Attack44

Hallo, was meinst Du genau mit "authoritativen Nameserver der jeweiligen Zonen"? Die Server fragen aktuell verschiedene öffentliche DNS Server ab um externe Dienste aufzulösen zu können, vorher hat es ja gereicht das nur die quad9 Server abgefragt werden um externe Dinge aufzulösen.

Hallo, ich habe seit kurzem das Phänomen/Problem , dass zwei unserer DCs externe DNS Abfragen oft an nicht definierte externe DNS Server stellen. Wir haben bei uns in den DNS Servereinstellungen unter Weiterleitungen zwei DNS Server von quad9 hinterlegt die abgefragt werden sollen, alternativ werden dann die Stammhinweise verwendet. Unsere Firewall ist auch so eingestellt, dass externe DNS Abfragen von den DCs nur an die Server von quad9 und an die Stammserver gehen können, Abfragen an andere externe DNS Server werden blockiert. Aufgefallen ist das Problem, dass verschiedene Webseiten nicht aufgelöst werden konnten, durch einen Trace in unserer Firewall konnte ich dann sehen, dass die DCs DNS Abfragen an Server stellen die nicht in der Liste vorhanden sind. Die Server von quad9 werden auch ab und zu und abgefragt aber Großteil geht an "unbekannte" DNS Server...da frage ich mich, woher die DCs die IPs her haben und warum die das machen? Kann sich einer das Problem erklären? Vielen Dank. Gruß Andreas

Wir haben von unserer CheckMK Instanz ein Update durchgeführt, daraufhin wurden auch die Agenten neu erstellst. Und die Installation der neuen Agenten funktioniert über den WPP nun ohne Probleme. :) Gruß Andreas

Da hast Du vollkommen recht, habe ich ganz vergessen.😅🙈 Es handelt sich hierbei um einen einfachen Exchange 2013 auf einem Windows Server 2012R2.

Hallo, mir ist letztens in dem Verbindungsstatus von Outlook aufgefallen, dass sich unser Outlook über eine alte URL mit unserem Exchange Server verbindet. Ich habe nur leider keine Ahnung woher Outlook diese Konfiguration dafür hat. Im Exchange selber bin ich bisher nicht fündig geworden. Über das ExchangeHostNames Skript habe ich auch nicht auffälligs rausfinden können. Hat jemand eine Idee wo ich suchen kann, um diese URL zu ändern? Gruß Andreas

Wir verteilen über den WPP verschiedenste Anwendungen, das funktioniert auch alles ohne Probleme, nur der CheckMK Agent macht hier Probleme. Die Installation schlägt mit "0x80070667" fehl, wenn ich den Agent direkt über die CMD installiere, verläuft die Installation ohne Probleme. Gruß Andreas

Hallo, wir verwenden bei uns den WSUS Package Publisher, darüber möchten wir auch unseren CheckMK Agent verteilen und eigentlich ist das ja kein Problem. Beim CheckMK Agenten müssen einige Befehlszeilenoptionen für die Installation mitgegeben werden, was beim WPP auch möglich ist, wir müssen aber auch vor dem msi Paket das /i mitgeben was im WPP nicht möglich ist. Hat jemand einen Vorschlag wie man das Problem lösen könnte? Gruß Andreas msiexec /i check_mk_agent.msi /qn

Updates an einem Wochenende auf kritischen Systemen zu installieren wo nicht immer wer sofort greifbar ist halte ich nicht für nicht sinnvoll, zudem auch viele Terminalserver betroffen sind und manche Server in einer bestimmten Reihenfolge neugestartet werden müssen bzw. muss bei manchen Servern nach einem Neustart Nacharbeiten durchgeführt werden damit alles wieder ordnungsgemäß läuft. Dann bleibt entweder die Variante das mit einem Skript zu lösen oder das was @Sunny61 schreibt, ich muss mir mal noch ein paar Gedanken machen.

Hallo, ich bin schon länger auf der Suche nach einem Tool/Anwendung/Lösung wo man die Installation von Windows Updates zentral anstoßen und überwachen kann. Wir verteilen bei uns die Windows und Software Updates über unseren WSUS-Server bzw. mit dem Wsus Package Publisher, was im Grunde auch wunderbar funktioniert. Wir haben bei uns Updatezeitfenster wo wir die Updates auf den Servern einspielen können, die Server dann neustarten und ggf. nochmal nach Updates suchen. Und da war aber aktuell um die 100 Server/VMs in Betrieb haben ist diese ganze Prozedur am Server anmelden, "Jetzt installieren" anklicken, warten das die Installation fertig ist, "Jetzt neustarten" anklicken etwas mühselig. Und deswegen bin ich auf der Suche nach einer komfortablen Lösung die auch gerne etwas kosten kann...nur nicht zu viel. :) Hätte da jemand einen Tipp? Vielen Dank. Gruß Andreas

Ja, dass Bitlocker Feature ist installiert und über Umwege gelange ich auch manchmal wie gesagt in die BitLocker Verwaltung und kann die Platte verschlüsseln.

In den Default GPOs haben wir auch nicht viel drin stehen/verändert. Die BitLocker Einstellungen sind eine separate GPO, ich wollte nur bestimmte Dinge ausschließen, deshalb habe ich ein normale Member Server in der Domain Controller OU um ausschließen das nicht doch eine andere GPO dazwischen schießt. Wenn ich auf dem DC gleich nach der Anmeldung in der Windows Suche BitLocker eingebe, komme ich in die BitLocker-Laufwerksverschlüsselung und ich kann daraus das Laufwerk verschlüsseln und das ohne Probleme. Nur in der Systemsteuerung ist es nicht zu finden und das ist auch genau der Server, der oben die Fehlermeldung ausgespuckt hat. Gruß, Andreas

Richtig, ich habe besagtem Server aber auch die Default Domain Controllers Policy zugewiesen, auch wenn er kein DC ist. Er ist ja wie gesagt in der gleichen OU wie die restlichen DC und bei den GPOs existiert auch keine sonstige Filterung. Der Server Verarbeitung die gleichen GPOs wie auch die aktiven DC. Gruß, Andreas

Es ist schon richtig was Du sagst, wenn ich aber den Domain Controller der die oben zitierte Meldung ausgibt wieder runterstufe funktioniert die Bitlocker-Verschlüsselung wieder (gleiche OU, GPOs und BitLocker-Einstellungen). Und das kann ich mir nicht erklären. Gruß, Andreas

Ich habe jetzt z.B. alle BitLocker GPO-Einstellungen die wir hatten auf Nicht konfiguriert zurückgesetzt, leider hat sich an dem Problem nichts geändert, normale Member können BitLocker nutzen und DC/RODC können dies nicht. Es handelt sich hierbei um physische DC mit aktiven TPM-Chip, die TPM-Verwaltung in Windows sagt mir auch, dass TPM einsatzbereit wäre. Wenn ich BitLocker über die PowerShell aktivieren möchte, erscheint folgende Meldung: Set-BitLockerVolumeInternal : Das angegebene Laufwerk unterstützt keine hardwarebasierte Verschlüsselung. (Ausnahme von HRESULT: 0x803100B2) Gruß, Andreas

Wir haben denke ich eigentlich nicht sonderlich spezielle BitLocker Einstellungen außer das der Wiederherstellungs-Key im AD abgespeichert wird, anbei mal ein Auszug aus den GPO Einstellungen. Was mich wie gesagt wundert ist, dass wenn ich einen Server habe, dieser nur normaler AD Member ist, aber sich auch in der gleichen OU wie die Domain Controller befindet und genau dieselben GPOs anwendet wie die aktuellen Domain Controller, kann ich BitLocker auf diesen Server nutzen. Stufe ich diesen Server nun hoch, ist BitLocker nicht mehr möglich. P.S. Nachdem ich den Server hochgestuft hatte und gleich nach der Anmeldung in der Windows Suche BitLocker eingegeben habe, hat er mir noch die BitLocker-Laufwerkverschlüsselung angezeigt, dieser Link hat auch noch funktioniert und ich könnte da theoretisch BitLocker starten. Als angepinntes Fenster komme ich dort noch rein, aber in der Systemsteuerung ist es nicht mehr sichtbar und über die Suche wird mir nur noch BitLocker Verwalten angezeigt, was beim Anklicken nicht reagiert. Gruß, Andreas