todde_hb

Also unter Windows 10 Build 1803 bekommen ich nur diese Meldung, egal ob silent installiert, oder Doppelklick. 

Also mit der MSI hate ich es auch schon probiert. Diese habe ich aus dem Installationsprozess aus irgendeinen Temp Ordner gezogen. Probiere es mal lokal am PC. Meine Testumgebung ist ein Win 2016 DC. 

Ja, habe ich in der Config auch so drin. Tippfehler von mir im Post. Silent Installation wird auch gestartet, aber nur das Verhalten hinterher ist nicht wie erwartet.

Hi,

ich teste gerade die Silent Intallation von Java, aber aus einem mir nicht bekannten Grund, verhält sich diese Art der Installation nicht wie einfach auf die Exe doppelgeklickt.

Dies ist der Aufruf 

"jre-8u181-windows-x64.exe INSTALLCFG=c:\WSUS\WPP\Java\install_config.cfg"

In der "install_config.cfg" steht lediglich  "SILENT_INSTALL=Enable"

Die Installation wird am Ende durchgeführt, aber wenn ich mit dem IE die Oracle Seite zum Testen einer Java Installation aufrufe ( Java Verify ) dann wird mir nicht angezeigt, dass ich Java installiert habe, obwohl es unter "Programme und Apps" eingetragen ist und in der Systemsteuerung ein Eintrag zu Java existiert, der auch funktioniert. Die Browserintegration ist in den Java Einstellungen aktiviert. Das habe ich überprüft.

Wie gesagt, wenn ich die gleiche Datei per Doppelklick ausführe, also ohne Silent Installation, dann klappt es auch mit Java Verify. Ich habe keine Ahnung, wie ich das Problem lösen soll.

Hat jemand eine Idee?

Danke, super link. Hat geklappt. 

Hallo,

ich krampfe mir gerade einen ab, einen Computer, der nicht in der Domäne ist, ein Zertifikat von einer Domänen CA ausstellen zu lassen. Auf dem Client läuft Win 10. Habe dort im MMC Certificate Snapin ein CSR erstellt und dieses durch einen  CSR Checker laufen lassen. Der Meldet mir alles OK. Nehme ich nun dieses CSR und reiche ich es bei der CA mittels

Zitat

C:\Windows\system32>certreq -submit -attrib "CertificateTemplate:XXX Computer Au
toenrollment" "C:\Users\XXXXX_XXXXX\Desktop\dell_XXXX.txt" "C:\Users\XXX_XXXX
\Desktop\dell_XXXX.cer"

 ein, dann bekomme ich die Fehlermeldung aus dem Screenshot. So wie ich das verstehe, ist das Certificate Template nur für die AD Computer mittels Auto Enrollment geeignet.

Googeln hat mich da nicht wirklich weiter gebracht. Wie wäre denn die richtige Vorgensweise?

Hintergrund dieser Aktion ist der, dass wir die WIFI Authenfizierung auf WPA-Enterprise ( Radius ) umstellen wollen. Testweise hat das auch mit Domänen Computern funktioniert, da die sich das Zertifikat automatisch ziehen. Nun möchte ich mich aber mit meinem Notebook, welches nicht in der Domäne ist, nicht vom WIFI ausschliessen.

Ciao, todde_hb

vor 6 Stunden schrieb Sunny61:

Aber nur weil der User Admin ist, sobald das ein 'normaler' User ist, schlägt das fehl.

Mist. Kann man das umgehen? 

Habs jetzt hinbekommen. Habe das Script nicht mit der Computerkonfiguration per GPO verlinkt, sondern unter UserConfiguration. Jetzt wird es nach dem Login ausgeführt und nach einem erneuten Neustart wird die HDD verschlüsselt.

@zahni

TPM ist vorhanden, zumindest vTPM, da der Testclient eine Win 10 VM ist. Per GPO habe ich eingestellt, dass der RecoveryKey im AD gesichert wird ( siehe Screenshots). Es sollte eigentlich funktionieren, zumal dies in diversen Howtos auch so beschrieben wird.

Hallo zusammen,

habe gerade ein Problem, Bitlocker scriptgesteuert zu starten. Lt. diversen Beiträgen, die ich im Netz gefunden habe, sollte es ja ganz leicht sein, entweder per Scheduled Task und dort die nötigen Parameter eingeben. Aber mein Win 10 Testclient ignoriert das komplett. Im Eventviewer wird nichts dazu angezeigt. Habe den Task zuerst bei "Logon" ausführen lassen, danach bei "System Startup" und dann noch zu einer bestimmten Uhrzeit. Schaue ich per RSOP, dann wird die Richtlinie auch erst gar nicht angezeigt, obwohl andere Einstelllungen aus der gleichen GPO wirken. Zu finden sind die Scheduled Tasks ja unter "Computer Configuration->Preferences->Control Panel Settings->Scheduled Tasks" Dort als Programm "c:\windows\system32\manage-bde" ausgewählt und als Argument" -on c: -RecoveryPassword". Nix passiert beim Client.

Nehme ich noch den Befehl und packe ihn im Sysvol in ein Skript und lasse es in der Computerkonfiguration als Startupscript laufen passiert auch nichts. Das wundert mich doch nun sehr. Im Log ist rein gar nichts zu sehen.

Was läuft da falsch?

Ciao, todde_hb

Nö, dass wusste ich nicht. Was ist der genaue Grund? Ich meine ja nur. Wenn die Rules alle stimmen sollte die Verbindung doch klappen.

Gerade eben schrieb testperson:

Ich würde zuerst einmal die Kommunikation mit allen DCs / DNS ermöglichen.

Zu allen DCs ist aufgrund der Gegebenheiten leider nicht möglich. Die FW ist so konfiguriert, dass sie vom Hyper-V Quellhost zu DC2 natted. Ein weiteres NAT zum primären DC geht nicht. 

vor 5 Minuten schrieb MurdocX:

Sind die Ports auf der Firewall, wie oben auf der verlinkten Homepage, zwischen den Hosts gesetzt?

Ja, siehe mein erstes Posting

vor 4 Minuten schrieb testperson:

Der Quellhost ist aber in der Domäne und hat auch eine entsprechende Verbindung zur Domäne bzw. den DCs? Dort ist mit der Firewall auch alles i.O.?

Ja, beide in der selben Domäne. Quellhost hat Verbindung zur Domäne resp. zum 2nd DC. Auf diesem DC auch testweise Firewall deaktiviert.

Testweise hatte ich die Windows FW ausgeschaltet auf dem Zielhost. Hat nichts gebracht. Hatte es mit Compression und SMB probiert. Beides ohne Erfolg. Beide sind in der gleichen Domäne, lediglich der Quellhost befindet sich ausserhalb resp. jenseits des Netzwerks durch FW getrennt.

vor 27 Minuten schrieb testperson:

Hi,

 

funktioniert es denn, wenn du für die Hyper-V Hosts bzw. generell einmal ANY <-> ANY erlaubst?

Die Firewall hat auch keine Spezialfunktion für RPC o.ä.?

Du verschiebst nur die VM oder auch den Speicher?

Wie sind die Einstellungen bzw. Erweiterten Features für Live Migration konfiguriert?

 

Gruß

Jan

Also die VM ist augeschaltet, daher wird kein Memory kopiert. Das mit dem RPC muss ich mir noch mal anschauen. Eventuell ist da der Hund begraben. Meinst Du mit ANY<->ANY die Firwall Rules? Bei den Advanced Options hatte ich testweise jetzt Kerberos aktiviert, aber das funktioniert genauso wenig wie CredSSP

Edit:

RPC ist auf der FW freigeben, also Port 135 und auch die Upper Ports

Hallo zusammen,

bei dem Versuch, ein VM von einem Host auf den anderen zu verschieben erscheint die Fehlermeldung aus dem Screenshot. Beide Systeme sind über eine Firewall separiert, jedoch bin ich der Meinung, alle nötigen Ports für Hyper-V freigegeben zu haben. Bin nach dieser Liste vorgegangen: Hyper-V Ports

Lt. Fehlermeldung ist der Host nicht erreichbar, was ich merkwürdig finde, da alle anderen Hyper-V Operationen funktionieren, wie Replication

Ok, aber diese Konfig ist so gewünscht und ich kann das leider nicht beeinflussen. 

Hallo,

auf einem DC ist RRAS konfiguriert. Wähle ich einen statischen Adresspool aus, können die Clients sich einwählen und bekommen eine IP aus dem Pool. Ich möchte allerdings, dass die Clients vom DHCP eine IP bekommen. Im Log erscheint dann aber folgender Fehler

Zitat

RoutingDomainID- {00000000-0000-0000-0000-000000000000}: CoId={NA}: The user XXX-XXX\nasvpn connected to port VPN4-127 has been disconnected because no network protocols were successfully negotiated.

Hat jemand eine Idee, woran es liegen könnte? Der DHCP Server ist vom RRAS-Server problemlos erreichbar. Der eine einwählende User hat per Dial-IN Properties eine fixe IP zugewiesen bekommen.

Ciao, todde_hb

Hallo,

wir haben eine Win 2012 Server der mit RDS macht. Dort wurde über den Servermanager eine Session  Collection erstellt, die sich RDP nennt. Dort wurde ebenfalls die Druckerumleitung nicht aktiviert für die Gruppe, die dort eingetragen ist. Nun soll aber ein User die Druckerumleitung aktiviert bekommen. Ich dachte, ich könnte eine neue Session Collection erstellen, und den einen User dort einfügen. Dies scheitert aber daran, dass im Wizard unter "Remote Session Host" kein Server mehr auftaucht. Daraus schliesse ich, dass pro Server immer nur eine Session Collection möglich zu sein scheint. Jetzt frage ich mich, wie ich es am geschicktesten hinbekomme, dass der eine User seinen Drucker in der RDP Session nutzen kann, ohne dass alle anderen das auch können. Hat jemand eine Ahnung, wie das geht?

Grüsse, todde_hb

Danke Euch!

Hi,

ist es möglich und sinnvoll, den Forrest Functional Level auf 2016 zu upgraden, wenn von 3 DCs einer noch auf 2012er hängt? Die anderen beiden sind schon 2016 und der PDC gehört dazu. Müssen danach die DCs neu gestartet werden?

ciao, todde_hb

Was mir jetzt noch aufgefallen ist: Die Sperrlisten URL wird gar nicht im Zerifikat gelistet. Wie kann das sein? Für die eingetragene URL aus Screenshot 1 kann ich den Punkt "Publish CRLs to this location gar nicht auswählen" Im ausgestellten Zertifikat ist lediglich der CRL im LDAP eingetragen. Denke da ist der Fehler schon zu suchen. Wie bekomem ich nun die http Adresse ins Zertifikat?

Problem gelöst. Es war ein simpler Haken "Include CRLs. Client uses this to find Delta CRL locations"

Hi,

versuche in einer Testumgebung SSTP zum laufen zu bekommen. Habe auf DC1 AD CS, NPS, RRAS, IIS. Im certmgr habe ich die URL zur Sperrliste eingetragen( im Screenshot der letzte Eintrag). Der DC1 ist über dyndns auf Port 80 und 443 erreichbar. Habe dann im IIS ein CSR erstellt, die bei der CA eingereicht und dann wieder im IIS eingebunden und das Certificate in den Bindings auf Port 443 zugewiesen. Im RRAS ebenfalls dieses Certificate unter Security ausgewählt. Dann NPS konfuguriert, dass VPN einwahl erlaubt ist, erstmal ohne Einschränkungen von Benutzern etc.

Auf dem Client habe ich dann http://meine.dyndnsadresse.eu/Certsrv aufgerufen, um das CA Certificate herunterzuladen. Es ist "Vertrauenwürdige Stammzertifikate" installiert. Starte ich dann die VPN auf dem WIN10 Client. dann erscheint dieser Fehler:

"Die Sperrfunktion konnte die Sperrung nicht überprüfen, dass der Sperrserver offline war"

Habe schon ohne Ende geggogelt, aber eine Lösung dazu habe ich nicht gefunden. Testweise habe ich sogar in der Registry einen Eintrag gemacht,  die Überprüfung der CRL komplett abzuschalten, aber selbst das funktioniert nicht.

Im Wireshark habe ich mal geschaut, was während der Verbindung passiert. So wie ich das interpretiere, fragt der SSTP Client gar nicht die Sperrliste auf Port 80 ab, zumindest sehe ich dazu keinen Eintrag.

Was habe ich übersehen bzw. wo ist der Fehler zu finden. Wenn es gar nicht anders geht, dann würde ich auf eine öffentliche CA umsteigen, aber das ist nur die Notlösung.

ciao, todde_hb

@testperson

Die Überlegung stand im Raum, aber wir müssen zwingend auf dem Hyper-V hOst IPSec machen. Ich vergass zu erwähnen, das ich im RRAS NAT schon aktiviert hatte. Dort als WAN Interface den IPSec Adapter gewählt und als LAN die vNIC, die an vSwitch 2 angebunden ist