phatair

Ha... da ist was wahres dran Danke euch!

Jep, da wird so einiges verschlimmbessert... Wenn ich mir nur die cpl Befehle merken könnte Muss mir doch mal ne Liste machen🙈 Schönen Abend zusammen

Hi Jan, danke für die Info. Wie erwähnt gibt es kein Problem. Die Anzeige in Windows 11 ist einfach nur verwirrend. Das sagt wohl nichts über das Netzwerkprofil aus. Aber trotzdem gut zu wissen, dass es da Bugs in Windows gibt, die dann mit einem deaktivierten IPv6 auftreten können. In dieser Einstellung ist alles korrekt, nur hatte ich diese nicht auf Anhieb gefunden Danke Dir! Das schaue ich mir dann in Ruhe mal an. Jeder Client wird bei uns neu mit einem Base Image installiert und die meisten Treiber eben genau per INF Files installiert. Bloatware haben wir da so gut wie keine auf den Systemen.

Ein paar Dienste haben wir abgeschaltet, aber hier bin ich dann doch immer etwas vorsichtig, da ich oft die Abhängigkeiten nicht so ganz nachvollziehen kann. Aber über Tipps, welche Dienste man abschalten könnte, wäre ich natürlich dankbar Selbstredend dass man die noch mal gegenprüft, ob diese in der eigenen Umgebung auch wirklich nicht benötigt werden.

Weil wir es nicht benötigen und ich unnötige Funktionen gerne abschalte :) Außerdem hat der Mark dazu einen guten Beitrag geschrieben und daran haben wir uns orientiert https://www.gruppenrichtlinien.de/artikel/ipv6-deaktivieren-das-protokoll-nicht-die-bindung

Hi Norbert, habe mein Beitrag schon editiert. Der Fehler ist wohl kein Fehler, da wie in meinem "Edit" geschrieben die Einstellung in Win11 etwas versteckt ist. Für was dieser Punkt "Eigenschaften Privates Netzwerk" steht weiß ich noch nicht. Das Netzwerkprofil passt aber bei uns. Laut MS ist ab Win 11 nicht mehr NLA für das erkennen des Domain Profils zuständig, sondern der Network List Manager 24H2 hatte uns noch zu viele Kinderkrankheiten Auf Netzwerkwarten ist per GPO gesetzt. IPv6 haben wir komplett über die Regedit deaktiviert (nicht nur die Bindung in der NIC entfernt).

Hallo zusammen, wir rollen im Moment Windows 11 23H2 aus und dabei ist uns folgendes aufgefallen In der Netzwerkübersicht wird hier als Netzwerkprofil (so verstehe ich zumindest die Info "Eigenschaften" als "privates Netzwerk" angezeigt. Das Gerät ist aber ein Domänen Client und alle anderen Indikatoren zeigen auch an, dass er als Netzwerkprofil "Domäne" verwendet Firewall nutzt das Domänen Profil In der Registry ist der Adapter als "Domain" gekennzeichnet Per Powershell mit Get-NetConnectionProfile erhalte ich ein "Domain authenticated" zurück Wird hier in der GUI einfach nur das falsche Profil angezeigt oder steht "Eigenschaften" gar nicht für das Netzwerkprofil, wie man es aus Win 10 kannte? Ist das bei euch auch so? Vielen Dank im Voraus. Grüße EDIT: Ok, ich glaube ich habe gerade selber rausgefunden, dass diese Info "Eigenschaften" wohl irgendwas anderes ist. Wenn man in den Win 11 Einstellungen -> Netzwerk und Internet -> Erweiterte Netzwerkeinstellungen -> Erweiterte Freigabeeinstellungen geht, dann ist dort die Info zum Netzwerkprofil zu finden

Also die Org-Admin Rechte werden für den KMS nicht benötigt. Der "Fehler" war ein einfacher. Der Server Manager wird als Admin gestartet, startet man das Volumenaktivierungstool aus dem Startmenü passiert das nicht automatisch Das Tool muss also mit rechter Maustaste "als Administrator ausführen" gestartet werden, dann kann die KMS Rolle hinzugefügt werden und es werden eben nur lokale Admin Rechte benötigt. Umzug der Clients auf den neuen hat dann problemlos gelappt.

Hatte die Docs bei MS auch schon geprüft und nichts gefunden. Keine Ahnung. Aber wie im "Edit" geschrieben, hat es auch ohne Org Admin Rechte funktioniert, wenn man das Volumenaktivierungstool aus dem Server Manager gestartet hat. Ich könnte mir vorstellen, dass man die Org Admin Rechte auch nur braucht wenn man die active directory based activation nutzt. Werde berichten ob es am Ende geklappt hat :)

Das steht im Wizard direkt auf der ersten Seite. Ist uns nur aufgefallen, da der User mit dem wir den Host aktivieren wollten eben nur lokaler Admin ist. Da aber ganz am Anfang steht "Das verwendete Konto muss über Folgendes verfügen, um die Volumenlizenzierungsdienste installieren und aktivieren zu können:", würde ich jetzt vermuten das es nur für den Install gilt. EDIT: allerdings kam jetzt gerade mein Kollege um die Ecke und meinte, dass er den KMS auch nur mit lokalen Adminrechten aktivieren kann. Dazu muss er die KMS Konfig über den Server Manager starten. Wenn er die Volumenaktivierungstool direkte aus dem Startmenü startet, dann klappt die Aktivierung nicht, da er nicht die notwendigen Rechte hat. Verstehe das jemand...

Jetzt habe ich doch noch eine Frage, vielleicht kann die auch noch beantwortet werden Zur Aktivierung vom KMS muss der Account über bestimmte Rechte verfügen. Diese kann man delegieren oder er muss in der Gruppe der Organisation Admins sein. Nun stellt sich noch die Frage, wird dieser Account dann dauerhaft genutzt oder nur temporär für die Installation und Aktivierung des KMS? Wenn es dauerhaft genutzt wird (z.b. um irgendwelche Daten zu schreiben), müsste ich einen dedizierten Account dafür erstellen. Wenn es nur temporär ist, reicht es aus dem entsprechenden Account kurzzeitig in die Organisation Admins Gruppe aufzunehmen. Vielen Dank schon mal. VG

Das hab ich total falsch verstanden bzw stand auf dem Schlauch Damit ist alles geklärt Danke für deine Hilfe und ein schönes Wochenende!

Sicher das man für Win 11 Pro einen eigenen KMS Key benötigt? Aktuell aktiviert unser 2012R2 Server auch Windows 11 und der hat nie einen extra Win 11 KMS Key erhalten. Der hat nur den Win 10 KMS Key bekommen und es musste ein Update installiert werden. Werde aus der MS Seite auch nicht so richtig schlau - In der Tabelle "Activation versions" steht bei Windows Server 2019 kein Win 11 - In der Tabelle "KMS host required updates" steht bei Windows Server 2019 nur, dass für Server 2025 und 2022 extra Updates benötigt werden. Über Windows 11 wird gar nichts gesagt. Heißt für mich, damit ich Server 2022 und 2025 aktivieren kann, brauch ich die genannten Updates. Aber was ist mit Win 11? Dafür brauche ich wohl kein Update, aber warum wird es dann nicht in der ersten Tabelle bei "Activation versions" aufgelistet? Das klingt ja so, als könnte ich gar kein Win 11 mit Server 2019 aktivieren. Aber unser 2012R2 macht das ja auch schon, ohne jegliches separates Update. Daher meine Vermutung, dass Windows 11 auch mit dem Windows 10 KMS Key aktiviert werden. Windows 10 Pro und Windows 11 Pro haben ja auch den gleichen generischen KMS Key zum aktivieren https://learn.microsoft.com/de-de/windows-server/get-started/kms-client-activation-keys?tabs=server2025%2Cwindows1110ltsc%2Cversion1803%2Cwindows81#windows-11-and-windows-10-semi-annual-channel Aber vielleicht stehe ich auch nur auf dem Schlauch. Nächste Woche werden wir das dann mal testen. Schönes Wochenende zusammen.

Ha ... ok Ich dachte immer es gibt einen KMS Key und einen KMS Host Activation Key. Da wir beim 2012 für Windows 10 und Server 2019 auch Keys installieren mussten, damit der 2012R2 Server diese Server/Clients aktivieren konnte. Aber verstanden, dass ist ein und dasselbe . Wenn ich jetzt einen Server 2019 als KMS Server habe, kann dieser ja direkt 2019er Server aktivieren und Win 10/11 auch, richtig? Für Office 2016 brauche ich dann das Activation Pack. Kann der KMS dann damit direkt auch Office 2016 aktivieren oder brauche ich da noch einen separaten Key?

Danke für die Antwort. Na das wird ja schon wieder bunt. Wir hatten extra mit Microsoft telefoniert und der nette Support Mitarbeiter meinte, dass es keinen KMS Host Activiation Key bei 2019 mehr gibt und wir den KMS Key aus dem Admin Portal nutzen soll. Hatte mich schon gewundert, da für mich der KMS Key der Key ist, den ich im KMS Server hinterlegen muss um die Aktivierung dieser Systeme doch überhaupt zu ermöglichen. Dann werden wir da wohl noch mal bei Microsoft anrufen müssen :( Das verstehe ich doch aber richtig - es gibt einen KMS Host Activation Key. Dieser ist dafür da, den KMS Server zu aktivieren - es gibt einen KMS Key. Dieser ist dafür da die entsprechenden Produkte auf dem KMS zu aktivieren, damit sich dann die Clients/Server gegen den KMS aktivieren können - es gibt den generischen KMS Key. Dieser ist öffentlich bei MS einsehbar und ist der Key, der auf den Clients/Servern eingegeben wird und dann gegenüber dem KMS aktiviert wird Das heißt wenn ich den alten KMS nicht deaktiviere und der DNS Eintrag weiterhin auf den alten Server zeigt und ich den neuen aktiviere wird der bestehende DNS Eintrag einfach überschrieben und enthält den neuen Servernamen, richtig?

Hallo zusammen, wir haben noch einen alten KMS Server 2012R2 am laufen. DAmit wird Windows 10/11, Server 2019 und Office 2016 aktiviert. Nun wollen wir den Server endlich mal auf 2019 umstellen. Es soll weiterhin ein KMS und kein Active Directory-Based Activation werden. Der KMS erstellt ja einen DNS Eintrag _VLMCS mit den entsprechenden Werten und die Clients aktivieren sich dann darüber am KMS. Nun habe ich folgende Fragen und hoffe ihr könnt mir hier helfen Stimmt es, dass es für Server 2019 keinen KMS Host Activation Key mehr gibt? Wir haben die 2019er Server Lizenzen noch im alten VLSC gekauft und dort war auch der 2012R2 KMS Host Activation Key vorhanden. Im neuen Portal habe ich bei den Server 2019 nur noch einen KMS Key und keinen KMS Host Activation Key. Können überhaupt 2 KMS Server in einem Netz betrieben werden? Oder sollte man erst den alten abschalten und dann den neuen aktivieren? Bei dem 2012R2 KMS mussten wir noch Keys für Server 2019 und Windows 10/11 installieren, ebenso das Office 2016 Activation Pack. Muss das beim Server 2019 ebenso gemacht werden oder kann dieser automatisch Win 10/11 und Server 2019 aktivieren, wenn der KMS Dienst aktiviert wurde? Erinnere mich noch so grob, dass ein KMS Server die Server und Client Versionen, die seiner eigenen Versionen oder niedriger entsprechen, automatisch aktivieren kann. Das Office 2016 Activation pack werde ich ja wahrscheinlich benötigen. Unser Vorgehen wäre daher wie folgt alten KMS Server abschalten (würden dieses Vorgehen befolgen) neuen KMS Server aktivieren Office 2016 im KMS aktivieren Vielen Dank schon mal. Grüße

Danke Martin, das Thema mit dem CNAME hatten wir hier ja schon und es klingt in der Tat sehr spaßig Wir schauen, dass wir das vermeiden. Wegen dem DNS, da hatte ich wohl einen Denkfehler. Das heißt ich erstelle entweder für den SPN einen eigenen A-Record (oder auch CNAME) und dann wird der SPN darüber aufgelöst. Oder ich erstelle einen AdditionalDNSHostName mit dem netdom Befehl im Attribut des entsprechenden AD Objekts und dann läuft eben der Automatismus los (DNS Eintrag wird erstellt, RegKey auf dem Server für den AlternateComputerName wird erstellt) Ich dachte jetzt, dass der AdditionalDNSHostName losgelöst davon ist und immer gepflegt werden muss, wenn man mit SPNs arbeitet. Habe es aber gerade getestet. Der netdom befehl erstellt all diese Werte. Wir bleiben dann weiterhin bei der manuellen Erstellung vom DNS Eintrag und der SPN wird mit SetSPN erstellt. Ansonsten sind eben viel zu viele Berechtigungen auf dem Ziel Server notwendig, damit der netdom Befehl seine Aufgaben machen kann. Damit sollte das Thema endlich erledigt sein Gruß, Steffen

Danke Evgenij, wir betreiben einen Exchange Hybrid, allerdings synchronisieren wir nur einige User Objekte in den Tenant, da wir diese nur für Teams benötigen (keine Mailboxen, Gruppen, usw). Geplant ist das auch nicht noch mehr in Richtung M365 zu gehen. Aber so richtig gut finde ich die mail enabled security groups dann auch nicht und verstehe die möglichen Probleme und irgendwie fühlt es sich nicht gut an, beides so zu mischen. Da wir aktuell sowieso ein IAM System testen wollen, wäre das natürlich die schönste Lösung. Das werde ich mal mit auf unsere "Test Liste" setzen. Wenn das klappt wäre das meine bevorzugte Lösung. Danke auch für den Hinweis mit den Gruppen bezüglich "geschlossen" und "offen". Alle Gruppen sind bei uns geschlossen und die Mitgliedschaften werden über die IT geregelt. Ein schönes Wochenende! Gruß, Steffen

Hallo zusammen, wenn ich es richtig sehe, kann ich eine lokale AD Sicherheitsgruppe nicht "mail enablen" und damit auch als Mail Verteiler nutzen. Dazu muss die AD Gruppe eine universale Sicherheitsgruppe sein. Die betroffenen Sicherheitsgruppen nutzen wir nur zum zuweisen von Software über unser Client Management System oder sie werden genutzt um innerhalb eine Anwendung z.B. Usern bestimmten Rollen zuzuordnen. Wenn ich es hier richtig verstehe, ist der Hauptunterschied zwischen local, global und universal vor allem die Nutzung von Gruppen in mehreren Domains und Forests. Wir haben aktuell keinen Domain Forest, nur eine einzige Domäne. Kann ich dann problemlos eine lokale Gruppe auf universal umstellen um die "Mail Funktion" nutzen zu können? Oder gibt es andere Möglichkeiten? Hintergrund ist, dass wir gerne die Sicherheitsgruppe auch gleich als Mail Verteiler nutzen wollen, damit man die User z.B. bei Wartungen usw kontaktieren kann. Aktuell wird hier eine separate Exchange Verteilergruppe gepflegt und das ist aufwändig und fehleranfällig. Danke schon mal. Viele Grüße

Hallo zusammen, ich muss das Thema doch noch mal reaktivieren 2 Fragen hätte ich noch und hoffe, dass ihr mir hier auch helfen könnt. Den SPN muss ich sowohl für den FQDN als auch den normalen Hostname machen, wenn ich beides für den Zugriff verwenden möchte, oder? Sprich der SPN "share1" soll für einen SMB Zugriff verwendet werden und der Zugriff erfolgt mal über share1 und einmal über share1.my.domain.com, dann muss ich auch beide CIFS SPNs so hinterlegen, richtig? Ein Punkt ist mir noch aufgefallen, der bei der Nutzung vom NetDom Befehl anders ist. Hier wurde automatisch im Computer AD Objekt auch ein msDS-AdditionalDnsHostName Attribut erstellt und dort dann auch der DNS Name für den SPN hinterlegt. Der SetSPN Befehl macht das nicht. Muss dieser AdditionalDNSHostName Wert dann manuell gepflegt werden oder ist das nur ein Relikt aus alten Zeiten? Bei MS habe ich diese Info gefunden. Klingt für mich ja schon so, als wäre das notwendig wenn man mehrere DNS Namen hat. DAs wäre im Fall eines SPNs ja der Fall, da ich ja mehrere DNS Einträge habe die auf diesen Server zeigen. Danke euch noch mal. Grüße

Hallo zusammen, Da startlayout und die taskbsr können in windows 10 problemlos über per gpo und einer XML vorgegeben werden. Wir hatten auch nie Probleme bei Änderungen usw Computerkonfiguration>Administrative Vorlagen>Startmenü und Taskleiste Startlayout Dort war es zum Teil auch möglich Bereiche zu sperren Bei Windows 11 ist es etwas anders. Da greift die XML nicht mehr für das startmenü, nur noch für die taskbar. Das startmenü kann man aber auf anderen Weg vorgeben. Sperren kann man dort nix mehr. Aber wir hatten bei windows 11 23h2 folgendes bemerkt Du erstellst eine startmenü Konfig und lässt zusätzlich noch die gpo für die XML aktiv. Dann wird jegliche Möglichkeit für die Änderung des Startmenüs entfernt. Wäre also das, was ihr wollt. In der XML kam man dann zb die Taskleiste vorgegeben Da wir das sperren aller Funktionen nicht wollen, verteilen wir keine XML sondern eine bin datei die dann die Taskleiste konfiguriert. War etwas komplex alles und ist schon ein paar Wochen her, daher sorry für die groben Infos. Ein paar links dazu. Vielleicht hilft das https://learn.microsoft.com/en-us/windows-hardware/customize/desktop/customize-the-windows-11-start-menu https://learn.microsoft.com/en-us/windows/configuration/start/layout?tabs=intune-10%2Cintune-11&pivots=windows-11 https://lazyadmin.nl/win-11/customize-windows-11-start-menu-layout/

Hallo zusammen, wir haben noch einen Exchange 2016 onPrem (aktuelles CU und SU) und es ist folgendes aufgefallen. Bei Ressourcen wo ein Stellvertreter für die Buchungsanfragen hinterlegt ist, werden geänderte Besprechungszeiten nicht in der Info Mail angezeigt. Beispiel: User bucht einen Raum für den 11.12.24 um 18 Uhr. Die Stellvertretung erhält eine Info und muss die Buchung bestätigen. User erhalt eine Info, dass der Termin noch bestätigt werden muss. Soweit alles ok. Nun ändert der User aber den Termin noch mal ab und verschiebt den Termin auf den 11.12.24 19 Uhr. Die Stellvertretung erhält nun eine Info, dass der Termin um 19 Uhr bestätigt werden muss. Sie sieht aber nicht, dass der Termin von 18 auf 19 Uhr verschoben wurde. Normalerweise wird das ja wie folgt dargestellt. Die Info erhalten die Teilnehmer von Terminen, wenn z.B. ich den Zeitpunkt einer Besprechung ändere. Bei der Ressource erhält die Stellvertretung die für die Buchungsanfragen zuständig ist dann zum Freigeben der Buchung folgende Info (die Zeiten stimmen hier mit dem von mir genannten Beispiel nicht überein) Sie sieht also gar nicht, dass der Termin verschoben wurde. Sie sieht einfach nur das neue Datum/Zeit. Ist das so gewollt von MS, dass diese Info nicht an den Stellvertreter weitergeleitet wird? Oder haben wir hier irgendwas falsch eingestellt? Für einen Tipp wäre ich mal wieder sehr dankbar. Gruß

Danke euch. Dann werden wir wohl einen A-Record verwenden. Es scheint ja dann in Bezug auf den SPN egal zu sein.

Hallo zusammen, ich hab noch eine Frage und hoffe ihr könnt mir noch mal helfen Wenn ich den SPN per SetSPN eingetragen habe, muss ich ja den DNS Eintrag noch setzen (der NetDom Befehl hatte das ja automatisch gemacht). Ist es dann eigentlich egal ob ich einen Alias (CNAME) Eintrag für den SPN erstelle oder einen Host (A) Eintrag nutze? Wenn ich es richtig verstehe (grob gesagt), kann der A Eintrag nur in der übergeordneten Domain mit der IP hinterlegt werden. Der CNAME hingegen kann direkt den Alias ansprechen und auch Subdomains. Für den SPN an sich macht das aber keinen Unterschied oder doch? Wir müssen losgelöst vom SPN prüfen ob CNAME oder Host A für uns sinnvoll ist. Oder verstehe ich das falsch?

Nein - ich wollte es nur testen, da bei MS Theorie und Praxis ja nicht immer übereinstimmen muss Danke! Ich muss mir in den nächsten Wochen erstmal einen Überblick verschaffen und falls sich da was in der Richtung auftut, melde ich mich