Sunny61

Du hast UAC bedacht?

Hast Du denn auch *VOR* der Installation der Rolle, alle verfügbaren Updates für den Server installiert? Bietet der Server noch weitere Rollen an? Falls nein, ich würde ihn auch neu installieren. Aber vor der Installation der Rolle alle Updates installieren, die Online angeboten werden.

Was hast Du bisher schon unternommen? Restart?

Nein, ich weiß es nicht. Ich weiß nur, dass ich solche Tasks wirklich NUR mit SYSTEM laufen lassen würde. 1. Der Task hatte alle nötigen Rechte. 2. Du brauchst kein PW eingeben, das könnte man auch knacken. Da gab es mal etwas.

Mein Auto lief auch bis gestern, obwohl es immer regelmässig gewartet wurde. Und jetzt? Du weißt nicht welches Bit sich quer legt wenn ein zweites zu tief anfliegt. Bitte prüf die Firmware auf Aktualität und aktualisiere sie, falls nötig. Du hast auf beide Systeme uneingeschränkt Zugriff? Falls ja, was hat sich am Server geändert? Wurden Windows Updates installiert? Ist die verwendete Version vom Bitdefender aktuell? Falls nicht, aktualisieren oder zum Test *rückstandsfrei* deinstallieren. Funktioniert es mit einem anderen Client?

Ist denn die Firmware auf den beiden beteiligten Geräten auch wirklich aktuell? Manuell prüfen.

Mit Hilfe von GPPs kannst Du den Anwendern einen Link auf den Desktop, ins Startmenü und an die Taskleiste kleben. Das dann anzuklicken schaffen alle Anwender, auch wenn sie sich umstellen müssen.

Im Windows Explorer in der Adresszeile den Printserver eingeben und ENTER drücken: \\Prinserver [ENTER]. Jetzt siehst Du alle freigegebenen Drucker. Doppelklick und schon ist der Drucker verbunden.

Wenn Du einen DC nur abschaltest, unbedingt prüfen ob der neue den alten als ersten DC in der NIC stehen hat. Falls ja, ändern, ansonsten quillt das Eventlog über. Welcher DNS wird auf die Clients per DHCP verteilt?

Super, freut mich für Dich und Danke für die Rückmeldung. ;)

Nein, beim letzten AG hatten wir kurz angetestet, aber dann wieder verworfen. Jan hat die FAQ ja schon gefunden. Wir hatten noch zusätzlich eingebundene Konten getestet, funktioniert mit XML-Konfiguration auch ganz gut und hätte man sicherlich auch gut automatisieren können. Benötigt man mehr als 100 Clients gibt es auch ordentlich Rabatt, der Support war auch sehr gut und schnell.

Dann mach es anders, Testclient in eine TestOU. Keinerlei GPO-Vererbung zulassen, erstell ein neues GPO für SRP und setz eine Einstellung nach der anderen. Anschließend immer einmal booten und testen. BTW: Gibt es für euch keinen Ersatz für SFirm? Programme mit solch weitreichenden Berechtigungen sehe ich als sehr kritisch an.

Hier steht wie man den BITS konfiguriert: https://wsus.de/de/HowTo/Background-Intelligent-Transfer-Services-BITS Achtung! Der BITS vom Client muss konfiguriert werden! D.h. Du must das GPO auf die Clients wirken lassen!

Der eMClient kann auch gut mit Exchange: https://de.emclient.com/

Hast Du die Templates wirklich von einem Client weg kopiert oder hast Du sie bei MSFT oder von anderer Quelle gedownloadet? Diese Aktion mit dem Central Store hab ich in den letzten 3 Monaten in 3 Domains gemacht, nicht mal im Ansatz irgendwelche Schwierigkeiten. Schritt 1: Templates mit den Unterordnern de und en zum Server in ein eigenes Verzeichnis kopieren. Jetzt 10 ADMX Templates nehmen und kopieren, die Gegenstücke ADML ebenfalls kopieren. GPMC.MSC öffnen und testen.

Nach Möglichkeit sollte es natürlich ein W2016 sein, der Unterbau für den WSUS. Und falls Du mit dem WSUS Package Publisher https://wsus.de/wpp arbeiten möchtest, unbedingt anstatt der Windows Internal Database den SQL Express 2017 nehmen. Oder, falls vorhanden, einen richtigen SQL Server. Und das Management Studio dazu nicht vergessen. Hier noch ein Artikel der beschreibt, wie die Konfiguration beim SQL sein muss. https://docs.microsoft.com/de-de/security-updates/windowsupdateservices/18127611 Bitte die alten Versionen nicht beachten, es geht nur um die Einstellungen.

Bei mehreren Standorten sollte man schon einen WSUS pro Standort haben, spart Bandbreite und schont die Nerven des Admin. ;)

Die GPO für SRP kopieren in eine OU und die Vererbung von oben deaktivieren. Jetzt einzelne Einträge aus der Test GPO deaktivieren und probieren. Außer Du findest im Ereignisprotokoll noch Details. Die TEMP-Einstellungen würde ich vermutlich als erstes deaktivieren. BTW: Bei der Masse an Ausnahmen kann man SRP ja fast weglassen. Weshalb braucht man im NETLOGON so eine Ausnahme?

Der TO hat doch schon die Übermittlungsoptimierung angeworfen und damit den BITS begrenzt. Sobald man den BITS *NICHT* mehr benutzt, nimmt sich der Client die volle Bandbreite um das Funktionsupdate downzuloaden.

Wie genau sieht die SRP Konfiguration aus? Welche Dateien werden von wo nach wo herunter geladen?

Tja, entweder die Bandbreite via GPO noch weiter runterregeln, oder doch gleich einen WSUS aufsetzen. Manuell wäre natürlich auch ein Thema: https://www.gruppenrichtlinien.de/artikel/windows-10-inplace-update-per-wsus-verteilen/ Hier nicht den WSUS bzw. WPP verwenden, sondern einfach nur eine Aufgabe via GPP an die Clients verteilen. Das Image im eigenen Netz ablegen, das GPO dann nur für einzelne Rechner freigeben.

Sind denn jetzt die aktuellsten ADMX/ADML Templates in der GPMC.MSC zur Verfügung?

Nein, Dukel meint das Sysvol. C:\Windows\SYSVOL

Wenn das Schwachsinn war was ich gepostet hatte, dann leb wohl

GPO Einstellungen kommen aus den ADMX-Templates vom Server/Client, auf dem die GPMC.MSC ausgeführt. Alternativ einen sog. Central Store einrichten und dann vom aktuellsten Client die ADMX-Templates in den Central Store kopieren. Wie das geht, steht in diesem Artikel geschrieben: https://www.gruppenrichtlinien.de/de/artikel/central-store-fuer-administrative-vorlagen/ Wenn Du keinen Central Store möchtest, dann kopiere einfach die ADMX+ ADML-Templates vom aktuellsten Client auf den Server in dessen PolicyDefinition Verzeichnis. Schon hast Du auch auf dem Server die aktuellsten Templates für den Bitlocker.