Stibo

Es geht darum, dass wir für eine Konfiguration beim Proxy einige AD-Gruppen brauchen. Es gibt bereits eine Gruppe mit Mitgliedern, die im Web surfen dürfen. Dann gibt es alle AD-User. Die Diskrepanz zwischen allen und denen, die dürfen, kommt dann in die Gruppe "darf überhaupt nicht surfen".

Hallo zusammen, ich stehe gerade vor einem Problem und weiß nicht, wie ich das lösen soll bzw. ob die Lösung, die ich habe, korrekt ist. Folgendes: es existieren zwei Spalten, nennen wir sie AlleUser und WebUser. Ich möchte jetzt, dass alle User aus Spalte WebUser, die auch in AlleUser auftauchen, von dieser Spalte subtrahieren und das Ergebnis dann in eine dritte Spalte schreiben. Ich hab's mit PowerShell und Compare-Object -IncludeEqual versucht, aber bin mir absolut nicht sicher, ob das Ergebnis das ist, was ich brauche. Erst habe ich mittels Get-ADUser alle User extrahiert und das Ergebnis in eine Textdatei umgeleitet, dann habe ich alle Mitglieder einer bestimmten Gruppe mit Get-ADGroupMember extrahiert und in eine zweite Datei umgeleitet. Bei beiden Kommandos jeweils nur den SamAccountName. Das sieht dann folgendermaßen aus: user3 == user4 == => => user10 <= user12 <= == bedeutet, existiert in beiden Dateien und <= bedeutet, der Wert existiert in einer der beiden Dateien, ich weiß aber nicht, in welcher. Soweit korrekt? Meine zweite Idee war Excel, aber hier fehlt mit der Ansatz. Mittels "Wenn" oder "Zählenwenn" komme ich nicht weiter, auch ein XVERWEIS hilft mir nicht. Ein "Eindeutig" liefert mir irgendwie auch nicht das, was ich brauche. Hat hier jemand einen Denkanstoß, wie ich das Ganze lösen kann? So schwer kann das doch eigentlich nicht sein... Danke vorab!

Habe Eure Anmerkungen bzgl. DNS umgesetzt und werde nochmal mit unseren Netzern sprechen und fragen, ob das tatsächlich nur diese Ports sind oder ob ich eine veraltete Info habe. Danke für Eure Hilfe schonmal! :)

domain.lan ist der anonymisierte Domainname unserer Domain; das mydomainname.local im ersten Beitrag war von einer Seite kopiert, bei der die Attribute samt Inhalt gelistet sind. DCDIAG meldet "passed test" bei allen Tests. Die Windows Firewall ist an und die Standardeinträge für Active Directory sind konfiguriert (die, die nach der Installation systemseitig angelegt werden). DNS ist ein wenig komplexer, es gibt die Mutterdomain (gruppe1.de) und eine weitere Domain (domain.lan). Leider ist hier kein Trust konfiguriert, sondern es werden nur bestimmte Gruppen/User/Attribute mittels einer Software von Novell synchronisiert. DNS ist in domain.lan so konfiguriert, dass domain.lan die Active Directory-integrierte Domain ist, gruppe1.de & gruppe1.local werden als Secondary nur synchronisiert, damit die Namensauflösung zu gruppe1.de/.local funktioniert. Ja, alle DNS-Server sind windowsbasiert. @testperson: Das sind DNS-Server aus gruppe1.de, die in domain.lan hinterlegt sind ("allow zone transfer" z.B.). Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports: tcp 135, 137, 138, 139, 445 Was mich halt so wundert ist die Tatsache, dass es bei anderen Servern funktioniert hat, die ebenfalls in anderen Subnetzen beheimatet sind.

Hallo zahni, ich habe mich wohl b***d ausgedrückt: es sind bislang zwei DCs sowie 10 Memberserver. Ich will nun einen weiteren Server als Domainmember mit aufnehmen. DC1: Windows IP Configuration Host Name . . . . . . . . . . . . : wvdomaindc01 Primary Dns Suffix . . . . . . . : domain.lan Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.lan gruppe1.de gruppe1.local Ethernet adapter Ethernet: Connection-specific DNS Suffix . : domain.lan Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter Physical Address. . . . . . . . . : 00-50-56-BB-06-CD DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 172.18.249.131(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.240 Default Gateway . . . . . . . . . : 172.18.249.129 DNS Servers . . . . . . . . . . . : 172.18.249.132 172.18.249.131 172.18.249.1 172.18.249.2 127.0.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled DC2: Windows IP Configuration Host Name . . . . . . . . . . . . : wvdomaindc02 Primary Dns Suffix . . . . . . . : domain.lan Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.lan gruppe1.de gruppe1.local Ethernet adapter Ethernet: Connection-specific DNS Suffix . : domain.lan Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter Physical Address. . . . . . . . . : 00-50-56-BB-5A-FD DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 172.18.249.132(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.240 Default Gateway . . . . . . . . . : 172.18.249.129 DNS Servers . . . . . . . . . . . : 172.18.249.131 172.18.249.132 172.18.249.1 172.18.249.2 127.0.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled Memberserver: Windows IP Configuration Host Name . . . . . . . . . . . . : wveaprxkp01 Primary Dns Suffix . . . . . . . : domain.lan Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.lan gruppe1.de gruppe1.local Ethernet adapter LAN-01: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter Physical Address. . . . . . . . . : 00-50-56-BB-68-27 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 172.18.251.1(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.224 Default Gateway . . . . . . . . . : 172.18.251.29 DNS Servers . . . . . . . . . . . : 172.18.249.131 172.18.249.132 172.25.156.1 172.25.156.2 172.25.2.235 NetBIOS over Tcpip. . . . . . . . : Enabled

Hallo zusammen, ich habe hier ein Problem, bei dem ich nicht weiterkomme. Es geht um einen Domainjoin eines Server 2012 R2 in eine Domain (beide DCs sind ebenfalls 2012 R2). Der Join wird bearbeitet bis folgende Meldung erscheint: Changing the Primary Domain DNS name of this computer to "" failed. The name will remain "domain.lan". The error was: The RPC server is unavailable. Anschließend kommt die Meldung "Welcome to Domain blabla, bitte Reboot, danke". Nach dem Reboot funktioniert die Anmeldung mit einem Domainuser nicht, folgende Meldung taucht auf: "The security database on the server does not have a computer account for this workstation." Was ich bereits geprüft habe: - Uhrzeit auf beiden Systemen ist synchron - DNS Lookup funktioniert in beide Richtungen (Server <> DC) einwandfrei - Test-ComputerSecureChannel -Verbose (auf dem Server): The secure channel between the local computer and the domain domain.lan is in good condition. - Aufruf von \\domain.lan\ mittels Explorer funktioniert, nachdem ich Domainadmin-Credentials angebe. Das AD-Computerobjekt wird angelegt, allerdings fehlen zwei Attribute, die ja folgende Inhalte haben sollten: dNSHostName: server.mydomainname.local servicePrincipalName: HOST/SERVER HOST/server.mydomainname.local RestrictedKrbHost/SERVER RestrictedKrbHost/server.mydomainname.local TERMSRV/SERVER TERMSRV/server.mydomainname.local Stattdessen sieht es so aus: DNSHostName : ServicePrincipalNames : {} Was ich noch gemacht habe ist ein Mitschnitt des Domainjoins auf beiden Seiten mittels Wireshark, den ich mir aber erst noch anschauen muss. Hat einer von Euch noch eine Idee, woran das liegen könnte? Sollten Infos fehlen, reiche ich die selbstverständlich nach. :) Danke und Gruß Stibo

Danke, dann werde ich mich mit den Stichwörtern bewaffnet mal aufschlauen.

Jetzt, wo ich das lese, macht das auf einmal Sinn, stimmt. Gleichzeitig fiel mir jetzt auch ein, wieso kein Trust erstellt wurde: es sollen nicht alle User aus dem AD Office auf die Ressourcen in Finance zugreifen dürfen, sondern nur ein paar bestimmte. Weil die sich aber anscheinend über mehrere OUs verteilen, gestaltete sich das wohl als schwierig. Leider fand das alles statt, bevor ich in der Firma anfing und die ausführenden Personen arbeiten nicht mehr hier; eine Dokumentation gibt es leider auch nicht.

Hallo zusammen, ich habe selbst bislang so gut wie nichts mit AD Trusts zu tun gehabt, daher verzeiht mir bitte, wenn meine Frage etwas "userhaft" vorkommt. ;) Wir haben hier den Fall, dass es zwei verschiedene ADs (Forests) gibt, nennen wir sie Office und Finance. Alle User haben einen Account in Domain Office, mit dem sie sich in der neuen Domain Finance anmelden sollen können. Dafür wird die Software Novell Identity Passwort Sync verwendet. Diese synchronisiert User & Passwörter zwischen den beiden Domains. Ich soll jetzt evaluieren, ob statt der Software ein Trust genutzt werden kann. Ich war immer der Meinung, dass bei einem Trust die Metadaten (UPN, Passwort, letzte Anmeldung etc...) ebenfalls gesynct werden, bis ein Kollege meinte, das ginge nicht. Eine Googlesuche später bin ich jetzt auch der Meinung, dass das nicht geht, frage mich aber, wie man das sonst mit einem Trust umsetzen kann. Das Ziel ist eben, dass User aus der Domain Office ihren dort bestehenden User mit demselben Passwort zur Anmeldung an der Domain Finance nutzen können.

Das sind anscheinend abgeschirmte, für bestimmte Software eingesetzte VMs, die nur über RDP erreichbar sind. Ich selbst bin nicht so fit im Clientbereich und habe keine Ahnung, ob das die aktuellste LTSC Version ist oder nicht.

Hey testperson, wirklich? Wieder was gelernt, vielen Dank! Dann werde ich den Kollegen bitten, diese Richtlinie zu ändern und es nochmal testen.

Guten Morgen zusammen, ich habe hier ein Problem, bei dem ich nicht weiter weiß. Wir haben ein paar VMs (Windows 10 Enterprise LTSC, 1809) bei denen ein copy & paste über RDP (sowohl mtsc als auch RDCMan) nicht funktioniert. Über die GPs sind Laufwerkmappings, LPT- und Druckermappings explizit ausgenommen, aber die "Zwischenablagenumleitung" ist auf "Nicht konfiguriert", sprich sollte ja eigentlich funktionieren. Zugreifende Clients sind alle Windows 10 Enterprise 1803. Hat hier jemand einen Tipp für mich, wo ich noch schauen kann? Besten Dank vorab!

Guten Morgen und Danke für Eure Antworten, ich habe nochmal nachgehakt und mitgeteilt bekommen, dass wir eine Softare Assurance mitgekauft haben, in der VDA inkludiert ist. Heißt, wir sind hier dann abgedeckt, oder irre ich mich?

Hallo zusammen, folgendes Szenario: VMWare ESXi Cluster mit 4 Hosts. Wir besitzen eine Datacenter Lizenz für Windows Server 2016 den Cores entsprechend. Laut meiner Kollegin dürfen wir Windows 10 als VMs auf diesem Cluster laufen lassen, ist über die Datacenter Lizenz abgedeckt. Nur: wie aktiviere ich die Systeme? Ich könnte einen MAK-Key nutzen oder hätte einen KMS zur Verfügung (der u.A. auch die Fat Clients alle aktiviert). Falls noch relevante Infors fehlen, reiche ich die gerne nach. Besten Dank vorab!

Ich verstehe diese Frage nicht genau. Mailstore ist das Tool, das zur Archivierung genutzt wird, und funktioniert sowohl mit einem eigenen gehosteten Exchange als auch mit O365.

Hallo Thorsten, wollt Ihr die archivierten Daten in der Cloud oder lieber on-prem halten? Falls on-prem: ich kann Mailstore uneingeschränkt empfehlen.

Guten Morgen mr., vielen Dank für den Tipp, werde ich mir (trotz des genialen Namens ;)) mal anschauen, danke!

Hallo zusammen, ich bin wie die Jungfrau zum Kinde zum Thema Backup für O365 gekommen. Ich teste gerade Veeam for O365, Caronite sowie Commvault. Nun wurde die Entscheidung gefällt, dass die Daten bei uns liegen sollen (deswegen fiel Carbonite raus) und der oberste Chef hat in seiner vorherigen Firma wohl sehr schlechte Erfahrungen mit Commvault gemacht und gemeint, ich solle mich nochmal nach einer weiteren Alternative umschauen. Daher die Frage: welches Produkt, außerden drei oben genannten, setzt Ihr ein oder könnt Ihr empfehlen? :)

Hallo zusammen und gutes neues Jahr vorab! Wir haben hier ein Problem, das ich gerade nicht lösen kann und bei dem ich hoffe, dass mich einer von Euch erleuchten kann. Folgendes Szenario: es gibt einen physischen PC, der mittels P2V in eine VM (VMWare ESXi) umgewandelt wurde. Diese VM muss mit komnplett identischen Einstellungen (IP, Hostname etc.) parallel zum PC laufen (Anm. meinerseits: ob IP & Hostname wirklich identisch sein müssen prüfe ich gerade; es hieß zu mir, sonst würde die Software darauf nicht funktionieren). Ich versuche mal, das Konstrukt zu erklären: PC und VM laufen sowohl physisch als auch logisch getrennt an zwei verschiedenen Standorten. Mittels NAT hat unser Netzer nun auf den Firewalls eine Regel eingerichtet, die wie folgt funktioniert: Am PC gibt man die IP der VM ein (die ja zeitgleich auch die eigene IP ist) und man soll dann auf der VM landen. Diese IP wird 2x geNATtet, sprich von PC zur ersten Firewall und dann zur zweiten Firewall zur VM. Wenn ich jetzt mittels RDP eine Verbindung vom PC zur VM machen möchte (die ja dieselbe IP haben), bekomme ich sofort die Fehlermeldung "Für den Computer konnte keine Verbindung mit einer anderen Konsolensitzung auf dem Remotecomputer hergestellt werden, da bereits eine Konsolensitzung aktiv ist", was für mich ja auch Sinn ergibt, weil man ja quasi versucht, sich auf localhost zu verbinden (nur eben mit einer IP). Macht mein Gedankengang Sinn? Ich hatte solch ein Konstrukt noch nie, deswegen wollte ich mich hier nochmal vergewissern. Wie könnte man das elegant lösen? Meiner Meinung nach doch nur, indem man als Ziel-IP (der VM) eine andere nutzt als die des PCs, oder? Danke vorab und beste Grüße Stibo [Edit] Kommando zurück, ich hatte heute Nacht wohl etwas wenig Schlaf. Natürlich wird als Ziel-IP nicht die des PCs genommen, sondern eine andere, die wiederum mit Quell- und Ziel-NATting so abgeändert wird, dass am Schluss dennoch die identische IP bei rum kommt.

Ja, war tatsächlich kopiert. Hatte es von Hand eingegeben und es funktionierte immer noch nicht, bis mir auffiel, dass nach dem Theme noch ein Komma fehlte - jetzt geht's. Vielen Dank!

Ja, so sieht meine settings.json aus: { "workbench.colorTheme": "Winter is Coming (Dark Black)" “files.defaultLanguage”: “powershell” } { "workbench.colorTheme": "Winter is Coming (Dark Black)" "files.defaultLanguage": “powershell" }

Ja, das war die erste Extension, die ich runtergeladen habe. Danke für den Link, allerdings hilft die Einstellung leider auch nicht (auch nach einem Neustart des Programms). Ich überlege gerade, ob eine komplette Reinstallation vielleicht helfen könnte (habe das Programm nicht als Portable gewählt).

Guten Morgen zusammen, ich bin kürzlich auf Visual Studio Code gestoßen und bin ziemlich angetan davon; vor allem, weil die ISE ja anscheinend nicht mehr weiterentwickelt wird. Ich habe allerdings eine Frage bzw. ein Problem: wie kriege ich die IntelliSense für PS bei einer neuen Datei zum Laufen? Existierende ps(m)1-Dateien, die ich öffne, aktivieren es wohl sofort, aber wenn ich eine neue Datei erstelle wird nicht erkannt, dass der Code Powershell ist. Kann man das irgendwo definieren (z.B. jede neue Datei ist erst mal bis zur Änderung PS)? Bin dankbar für jede Hilfe! :)

Hi, soweit ich weiß wird die Richtlinie außer Kraft gesetzt, sobald Du beim User diesen Haken setzt; alle anderen Richtlinien bleiben dabei unberührt. Habe jetzt gerade keinen Link, der das bestätigt, aber wenn das nicht geändert wurde, gilt das nach wie vor (konnte es das letzte Mal zu Zeiten, als 2008 R2 aktuell war, testen / umsetzen :).

In meiner jetzigen Firma kenne ich den Prozess nicht, in der alten Firma haben wir es so gehandhabt: - AD-Account wurde deaktiviert - Homelaufwerk und Profilordner wurden zusammen in eine ZIP-Datei gepackt und ausgelagert - Der E-Mail-Account wurde aus sämtlichen Verteilern entfernt, alle vorhandenen E-Mails wurden per Mailstore in das sowieso vorhandene Archiv gesichert - es wurde beim Empfang neuer E-Mails eine Nachricht generiert, in der so etwas stand wie "arbeitet nicht mehr im Unternehmen, bitte an Person X oder Y wenden" - nach acht bis zwölf (je nach "Wichtigkeit" der Person) Wochen wurden Postfach und Account gelöscht