soulseeker

@Norbert - sorry, habe mich unklar ausgedrückt. Sowohl die Test-, als auch die Produktivdomäne sind beide 2008R2. Die Testdomäne besteht nur aus einem DC, die Prodktivdomäne aus einem Hardware-DC und einem virtuellen. Mich hätte interessiert, ob jemand schonmal seine 2008R2-Struktur auf 2012 erweitert hat und ob es dabei oder danach irgendwelche Probleme gab. @Nils - danke für den Link :)

Hallo zusammen, damit ich Bitlocker per GPO für Clients aktivieren kann und die Bitlocker-Keys im AD gespeichert werden, muss ich ein Schemaupdate in unserer 2008R2-Struktur durchführen. Bei einer Test-Domäne habe ich das bereits durchgeführt, läuft alles problemlos, auch die Bitlocker-Key-Speicherung. Unsere Produktivdomäne besteht jedoch aus zwei 2008er DCs, die ich dann beide Schemaupdaten müsste. Ich möchte jedoch noch keinen 2012-DC aufsetzen. Die 2008er-Struktur würde also noch erhalten bleiben. Hat jemand zufällig Erfahrung mit Schemaupdates und z.B. Replikationsproblemen? Viele Grüße Marcel

Problem selber behoben - lag daran, dass ich das Startmenü unter programfdata\microsoft\windows verschoben hatte, damit nicht jeder sich anmeldende User den Servermanager bekommt ... wie ich darauf gekommen bin? Keine Ahnung, ich hatte nur so nen Verdacht, weil sich Backup exec über das fehlende Verzeichnis beschwert hat (warum auch immer).

Hallo zusammen, ich habe kürzlich einen RDS 2012 eingerichtet mit Remoteapps ... das hat auch bestens funktioniert, allerdings habe ich heute eine Remoteapp entfernt und wollte danach eine neue hinzufügen. Das hat nicht mehr funktioniert, die Liste mit den verfügbaren Apps ist dann nicht mehr erschienen. Ich habe anschließend die gesamte Sammlung entfernt und wollte diese neu einbinden, das war leider fatal, danach waren alle Remoteapps weg :(. Ich habe den Sitzungshostserver entfernt und will diesen nun wieder einbinden und da erscheint die FM: Der RD-sitzungshostserver kann nicht konfiguriert werden, der Vorgang ist ungültig. So kann ich natürlich auch keine Remoteapp-Sammlungen mehr einbinden. Der Eventviewer zeigt mir leider auch nichts schlaues ... Hat jemand eine Idee? Danke!! Marcel

Ok, steht nirgendwo, aber bisher wurden alle Workstations so installiert, dass bei SAP-Usern der Anwender lokaler Admin ist ... aber scheinbar reichts aus, dem Installationsvz auf dem TS Schreibrechte zu geben, hab ich eben testen können. Hast du noch einen Tipp für die Profile für mich? Ist es bei einem TS nicht üblich, den Profileordner ganz umzulenken oder wie macht ihr das? Derzeit hab ich nur "Eigene Dateien, Desktop und Startmenü" woanders ... hab mich dabei an der Anleitung der Seite in deinem Profil orientiert (ist das deine?). [edit] Ist das evtl. Begründung genug, nicht das gesamte Profil zu roamen? Please consider logon delays when using roaming profiles - otherwise users won't like you anymore: Redirect "My Documents", "Application Data" and "Desktop" via GPO. Also consider redirecting "Favorites" (via registry) and cookies. Preventing permenant cookies instead is also a good idea, if you are allowed to... "Healthy" profiles must not exceed 5 MB and should not contain thousands of minor files (usually cookies).

Hallo zusammen, Bei unserem Terminalserver sind per GPO unter "user configuration - windows settings - folder redirection" die einzelnen Profilordner auf eine andere Festplatte umgelenkt ... ich hätte allerdings gerne den gesamten Profilordner umgelenkt, denn so wird auf dem Systemlaufwerk unter Users ein Profilordner mit appdata/local, music, links angelegt und ein zweiter Profilordner auf dem umgeleiteten Ordner (u.a. Desktop, Startmenü) auf der anderen Platte. Wenn ich die GPO Computer Configuration - Administrative templates - Windows components - Terminal Services - "Set path for TS roaming profiles" ändere, wird dann der gesamte Pfad umgelenkt? Ich möchte gerne doppelte Userordner auf dem Systemlaufwerk vermeiden, gleichzeitig aber ein gemeinsames Startmenü zur Verfügung stellen. Zweite Frage - SAP möchte lokale Adminrechte haben :( ... mir fällt jetzt erst einmal nur ein, dem TS-User im Installationspfad Vollzugriff zu geben (konnte ich jetzt noch nicht testen)... wie macht ihr das? Gibt's evtl. bessere Lösungen? VG Marcel

Hallo, ich erhalte auf meinem neu installierten TS die o.g. Meldung. Die Cals sind aber installiert und im Lizensierungsmanager auch korrekt eingetragen. Im Servermanager ist der Server selber als Lizenzserver eingetragen und in der entsprechenden AD-Gruppe ist er auch. Trotzdem erscheinen die folgenden Fehler in der Diagnose: 1. Der Lizenzierungsmodus für den Remotedesktop-Sitzungshostserver ist nicht konfiguriert. 2. Der Remotedesktop-Sitzungshostserver befindet sich innerhalb des Aktivierungszeitraums, aber der Remotedesktop-Sitzungshostserver ist nicht mit Lizenzservern konfiguriert. Genau der gleiche Fall wie hier: http://public.madeinengland.co.nz/remote-desktop-licensing-mode-is-not-configured-server-2012/ Aber damit komme ich nicht weiter ... wo könnte das Problem wohl noch liegen? Danke für eure Hilfe Marcel Das war die Lösung ... http://social.technet.microsoft.com/Forums/de-DE/windowsserver8de/thread/0a044565-4585-4b43-80cc-d6f08077d082/ Local Computer Policy -> Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Licensing "Use the specified RD license servers" = myservername "Set the Remote Desktop licensing mode" = Per User Warum muss ich das denn mit einer lokalen Gruppenrichtlinie festlegen? Finde ich etwas merkwürdig ...

Würde ich ja auch, das Problem ist - der Rechner ist erst vor 2 Monaten neuinstalliert worden ... da war ansonsten auch nur ich dran, sonst nur die Azubine, die nix darf :). Na mal schauen, wenn ich Zeit und Muße habe.

Danke für die Tipps! Im Kennwort-Tresor ist nichts enthalten, was mir falsch vorkommt ... nur der lokale admin mit seinem Passwort und eine homeusersgroup, sowie diverse Webanmeldungen. Die GPO selber enthält keine Kennwörter, die hab ich selber neu erstellt und auf allen anderen Clients funktioniert sie ja auch ohne Probleme. Dieser Client hier bekommt im Moment gar keine GPO mehr :(. Aus der Domäne hab ich ihn ja schon rausgeworfen und neu hinzugefügt.

Hallo zusammen, folgender Fehler macht mich derzeit verrückt: SupportInfo1 4 SupportInfo2 820 ProcessingMode 0 ProcessingTimeInMilliseconds 125 ErrorCode 1326 ErrorDescription Der Benutzername oder das Kennwort ist falsch. DCName xx.xx.de GPOCNName CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=xxx,DC=de FilePath \\xxx\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini Dieser Fehler tritt derzeit auf einem Win8-Client. Aufgefallen ist, dass dieser Client keine GPOs bekommt und der Fehler erscheint bei gpupdate /force. Wir haben zwei 2008R2-DCs die auch replizieren ... die Sysvol-Shares sind erreichbar. Merkwürdigerweise hat sich dieser Client nicht im DNS verweigt, das habe ich per ipconfig /registerdns korrigiert, aber es funktioniert immer noch nicht. Laut google kann das Problem zig Ursachen haben, die aber meist mit fehlerhaften Replikationen zu tun haben. Das schließe ich jetzt mal aus, weil ich auf den DCs keine Fehler finde und andere Clients sich die GPOs auch abholen. gpresult /r, rsop.msc usw geben mir keine weiteren Erkenntnisse. Aufgefallen ist mir aber, dass in dem Fehlerprotokoll der 2. DC als DCname steht, der Logon-DC aber der andere DC ist. Das sysvol-share ist aber auf beiden DCs erreichbar. Ich habe den PC aus der Domäne geworfen (das Konto aber nicht gelöscht), ein anderes Userkonto getestet, DNS-Registrierung nachgeholt, DCs manuell replizieren lassen, Dienste kontrolliert ... hat evtl. noch jemand mal dieses Problem auf einem Client gehabt und erfolgreich gelöst? Danke für eure Hilfe! VG Marcel

Hallo zusammen, ich habe hier folgende Situation: 1. Webserver in der DMZ 2. TMG mit http-Weblistener auf Port 80 und Weiterleitung auf den internen Webserver (www.domain.de), das gleiche dann auch für https (extranet.domain.de). Die A-records auf dem externen DNS sind für beide hostnamen mit der gleichen IP konfiguriert und zeigen auf die Internet-Seite des TMG. 3. Wildcard-Cert Über http://www.domain.de, bzw. https://extranet.domain.de landet man da, wo man hin soll, wenn man allerdings auf die Idee kommt, https://www.domain.de einzugeben, erscheint im Browser die Meldung "Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen". Ignoriert man das, fliegt man weiter zu https://extranet.domain.de Ich frag mich zum einen, warum dieser Zertifikatsfehler trotz Wildcard-Zertifikat erscheint und warum man überhaupt weitergeleitet wird? Auf dem IIS ist - soweit ich das sehen kann - keine Weiterleitung eingerichtet. Vielleicht übersehe ich da jetzt auch was, so groß sind meine Erfahrungen da jetzt nicht. Liegt's evtl. daran, dass sowohl domain.de, als auch extranet.domain.de die gleiche externe IP-Adresse nutzen? Wie kann ich das Problem am einfachsten lösen? Ist ja etwas unprofessionell, wenn so eine Fehlermeldung erscheint. Viele Grüße Marcel

Hallo zusammen, tsadmin.msc gibt es ja leider nicht mehr ... gibt es eigentlich einen alternativen Weg unter 2012, eine andere Session zu beenden, bzw. gemeinsam eine Session zu nutzen? Ich fand das immer sehr praktisch, wenn man gemeinsam an einem Problem arbeiten möchte. Remote Assistance ist ja wieder was anders ... muss ich evtl. einen Teil der RDP-Services installieren? Falls ja, ist mir aber nicht klar, warum und vor allem was davon. Ich will ja keinen Terminalserver aufsetzen ;). Kann doch nicht sein, ich muss doch irgendwo eine Möglichkeit haben, die offenen RDP-Sessions auf dem Server zu sehen. Vermutlich bin ich gerade zu blind. Kann mir mal jemand bitte netterweise einen Hinweis geben? Danke!! Marcel [edit] Hmm ich hatte es befürchtet: http://www.windowsitpro.com/article/windowsserver2012/remote-desktop-session-2012-144522

Ja, soweit war ich auch schon ;). Naja egal ...

Ok ... und wo finde ich dann die eingebauten Prinzipale?

Ich dachte diese Gruppe enthält nur authentifizierte Domänenbenutzer ... wenn auch Computer drin sind ist das natürlich eine Erklärung. Wie kann ich eigentlich die Builtin Sicherheitsprinzipale anzeigen, so dass ich sehe was wo Mitglied ist?

Ok eine letzte Frage hätte ich aber doch noch - grundlegend. Wenn ich eine GPO erstelle, die auf Computerebene wirkt, dann steht unter Security filtering auch immer "Authenticated users". Wenn ich diese Gruppe entferne und eine Sicherheitsgruppe mit Benutzern reinpacke, wird diese GPO nicht ausgewertet, weil eben Benutzer und nicht Computer in der Gruppe enthalten sind. Sie wird aber ausgewertet, wenn "auth" raus ist und dafür Computer drin ist. Ich verstehe jetzt aber irgendwie nicht, warum "auth users" eine Benutzer-GPO funktionieren lässt, denn es ist doch auch eine Benutzergruppe, wenn auch eine eingebaute. Wo ist denn da mein Denkfehler?

Jetzt ja ;) ... danke nochmals! Die sicheren Intranet-Seiten kann ich aber offenbar trotzdem nur per GPO "forcen" oder per Reg-Key einbauen. Gibt halt ein paar Entwickler hier im Team, die tragen dort hin und wieder mal selber was ein. Oder kennst du da auch nen Trick, mit dem ich sichere Seiten hinzufügen kann, die Option, weitere selber hinzufügen zu können aber weiterhin ermöglichen kann?

Danke! Eine Sache macht mir allerdings noch Probleme ... und zwar die Möglichkeit, per Richtlinie verteilte IE-Einstellungen als User selber zu editieren. Früher gab es ja die Internet explorer-Maintenance, alle dort festgelegten Einstellungen konnte der User trotzdem selber noch bearbeiten. Mit dem IE10 fällt das ja jetzt weg. Per GPP kann ich zumindest die Startseite vorgeben und editierbar gestalten, aber dummerweise nicht die Sites, die ich unter lokales Intranet festlegen möchte. Wenn ich per IE10-GPO "Site to zone" assignment-List konfiguriere, gibt es natürlich keine Möglichkeit mehr, diese manuell zu bearbeiten. Wie komme ich aus der Nummer raus? Und noch eine vielleicht blöde Frage - warum kann ich keine IE10-GPP auf einem Win2008 mit Central store festlegen? Hmm habs selber hinbekommen ... unschön per Registry-Key, sowohl für sichere Seiten, als auch die Startseite. Die Startseite wurde über "Preferences - Control panel Settings" auch nicht angepasst, merkwürdig.

Vielleicht noch eine kurze Frage, da ich gerade auch Office2013 verteile - ich habe auch da eine GPO Arbeitsgruppen-Pfade für die Benutzer erstellt, würdet ihr die nun schon firmenweit verteilen oder explizit nur den Usern, die bereits Office 2013 haben? Da jeder Rechner hier eine eigene Office-Umgebung hat, teilweise 32bit, teilweise 64bit, teilweise gemischt, gebe ich die Installations-GPO für Office nur schrittweise frei, d.h. einige Leute haben immer noch Office2010 (teilweise behalten sie es auch). Mit dieser Richtlinie wird ja nur ein Registry-Eintrag gesetzt ... wenn Office 2013 noch nicht vorhanden ist (aber später noch folgt), dürfte das doch eigentlich unproblematisch sein, oder was meint ihr?

Oh mann ... peinlich. Meine letzten Testläufe waren alles nur Computer-GPOs, meinen Testuser da mit reinzuwerfen habe ich verpeilt. Trotzdem danke für den Grundlagen-Tipp ;).

Sorry für die unklare Formulierung. Also, ich habe eine Test-OU erstellt und mit einem Win8-Client eine neue GPO auf Benutzerebene erstellt. Diese habe ich mit der Test-OU verlinkt, in der sich mein Test Win8-Client befindet. Dieser zieht sich ohne Probleme "alte" Installations-GPOs, die ich mal testweise verlinkt habe, aber nicht die neue GPO namens Win8-Test. Im Moment steht die Berechtigung in der OU auf "auth", aber ich habe auch schon explizit das Computerobjekt, bzw. den sich anmeldenden User verlinkt. In dieser OU habe ich die Startseite umgebogen die Favoritenleiste deaktiviert. gpresult schreibt mit u.a. folgendes: Hmm, warum abgelehnt? Warum leer?

Danke, aber demzufolge müsste eine Win8+RSAT erstellte GPO ja funktionieren, aber der Win8-Client zieht die Richtlinie irgendwie nicht ...

Hallo, ich fange so langsam an, Windows8-Clients ins Netz aufzunehmen und möchte natürlich auch per GPO bestimmte Einstellungen für den IE10 vornehmen (Startseite, sichere Seiten/Intranet). Mir ist bewusst, dass die admx/adm-Dateien auf dem Win2008R2-Server noch keine IE10-GPOs zulassen und das die IE-Maintenance weggefallen ist, daher habe ich es heute zunächst mit einem Win8-Client und RSAT probiert. Ich habe eine neue GPO erstellt, diese wurde allerdings nicht von einem Testclient übernommen (auch im Eventlog steht nix). Merkwürdigerweise hat auch ein Win7-Client von dieser neuen Richtlinie nichts übernommen (ich habe testweise in dieser Richtlinie auch noch IE9-Einstellungen geändert, allerdings dann direkt auf dem DC). Ich könnte natürlich die entsprechenden adm/admx-files direkt auf dem Server austauschen, aber dazu müsste ich erst den Besitz übernehmen (Trustedinstaller ist Besitzer) ... das würde ich aber nur ungerne in einer Produktivumgebung testen, hat da jemand schon Erfahrungen gesammelt? Ich hätte Sorge, dass es danach Probleme mit der Replikation der Richtlinien geben könnte ... Ist der Grund für diese fehlgeschlaqgene Richtlinie evtl. die Tatsache, dass ich mit Win8 und Win2008 abwechselnd an der Richtlinie gebastelt habe? Mir wäre es am liebsten, wenn ich eine Richtlinie hätte, mit der ich alle IE-Einstellungen für alle Clients/Versionen abarbeiten könnte ... oder sollte ich besser getrennte Richtlinien erzeugen? Danke für Tipps Marcel

Hallo zusammen, in meiner Firma gibt es einen DFS-Namespace firma.de\dfs (keine Replikation). Seit kurzem funktioniert der Zugriff von Clients nur noch per \\firma\dfs ... \\firma.de\dfs führt dazu, dass Credentials eingegeben werden müssen (allerdings funktionieren keine). Sobal es aber eine Ordnerhirarchie tiefer geht, z.B. in die Homeshares (\\firma.de\dfs\home) klappts auch ohne Anmeldedialog. Credentials erscheinen auch nicht, wenn man als Domainadmin unterwegs ist. Ich habe vor kurzem die Namespace-Server geändert und zwei neue Server für einen alten eingesetzt ... möglicherweise tritt das Problem seitdem auf. Ist nur noch nicht aufgefallen, weil die meisten nicht auf den Stamm zugreifen, sondern ihre gemappten Shares. Dem alten Server habe ich die DFS-Rolle entzogen. Was mir aufgefallen ist - der "dfs"-Ordner auf dem alten Server hat andere NTFS-Berechtigungen, dort hat "everyone" Read, wohingegen auf den neuen Servern nur die Domainuser "read" haben. Liegt's evtl. daran, dass der interne FQDN auf .de ist? Ich habe das zum Glück nicht entschieden, aber anyway, vorher ging's ja scheinbar. Für Ideen wäre ich sehr dankbar. Grüße Marcel [edit] Hmm, manchmal tut es scheinbar gut, über Probleme zu schreiben ;), 5 min später habe ich es gelöst. Auf einem Nameserver unterschieden sich die NTFS-Berechtigungen im dfs-Ordner. Nachdem ich diese angepasst habe war alles wieder fein.

Hi, danke, das werde ich mal ausprobieren! Afaik haben wir beim letzten mal aber den DHCP-Ordner gelöscht, bin jetzt aber nicht ganz sicher.