phatair

Hm... weiß nicht genau was du jetzt meinst. Die GPO Einstellung schreiben meist in HKLM oder HKCU einen Wert z.B. Reg_SZ oder DWORD. Nach deiner Erklärung werden diese Werte, also z.B. ein DWORD, auch geschrieben, wenn die GPO eigentlich nicht für die Windows Version geeignet ist. "Alte Windows" Versionen lesen diesen Wert, in diesem Falle ein DWORD, nicht aus und somit ist diese Einstellung aus der GPO auch nicht wirksam. Neuere Windows Versionen lesen den Wert, also das DWORD, aus und somit ist auch die Einstellung aus der GPO wirksam. Diese Info finde ich ganz hilfreich und ich glaube nicht das ich eine unpassende Vorstellung von Registry-Keys habe. Vielleicht habe ich mich nur falsch ausgedrückt.. Es hätte ja auch sein können, dass dieses DWORD gar nicht in die Registry geschrieben wird, wenn die Windows Version unpassend ist. Danke - dir ebenso ein schönes Wochenende.

Richtig, hatte ich ja erwähnt. Für mich ist es nur gut zu wissen, dass die Registry Keys trotzdem erstellt werden. Wer weiß ob einem dies doch mal irgendwie in die Suppe spuckt und dann ist diese Info Gold wert :)

Hi Nils, danke - so habe ich mir das auch vorgestellt. Ich sehe nur ein Problem (das aber schon sehr konstruiert ist). Wenn dieser Wert in der Registry erstellt wird und man z.B. über eine GPO oder ein anderes Programm wie z.B. SCCM oder ZCM diesen Wert abprüft um davon z.B. auf die Windows Version zu schließen, könnte es zu Problemen kommen. Aber das ist wie gesagt schon sehr konstruiert und wird in der Realität nicht vorkommen. Aber es ist gut zu wissen, dass die Regedit Einträge geschrieben und nicht ignoriert werden, wenn sie nicht für die Windows Version gemacht wurden. Ich werde dann weiterhin nur 2 Win 10 GPOs haben - eine für User Einstellungen und eine für Computer Einstellungen.

Hallo zusammen, wir setzen bei uns im Unternehmen noch Windows 10 1703 ein. Da diese Version ja EoL ist, updaten wir die Clients jetzt Stück für Stück auf Version 1803. Hier setzen wir auch neue GPOs ein, die nur für diese Version angewendet werden können. Ich bin mir nun unsicher ob ich diese Einstellungen einfach in einer Windows 10 GPO vereinen kann und diese allen Win 10 Geräten zuweise, ganz egal ob Sie noch 1703 oder schon 1803 sind, oder ob ich eine extra Richtlinie für 1803 erstelle und diese z.B. per WMI Filter oder Sicherheitsgruppe nur den PCs mit der neuen Win 10 Version zuweise. Weiß jemand ob es Probleme macht wenn einer Windows 10 1703 Version auch Richtlinien für Windows 10 1803 zugewiesen wurden. Ignoriert der PC einfach die Einstellungen oder schreibt er diese trotzdem und es kann zu einem möglicherweise ungewolltem Verhalten kommen? Danke euch schon mal. Gruß

Hi Sunny, die Anpassung des Startmenüs machen wir im Moment in der 1703 schon genau so. Xbox wird in "Programme hinzufügen und entfernen" angezeigt. Hier schaue ich dann aber noch mal genauer nach. Den Rest werde ich einfach per ZCM oder GPO wieder anpassen. Unnötige Arbeit die einem MS da aufbürdet, aber gut... was will man machen. Jetzt muss erstmal der AV aktualisiert werden, der scheint noch nicht wirklich mit der 1803 kompatibel zu sein Danke für eure Hilfe. Ich denke das müsste aber so ganz gut klappen.

Danke Sunny. So ganz ist mir die ganze Geschichte noch nicht klar. Laut mehreren Infos im Netz passiert bei einem inplace Upgrade eine Neuinstallation. Hat man in der Ursprünglichen Installation z.B. einige Apps gelöscht, werden diese nach dem inplace Upgrade wieder vorhanden sein. Wir haben wie gesagt einige Anpassungen im Base Image vorgenommen. Unter anderem wurden einige Apps entfernt. Ich habe nun auf einem Test PC mit Win 10 1703 einmal das inplace Upgrade mit dem Befehl \\Server\Share\setup.exe /auto upgrade /DynamicUpdate disable gestartet. Das ganze hat ca. 15 Minuten gedauert. Danach war der PC auf Version 1803. Die von uns entfernten Apps waren aber weiterhin nicht da (Ausnahme Paint3D - bin mir aber nicht sicher ob es das überhaupt schon in der 1703 gab). Auch sonst wurde alles behalten. Bin erstmal positiv überrascht - traue dem ganzen aber noch nicht so ganz. EDIT: 2 Kleinigkeiten sind mir noch aufgefallen. z.B. wurde die OneDrive Verknüpfung im Startmenü erstellt obwohl OneNote noch gelöscht ist. Ebenso wird XBOX als installiert aufgeführt aber ist nirgends zu finden. Beides waren Apps dir wir im Base Image gelöscht hatten.

Jetzt habe ich noch eine blöde Frage zur WIM Datei. Sehe ich es richtig, dass ich am besten ein Base Image erstelle (im Audit Mode) und mein Image soweit anpasse. Wenn ich damit fertig bin erstelle ich mit dem DISM Befehl die WIM Datei und tausche die gegen die install.wim im original 1803 ISO aus. Mit dem angepassten Base Image (nach dem ich Sysprep laufen lassen habe) kann ich dann neue PCs imagen. Mit der WIM Datei kann ich das inplace Upgrade durchführen.

Alle Clients neu installieren wäre doch etwas schwierig. Wir haben zwar "nur" 140 PCs aber es ist doch auf einigen PCs individuelle Software vorhanden. Daten liegen aber keine auf den PCs - die liegen alle im Netzwerk. Wir imagen die PCs zwar über Zenworks und die Installation würde somit schnell ablaufen, aber es wäre einiges an Nacharbeit zu tun. WSUS läßt sich einfach schlechter kontrollieren. Über eine GPO und ein scheduled Task wäre das Update wahrscheinlich einfacher an kleine Gruppen zu verteilen. Hatte dazu bei administrator.de eine gute Idee gesehen Den Link zu Gruppenrichtlinien schaue ich mir mal an - danke! EDIT: Die Idee von Mark geht ja genau in diese Richtung mit Task und Batch Datei. Wenn ich es richtig verstehe, ändert er aber die install.wim ab. Diese ändert er mit MDT und entfernt z.b Apps usw. Ist das richtig? Wir haben das bei unserem Base Image über Zenworks bzw. Imaging Toolkit gemacht. Für das Inplace Upgrade sollte das dann aber ausreichen. Ich muss halt nur die gleichen Apps entfernen wie im Base Image auch. Hoffe ich verstehe das so richtig. Was sich MS bei diesen kurzen Laufzeiten gedacht hat ist mir ein Rätsel. Wir sind zu 2 in der EDV und müssen jetzt fast jedes Jahr ein neues Update ausrollen. Das fängt schon bei Inkompatibilitäten beim AV an und hört bei komplexen CAD Rechnern auf. So wirklich weiß ich noch nicht, wie wir das sauber in den Griff bekommen sollen.

Hallo zusammen, ich bin im Moment am überlegen wie ich am besten unsere bestehenden Windows 10 Pro 1703 Versionen auf die 1803 updaten kann. Eine Methode wäre über den WSUS. Hier hatte ich auch schon im Wsus Forum nachgefragt und die korrekten Updates scheinen mir auch angeboten zu werden (Tests stehen noch aus). Die andere Methode wäre über die ISO bzw. die setup.exe und die Parameter /auto upgrade /DynamicUpdate disable Wie macht ihr den die Windows 10 Updates? Gibt es noch andere Methoden? Vielen Dank. Gruß, Steffen

Hallo zusammen, ich habe eine Frage zum DNS. Wir haben bei uns 2 DNS Server. Einer für unser Verwaltungs-LAN (verwaltung.local) und einen DNS Server für das Fertigungs-LAN (fertigung.local). Funktioniert soweit auch wunderbar. Nun würde ich gerne einen DNS Eintrag auf unserem Fertigungs DNS Server vornehmen, so das ein Server aus dem Verwaltungs LAN auch per DNS aus dem Fertigungs-LAN erreichbar ist. Ich habe dazu auf dem Fertigungs DNS Server eine 2. Zone erstellt -> verwaltung.local und habe dort ein Host (A) Eintrag mit dem Servernamen und der dazugehörigen IP aus dem Verwaltungs LAN vorgenommen. Trotzdem können die PCs im Fertigungs LAN den DNS Namen nicht auflösen. Es wäre nett wenn mir jemand sagen könnte, wo ich meinen Denkfehler habe. Ist die Grundidee falsch? Gruß EDIT: Fehler gefunden - ich muss natürlich den FQDN nutzen ... Habe leider keine Möglichkeit gefunden den Beitrag komplett zu löschen. Vielleicht hilft es ja jemand anderem

Danke PadawanDeluxe - ich komme darauf vielleicht noch zurück. Für uns ist es im Moment besonders wichtig die rugged devices so einzuschränken, dass nur eine App startet und sonst nichts mit den Geräten gemacht werden kann. Das hat sureMDM am Besten hinbekommen. Alle anderen Systeme konnten das nur bei iOS oder KNOX Geräten oder wenn diese gerooted waren. Auch die Möglichkeit des remote control war bei vielen Herstellern nur bei bestimmten Voraussetzungen möglich. Ich werde den MDM Server jetzt in unserem lokalen LAN installieren. Im Moment wird ja auch nur der lokale Zugriff benötigt. Werde dann mal mit dem Support die Problematik weiter besprechen und schauen wie wir es lösen, wenn in Zukunft Geräte von extern mit dem MDM kommunizieren sollen. Danke euch!

Hallo zusammen, vielen Dank erstmal für eure Antworten. Ich habe das Exchange Forum gewählt, da hier vor ein paar Monaten schon mal jemand über ein MDM Projekt geschrieben hatte. Vielleicht verstehe ich bei dem MDM System auch grundsätzlich etwas falsch bzw. drücke mich falsch aus. Das MDM System ist ja vor allem für BYOD gedacht bzw. um Firmenhandys managen zu können. Normalerweise sind diese Geräte ja außer Haus und mit einem MDM System kann ich es z.b. orten, zurücksetzen, eine Fernwartung durchführen und Richtlinien durchsetzen. Für all diese Vorgänge benötige ich doch eine Kommunikation des Handys zum MDM Server. Somit muss der MDM Server doch von extern erreichbar sein oder verstehe ich das falsch? Ich bin davon ausgegangen das hier nicht immer ein VPN vorgeschaltet wird. Soweit ich das verstanden habe, unterscheiden sich hier die MDM Systeme auch nicht. Wir hatten AirWatch, Mobi, MobilIron usw. im Test. Wir sind bei SureMDM geblieben, da es vor allem für die Fertigung die Beste Lösung ist. Das hat im Moment auch Prio 1.

Hallo zusammen, ich hoffe ich bin mit dem Thema MDM hier im richtigen Unterforum. Wir planen ein MDM System einzuführen, um in der Fertigung eine mobile Datenerfassung mit Android Geräten zu ermöglichen. Eingesetzt werden entweder Zebra oder PointMobile Android rugged devices. Im Moment wird das MDM System nur für diese Geräte genutzt und diese befinden sich ausschließlich im lokalen Fertigungsnetz und haben keine Verbindung ins Internet. Der MDM Server könnte also im internen LAN laufen und benötigt keinen externen Zugriff. Es ist allerdings nicht auszuschließen, dass wir in Zukunft auch Firmen Smartphones oder BYOD Geräte haben, die über das MDM System verwaltet werden sollen. Hier wäre dann natürlich ein externer Zugriff auf den MDM Server notwendig. Wir haben uns für SureMDM von 42Gears entschieden, da alle notwendigen Funktionen gegeben sind und das System nicht total überfrachtet ist, mit Funktionen die wir bei unserer Firmengröße nicht benötigen werden. Nun stellt sich für mich nur die Frage - stelle ich den MDM Server in unsere DMZ oder ins interne LAN. Im Moment wird wie gesagt kein Zugriff von Extern benötigt. Das wird sich aber mit hoher Wahrscheinlichkeit in den nächsten Monaten oder Jahren ändern. Ein Support Mitarbeiter der Firma meinte nun zu mir, dass wir ihn aus sicherheitstechnischen Gründen (da sonst alle verwalteten Geräte nach außen bekannt gegeben werden können) nicht in die DMZ stellen sollen, sondern den MDM Server im internen LAN betreiben sollen und falls ein externer Zugriff notwendig ist, die URL des Server durch die Firewall von extern zugänglich machen sollen (public facing). Das klang für mich jetzt erstmal merkwürdig, weil nach meinem Verständnis die DMZ ja genau für solch eine Situation geschaffen wird und ich eben nicht einen internen Server direkt ins Internet stellen möchte. Verstehe ich jetzt hier irgendwas komplett falsch? Wie habt ihr das gelöst? Steht bei euch der MDM Server auch in der DMZ? Danke euch schon mal.

Hi Speer, den Broker lassen wir ja zusammen mit dem WebAccess und Lizenzserver auf einem separaten Server laufen. Die Trennung vom RDS Host haben wir jetzt ja vorgenommen. Falls du meinst, dass wir den Broker getrennt vom WebAccess und dem Lizenzserver laufen lassen sollten, da sind wir dann doch eine Nummer zu klein :) Wir haben insgesamt ca. 20 RDP User und es ist nicht absehbar das wir uns in den nächsten Jahren verdreifachen oder vervierfachen. Ich denke das hängt schon auch immer ein gutes Stück von der Größe der Umgebung hab. Aber Danke für die Info.

Moin Nils, danke für deine Rückmeldung. Ist in der Tat etwas schwierig hier über das Forum eine Lösung zu erhalten. Ich dachte, vielleicht ist diese Fehlermeldung die beim kopieren des User Objektes erscheint bei jemanden bekannt. Aber es scheint ja eher eine sehr allgemeine Fehlermeldung zu sein. Ich werde jetzt beim Dell Defender Support anfragen, die müssten mir hier eigentlich weiterhelfen können. Wenn ich dann den Grund für die fehlerhafte Authentifizierung kenne, hilft mir das vielleicht auch beim AD Objekt weiter. Ich werde berichten :)

Ja das stimmt. Ich bin auch nicht zwingend davon ausgegangen, dass es kopiert wird. Es hätte ja auch sein können, dass beim kopieren dieses Attribut geprüft wird oder aus anderen Gründen auffällt das hier ein Fehler vorliegt und dann eben das Kopieren fehlschlägt. Wir verwenden Sonicwall für das SSL VPN und Dell Defender (One Identity) mit Token für die Authentifizierung. Wir verwenden 2 Authentifzierungen - erst die Windows Anmeldung, gefolgt vom Token. Die Windows Anmeldung klappt noch. Der Token wird aber immer abgewiesen. Im Dell Defender Log sehe ich dann folgende Fehlermeldung: Ich habe den Token dann einem anderen User zugewiesen und dort funktioniert er einwandfrei. Somit muss es irgendwo am User liegen.

Hi Nils, ok, dann kann ich das zumindest schon mal ausschließen. Die Primäre Gruppe ist bei dem User "Domänen-Benutzer". Ich habe auch schon den User mit anderen verglichen. Ich kann keinen Unterschied feststellen.

Hallo zusammen, ich habe ein AD User Objekt welches ich kopieren möchte. Wenn ich das versuche, kann ich ganz normal über den "Kopieren..." Assistenten den neuen Namen, das Konto und das Passwort vergeben. Wenn ich am Ende auf "Fertigstellen" klicke erhalte ich aber folgende Fehlermeldung: Andere User lassen sich problemlos kopieren. Hat jemand eine Idee woran das liegen kann? Wenn ich in den Attribut-Editor Tab des Users schaue, fällt mir auf das bei dem Attribut "msExchSafeSendersHash" ein etwas merkwürdiger Wert steht (siehe angehängten Screenshot). Kann das daran liegen? Hintergrund ist folgender. Der User hat auch Probleme sich bei unserem SSL VPN zu authentifizieren. Die Rückmeldung des AD Objektes scheint fehlerhaft zu sein. Deshalb wollte ich den User einmal kopieren und dabei ist mir der Fehler aufgefallen. Vielleicht ist das auch der Grund für die fehlerhafte SSL VPN Authentifizierung. Nur leider sagt mir dieser Backlink Fehler nichts. Für Hilfe wäre ich sehr dankbar.

Vielen Dank an alle. Die Umstellung hat nun wunderbar geklappt. Wir haben den neuen Lizenzserver telefonisch aktiviert. Danach mussten wir alle 4 CAL Pakete ebenso telefonisch aktivieren. War zwar etwas nervig und langwierig aber hat geklappt. Danach haben wir vom bestehenden RDS Host die Features WebAccess, Lizenzmanager und Session Broker entfernt und den RDS Host dem neuen Session Broker hinzugefügt und die Sammlung neu erstellt. Mit der geänderten MSTSC Datei funktioniert auch das Load balancing. Danke!

@Nobbyaushb Du brauchst dich doch nicht entschuldigen - wir gehen ja alle noch einem richtigen Job nach und ich bin dankbar für jeden Hilfe! So, nun bin ich schon mal einen Schritt weiter. Ich musste den neuen Server tatsächlich per Telefon aktivieren. Die Dame konnte mir auch nicht erklären was da schief gelaufen ist. Der Nachteil der Telefon Aktivierung ist, jetzt müssen auch alle CALs per Telefon eingetragen werden ... Ich werde aber am Montag mal die Option "Lizenzen von anderem Lizenzserver zu diesem Lizenzserver migrieren" ausprobieren. Das klingt eigentlich genau nach meiner Lösung. @Jan Ich hatte genau diesen Tip schon ausprobiert. Lic Server deinstalliert, LServer umgenannt und Lic Server neu installiert. Hat auch nicht geholfen. Was passiert eigentlich mit der aktuellen Sammlung auf unserem RDS Host 1. Dieser RDS Host beinhaltet ja im Moment noch alle Rollen (Lic, Web, Broker und Host). Somit ist auf diesem auch eine Sammlung angelegt und User sind dort angemeldet (allerdings nicht über den Sammlungsnamen sondern sie verbinden sich einfach zu dem Servernamen ohne den Sammlungsnamen mitzugeben). Auf unserem neuen Session Broker füge ich dann ja den RDS Host 1 im Server Manager hinzu. Wird dann die Sammlung dort auch gleich angezeigt oder muss ich die neu erstellen? Werden in diesem Fall dann alle bestehenden Verbindungen getrennt oder ist das dem RDS Host 1 und den Clients die verbunden sind total egal?

Ich erhalte nun beim aktivieren des neuen Lizenzmanagers folgende Meldung am Ende: Der Vorgang wurde ohne Fehler abgeschlossen. Status: Ihre Anforderung kann nicht verarbeitet werden. Stellen Sie sicher, dass alle erforderlichen Informationen richtig eingegeben wurden, und senden Sie die Anforderung erneut. Wenn das Problem erneut auftritt, verwenden Sie eine andere Verbindungsmethode. Als Verbindungsmethode nutze ich "Automatische Verbindung" Was mache ich falsch? den alten Lizenzserver habe ich deaktiviert. Auch dort erhalte ich jetzt die gleiche Meldung, wenn ich versuche den Lizenzserver wieder zu aktivieren. Hat jemand eine Idee?

Achso :) Ich dachte das wird immer online direkt von MS geprüft, da ich meine Open Nummer usw. eingeben muss. Dann kann ich ja den neuen Lizenzserver schon mit den Lizenzen bestücken und dann einfach umschalten. Dann dauert das ja nur ein paar Sekunden.

Hallo zusammen, ich hätte noch eine Frage und hoffe ihr könnt mir noch mal helfen. Wenn ich von dem bestehenden RDS Host den Lizenzserver entferne, werden dann alle verbundenen Clients getrennt oder habe ich eine gewisse Zeit um den neuen Lizenzserver einzutragen und die Lizenzen auf den neuen zu übertragen? Normalerweise hat man ja 90 oder 180 Tage Zeit zum testen, aber ich weiß nicht ob das auch für einen RDS Host gilt der schon mal einen Lizenzserver eingetragen hatte. Vielen Dank euch.

Hi Jan, ich habe noch zwei Fragen, vielleicht kannst du mir hier auch noch helfen. Ich habe nun meinen Server für den Session Broker, RDWeb und License manager fertig konfiguriert. Im Moment läuft das ja alles auf unserem RDS Host 1. Hier habe ich auch im Server Manager die Bereitstellungsübersicht. Das ganze würde ich jetzt über den Session Broker managen und müsste dazu ja den Web Access, License Manager und Session Broker in der Bereitstellungsübersicht austauschen. Beim Web Access und dem License Manager kann ich das auch machen. Beim Session Broker ist das entfernen und hinzufügen ausgegraut. Muss ich dafür alle Sammlungen löschen? Die andere Frage wäre, kann ich den License Manager einfach im laufenden Betrieb austauschen ( also den alten deaktivieren und den neuen aktivieren) oder wird beim deaktivieren des License Manager jede Verbindung zum RDS Host getrennt, da keine Lizenz mehr zur Verfügung steht? Gruß, Steffen

Hi Jan, ich habe nun beide RDS Hosts fertig und werde dann den RDS Session Broker auf einem anderen Server installieren. Ebenso den Lizenz Manager. Auf den RDS Servern gibt es ja folgende Sicherheitsgruppen. RDS-Endpunktserver, RDS-Remotezugriffsserver und den RDS-Verwaltungsserver. Die Erklärung zu den einzelnen Gruppen ist mir noch nicht ganz schlüssig. Ich habe jetzt folgende Situation RD Session Broker und RDWeb Server RDS Host 1 RDS Host 2 Welche Gruppe muss ich jetzt auf welchem Server wie "befüllen"? Jeder Host ist für eine Sammlung zuständig, es gibt also noch kein Load Balancing zwischen den RDS Hosts.