Alle Aktivitäten

Moin, vermutlich ist noch irgendein Prozess, der als Administrator gestartet wurde, hängengebliieben, und jetzt zeigt er ihn als "connected" an. Du kannst das mit einer anderen Policy tottreten:

Ich verlasse mich grundsätzlich auf gar nichts, was diese MMC-Konsolen meinen zu tun. Dokumentiert ist es freilich (ab 2008R2), es ist also jedem überlassen, darauf zu vertrauen oder halt auch nicht.

Dann warten wir mal ab. :)

Zumindest ab Windows 2019 wird das automatisch gemacht, wenn man das Computerkonto des alten DC löscht. Man sollte das AD nur eine Weile in Ruhe lassen und dann im DNS schauen, ob die _xxx-Einträge alle von dem DC befreit wurden.

Guten Tag zusammen, Ich habe eine Terminal Server Umgebung mit folgender Konfiguration. Server_1 - RD-Verbindungsbrocker - RD-Lizenzierung Server_2 - RD-Sitzungshost Server_3 - RD-Sitzungshost Server_4 - Sitzungshost Sobald sich die Mitarbeiter am Cluster Anmelden werden Sie auf einen der drei Server (Server_2 bis Server_4) weitergeleitet, was auch Funktioniert. Problem: Die Mitarbeiter verbinden sich per Igel Rechner / Laptops per RDP auf den Cluster, die Bereitstellung der Drucker Erfolgt per GPO anhand Clientname (was auch bis 11/2024 immer perfekt funktioniert hat) Seit 12/2024 werden einige Drucker nur noch Sporadisch zugewiesen. Es handelt sich hierbei um einen Utax 2508ci der mich ärgert. Ich habe auf dem Druckserver alle Treiber vom Hersteller versucht aber es ändert sich nicht. Fehlerbild: Der Drucker wird per GPO verteilt -> Erfolglos Wenn ich versuche den Drucker manuell Einzubinden über folgenden Weg -> \\Servername\Freigabe -> dann Verbindet er sich mit dem Drucker und versucht auch den Treiber zu laden aber kann diesen nicht Installieren. Ich habe Folgende Fehlercodes in der Ereignisanzeige und per Screen. Ich würde mich sehr über Hilfe freuen. Lg und Danke

Hallo zusammen, ich bin aktuell mit einigen Problem beschäftigt, die von heute auf morgen aufeinmal vorhanden sind. Problem 1: Ich baue eine Verbindung von einen IGEL Rechner per RDP auf einen TS-Cluster auf und sobald ich in der Windows Anmeldemaske bin wird mir seit einigen Tage Domaine\Administrator unten links in der Anmeldung Angezeigt. Das ist von heute auf Morgen erschienen und keiner der Kollegen will was gemacht haben. Ich habe schon eine GPO Erstellt mit folgender Einstellung. Siehe Screen LG und Danke Zerpi

In der neuesten Insider Build bleibt der Dienst auf "Manuel".

Ich wollte nur kurz notieren, dass es auch ohne dsrevoke geht. Ich kann nichts dazu sagen, ob dsrevoke gut ist oder schlecht. Ich habe es nach nochmaligem Überlegen mit Powershell umgesetzt. Man kann das z. B. so machen: ################################################ # authentifizierten Benutzern Rechte auf OU nehmen ################################################ # Definition des Principal $AuthUsersPrincipal = "NT-AUTORITÄT\Authentifizierte Benutzer" # Definition der zu entziehenden Rechte: ListObject = 128, ListChildren = 4 $rights2Remove = [System.DirectoryServices.ActiveDirectoryRights]::ListChildren -bor [System.DirectoryServices.ActiveDirectoryRights]::ListObject ################################# # HauptOU ################################# # ACL OU auslesen $PathAclHauptOU = "AD:$PathHauptOU" $aclHauptOU = Get-Acl -Path $PathAclHauptOU # Durch die einzelnen ACEs (Access Control Entries) der OU iterieren # und prüfen, ob diese vom gewünschten Principal sind. # Falls ja, entfernen wir nur die gewünschten Rechte aus der ACE. $modified = $false foreach($ace in $aclHauptOU.Access) { if(($ace.IdentityReference -eq $AuthUsersPrincipal) -and ($ace.AccessControlType -eq [System.Security.AccessControl.AccessControlType]::Allow)) { # Prüfen, ob in diesem ACE mindestens eines der zu entfernenden Rechte enthalten ist if(($ace.ActiveDirectoryRights -band $rights2Remove) -ne 0) { # Aktuellen ACE entfernen $aclHauptOU.RemoveAccessRuleSpecific($ace) # Berechnung der verbleibenden Rechte (alle Bits, die NICHT in $rights2Remove gesetzt sind) $remainingRights = $ace.ActiveDirectoryRights -band (-bnot $rights2Remove) # Falls noch weitere Rechte übrig bleiben, ein neues ACE mit diesen Rechten erstellen if($remainingRights -ne 0) { $newACE = New-Object System.DirectoryServices.ActiveDirectoryAccessRule ( $ace.IdentityReference, $remainingRights, $ace.AccessControlType, $ace.InheritanceType, $ace.ObjectType ) # neues (bereinigtes) ACE hinzufügen $aclHauptOU.AddAccessRule($newACE) } $modified = $true } } } # Geänderte ACL nur setzen, wenn wirklich etwas entfernt bzw. geändert wurde if($modified) { Set-Acl -Path $PathAclHauptOU -AclObject $aclHauptOU } else { Write-Host "Keine zu entfernenden Rechte für '$AuthUsersPrincipal' gefunden oder bereits entfernt." }

Moin. seit dem Januar(?) Patchday steht der LocalKdc Dienst auf allen Windows Server 2025 auf "Automatisch". An Membern scheint das nicht tragisch zu sein, da ist er dann einfach nicht gestartet. Auf Domain Controllen hängt er allerdings auf "Wird gestartet". Hat hier jemand Infos dazu? Ich _vermute_, man kann den einfach - insbesondere an Domain Controllern - auf "Manuell" oder "Deaktiviert" konfigurieren. Hier macht "Local KDC" in meinen Augen wenig Sinn. Leider findet man zu "Local KDC" und/oder "IAKerb" sehr wenig, obwohl es auf dem MS Server Summit zum Server 2025 schon ein bisschen gefeiert / angepriesen wurde. Auf einem aktuell gepatchten Domain Controller in der Insider Build steht der Dienst jedenfalls auf "Manuel". Ich mache hier aber gerade einmal das Update auf die neueste Build (26360.5000) und lasse mich überraschen. Alleine bin ich damit jedenfalls nicht: KERBEROS LOCAL KEY DISTRIBUTION CENTER SERVICE START PENDING... - Microsoft Community Windows Server 2025 | Kerberos Local Key Distribution Center (LocalKDC) service fails to start | Microsoft Community Hub Windows Server 2025 | Kerberos Local Key Distribution Center (LocalKDC) service fails to start - Microsoft Q&A Danke & Gruß Jan

Hallo, die Lösung war am Ende der Virenscanner... Da auch beim Arbeiten mit dem Programm Verzögerungen auftraten, hab ich das Ganze vor Ort nochmal geprüft und festgestellt, daß die empfohlenen Einstellungen des Virenscanners nicht konfiguriert waren. Kaum waren die gemacht, war die Verzögerung beim Arbeiten auf ein Normalmaß reduziert (die Anpassung in einem Projekt dauerte zuvor über 4,5 Minuten und nun ca. 1,5 Minuten). Danke für eure Tipps. VG ag1

Hallo, noch als Nachtrag: Ich hab nun am Server den Befehl "bcdedit /set hypervisorlaunchtype off" ausgeführt. Nun läuft schon mal Windows 11 flüssig. Sobald es zeitlich passt, kümmere ich mich um wscad. VG

Dürfte wohl in vielen Szenarien auch so sein. Hat ja nen Grund warum die weit oben stehen wenn es um angriffvektoren geht. ;)

Nein, so ein Netscaler / Reverse Proxy / Application Delivery Controller kann durchaus direkt im WAN hängen. Würde in diesem Szenario halt Sinn machen. :)

Moin, ich würde das dennoch per metadata cleanup machen. Und dann hat der TO nichts dazu geschrieben, ob die FSMO-Rollen vor dem Stromausfall umgezogen waren. Falls nicht, müssen sie auch noch mit Gewalt übertragen werden.

Danke euch für die zahlreichen Antworten. Das habe ich nun auch erkannt. Ich habe das total übersehen, weil ich dachte mit image erstellen - erstellt Macrium direkt eine ISO. Dem ist leider nicht so. Das schaue ich mir nun genauer an, danke dir Dukel! Ich melde mich, wenn ich neue Erkenntnisse habe.

Nicht alle, aber ein großer Teil. Damit kann ich wohl leben. Neue Benutzer werden auf dem Postfix Server kaum dazu kommen und wenn jemand sein Gerät wechselt muss er halt die Serverdaten manuell eingeben. coole Idee, aber ich glaub das wird es wohl nicht werden. Nachdem alle die Mails auch von außer Haus abrufen, müsste ich wohl noch ein always on VPN implementieren. Ich werde am Wochenende mal testweise einen autodiscover Eintrag anlegen und mir ansehen wie sich Outlook verhält. Vielen Dank schon mal für eure Inputs, ich melde mich dann mit den Testergebnissen.

Scheinbar hat es jetzt Aufmerksamkeit in der Produktgruppe bekommen: https://techcommunity.microsoft.com/blog/fslogix-blog/fslogix-v3-release-25-02-is-now-generally-available/4377003/replies/4383745 Ebenfalls scheint es so, als wären die Kommentare da moderiert. Zumindest sehe ich meine beiden Kommentare mit Details nicht.

Man könnte am Client ja mal gucken, was für Tickets man bekommt klist get HOST/<FQDN> Und man könnte gucken welche ETypes die Zielkonten unterstützen powershell get-adcomputer <hostname> -properties msds-supportedencryptiontypes (Spoiler: Da sollte 24 oder 28 drinstehen)

Nö, der Pfahlbau heißt so. Wird wohl noch dieses Jahr näher an die Dünen neu gebaut - schauen wir mal…

Wieso ein eigenes Tool dafür? Wieso nicht die Windows Tools nutzen? https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/bcdboot-command-line-options-techref-di?view=windows-11

Ups! Müssen wir uns Sorgen machen? VG Damian

@5even Ich habe deinen Beitrag in dieses Subforum verschoben. Passt besser hier rein, das es um eine konkrete technische Frage geht. VG Damian

Dein Problem liegt vermutlich daran, dass Macrium Reflect eine Image-Datei (.mrimg) erstellt, während Ventoy nur ISO-Dateien (.iso) erkennt und booten kann.

Vor meinem Bürofenster gibt es eine Ecke, wo man nicht parken darf. Hier könnte man den ganzen Tag kassieren. Besonders lustig ist es mit Warnblinkern. Denn wer zur Warnung blinkt darf... ,-)

Made my Day Thank You