igwadmin

Danke

Hallo, ich beschäftige mich momentan mit dem Thema und hätte mal eine Frage. Wenn ich einen nicht authorativen restore mache, muss der wiederhergestellte DC den anderen doch sagen das er aus ner Sicherung restored wurde? Ansonsten replizieren die doch nicht bzw. es gibt probleme mit doppelten Sids usw. Das lese ich doch überall, USN Rollback usw. Im authorativen fahre ich ja erstmal in den Wiederherstellungsmodus beim nicht authorativen, boote ich direkt ins Windows? Ich lese das hier so, nimm dein gemachtes Image vom ausgefallenen DC, mounte es auf einen ESXI Host und starte die VM, alles läuft wieder. Grüße

Hi, der Server ist ne VM und ich restore den auf nem anderen ESXI Host. Was ich aber jetzt herausgefunden habe ist, in Veeam kann man Application Aweare Backup einstellen, so das dort ein VSS Provider info an den DC wenn er gesnaptshot wird. Schalte ich das ab und mache ein backup dann läuft der Server und das AD (Backup ist dann aber wohl inkonsistent). Das ganze muss irgentwas mit dem Thema USN Rollback oder so zu tun haben. Wie ist das, gibt es ein Flag was man auslesen kann wo man erkennt das der DC ein USN Rollback hat und deswegen alles einstellt? Grüße

HI, Es kann doch aber nicht sein das jetzt gar nix mehr Läuft, da weis man ja gar nicht wo man anfangen soll?! Im Internet habe ich das gefunden, ist da was drann? ...

Hallo Miteinander, ich habe einmal folgende frage und hoffe das ihr mir da weiterhelfen könnt. Ich habe einmal Testweise versucht in unserer VM Umgebung eine Rücksicherung des DomainControllers (wo alle FSMO Rollen hält) gemacht. Gestern Abend alle gesichert mit veeam und dann den einen von beiden DomainControllern in ner abgeschotteten Umgebung Rückgesichert und gestartet. Als Netzwerk habe ich einen Switch ohne Uplink Adapter erstellt und verbunden, jedoch kommt sobald ich mich am DC anmelde beim Start von das das keine Namensinformationen gefunden wurden und die angegebene Domäne ist nicht vorhanden. Im Eventlog steht dieser Server besitzt die FSMO rollen die jedoch nicht als gültig eingestuft wurden .... DCDIAG mault auch wurde kein Zeitserver gefunden, kein Global Cataloge usw. Ich verstehe gar nicht warum sich der Server nicht mehr für nen DC hält nur weil er seinen Kollegen DC2 nicht findet stellt er alles ein? DNS habe ich geprüft Auflösung geht alles, der Server hat sich selber als DNS eingetragen in der Netzwerkkarte. Hoffe hier weis einer rat, würde gerne verstehen wollen warum das so ist Im Anhang mal nen Foto

Hallo Miteinander, also jetzt die Fakten Die ausgerauten DDP und DDCP heben folgende GUID die DDP 31B2F340-016D-11D2-945F-00C04FB984F9 die DDCP 6AC1786C-016F-11D2-945F-00C04fB984F9 Ich kann die aber net löschen, ich konnte eine umbenennen, deshalb ist bei der DDP ein ö mit am Ende des Namens. Ich kann das ö aber auch nicht entfernen weil er dann mault das es den Namen schon gibt. Die frage ist jetzt wie bekomme ich die ausgerauten weg wo die Meldung immer kommt das System kann die Datei nicht finden? Ich verstehe auch gar net warum die zweimal da sind, im Adsi kann ich die GUID auch nicht löschen , kommt ja auch immer nen Fehler. Im Ahang jetzt nochmal zwei Fotos Kann mir das nochmal einer Beantworten ? Mal noch zwei Fragen nebenbei, wenn ich im Internet lese die DefaultPolicy.... sei hartcodiert was bedeutet das genau? Warum zeigt mir ADSI nicht Domänenkontext an sondern Standardmäßiger Namenskontext? Grüße die ausgerauten DDP und DDCP sind nicht verknüpft, die sind nur in der OU Gruppenrichtlinienobjekte.und diese kann ich unter System/Polices ja nicht löchen. Die DDP und DDCP wo verknüpft sind sind schwarz hinterlegt in der OU Gruppenrichtlinienobjekte, die kann man auch ganz normal bearbeiten.

Hi, also die IDs sind auch nicht gleich sondern unterschiedlich.

Hallo Miteinander, ich habe bei uns im ad (warum auch immer) jeweils 2 x die Default Domain Controller Policy und die default Domain Policy. Wobei einmal je Name immer ausgeraut ist und diese auch keine Verknüpfung zu einer OU hat. Die wo ganz normal angezeigt werden sind Verknüpft. Wenn man auf die GPO Klickt kommt immer System kann die angegebene Datei nicht finden, auch löschen geht nicht. Nehme ich die GUID gehe ins ADSI und versuche die in der DomainPartition zu löschen geht das auch net. Fehler beim Vorgang, am Objekt befindet sich ein Systemkennzeichen.... Was kann ich denn da machen? Im Anhang seht ihr das ganze. Mal noch zwei fragen nebenbei, wenn ich im Internet lese die DefaultPolicy.... sei hartcodiert was bedeutet das genau? Warum zeigt mir ADSI nicht Domänenkontext an sondern Standardmäßiger Namenskontext? Grüße Marcel

Hi, also das Problem ist es nicht, da sind evtl. 10 Gruppen drin. Ich habe mich als besagter Clientadministrator angemeldet und whoami /all /fo list ausgeführt

Hi, wie bekomme ich das den Raus? Also ich habe in der Domäne eine Lokale Sicherheitsgruppe angelegt, dort den User rein getan ( clientadministrator) , dann habe ich per GPO diese Gruppe auf den Clients zur Administratorengruppe gesteckt und die Domänen Admins raus (war auf nem Lehrgang da hat man das so praktiziert). Das unlogische ist hal das es bei manchen geht und bei manchen nicht, aber ich kann mich immer als Clientadministrator am Client nach dem Boot anmelden und habe die Adminrechte .

Hi, also definitiv kein Tippfehler ich habe es xxx Fach versucht bei ca. 30 von 60 Clients nimmt er den User per UAC Abfrage nicht. Logge ich mich direkt mit dem User ein geht es. Ich weiß auch nicht woran das ganze liegt, auch im Event log finde ich nichts. Der User ist im AD angelegt ebenso eine Gruppe Client Administratoren, die Gruppe wurde dann per gpo in die lokale Administratorengruppe gemappt, so das nur der die Gruppe und der Administrator in der lokalen Administratoren Gruppe ist. Testweise habe ich mein Konto mit reingenommen und wenn der den UAC Dialog nicht akzeptiert hat habe ich mein Kürzel und Passwort genommen. Was ich jetzt ausprobiert habe ist das ich nicht die Domänen Client Administratoren gruppe in die Lokale Aminogruppe gemappt habe sondern den User direkt analog mein Konto, jetzt geht es.

Domänen User welcher lokaler Admin auf den Clients ist. Ich verstehe das einfach nicht warum er das nicht akzeptiert. Gibt es evtl. logs wo man schauen kann im Event log finde ich gar nichts.

Hallo Miteinander, ich habe bei uns in der Firma ein Problem mit der UAC und einem Admin Konto. Ich habe auf den Clients per GPO ein neuen User zu den Administratoren (Gruppe) hinzugefügt. Wenn man sich jetzt als der neue User anmeldet, hat man auch nach dem UAC Dialog die Adminrechte. Melde ich mich aber als Standard User an (ohne Adminrechte) dann gehe ich z.b. auf die cmd als Admin ausführen, gebe die Daten des neuen Users ein (wo ich per GPO zum Admin gemacht habe) dann akzeptiert der das nicht. Die UAC kommt immer wieder mit der Namens und Passwort Aufforderung. Wenn ich meine Daten nehme (bin auch in der Admingruppe) dann geht es sofort. Wir haben ca. 60 Clients, bei 20 ist das so die anderen funktionieren.

Hallo guten Moregn, ja es ist Windows 10 ich werde besagtes versuchen wobei schnellstart gibt es bei uns nicht, alles abgeschalten. Was mich aber noch interessiert von wo zieht der Client die Gpos vom DC wo er sich anmeldet? Was passiert wenn der die Infos der erstellten gpo vom anderen DC noch nicht hat? Wie lange ist denn die Zeit bis nach einer Erstellung der GPO der andere auch die Info hat? Grüße

Hallo Miteinander, ich hätte mal eine Frage bezüglich Gruppenrichtlinien. Wir haben gestern unser CAD Programm geupdatet , hier habe ich ein Startscript per GPO erstellt welches vor dem Windowslogon die Installation anschmeißt. Jetzt habe ich die gpo verlinkt und die betreffenden PCs neugestartet, jedoch wurde die Installation nicht ausgeführt. Erst wenn ich in der cmd gpupdate /force gemacht und dann neu gestartet habe hat es funktioniert. Auch Pcs wo aus waren haben im ersten start nichts installiert, erst ein Einloggen gpupdate /force, Neustart brachte erfolg. Wie lange dauert es nach dem erstellen bis die gpo wirkt? Ich finde immer nur das alle 90 min +- 30 die Richtlinien neu verarbeitet werden. Wie ist das denn eig. wenn ich 2 DCs habe und die gpo auf dem einen erstelle muss diese ja noch der AD Replikation und FRS gesynct werden, kann es sein das die Clients sich am anderen DC die Infos holen und die Replikation der beiden DCs noch nicht gelaufen ist? Um Hilfe wäre ich euch dankbar Grüße

da steht doch ein gefilterter Anteil vom Gal?

Du hast doch selber Du hast doch selber geschrieben, die Adresslisten sind eine Teilmenge bzw. gefilterter Anteil des GAL. Daher komme ich zu der Annahme das die Adresslisten vom GAl abgeleitet sind. So wie du jetzt aber geschrieben hast sind die Adresslisten extra für sich und das GAL, haben also an sich nix miteinander zu tun?!

Guten Morgen, das heist dann aber auch wenn ich das GAL löschen würde wären auch die Adresslisten weg, da diese ja vom GAL abgeleitetet sind? P.s ich hantiere lieber mit Ip Adressen als mit Namen

Hi, im Anhang mal ein Foto von dem wo mein Problem ist. Es gibt doch eine Globale Adressliste (Typ Globale Adressliste) und normale Adresslisten (Typ Adresliste) was ist da der Unterschied???

und die Addresslisten was sind die, eine Ableitung der GAL oder worauf beziehen die sich?

Bedeutet das dann das eine Adressliste auf dem Exchange vom GAL abgeleitet wird? Wenn man das GAL aktualisiert sind dann auch die erstellten Adressliste aktuell? Ich dachte immer das GAL steht immer sofort zu Verfügung und nicht das das auch 24 Std. braucht? Ist das OAB und das GAL dasselbe Adressbuch nur das das OAB auch offline zur Verfügung steht oder sind das zwei unterschiedliche Adressbücher wo unterschiedlich gehandhabt werden? Grüße

Hallo Miteinander, Kann mir jemand sagen was der Unterschiede zwischen "Globalen Adresslisten" und "Standard Adresslisten" sind? Ebenso habe ich oft das Problem das in den Adresslisten wo wir haben nicht immer neu angelegte Exchange Konten angezeigt werden auf den Clients? Im Outlook gibt es ja senden empfangen Adressbuch herunterladen, das hilf aber auch nicht. Kann es sein das man auf dem Exchange (2016) noch die Addresslisten neu erstellen muss? Grüße und danke für die Hilfe

Gut, dann wäre aber immer noch die Frage wie ich Exchange dazu bringe die Änderungen im AD (zeitnah ) zu übernehmen?! Grüße

Heist das jetzt das der Exchange das automatisch übernimmt nach x stunden? Im Inet lese ich oft was mit cacheLimit und dem Postfachspeicher neu starten wenn man die 2 std. nicht warten will. Also ich habe jetzt im AD den DisplayName und den CN geändert, im Exchange steht aber noch der alte. Eine frage mal noch nebenher was ist der Unterschied zwischen CN und dem DisplayName? Grüße und Danke

Hallo Miteinander, einmal folgende Frage wenn ich im Exchange 2016 Verteilergruppen anlege werden diese ja im AD gespeichert. Wenn ich jetzt im Nachgang den Namen der Gruppe ändern möchte, warum kann ich das dann nicht im AD machen bzw. wenn ich den Namen im Ad umbenenne übernimmt das der Exchange nicht, in der Konsole heist er dann noch immer wie vor der Umbenennung. Wir müssen einige Gruppen umbenennen und da geht das im AD Schneller. Grüße und danke schon mal Marcel