Alle Aktivitäten

Der TO hat nirgends gesagt, dass die Netzwerke, aus denen "übers Internet zugegriffen" wird, von ihm kontrolliert werden. Wenn die Quell-IP in Wirklichkeit ein NAT-Router ist, kann sich dahinter eine ganze koreanische Keyboard-Farm verbergen, getarnt als Kühlschrank, Fernseher, Glühbirnen, Wärmepumpe und was sonst nicht alles. Ich wüßte nicht, in welchem Szenario ich KEINE Bauchschmerzen bei sowas hätte. In Theorie hast Du zwar ein Stück weit recht, aber in der Praxis ist das Risiko einfach zu groß. Das einzige, was mir zu dieser späten Stunde einfällt, sind zwei Unternehmensstandorte JEWEILS mit NAC, aber nicht miteinander vernetzt.

Da würde ich gerne einhaken. Warum sollte ich den Zugriff auf einen RDP-Port (3389) nicht aus einem von mir kontrolliertem Netzwerk, über das Internet, erlauben. Letztendlich macht es doch dann keinen Unterschied, ob ich das auch lokal mache.

Wie wurde Adobe installiert? Mit welchen Schalter? Benutzer oder Systemweit?

Moin, Hinreichend exotisch - also interessant. (Ernsthaft.) Gruß, Nils

Das Profil habe ich noch nicht gelöscht, das möchte ich eigentlich auch vermeiden. Die Zugangsdaten im CM sind alle gelöscht. Der User ist einfacher Benutzer ohne Admin Rechte. MfG

Klar ist es interessant

Trotzdem Danke für die Rückmeldung. MS Support ist noch überfordert, mal sehen, ob da noch was kommt. Ich kann ja kurz nachberichten, falls es interessant wird. Hauptsache nichts kumulatives, die Inkonsistenzen können wir ja auflösen, da wir genau wissen, was nicht passt.

Hast Du das Profil des Users gelöscht? Im Credential Manager die Zugangsdaten gelöscht? Was für Rechte hat der User überhaupt auf der TS?

Hallo, folgendes Problem: ich habe auf einem Terminalserver Adobe Reader in der letzten Version installiert und das läuft auch prima. Nun hat ein Kollege sich mit seiner Adobe ID angemeldet und der Reader wurde zum Pro. Somit war er für den einen User noch nutzbar, alle Anderen habe keine Adobe ID und bekommen somit eine Meldung dass sie sich doch bitte anmelden sollen, sonst funktioniert Adobe nicht mehr. Und hier geht das Problem los: ich bekomme das nicht wieder rückgängig gemacht. Adobe wurde schon deinstalliert, der eine User hat sich bei Adobe abgemeldet, neuer Reader wurde installiert und funktioniert so lange, wie der besagte Nutzer ihn nicht startet. Dann beginnt er wieder automatisch ein Upgrade zu machen. Es ist im Reader kein Adobe Konto mehr hinterlegt, aber irgendwo her weiß er dass da mal was war. Auch bei den Benutzereinstellungen in der Systemsteuerung habe ich alles raus gelöscht, was auch nur irgendwie an Adobe erinnerte. Und nun? Wir möchten ungern auf ein anderen Reader umschwenken. Hat jemand eine Idee? Den User mal zu löschen möchte ich eigentlich nicht, da hängt zu viel dran. MfG Michael

Hallo NIls! Was will ich erreichen: Diese Proc. ist Hintergrund für ein Suchformular. Und CASE Rgtyp .... sollte dann nach RgDatum eingefügt werden. Man hat dann die Möglichkeit nach allen Argumenten zu suchen. Rechnungsnummer, Rechnungsdatum, Namen Wohnort. Rechnungsbetrag zwischen xx und yy. und da gibt es eben das Problem. mfg Peter ....... HaVING isnull(FamName +' '+ Vorname,'') LIKE '%'+ @Patient +'%' And isnull(Strasse +' '+ Wonort,'') LIKE '%'+ @Adresse +'%' AND isnull(RGNummer,'') Between @RgNrVon AND @RgNrbis AND isnull(RgDatum,'') Between @RgDatumvon and @RgDatumbis (CASE Rgtyp WHEN 1 THEN sum(([menge]*[RgBetrag])*((100+tblRechnungDeteil.MwSt)/100)) WHEN 2 THEN sum([tblBehandlungDeteil].[Behandbetrag]*((100+[tblBehandlungDeteil].[Mwst])/100)) WHEN 3 THEN Sum([GutBetrag]*((100+[tblGutschein].[Mwst])/100) ELSE 0 END) Between @Betragvon AND @BetragBis ORDER BY [FamName] +' ' + [VorName];

Moin Martin, danke für deine Hilfe. Protokollname: System Quelle: Microsoft-Windows-Kerberos-Key-Distribution-Center Datum: 21.01.2025 09:17:06 Ereignis-ID: 7 Aufgabenkategorie:Keine Ebene: Fehler Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: SERVERDC2.domain.local Beschreibung: Die Sicherheitskontenverwaltung konnte unerwartet eine KDC-Anforderung nicht durchführen. Der Fehler ist im Datenfeld enthalten. Der Kontoname war "" und der Lookuptyp war "0x108". Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Kerberos-Key-Distribution-Center" Guid="{3FD9DA1A-5A54-46C5-9A26-9BD7C0685056}" EventSourceName="KDC" /> <EventID Qualifiers="49152">7</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2025-01-21T08:17:06.9901205Z" /> <EventRecordID>89498</EventRecordID> <Correlation /> <Execution ProcessID="880" ThreadID="0" /> <Channel>System</Channel> <Computer>SERVERDC2.domain.local</Computer> <Security /> </System> <EventData> <Data Name="AccountName"> </Data> <Data Name="LookupType">0x108</Data> <Binary>0D0000C0</Binary> </EventData> </Event>

Ob *Du* kannst, kann ich Dir nicht sagen, aber technisch spricht nichts dagegen. Sind die CALs User CALs oder Device CALs? Haben die Schüler jetzt schon Konten im AD, die sie für irgendwas anderes verwenden? Falls "Device" und "nein, noch nicht", würde ich den neuen Terminalserver einfach als Workgroup-Maschine bereitstellen und die Verbindung auf dem IGEL so einrichten, dass man auf die Windows-Anmeldemaske geschickt wird. Damit erreichst Du die (im Rahmen der von Dir beschriebenen Umgebung) bestmögliche Abgrenzung zwischen Schülern und dem Rest. Und in Anbetracht des geplanten Umzugs würde ich den Lizenzserver für die neue Umgebung auf diesem Server installieren und nicht den vom Domain Controller verwenden.

Hi CJ_BERLIN, danke für deine Anmerkung und Antwort. Ja es ist nicht optimal, das habe ich auch schon festgestellt, aber mein Auftrag lautet aktuell, dass ich den Schulungs-Server mit User-Verwaltung und Speicherverwaltung zumLlaufen bringen soll. Was bisher läuft, möchte ich aktuell nicht anfassen, da es zufriedenstellend läuft. Es stehen 50 Cals zur Verfügung. Da bis zu maximal 50 Schüler und 5 Lehrer parallel über Igel-Rechner auf den TS Server zugreifen werden. Kann ich denn zwei Terminal-Server nebeneinander im gleichen Netz betreiben, die jeweils unterschiedliche Usergruppen verwalten? Beste Grüße

Ich find's prima, dass Du es prima findest. Mir läuft es kalt den Rücken herunter. Ein Terminalserver braucht kein DHCP. Auch keine weitere Domäne, und schon gar keine wie bisher, wo die User lokal auf dem Domain Controller laufen. IGEL Thin Clients sind normalerweise nicht AD-Mitglied, daher dürfte es egal sein, in welcher Domäne welcher Terminalserver steht. Wie viele Lehrer und wie viele Schüler sollen auf diese neue Umgebung zugreifen, und von welchen Endgeräten sollen die Schüler das tun?

Das steht im Client-Log, Event 8001, Feld "Target Name". Vielleicht

Hallo zusammen, seit kurzem arbeite in einer Firma, die über IGEL-Rechner oder Laptops per RDP auf ihre virtuellen Clients auf ihrem MS Server 2019 Terminal-Server zugreifen. Dieser macht sowohl Speicherverwaltung, DHCP,NPAS, Domänen-Controller etc. Der Router ist sowohl: DNS als auch Standard-Gateway. Soweit auch alles prima! Aber nun soll ein weiterer Terminal-Server betrieben werden, auf den ein eigenständiger Bereich für Schulungszwecke betrieben werden soll, losgelöst von den vorhandenen Mitarbeiterkonten und gespeicherten Verwaltungs-Daten. Hier sollen externe Schüler ein einfaches Konto erhalten, damit sie Listen und Berichte erstellen und drucken können. Mitarbeiter/Lehrer sollen hier Daten mit den Schülern austauschen können. Daher stellen sich für mich folgende Fragen: Kann ich im gleichen IP-Bereich einfach eine weitere Domäne erstellen? Sollte doch eigentlich kein Problem sein. Benötige muss dafür auf dem Terminal-Server (Schulung) ein eigener DHCP installiert werden. Können die IGEL-Rechner und Laptops, die sich alle in der Domäne "Intern" befinden einfach per RDP auf den Schulungs-Server in der Domäne "Schulung" zugreifen. Muss ich auf dem Schulungs-Server (DNS, DHCP, Speicherverwaltung, VPAS und Domänen-Controller dienste installieren? Ist es möglich für die Lehrer den Zugriff auf die Virtuelle "Schulungsumgebung und "Intern" einfach zu steuern, ohne dass dafür die IGEL-Rechner und Laptops die Domäne wechseln müssen. Später ist übrigens geplant, den Schulungs-Server in ein anderes Gebäude mit eigenem Internet-Zugang/Router zu stellen. Wie ihr merkt, stehe ich gerade sehr auf dem Schlauch und freue mich über eure Unterstützung.

Webregistrierung von Zertifikaten habe ich nicht wirklich installiert. Das Log ist auf beiden Seiten hochgedreht, aber mehr als das was ich oben bei der Fehlermeldung angegeben habe, kommt leider nicht. Die Art der Anforderung spielt keine Rolle. Kein Unterschied zwischen Autoenrollment oder MMC. Weder auf der Cert selbst noch auf dem Client. Vielleicht fehlt wirklich eine SPN. Fragt sich welche. Dagegen spricht aber, dass normale Anmeldungen ja funktionieren. Ist es möglich, dass Zertdienste auf Domänen-Dienstkonten laufen müssen? Bei mir ist das alles auf Standard. Warum es dann aber mit NTLM klappt, würde sich meiner Logik dann verschliessen. ;) Grüsse und Danke.

Danke Martin, das Thema mit dem CNAME hatten wir hier ja schon und es klingt in der Tat sehr spaßig Wir schauen, dass wir das vermeiden. Wegen dem DNS, da hatte ich wohl einen Denkfehler. Das heißt ich erstelle entweder für den SPN einen eigenen A-Record (oder auch CNAME) und dann wird der SPN darüber aufgelöst. Oder ich erstelle einen AdditionalDNSHostName mit dem netdom Befehl im Attribut des entsprechenden AD Objekts und dann läuft eben der Automatismus los (DNS Eintrag wird erstellt, RegKey auf dem Server für den AlternateComputerName wird erstellt) Ich dachte jetzt, dass der AdditionalDNSHostName losgelöst davon ist und immer gepflegt werden muss, wenn man mit SPNs arbeitet. Habe es aber gerade getestet. Der netdom befehl erstellt all diese Werte. Wir bleiben dann weiterhin bei der manuellen Erstellung vom DNS Eintrag und der SPN wird mit SetSPN erstellt. Ansonsten sind eben viel zu viele Berechtigungen auf dem Ziel Server notwendig, damit der netdom Befehl seine Aufgaben machen kann. Damit sollte das Thema endlich erledigt sein Gruß, Steffen

Moin, "state switchover interval" (SSI) ist die "elastizität des Clusters". Wenn Deine Lease-Time nicht in Sekunden bemessen wird und Du den aktiven Knoten einfach nur mal rebooten möchtest, muss es doch noch lange keinen Failover auslösen. Dieser Wert zeigt, wie lange der Knoten wartet bis er annimmt, dass der andere so schnell nicht wieder kommen wird. "Max Client Lead Time" (MCLT) ist die maximal mögliche Verlängerung eines Lease, der durch den anderen Knoten vergeben wurde und die Dauer des Leases, die vom passiven Knoten ausgeteilt werden, wenn der aktive "down" ist und das SSI noch nicht abgelaufen ist. Die Kombination beider Werte ergibt das Verhalten, wenn der aktive Knoten ausfällt: Nach SSI beginnt der ehemals passive Knoten, Anfragen zu beantworten, und nach MCLT ist er dann nicht nur aktiv, sondern auch der Owner aller Leases. Aus Ops-Sicht mag ich Aktiv-Passiv-Cluster jeder Art nicht, *besonders* in KMUs, denn man findet nie Zeit, Failover regelmäßig zu testen, und dann eines Tages knallt's.

Wenn du ein normaler Scope mit 256 Adressen hast und ein LB dann wären 50 50 ja jeweils 128 Adressen. Ich denke das sollte bei jedem KMU schnell erreicht sein. Wenn ein Pool im 50 50 LB Betrieb erschöpft ist und der 2. DHCP offline ist, dann stellt der DHCP seine Arbeit ein. So konnte ich es jedenfalls feststellen. Darum möchte ich in den Hotstandbye wechseln. Überschreibt die markierte Option "Maximum Client lead time, die Lease time im Scope und gilt nur, wenn der Hotstandbye einspringt ? Das würde so für mich Sinn machen. Denn so kann, wenn der Primäre DHCP wierder online ist schnell wieder übernehmen. Die Option "State switchover intervall" sagt dann vermutlich aus, wann wieder auf den ausgefallenen Server zurückgewechselt werden soll, vermute ich mal. Passt das so ? Sorry aber hier fehlen mir die Erfahrungswerte.

Ja, das geht. Du musst das Löschrecht auf "Files Only" beschränken, und das "Create Files" recht auf "Subfolders Only". Und natürlich die Vererbung der darüber hinausgehenden Rechte wegnehmen. Alternativ kannst Du die vererbten Rechte in Ruhe lassen und einen expliziten Deny auf "Delete" für diese Gruppe, in diesem Fall beschränkt auf "Subfolders Only", am "Eingang Logistik" verhängen. Ob David damit uneingeschränkt klar kommt, hätte ich Dir vor 20 Jahren aus dem Kopf sagen können, aber jetzt nicht mehr...

Moin an Board, auf geht es in den Tag - ich koche Kaffee Allen einen ruhigen Dienstag, bleibt gesund! Hier derzeit -2°, es bleibt bewölkt bis etwa 1°C Teilweise sehr glatt, vorsichtig fahren!

Hallo, Vorgabe vom Enduser: Nur NTFS Änderungszugriff (für Gruppe L) bedeutet, dass Gruppe L keine Ordnerstruktur löschen darf, aber darin/darunter befindliche Dateien dürfen gelöscht/gelesen/bearbeitet werden. Anders gesagt: Bitte am Tobit David Server so machen, dass User Mails (im Gruppenordner "Eingang Logistik") löschen dürfen aber nicht den vorgenannten Ordner bzw. darunterliegende Ordner. Ist das mit NTFS Rechten so einfach darstellbar? Es besteht ggf. die Sorge, das ausversehen große/wichtige Gruppenordner gelöscht/verschoben werden. Es haben allerdings auch nur 5-12 Mann Zugriff.

Danke für euren Input. Ich schau mir mal Hornet an, die gibts auch bei meinem Distri.

Jetzt wird es hell. Der Default Security Descriptor .