigen kann? edit: der Fehler scheint nur auf einem Computer aufzutreten. Alle anderen Rechner syncen ihre Zeit mit dem DC. Außerdem bring GPUPDATE /FORCE folgendes zurück: Fehler bei der Verarbeitung der Gruppenrichtlinie. Es konnte nicht bestimmt werden, ob sich Benutzer- und Computerkonto in der gleichen Gesamtstruktur befinden. Stellen Sie sicher, dass der Benutzerdomänenname mit dem Namen einer vertrauenswürdigen Domäne übereinstimmt, die sich in der gleichen Gesamtstruktur wie das Computerkonto befindet. Die Aktualisierung der Computerrichtlinie wurde erfolgreich abgeschlossen.
  9. Problem: Einige Rechner können die neuen Windows Updates, die seit gestern (13.12.2017) verfügbar sind, nicht einspielen. Jeder Rechner updatet sich hier selber. Installation ist immer automatisch abends beim Runterfahren. Einen WSUS gibt es nicht. Wir haben nun gestern mitbekommen, dass sich einige Rechner updaten und andere nicht. Ein manuelles Anstoßen über "Nach Updates suchen" bringt nur die Meldung: "Mit Windows Updates kann derzeit nicht nach Updates gesucht werden, da der Dienst nicht ausgeführt wird. Möglicherweise müssen Sie den Computer neu starten." Die beiden Dienste (Intelligenter Hintergrundübertragungsdienst und Windows Update) laufen aber. Alles manuelle Rumdoctorn brachte nichts. Letztendlich half nur folgendes Tool: https://gallery.technet.microsoft.com/scriptcenter/Reset-Windows-Update-Agent-d824badc Dieses setzt alle Windows Update Funktionen zurück. Danach lief es wieder.
  10. Plötzlich Kerberos Fehler

    Hi Greez, Beim Health Scan im Kontentstore auf dem Server wurden keine Komponentenspeicherbeschädigungen erkannt. Danke und Gruß Jörg
  11. Plötzlich Kerberos Fehler

    Moin Nils, nein, der Alte hatte einen anderen Namen. Heute morgen haben wir ein anderes Phänomen. Einige Rechner können die neuen Windows Updates, die seit gestern verfügbar sind, nicht einspielen. Jeder Rechner updatet sich hier selber. Installation ist immer automatisch abends beim Runterfahren. Einen WSUS gibt es nicht. Wir haben nun gestern mitbekommen, dass sich einige Rechner updaten und andere nicht. Ein manuelles Anstoßen über "Nach Updates suchen" bringt nur die Meldung: "Mit Windows Updates kann derzeit nicht nach Updates gesucht werden, da der Dienst nicht ausgeführt wird. Möglicherweise müssen Sie den Computer neu starten." Die beiden Dienste (Intelligenter Hintergrundübertragungsdienst und Windows Update) laufen aber. Muss nichts mit dem Kerberos Fehler zu tun haben. Nervt aber genauso .... :cry: Gruß Jörg
  12. Plötzlich Kerberos Fehler

    Hier mal die gesamte Ausgabe. Der Server ist registriert. Die Gesamtstruktur "DC=domäne,DC=mbh" wird überprüft. CN=MARSRV9,OU=Domain Controllers,DC=domäne,DC=mbh HOST/marsrv9.domäne.mbh/DOMÄNE RPC/14a8ea97-1b85-4d2f-afc7-a2071757799d._msdcs.domäne.mbh GC/marsrv9.domäne.mbh/domäne.mbh HOST/marsrv9.domäne.mbh/domäne.mbh HOST/MARSRV9/DOMÄNE ldap/MARSRV9/DOMÄNE ldap/14a8ea97-1b85-4d2f-afc7-a2071757799d._msdcs.domäne.mbh ldap/marsrv9.domäne.mbh/DOMÄNE ldap/MARSRV9 ldap/marsrv9.domäne.mbh ldap/marsrv9.domäne.mbh/ForestDnsZones.domäne.mbh ldap/marsrv9.domäne.mbh/DomainDnsZones.domäne.mbh ldap/marsrv9.domäne.mbh/domäne.mbh DNS/marsrv9.domäne.mbh NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/marsrv9.domäne.mbh E3514235-4B06-11D1-AB04-00C04FC2DCD2/14a8ea97-1b85-4d2f-afc7-a2071757799d/domäne.mbh Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/marsrv9.domäne.mbh TERMSRV/marsrv9.domäne.mbh TERMSRV/MARSRV9 WSMAN/marsrv9.domäne.mbh WSMAN/marsrv9 RestrictedKrbHost/MARSRV9 HOST/MARSRV9 RestrictedKrbHost/marsrv9.domäne.mbh HOST/marsrv9.domäne.mbh Bestehender SPN wurde gefunden.
  13. Plötzlich Kerberos Fehler

    Hi Greez, Dank für die Konsolenkommandos. Abfrage 1 brachte: "0 Gruppe von doppelten SPNs gefunden" Abfrage 2 brachte: 25 Zeilen Ausgabe, von HOST über RPC, GC, LDAP, TERMSRV, etc. (Da habe ich zu wenig Ahnung, um darin einen Fehler zu finden.) Am Ende stand jedenfalls "Bestehender SPN wurde gefunden" Gruß Jörg
  14. Plötzlich Kerberos Fehler

    Ok Nils, werde ich wohl tun müssen. Wo ich Euch gerade an der Leitung habe ... Ich will demnächst noch die Funktionsebene hochstufen. Irgendetwas (Authentifizierung, Replikation, etc.) wurde doch bei Server 2003 noch nicht über Kerberos gemacht. Kann ich jetzt einfach hochstufen oder sollte ich dazu irgendwas bedenken, außer, dass es dann kein zurück mehr gibt?
×