Jump to content

mcdaniels

Premium Member
  • Content Count

    1,689
  • Joined

  • Last visited

Everything posted by mcdaniels

  1. Ok, vielen Dank für die Infos. Warnen ist gut :-) Hast du / habt ihr ggf. noch die entsprechende Klassifizierung für derlei Updaten im WSUS parat?
  2. @mwiederkehr: Ich betreibe hier auch einen WSUS Server und habe ca 110 PCs zu versorgen. D.h. mir wird wohl der "Turnschuhadmin" nicht erspart bleiben. Zumindest stelle ich es mir als problematisch vor die großen Updates via WSUS auszurollen, weil man nicht den Überblick hat, was die Rechner "machen". Da ists mir lieber, ich stoße das manuell an und weiß wo was läuft. Kann aber auch gut sein, dass es auch mit dem WSUS Möglichkeiten gibt, das exakt zu steuern. (PC-Gruppen wären zB ja vorhanden). @mwiederkehr: Ich betreibe hier auch einen WSUS Server und habe ca 110 PCs zu versorgen. D.h. mir wird wohl der "Turnschuhadmin" nicht erspart bleiben. Zumindest stelle ich es mir als problematisch vor die großen Updates via WSUS auszurollen, weil man nicht den Überblick hat, was die Rechner "machen". Da ists mir lieber, ich stoße das manuell an und weiß wo was läuft. Kann aber auch gut sein, dass es auch mit dem WSUS Möglichkeiten gibt, das exakt zu steuern. (PC-Gruppen wären zB ja vorhanden).
  3. Hallo, mich würde interessieren, wie ihr die "großen Windows 10 Updates" - aktuell Windows 10 Mai 2019 Update - ausrollt? Macht ihr das via WSUS-Server, oder werft ihr das Update direkt auf den PCs an (mit entsprechenden Setupparametern, dass die Installation "unattended" läuft?) In großen Umgebungen wird das wohl nur via WSUS Sinn machen, da man sonst einige Turnschuhe "verbrauchen" wird. Wie ist hier eure Erfahrung? Läuft das auch bei eines so großen Update (via WSUS) rund? Legt ihr bestimmte Zeiten für die Installation fest? Danke!
  4. Hey Sunny, ja ich habs eh so gemacht, mit Robocopy alles rübergezogen (security settings mitgenommen). Dann den alten Server umbenannt. (hab die ip auch geändert) Dem neuen Server den Namen des alten gegeben (und die IP des alten Server vergeben). IP deshalb, da ich nicht weiß ob in dem Netz ein Device rennt, dass auf die IP des Servers "geht". Restart. Rennt Danke!
  5. Hallo, wenn man einen Memberserver Name SRV-Data in Betrieb hat, der zb. einige Freigaben zur Verfügung stellt und diesen Server dann zb. in SRV-Data2 umbenennt, bleiben die bereits erstellten Freigaben erhalten (dann halt unter \\SRV-DATA2\<SHARE>), oder müssen die Freigaben nach einer Umbenennung neu erstellt werden / sind verschwunden? Dass ich div. Loginscripts bzw. die Policy betreffend Netzlaufwerkmapping ändern muss, ist mir klar. Danke! LG
  6. Hallo, naja wenns nach dem geht, passt es doch mit den Lizenzen, oder?
  7. Hallo, ja natürlich existieren Unterlagen. Openlicense 5 Stück, Server 2012 RDP Zugriffslizenzen. Was mich irritiert ist, dass es offenbar trotzdem funktioniert und lt. Lizenzierungsmanager (siehe erster Post) von den zugeordneten RDP Lizenzen auch stimmt. LG
  8. Servus, ich habe momentan nicht die Zeit alles neu hochzuziehen und habe an sich keine negativen Erfahrungen mit Disk2vhd. Der phys. Server kommt aber demnächst weg (komplett) und es wird auf Virtualisierung gesetzt. Grundsätzlich hast du recht, neu ist sicher besser. Der Key ist ja ursprünglich von einer Lizenz, die mit dem Server gebundelt war. Der Server + Lizenz geht zurück (Technologieaustausch nennt sich das, ist eine finanzierte Geschichte). Da ich aber für die VM eine reguläre Lizenz (Server 2012) benötige, hab ich die Serverlizenz quasi deaktiviert (key mit Bordmitteln entfernt), den neuen Key eingegeben und die VM mit dem neuen Key aktiviert. Der Lizenzserver scheint korrekt zu laufen. Ich verstehe aber diese Meldung nicht (Ich fahre Server 2012 und nicht 2008): Der Remotedesktop-Sitzungshostserver befindet sich im Lizenzierungsmodus "Pro Gerät" und im Redirector-Modus "Nein", auf dem Lizenzserver "srv-terminal.domaene" sind jedoch keine installiert Lizenzen mit den folgenden Attributen vorhanden: Produktversion: Windows Server 2008 oder Windows Server 2008 R2 Es ist leider ewig her, dass dieser alleinstehende Terminalserver installiert wurde, weshalb ich nicht sagen kann, ob dieser Fehler schon früher da war. Aufgrund dessen, dass wir derartiges bislang nur 1x installiert haben, fehlt mir hier absolut der Background betreffend Terminalservices. Im Servermanager -> Remotedesktopdienste, scheinen RD-Lizenzierung, Web-Access für RDP, Verbindungsbroker und Sitzungshost "bereitgestellt" zu werden. Wenn ich aber z.b. in der grafischen Darstellung Remotedesktop-Sitzungshost anklicke und auf Sitzungshost hinzufügen klicke, gibt es da keinen Host. Es ist vermutlich eine doofe Frage, aber wäre ein Hinzufügen nur möglich, wenn ein zweiter Terminalserver laufen würde und ist bei einer Singleserverinstallation hier deshalb nichts wählbar, weil der eine Server der Host sein MUSS? Vielleicht ist ja dieser Fehler irrelevant und hat keine Auswirkungen. Morgen weiß ich jedenfalls mehr.
  9. Guten Abend, ich musste heute eine physische Maschine (Server 2012), die als Terminalserver (5 Geräte RDP-Cals) fungiert in eine VM konvertieren. Das hat ohne Probleme geklappt. Danach habe ich den Server 2012 Key (OEM des physischen Server) "deaktiviert" bzw. entfernt, sodass man Server 2012 mit einem neuen Key (vorhanden) aktivieren konnte. Wie geht man aber bei den bereits installierten RDP-Lizenzen vor? Diese sind ja quasi schon aktiv? Muss man hier eine Neulizenzierung vornehmen bzw. den RDP-Lizenzserver reaktivieren? Der Server meldet in den Lizenzserverkonfigdetails, dass 5 Lizenzen installiert sind aber 0 verfügbar. Version: Server 2012 RDP Sitzungshostserver in der Gruppe RDS Endpunkteserver: JA Gruppenrichtlinieneinstellung "Lizenzaktualisierung verhindern" Nicht aktiv Gruppenrichtlinieneinstellung "Sicherheitsgruppe Lizenzserver" Nicht aktiv Nachverfolgung u. Berichterstattung pro Benutzer: verfügbar Fehler: Der Remotedesktop-Sitzungshostserver befindet sich im Lizenzierungsmodus "Pro Gerät" und im Redirector-Modus "Nein", auf dem Lizenzserver "srv-terminal.domaene" sind jedoch keine installiert Lizenzen mit den folgenden Attributen vorhanden: Produktversion: Windows Server 2008 oder Windows Server 2008 R2 Vorgeschlagene Lösung: Verwenden Sie den Remotedesktoplizenzierungs-Manager, um die entsprechenden Lizenzen auf dem Lizenzserver zu installieren. Ist es möglich, diesen Server auf einen Server 2016 zu aktualisieren und Server 2012 RDP Cals einzusetzen, oder müsste ich da dann bei den RDP-Cals auch auf 2016 gehen (vermutlich ja). Im RDP - Lizenzierungsmanager sieht allerdings alles recht gut aus (Anhang) PS: Die physische Maschine wird platt gemacht. Für Tipps wäre ich sehr dankbar.
  10. @zahni: Hab ich ist auf 2012 (siehe weiter oben) @squire: Es war ein zweiter PC, auf dem der User angemeldet war im Mailprogramm. Der PC war gesperrt (schon länger). Der User hat dann auf einem anderen PC das Passwort geändert. (siehe oben).
  11. @daabm: Die Domäne läuft auf dem höchstmöglichen Domainlevel des Server 2012, wurde damals komplett neu hochgezogen. D.h. Domainlevel/Funktionsebene Server 2012. @zahni: Danke für die Info.
  12. Nachdem ich auf den DCs keinerlei Probleme finden konnte, habe ich mir jetzt nochmal alle Eventlogs durchgeschaut. Hierbei ist mir aufgefallen dass die fehlerhafte Auth. immer wieder vom Mailclient (mit dem Userkonto) ausgeht, der per SSO arbeitet (über AD). Das hat mich wieder so einiges gelehrt. Den Benutzer zu fragen: "Bist du noch auf einem anderen PC angemeldet, der eingeschaltet ist und hast etwas offen (Mail zb.)" ist sinnlos!". Denn da kommt dann ein: "Nein". Und bei Konfrontation mit dem aktellen Stand ein: "Oh, daran hab ich nicht gedacht...". Konkret war der User wohl schon länger auf einem PC angemeldet/gesperrt (Mailprogramm offen etc), hat dann auf einem anderen Arbeitsplatz weitergearbeitet und dort das Passwort geändert. Dies dürfte in letzter Instanz die Sperrorgie ausgelöst haben. Allerdings kann ich mir die Medung des DC noch nicht ganz erklären: Die Active Directory-Domänendienste sind beim Übernehmen replizierter Änderungen auf das folgende Objekt auf einen Schreibkonflikt gestoßen. Betreffend Sperrung sag ich jetzt einfach mal nix...
  13. Guten Morgen, leider stehe ich vor einem Problem, bei dem ich anstehe. Ein User hat heute sein Passwort geändert. Seitdem kann er sich nicht mehr einloggen. Im AD bekomme ich EVENT ID 1083 und 1955. Event 1083: Die Active Directory-Domänendienste konnte das folgende Objekt nicht mit Änderungen vom Verzeichnisdienst an der folgenden Netzwerkadresse aktualisieren, weil die Active Directory-Domänendienste mit der Verarbeitung von Informationen ausgelastet war. Betroffen hiervon ist exakt das Userkonto bei dem die Passwortänderung durchgeführt wurde. Das Konto wird auch sofort gesperrt (Wir haben eine Richtlinie per GPO -> 3x Passwort falsch = Kontosperrung). Event 1955: Eine entsperrung hilft nichts, da es sofort wieder gesperrt wird. Es gibt keine Geräte, die sich ggf. mit dem User (mit falschem Passwort) anmelden. Eine Sperrung durch die Eingabe des falschen Passwortes kann ich somit ausschließen. Die Active Directory-Domänendienste sind beim Übernehmen replizierter Änderungen auf das folgende Objekt auf einen Schreibkonflikt gestoßen. Objekt: CN=User,OU=OU_Standardusers,DC=domaene,DC=local Zeit in Sekunden: 0 Ereignisprotokolleinträge vor diesem Eintrag zeigen an, ob die Aktualisierung akzeptiert wurde oder nicht. Ein Schreibkonflikt kann durch simultane Änderungen an demselben Objekt oder durch simultane Änderungen an anderen Objekten, die auf das Objekt verweisende Attribute haben, verursacht werden. Dies tritt in der Regel auf, wenn das Objekt eine große Gruppe mit vielen Mitgliedern darstellt und die Funktionsebene der Gesamtstruktur auf Windows 2000 festgelegt ist. Durch diesen Konflikt werden zusätzliche Aktualisierungsversuche ausgelöst. Wenn das System langsam wirkt, könnte dies daran liegen, dass diese Änderungen repliziert werden. Benutzeraktion Verwenden Sie kleinere Gruppen für diesen Vorgang, oder erhöhen Sie die Gesamtstrukturfunktionsebene auf Windows Server 2003. Repadmin meldet durchwegs erfolgreiche Replikationen. Eine Useranlage funktioniert, die zugehörige Replikation zwischen den 2 DCs auch. Dcdiag meldet auf beiden DCs KEINE Fehler. Eine Passwortänderung bei einem neu angelegten Testuser, zeigt dieses Verhalten nicht. Die Passwortänderung funktioniert, das Konto wird nicht gesperrt. Wo könnte man hier ansetzen? Danke! LG
  14. Hallo, interessanterweise können wir keine Kennwörter ändern, da die Kennwörter lt. Windows 10 / Server 2012 Domäne nicht der geforderten Kennwortkomplexität entsprechen. Selbst wenn wir "komplexere" Kennwörter, wie zum Beispiel !Dace12CC# verwenden, bekommen wir diese Fehlermeldung. Schau ich mir die Anforderungen (GPO) an (und ich hoffe, hier nichts zu übersehen) wüsste ich nicht, woher diese Komplexitätsanforderung kommt. (Sie ist nämlich ganz und gar nicht "scharf" eingestellt. RSOP sagt mir, dass die Kennwortrichtlinie von der Default Domain Policy umgestzt wird. Gibt es hier noch eine Einstellung, die ich übersehe? EDIT: Die 2 Benutzer haben ihr Kennwort gestern Nachmittag geändert. --> Aufgrund der Richtlinie -> Minimales Kennwortalter 1 Tag, hat es dann (logischerweise) nicht funktioniert, dass sie das Kennwort heute Vormittag ändern. *auf den Kopf greif! -- Sorry --
  15. Nach einem Restart des DC1 melden beide DCs, dass AD wieder ordnungsgemäß ausgeführt wird. Replikation auch ok.
  16. exakt! also grundsätzlich kann ich mit vielem leben. Ich konnte die VM (vom def. Datastore) nun "retten". Wurde zuvor ordnungsgemäß heruntergefahren, da der Server ja noch gelaufen ist. Server bootet, meldet das DFS Repl und AD Replikation läuft. repadmin Der DC1 (=physisch) (alle FSMO,GC) meldet auf ein repadmin /showreps --> sämtliche Prüfungen erfolgreich. Der DC2 (=problemDC) (nur GC) meldet auch alles ok. dcdiag DC1 (physisch) OK DC2 (ProblemDC) meckert nach Neustart: Fehler. Ereignis-ID: 0x40000005 Erstellungszeitpunkt: 02/16/2019 08:37:13 Ereigniszeichenfolge: Der Kerberos-Client hat einen KRB_AP_ERR_TKT_NYV-Fehler von Server " rv-dc2$" empfangen. Dies deutet darauf hin, dass das an den Server übergebene T cket noch nicht gültig ist (da Ticket- und Serverzeit nicht übereinstimmen). We den Sie sich an den Systemadministrator, und stellen Sie sicher, dass die Clien zeit mit der Serverzeit synchronisiert ist und dass die Zeit des Schlüsselverte lungscenters (KDC) im Bereich "BRUCKMUR.LOCAL" mit dem KDC im Clientbereich syn hronisiert ist. Warnung. Ereignis-ID: 0x00001796 Erstellungszeitpunkt: 02/16/2019 08:37:19 Ereigniszeichenfolge: Von Microsoft Windows Server wurde festgestellt, dass momentan zwisc en Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses reignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig ür den Server verwendet wird. Fehler. Ereignis-ID: 0xC0001B6E Erstellungszeitpunkt: 02/16/2019 08:39:09 Ereigniszeichenfolge: Der Dienst "McAfee ePolicy Orchestrator 5.9.1-Server" wurde nicht ri htig gestartet. Warnung. Ereignis-ID: 0x0000008E Erstellungszeitpunkt: 02/16/2019 08:49:58 Ereigniszeichenfolge: Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lo ale Systemuhr nicht synchronisiert ist. Fehler. Ereignis-ID: 0x00009007 Erstellungszeitpunkt: 02/16/2019 08:56:41 Ereigniszeichenfolge: Schwerwiegender Fehler beim Erstellen der Anmeldeinformationen Clien für SSL. Der interne Fehlerstatus ist 10013. Fehler. Ereignis-ID: 0x00009007 Erstellungszeitpunkt: 02/16/2019 08:56:55 Ereigniszeichenfolge: Schwerwiegender Fehler beim Erstellen der Anmeldeinformationen Clien für SSL. Der interne Fehlerstatus ist 10013. Fehler. Ereignis-ID: 0x00009007 Erstellungszeitpunkt: 02/16/2019 08:57:24 Ereigniszeichenfolge: Schwerwiegender Fehler beim Erstellen der Anmeldeinformationen Clien für SSL. Der interne Fehlerstatus ist 10013. ......................... Der Test SystemLog für SRV-DC2 ist fehlgeschlagen. Eventlog DC1 meldet dass - da der DC2 offline war - eine temp. Verbindung erstellt wurde und dass die Verbindung wiederhergestellt wird, sobald der Server wieder online ist. DC2 meldet dass AD wieder ordnungsgemäß läuft. Komischerweise macht das der DC1 nicht. (keine derartige Meldung). Könnt ihr mir ggf. sagen, was diese Kerberos-Client-Meldungen bedeuten. Systemuhr läuft synchron....
  17. schön, dass ich euch erstaune Auf dem DC laufen u.a. einige Verwaltungstools / Konsolen, die ich ungern neu aufziehen möchte. Aber seis drum... danke für die Info!
  18. ESXI-Host - defekter Datastore -> Backup des DC (VM) von vorgestern vorhanden.
  19. Hallo, wenn man einen DC von einem älteren Backup (2 Tage alt... VM) wiederherstellt und ein 2ter DC mit allen FSMO-Rollen und GC online bleibt, stellt dies ein Problem dar? Konnte es zB zu AD oder Replikationsproblemen kommen? Der wiederherzustellende DC hat auch den GC (zusätzlich) Danke! LG
  20. Nachsatz: Hab jetzt rein interessehalber nochmals eine 64GB Samsung SSD verbaut (schon etwas älter). Hiermit erhöht sich die Datenrate NAS -> PC auf 400MB/SEC. Die Datenrate von PC -> NAS ist wiederum etwas schlechter. Um die 200MB/SEC. Ich muss aber dazu sagen, dass ich mir nicht die Mühe gemacht habe, die genauen Specs der alten SSD nachzuschlagen. Unterm Strich bin ich nun der Meinung, dass dieses NAS durchaus für den gehobenen "Heimanwender" ausreicht. Ob eine derartige Investition (NAS, Switch, NIC - 10GBIT) dafür steht, lasse ich allerdings im Raum stehen. Danke für euren Support! ...aber mit Sicherheit nicht mit einem derartigen NAS System, sondern mit "etwas Gescheitem"
×
×
  • Create New...