-
Gesamte Inhalte
5.432 -
Registriert seit
-
Letzter Besuch
Beste Lösungen
-
daabm's post in Verständnisfrage DHCP & Authentifizierung RDP wurde als beste Lösung markiert.
Wenns per IP geht und per Hostname nicht - UND der Hostname auf die korrekte IP auflöst - hast Du ein Problem mit Kerberos. Und das solltest Du im einen oder anderen Security Event finden. Hintergrund: "Name" macht per Default Kerberos, nur wenn kein SPN gefunden wird kommt NTLM Fallback. IP macht immer NTLM.
-
daabm's post in Share aus mehreren Laufwerken wurde als beste Lösung markiert.
Mount Points sollten gehen.
-
daabm's post in Powershell Script - Suche in Textblöcken wurde als beste Lösung markiert.
Dein Fehler war nur das fehlende Verständnis für "Contains". Das gilt nur für Arrays, und der Vergleichswert muss einem _kompletten_ Element des Arrays entsprechen.
$SampleData = "$env:TEMP\SampleData.txt" $Reader = [IO.StreamReader]::new( $SampleData ) $Results = [Collections.Arraylist]::new() $Queue = [Collections.Queue]::new() $BlockMarker = 'MSH' $MatchString = "PID" $MatchFound = $false While ( $SampleLine = $Reader.ReadLine() ) { $Queue.Enqueue( $SampleLine ) If ( $SampleLine -match $MatchString ) { $MatchFound = $true } If ( $SampleLine -match $BlockMarker ) { If ( $MatchFound ) { [void] $Results.Add(( $Queue.ToArray() )) } $Queue.Clear() $MatchFound = $false $Queue.Enqueue( $SampleLine ) } } $Reader.Dispose()
Das steckt solange Zeilen in die Queue, bis ein "MSH" gefunden wird. Wenn unterwegs ein "PID" vorbeikam, wird die Queue in $Result gespeichert. Dann zurück auf Los
Das meinte ich mit meinem vorigen Post
Du mußt eine Logik finden und korrekt implementieren, die die Aufgabe auch löst.
Edit: Nachträglich von Get-Content auf StreamReader geändert, ist einfach Lichtjahre schneller...
Nachtrag: Natürlich geht das auch mit Regex Multiline. Aber da sind wir wieder bei der Wartbarkeit, Regex hat da seine eigenen Tücken. Hab irgendwo mal ein Regex aufgeschnappt, das ich nicht mehr finde - das konnte alle Arten von Kommentaren aus C++-Sourcecode entfernen. War aber komplett unverständlich...
-
daabm's post in Zertifikatsmeldung in Outlook abstellen wurde als beste Lösung markiert.
Das soll auch so sein. Sorge dafür, daß die Zertifikate rechtzeitig aktualisiert werden Und nein, die Möglichkeit gibt es für _einzelne_ Zertifkate nicht.
-
daabm's post in Lokaler Zugriff auf lokale Freigabe erfordert User/Pwd - wie kann man das umgehen? wurde als beste Lösung markiert.
"StrictNameChecking" und "LoopbackCheck" als Stichworte - von DNS-Aliasen stand da nichts bisher...
-
daabm's post in Ad Gruppenmitgliedschaft wird beim vpn login nicht aktualisiert wurde als beste Lösung markiert.
Genau. Du darfst Dich erst anmelden, wenn Windows kapiert hat, daß eine Domäne verfügbar ist Und je nach Qualität und Art der Verbindung kann das auch mal ein paar Sekunden länger dauern.
-
daabm's post in Server 2022 mit Hyper-V Rolle umbenennen wurde als beste Lösung markiert.
Was soll da passieren, wenn kein Management drum rum auf den Namen angewiesen ist?
-
daabm's post in Iste ein Backplane Lüfter bei SSDs zwingend erforderlich? wurde als beste Lösung markiert.
Einfach mal nen HW-Monitor und nen Stresstest gleichzeitig laufen lassen und zuschauen, was mit den Temps passiert
-
daabm's post in Zeitsynchronisierung funktioniert nicht wurde als beste Lösung markiert.
Stimmen die AnnounceFlags? 5 darf nur der PDCe haben, alle anderen haben 10. Wenn andere DCs auch 5 haben, halten sie sich für "always reliable" und ignorieren NT5DS...
Edit: Warum ich das vermute? Weil Du schreibst, daß einer alle FSMO-Rollen außer PDCe hat - also hat da mal wer den PDCe verschoben...
-
daabm's post in Event ID 5775 (Netlogon) und Event ID4 (Security-Kerberos) wurde als beste Lösung markiert.
1. Wieso abtippen?
2.
Das Kennwort, das DC04 in seiner AD-Datenbank für DC03 hat, ist nicht identisch mit dem, das DC03 hat (AD-Replikation in Ordnung?). Oder das krbtgt-Kennwort ist "out of sync".
Erster Lösungsansatz: Dienst KDC auf allen DCs außer dem PDC-Emulator deaktivieren und stoppen (!!!), dann alle DCs neu starten außer dem PDC. Dann 10 Minuten warten und KDC auf allen DCs wieder aktivieren und starten.
Zweiter Ansatz: DC03 SecureChannel zurücksetzen.
Dritter Ansatz: DC03 neu aufbauen.
-
daabm's post in Fileserver Umzug - DNS Name? wurde als beste Lösung markiert.
Ja, das sollte gehen, solange der alte Server noch online ist. Siehe oben - CNAME erfordert DisableStrictNameChecking. Neue Freigaben hast Du dann immer noch, aber per DFS sind die Clients von der Kenntnis des "realen" Ziels entkoppelt, das Du dann beliebig verschieben kannst. Egal wohin DFS zeigt, der Client sieht nur den DFS-Share. Den Rest macht MUP für ihn
-
daabm's post in Zugriff auf RDS nur via IP Adresse möglich wurde als beste Lösung markiert.
klist erzählt Dir schon mal, welche Tickets du hast. Hat der RDS keine SPNs mehr registriert?
klist get TERMSRV/<FQDNdesRDS>
Und so weiter
BTW - "IPs getauscht", bist Du sicher, daß alle DNS-SRV-Records sauber sind?
nslookup -type=ALL _kerberos._tcp.<DomainFQDN>
liefert was genau? (Spoiler: "ALL" muss hier großgeschrieben werden...)
-
daabm's post in iTunes per GPO verteilen wurde als beste Lösung markiert.
Ist möglicherweise ein Bug im MSI - das muß die administrative Bereitstellung unterstützen.
-
daabm's post in WSUS GPO RegKeys fehlen plötzlich bei einigen Clients wurde als beste Lösung markiert.
Wenn Du noch mal genau drüber nachdenkst, kannst Du es vermutlich selbst beantworten
Alle GPOs haben eine Versionsnummer. Ist bei einer davon die Version beim nächsten GPUpdate (Start/Logon/Background) anders, wird alles, was darin an CSEs enthalten ist, erneut verarbeitet (Registry, Security, Ordnerumleitung, Applocker, xyz - gibt glaub 45 Stück).
Ist sie überall gleich wie beim letzten GPUpdate, werden nur die CSEs verarbeitet, bei denen "auch ohne Änderungen" aktiv ist. Ausnahme ist Security, das wird alle (weiß nicht mehr genau) x Stunden auch ohne Änderungen zwangsweise angewendet.
Und Deine Idee zur Konfiguration ist ok.
-
daabm's post in Einstellungen der Advance Audit Policy GPO wird in der lokalen gpmc nicht angezeigt wurde als beste Lösung markiert.
gpedit.msc zeigt Dir die Einstellungen der "lokalen Policy" an. Die wird dann ggf. von domain based Policies überschrieben.
Und rsop.msc ist deprecated, das kann zu viel nicht anzeigen.
So gesehen: MS macht da, was es will, ja- ist ja auch "ihr" Betriebssystem. Aber das Ergebnis entspricht exakt dem erwarteten
-
daabm's post in AD Überwachung konfigurieren wurde als beste Lösung markiert.
Ich bin jetzt nicht im Code der SACL-Auswertung verbuddelt, aber: Je mehr Einträge die hat, um so mehr Prüfungen müssen bei Änderungen gemacht werden, ob eine davon grad zutrifft.
Ist immer ein Trade-Off: Bist Du sehr granular und damit zielgenau, hast Du sehr lange ACLs (S und D), deren Auswertung entsprechend länger dauert. Zielst Du ungenau, bist Du da zwar schneller, erzeugst aber mehr Logeinträge. Ich würde mich im Zweifel für zweiteres entscheiden, weil es im Handling einfacher ist und Event Logging ein erstaunlich lastarmer Mechanismus.
Aber probier's einfach aus und überwache die CPU- und Storage-Auslastung der DCs. Unsere haben kaum AD-Auditing, erzeugen aber trotzdem so viele Security Events, daß das 4 GB Security Eventlog in 4 Stunden Rollover macht. Darauf hängt dann natürlich auch noch der Splunk Agent, und trotzdem merkt man das nicht in Perfmon.
-
daabm's post in AD User umbenennen wurde als beste Lösung markiert.
Die gleiche Diskussion hatten wir doch grad schon mal Du kannst die Verzeichnisse problemlos umbenennen und dann in der Registry den Profilpfad korrigieren. Der User darf da nur grad nicht angemeldet sein - Shutdown-Skript z.B. Danach noch ntuser.dat laden und Environment/Volatile Environment überprüfen und ggf. korrigieren (wobei das bei Volatile Environment unnötig sein sollte). Ob das ein Domänen- oder lokaler Account ist, ist dabei wurscht.
In eurer Automation habt Ihr halt leider die falschen Variablen ausgesucht.
-
daabm's post in Active-Directory Audit-Richtlinien aktivieren wurde als beste Lösung markiert.
Kannst Du machen wie Du willst. Am Ende muß es auf den Domain Controllern ankommen. Meinereiner macht das in einer GPO, die mit Domain Controllers verknüpft ist. DDP/DDCP ändere ich nicht - Stichwort "dcgpofix". Und die DDP hat "eigenartige" Beziehungen zu secpol.msc auf dem PDC-Emulator
-
daabm's post in Passwortänderungen für Computerkonten wurde als beste Lösung markiert.
Jepp. "Theoretisch" wird es erst im Domänenkonto geändert, und wenn das erfolgreich war, wird die lokale Version aktualisiert.
-
daabm's post in Ordnerumleitung deaktivieren bzw. wieder lokal umleiten wurde als beste Lösung markiert.
Wenn in der bestehenden FR-GPO das hier gesetzt ist
dann kannst Du die Umleitung nicht einfach durch das Entfernen dieser GPO rückgängig machen, ohne daß die Daten wieder zurückkopiert werden. Daher "Konter-GPO"...
-
daabm's post in PS: Test-Path funktioniert nicht wurde als beste Lösung markiert.
Ist normal - Test-Path hat Schwierigkeiten mit Hidden und System Files. Wenn Du auf der sicheren Seite sein willst: Get-ChildItem -Force oder https://stackoverflow.com/questions/46678676/powershell-test-for-hidden-and-system-files
-
daabm's post in Übersicher über alle GPOs ob eine Einstellung aktiv ist wurde als beste Lösung markiert.
BTW - über wie viele GPOs reden wir hier eigentlich und über wie viele Settings darin? Möglicherweise ist es am einfachsten, HTML-Reports zu erstellen und einfach anzuschauen....
powershell -command "get-gporeport -all -reporttype html -path <dateinamewoauchimmerdiereportsgespeichertwerdensollen.html>"
-
daabm's post in JRNL_WRAP_ERROR wurde als beste Lösung markiert.
Die Lösung von MS ist eigentlich recht einfach: https://support.microsoft.com/en-us/kb/290762
Und man könnte mal die Umstellung auf DFS angehen
-
daabm's post in GPOs nicht korrekt repliziert wurde als beste Lösung markiert.
Einmal bearbeiten, dann Änderung wieder rückgängig machen reicht auch - das stößt sowohl die AD- als auch die Sysvol-Replikation erneut an.
-
daabm's post in VPN-Zugriff limitieren wurde als beste Lösung markiert.
Mit NTLM ja, mit Kerberos nein.