phatair

Hi Martin

super, danke.

Eine Frage noch. Warum erhöhe ich die Versionsnummer genau um 65537? Hat das irgendeinen Hintergrund?

Gruß,

Steffen

Ok, ich drücke mich immer etwas unglücklich aus - Sorry!

Ich meinte, bei den Domain GPOs liegen die GPOs ja im Sysvol\fqdn\Policies Verzeichnis. Dort liegen dann die Ordner mit den entsprechenden GUIDs und darunter dann immer die Verzeichnisse Machine, User, Group Policy und die GPT.ini

Wenn wir jetzt nur Domain GPOs verwenden, dürfte ja unter C:\Windows\System32\GroupPolicy\ nichts liegen. 

Die Verzeichnisse "C:\Windows\System32\GroupPolicy\Machine" und "C:\Windows\System32\GroupPolicy\User" sind ja auch leer. Aber der Ordner "C:\Windows\System32\GroupPolicy\DataStore\0\sysvol\<unser FQDN>\Policies" eben nicht. Dort liegen Ordner mit GUIDs die ich nicht kenne.

Daher die Frage ob Windows hier per Default irgendwas erstellt. Das hat jetzt natürlich nichts direkt mit der Disk Quota Problematik zu tun, ist mir aber aufgefallen und wollte nur wissen ob dieser Ordner dort überhaupt sein sollte, wenn wir nur Domain GPOs verwenden.

Die andere Frage ist eben, ob ich die GPT.ini unter "C:\Windows\System32\GroupPolicy\" einfach anpassen und für alle Clients verteilen kann. Auf allen Clients sind keine lokalen GPOs definiert. 

Ich würde dann aus dieser GPT.ini den Eintrag  {3610eda5-77ef-11d2-8dc5-00c04fa31a66} löschen und dann verteilen. Oder kann diese GPT.ini einfach komplett gelöscht werden, wenn keine lokalen GPOs verwendet werden?

In der GPT.ini steht folgendes

[General]
displayName=Neues Gruppenrichtlinienobjekt
gPCFunctionalityVersion=2
gPCMachineExtensionNames=[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957D-509E-11D1-A7CC-0000F87571E3}{3D271CFC-2BC6-4AC2-B633-3BDFF5BDAB2A}][{3610EDA5-77EF-11D2-8DC5-00C04FA31A66}{0F6B957D-509E-11D1-A7CC-0000F87571E3}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Version=1048595
gPCUserExtensionNames=[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957E-509E-11D1-A7CC-0000F87571E3}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B66650-4972-11D1-A7CA-0000F87571E3}][{A2E30F80-D7DE-11D2-BBDE-00C04F86AE3B}{FC715823-C5FB-11D1-9EEF-00A0C90347FF}]

Hi Martin,

vielen Dank für den Hinweis. 

Das stimmt natürlich, die lokale GPO setzt nur die RegKeys.

Unter  C:\Windows\System32\GroupPolicy finde ich eine GPT.ini und dort ist tatsächlich den Wert {3610eda5-77ef-11d2-8dc5-00c04fa31a66} enthalten.

In den Ordnern "C:\Windows\System32\GroupPolicy\Machine" und "C:\Windows\System32\GroupPolicy\User" liegen nur leere Ordner und sonst nichts.

Es gibt aber noch den Ordner "C:\Windows\System32\GroupPolicy\DataStore\0\sysvol\<unser FQDN>\Policies

Dort liegen mehrere Ordner mit unbekannten IDs z.B. {9D9D2DCB-CA6C-4193-89D9-5A341FA15FF0} und in diesen Ordner liegen dann noch mal jeweils GPT.ini Dateien und ein Ordner Machine.

In diesem Machine Ordner liegen dann unterschiedliche Dateien/Ordner.

Alle haben das gleiche Datum vom November 2019. Weißt du, ob das einfach default Dateien sind?

Wir nutzen für unsere GPOs einen central Store und verwenden nirgends lokale GPOs

Da wir diese Fehlermeldung beim gpupdate auf allen Clients haben, kann ich die lokale gpt.ini einmal anpassen und diese dann für alle Clients verteilen?

Hallo zusammen,

wir erhalten auf unseren AD Geräten bei einem gpupdate immer die Fehlermeldung

Fehler beim Anwenden der "Microsoft Disk Quota"-Einstellungen. Die "Microsoft Disk Quota"-Einstellungen besitzen möglicherweise eine eigene Protokolldatei. Klicken Sie auf den Link "Weitere Informationen".

Google hat mir hier schon einige Lösungen gezeigt. Vor allem diesen MS Beitrag

https://docs.microsoft.com/de-de/archive/blogs/core/event-id-1085-source-grouppolicy-windows-failed-to-apply-the-microsoft-disk-quota-settings-resolved

Dort wird gesagt, dass in einer GPO Disk Quota mal konfiguriert war oder noch konfiguriert ist. 

Das dann ein Attribut gelöscht werden muss. Ich habe alle GPOs geprüft, dieses Attribut ist in keiner unserer GPOs gesetzt, auch nicht in der DefaultDomainSettings GPO.

Wenn ich ein gpresult ausführe, sehe ich, dass der Eintrag von der lokalen Richtlinie kommt (LocalGPO) - Siehe angehängten Screenshot.

In dem Regedit Pfad \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\

finde ich dann auch das im oberen Link genannten Attribut mit dem Wert {3610eda5-77ef-11d2-8dc5-00c04fa31a66}

Es wird also durch die lokale GPO die Disk Quota genutzt und deshalb die Warnung. Wir verwenden diese aber auf den PCs nicht.

Kann ich den RegKey einfach löschen oder muss ich per Domain GPO die lokale GPO irgendwie mit den korrekten Werten überschreiben?

Ich möchte ja einfach nur, dass diese Disk Quota nicht mehr genutzt wird und die Fehlermeldung beim gpupdate verschwindet

Für einen Tipp wäre ich sehr dankbar.

Gruß

Danke Martin,

auf dem Win 10 PC hatte tatsächlich noch ein Update gefehlt. Nach der Installation sind nun alle neuen Sicherheitsrichtlinien auch dort konfigurierbar.

Wieder was gelernt - Danke!

Hallo zusammen,

ich habe mal eine Verständnisfrage zu dem Zentralen Speicher von GPOs.

Die Situation bei uns ist wie folgt.

Die Administrativen Templates liegen bei uns im Sysvol, also zentral.

Wenn wir über die Gruppenrichtlinienverwaltung die GPOs bearbeiten bzw. erstellen, werden diese auch vom zentralen Speicher abgerufen.

Funktioniert alles wunderbar. nun habe ich die ADMX Vorlagen für Windows aktualisiert (20H2), damit wir in den GPOs auch die Netlogon Secure Channel Einstellung setzen können.

Die Einstellung ist nicht in den Administrativen Vorlagen enthalten, sondern in den Windows Einstellungen

Siehe hier:

Policy path: Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Setting name: Domain controller: Allow vulnerable Netlogon secure channel connections

Wenn ich von meinem Windows 10 PC eine neue GPO erstelle, ist diese Einstellung aber nicht sichtbar.

Mache ich das von einem Server 2012R2 sehe ich die Einstellung.

Daher meine Frage, woher kommen die Windows Einstellungen bzw. die Sicherheitseinstellungen in den GPOs? Die zieht er sich ja nicht vom zentralen Speicher. Zieht er sich die dann immer vom lokalen PC?

Wenn diese vom lokalen PC kommen, werden diese dann über die Windows Updates gepflegt oder muss ich dann auf dem Client noch ein manuelles Update einspielen damit ich die Einstellungen auch sehe?

Vielen Dank euch schon mal.

Beste Grüße

vor 8 Minuten schrieb testperson:

Hi,

 

wäre es evtl. ein einfacherer Ansatz, die Server im derzeitigen IP-Netz zu belassen und "alles andere" in eigene VLANs / IP-Netze umzuziehen? Alternativ würde ich direkt alle Geräte durchgehen und prüfen, wie diese konfiguriert sind. Dann kannst du direkt die saubere Dokumentation "nachziehen".

 

Gruß

Jan

Leider nein, dass hatten wir auch schon überlegt. Es handelt sich um ein /22 Netz und in diesem sind auch jetzt schon Geräte aus der Haustechnik (Strommesser, Klimaschränke, Rollos, usw). Diese sind zwar in einem eigenen IP Bereich (141.x) und die Server im (143.x), aber ich bkeomme die Haustechnik so schnell nicht angepasst. Ich müsste dort dann ja überall die Subnetzmaske anpassen, und das ist bei diesen Geräten oft nicht machbar bzw. nur durch den Techniker.

vor 1 Minute schrieb lefg:

 

Moin

 

Warum ist das ein Problem? Was ist das Problem?

 

Ansonsten, zum Monitoren, ich würde es wohl mit PRTG machen.

 

 

Das Problem ist, dass wir hier gar keine Trennung haben. Die Geräte können alle miteinander kommunizieren und für mich ist das aus Sicht der Sicherheit keine gute Lösung. 

Wir wollen die Segmente sauber durch die FW trennen und keine direkte Kommunikation erlauben. Schon gar keine Haustechnik. Aber es sollen auch Abteilungen wie die Entwicklung eigene VLANs bekommen, dass man Zugriffe über die FW steuern kann. Durch die Trennung von Server und Clients können wir dann auch noch mal genauer die Zugriffe steuern. Bis jetzt ist das ja nur über die Windows FW möglich, und das ist unschön zu managen.

PRTG haben wir im Einsatz, ich wüsste im Moment nur nicht wie ich hier die einzelnen Zugriffe auf die Server protokollieren kann.

Ich habe jetzt mal zum Test Wireshark auf dem DNS Server laufen und sehe hier ganz gut welche Zugriffe passieren. Wahrscheinlich komme ich um diesen Aufwand nicht herum :/

Hallo zusammen,

wir sind gerade dabei unser LAN umzustrukturieren. 

Wir haben zwar jetzt schon mehrere VLANs für DMZ, Management, Fertigung usw. aber das Hauptproblem ist, dass Drucker, Server, Clients in einem VLAN sind.

Da wir auch eine neue Firewall implementieren, wollen wir jetzt eigene VLANs für Server, Drucker, Clients usw. einführen. Einen Teil haben wir schon umgestellt und es läuft soweit gut.

Nun stellt sich die Frage wie wir die Server am Bestem umziehen. Hier würde ich gerne die momentanen Zugriffe Monitoren um zu sehen welche IPs/Geräte auf die entsprechenden Server zugreifen.

Über die letzten 20 Jahre wurde hier nicht alles sauber dokumentiert.

Zum Beispiel DNS. Diese sind oft per IP in irgendwelchen Konfigs eingetragen worden und hier würde ich nun gerne sehen welche IPs innerhalb 1 Woche auf den DNS Server zugreifen.

Da im Moment alles in einem Subnetz abläuft, sehe ich das in unser alten Firewall aber nicht.

Mir fällt im Moment nur ein, Wireshark auf dem DNS Server laufen zu lassen und dort zu prüfen was für Anfragen kommen.

Das müsste ich dann auf jedem Server machen, den wir umziehen. 

Gibt es noch eine andere Methode oder hättet ihr noch einen Tipp, wie man die IP Umstellung der Server gut vorbereiten kann (also vorher abklärt, welche Systeme zugreifen um diese dann nach der Umstellung anzupassen bzw. zu prüfen)?

Vielen Dank und Gruß

vor 16 Stunden schrieb NilsK:

Moin,

 

in den meisten Szenarien ist es völlig egal, welche Zone verwendet wird, um einen DNS-Namen aufzulösen. Beide von dir vorgeschlagenen Wege würden für das genannte Szenario also funktionieren. (Sogar parallel - technisch spricht auch nichts dagegen, dass derselbe Client in mehr als einer DNS-Zone eingetragen ist.)

 

Such dir also aus, was anhand möglicher sonstiger Umstände am besten passt.

 

Gruß, Nils

 

Danke Nils.

Hi Nils,

ich möchte eigentlich nur eine Namensauflösung aus der Domäne ermöglichen. Es handelt sich um Windows Server, HP Switche, ESX Server usw.

Wir könnten dann z.B. für uns Überwachungstool die DNS Namen anstatt der IPs verwenden.

Da wir demnächst auch größere IP Änderungen vornehmen, würde das auch die Arbeit erleichtern, da wir dann nur die IPs im DNS ändern und nicht alle Konfigs anpassen müssen.

Hallo zusammen,

die Frage ist vielleicht etwas doof und ich stehe gerade etwas auf dem Schlauch, hoffe aber trotzdem auf Hilfe :)

Wir haben bei uns im DNS im Moment nur eine Zone eingetragen. Das ist die DNS Zone unserer Domäne.

Nun haben wir weitere VLANs wie z.B. DMZ oder Management.

Die Geräte in der DMZ oder dem Management sind nicht in der Domäne, haben aber meistens einen passenden DNS Suffix eingetragen wie z.B. dmz.local oder mgmt.local

Nun möchte ich diese Geräte auch per DNS aus unserem Server und Client VLAN erreichbar machen.

Die Frage ist nun.

Erstelle ich dafür eigene DNS Zonen und erstelle darin statische DNS Einträge für die Server usw?

z.b. server1.dmz.local

oder erstelle ich die statischen DNS Einträge für die Server einfach in der bestehenden Zone?

Würde ich die Einträge im bestehender Zone erstellen, wäre ja aber der FQDN falsch, da die Geräte dann den Domänen Suffix erhalten würden.

Wenn ich eigene Zonen erstelle, könnte ich die Zonen dem bestehenden DNS Suffix ja entsprechend anpassen.

Habe ich hier einen Denkfehler?

Danke und Gruß!

Tendiere Richtung VMDK mitnehmen. Der 2008R2 Server ist sehr alt und wurde von einem Vorgänger installiert, der gerne an den unmöglichsten Stellen Anpassungen vorgenommen hat.

Wie Sunny61 schon sagt - Du nimmst alles und alle Einstellungen mit und das möchte ich in dem Fall lieber nicht.

Aber für die nächsten Updates ist das gut zu wissen.

Ok. Danke für den Hinweis.

vor 8 Stunden schrieb daabm:

Ahem - wenn das wirklich nur Fileserver sind: Inplace Upate - völlig problemlos.

Hm...ok. Früher war das ja eher ein "no go". Hat sich das mit Server 2019 geändert?

Ich war bisher immer ein Freund einer sauberen Neuinstallation.

vor 2 Minuten schrieb Dukel:

Nicht wenn er die VMDKs umhängen möchte.

Genau - das möchte ich mir eigentlich sparen und weiß dann zum Zeitpunkt X sind alle Daten auf dem neuen Server und ich muss nicht hoffen das alles sauber per RoboCopy kopiert wurde.

Danke für eure Antworten.

vor 7 Minuten schrieb 4077:

Heisst der neue Server anders?
Wie werden die Freigaben eingebunden? GPO, Loginskript? Das wäre zu ändern. Am besten, abends, sonst sind Anwender betroffen.
Was ist mit Verknüpfungen von Usern, Anwendungen, Scan-Freigaben von Druckern etc.?
An die musst Du auch denken.
Beim letzten Umzug des File-Servers liess ich den Alten noch eine Woche laufen, aber die Freigaben waren auf "Lesen" gestellt.

Nein - der Server würde den gleichen Namen und IP bekommen.

Die Freigaben werden per GPO eingebunden und da Servername und Freigabename identisch bleiben, sohlte das weiterhin funktionieren.

Alle Zugriffe wie z.B. Scan2SMB oder die Home Laufwerke der User laufen über den Servernamen.

vor 6 Minuten schrieb NorbertFe:

Kannst du einfach am alten Server exportieren und am neuen Server wieder importieren.

Meinst du über diese Reg Keys? Oder gibt es einen andere Weg?

https://support.microsoft.com/en-us/help/125996/saving-and-restoring-existing-windows-shares

Hallo zusammen,

wir müssen demnächst endlich mal unsere File Server von 2008R2 auf 2019 umziehen. 

Die File Server sind bei uns sehr einfach aufgebaut.

- virtualisierte Server (VMware 6.5)

- mehrere VMDKs, auf denen dann einzelne Freigaben vorhanden sind

- kein DFS

Nun war meine Idee, einen neuen 2019er Server zu installieren und soweit vom OS vorzubereiten.

Dann den alten FS ausschalten und die VMDKs mit den Daten an den neuen 2019er Server zu hängen. Neuen Server hochfahren und Freigaben neu erstellen (die werden im OS gespeichert, oder?).

Da wir auf dem File Server nur 3 Freigaben haben, wäre das recht schnell machbar.

Die NTFS Berechtigung müsste dann ja noch vorhanden sien und passen.

Übersehe ich etwas oder kann ich so recht problemlos meine Daten auf einen 2019 File Server umziehen?

Danke und Gruß.

Alles klar - danke Dir Norbert.

Also Punkt 2 konnte ich klären. Der Stellvertreter kann den Termin öffnen und dort den Termin absagen + Zeit vorschlagen. 

Damit kann der Termin vom Stellvertreter verschoben werden.

Punkt 1 ist aber immer noch offen. Hat hier jemand eine Idee, wie man die Info Mail an bestimmte User/Stellvertreter schicken könnte, wenn eine Buchung im Kalender stattfindet?

Hallo zusammen,

wir habenfür einen Firmenwagen ein Gerätepostfach eingerichtet. Hier sollen die User den Firmenwagen buchen können.

Soweit funktioniert das auch. Wir haben die Resourcenbuchungsautomatik aktiviert und einen Stellvertreter für Konflikte eingetragen.

Nun habe ich noch 2 Probleme / Fragen:

1. Kann ich eine Info Mail an bestimmte Postfächer verschicken, wenn eine Buchung vorgenommen wird?

Beispiel: Wenn User A eine Buchung vornimmt, sollen User B und C eine Info darüber erhalten.

2. Der Stellvertreter kann im "KFZ" Kalender die Einträge anpassen. Das ist gut so, aber leider werden die Teilnehmer über die Änderung nicht informiert. Ist das möglich?

Beispiel: User A hat den Firmenwagen von 10 bis 11 Uhr gebucht. Der Stellvertreter verschiebt diesen Termin aber und ändert die Zeit auf 10:30 bis 11:30 Uhr. Diese Änderung wird im Kalender des Firmenwagens auch angezeigt aber der Organisator erhält darüber keine Info und sein persönlicher Kalender wird somit auch nicht aktualisiert.

Ich habe nun gelesen, dass nur der Organisator einen Termin aktualisieren kann. Geht das also gar nicht, dass der Stellvertreter eines Gerätepostfaches die Termine "organisiert" und es muss immer vom Organisator aus initiiert werden?

Vielen Dank.

Danke.

Hat wunderbar funktioniert. Angerufen, KMS Key freigeschaltet im VLSC und danach per slmgr /ipk <key> hinzugefügt.

Damit man den GVLK per VAMT verteilen könnte, muss man auf die neueste Version updaten.

Danke!

Ich frage jetzt mal beim VLSC Team an. Ich sehe im Portal auch keinen KMS Key für 2019 und soweit ich mich erinnere, muss man doch einen Key am KMS eintragen, damit die entsprechenden Versionen aktiviert werden können. 

Mal schauen was die mir sagen. Ich werde berichten.

Ja, dass weiß ich soweit :)

Das VAMT ist nur ein Verwaltungs bzw. Reporting Tool. Ich wollte aber mit dem VAMT den 2019er KMS Client Key auf dem Server installieren. Beim hinzufügen des 2019er KMS Client Keys im VAMT habe ich dann aber die Meldung erhalten, dass der Key nicht mit dieser Version kompatibel ist und ich aktualisieren soll.

Somit hat es schon eine gewisse "Abhängigkeit" - auch wenn ich das Ganze natürlich über CMD auf dem Client und dem KMS durchführen könnte. Ich bin aber doch ein Fan von der grafischen Oberfläche :)

Aber ganz unabhängig vom VAMT müsste sich der 2019er Server ja beim KMS aktivieren, wenn er den Client Key installiert hat. Wenn er das nicht tut, müsste ich wo nachschauen? auf dem KMS ein slmgr /dli Befehl absetzen und schauen ob 2019 aktiviert werden kann?

Puh zum Glück...das wollte ich auch gerade schreiben :)

https://docs.microsoft.com/en-us/windows-server/get-started-19/activation-19

Weißt du auch welches Update ich benötige, damit der 2012R2 die Aktivierung durchführen kann? Ich finde dazu keine Info.

Wenn ich im VAMT den generic 2019 Standard Key hinzufügen will, bekomme ich aber auch die Meldung das ich VAMT aktualisieren muss. Dann werde ich das als erstes machen.

Laut der Doku sollte ich das einfach nur drüber installieren können.

Aber wisst ihr zufällig, ob die KMS Aktivierung des 2019er Server nur geht, wenn ich mindestens 5 2019er aktiviere? Oder zählen die 2012er und 2019er zusammen?

Hallo zusammen,

wir verwenden einen Server 2012R2 als KMS Server. Wir aktivieren damit im Moment Windows 10 Pro Clients, Server 2012R2 und Office 2016.

Nun haben wir einen ersten Server mit Server 2019 Standard im Netz und würden diesen gerne per KMS aktivieren. Das funktioniert über VAMT aber noch nicht.

Ich erhalte im Eventlog den Fehler 0xC004F074 und im VAMT die Meludng, dass kein KMS erreicht werden konnte.

Auf dem Server 2019 ist der Generic KMS Key installiert. 

Meine Fragen sind nun:

- Benötige ich für die Aktivierung vom Server 2019 mindestens 5 Server 2019 oder zählen alle Server Aktivierungen zusammen (also 2012R2 und 2019)?

- muss ich auf dem KMS noch ein Update installieren, damit dieser überhaupt Server 2019 aktivieren kann? Bei Windows 10 war das so, aber ich finde nichts passendes für Server 2019.

- muss ich das VAMT aktualisieren? Wir verwenden im Moment Version 10.1.150630 - kann ich dazu einfach das neueste adksetup installieren?

Vielen Dank schon mal für die Hilfe.

Grüße