Rumak18

Hallo, ich bin in der Vorbereitung meine AD 2008 R2 auf 2012 R2 upzudaten. Ich habe zwei DCs (2008 R2), einen Standort und eine Domain. Also die einfachste Konfiguration an sich. Wenn ich meine Domain nun mit "dcidag /e /v /c /d /s:%DCNAME%" überprüfe, erhalte ich folgenden Fehler beim "Delegation" Test: TEST: Delegations (Del) Delegation information for the zone: mydomain.local. Delegated domain name: _msdcs.mydomain.local. DNS server: DC01.mydomain.local. IP:192.168.0.13 [Valid] DNS server: DC01.mydomain.local. IP:fd49:941:1:10::13 [Valid] DNS server: DC02.mydomain.local. IP:192.168.0.14 [Valid] DNS server: DC02.mydomain.local. IP:fd49:941:1:10::14 [Valid] Delegated domain name: mydomain.local.mydomain.local. Warning: Delegation of DNS server DC01.mydomain.local. is broken on IP:192.168.0.13 Warning: Delegation of DNS server DC01.mydomain.local. is broken on IP:fd49:941:1:10::13 Fehler: DNS-Server: DC01.mydomain.local. IP:fd49:941:1:10::13 [broken delegation] Warning: Delegation of DNS server DC02.mydomain.local. is broken on IP:192.168.0.14 Warning: Delegation of DNS server DC02.mydomain.local. is broken on IP:fd49:941:1:10::14 Fehler: DNS-Server: DC02.mydomain.local. IP:fd49:941:1:10::14 [broken delegation] Ich gehe stark davon aus, dass der Test für "mydomain.local.mydomain.local" fehlerhaft ist bzw. hier die Konfiguration nicht korrekt ist. Im Anhang habe ich auch meine DNS Struktur als Bild mitbeigefügt. Ich denke diese "local"\"mydomain" Zone ist nicht korrekt. Sie enthält EINEN "HostA" Eintrag für einen Server, den es auch unter "mydomain.local" direkt gibt. Ich persönlich würde tendieren diese Zone gleich zu löschen, bin mir aber nicht 100% sicher.

Alles klar. Danke für die Unterstützung!

@Nils / daabm: Und wenn die darunterliegenede GPO im Kontextmenü "erzwungen" wird und diese erzwungene GPO hat eben "nicht konfiguriert" in einer Einstellung (Bsp.: Systemsteuerung ausblenden) , dann gilt also die darüber liegende GPO mit der "konfigurierten" (Systemsteuerung) Einstellung dennoch korrekt?

Hallo, @NorbertFe: "MHenning" wollte einfach aufzeigen, wie sich die GPOs auswirken. @MHenning: Das ist mir schon bewusst. Schliesslich machen wir das ja auch so seit 5 Jahren (-: ; Dennoch danke! @daabm : Ich denke nicht, dass der Term "Mandant" in eine AD passt. Das Konstrukt hat GPOs , die sich auf alle Kunden OUs beziehen und eben spezielle GPOs, die sich auf einzelne Kunden beziehen. Hierzu hilft eben MHennings Erläuterung, um das zu verstehen. @NilsK: Erst mal danke für die Beantwortung der zweiten Frage. Also doch so simpel. Nun zur ersten Frage: Naja, stelle dir wie schon oben beschrieben meine Domain vor: Domain GPOs Kunden-ALLGEMEIN-OU GPOs KUNDE1-OU ; Kunde2-OU ; Kunde3-OU GPOs GPOs GPOs Nun hat die "Kunden-ALLGEMEIN-OU" -GPO die Einstellung Profilgröße zu beschränken und bsp. Systemsteuerung zu deaktivieren. Für einen Kunden (Beispiel Kunde3-OU) möchte ich die Profilgröße nicht beschränken und ändere das in der "Kunde3-OU"-GPO ab. Die Systemsteuerung Einstellung lasse ich bei dieser GPO aber unberührt (Nicht aktiviert) und erzwinge nun die "Kunde3-OU"-GPO. -> Welche Systemsteuerung Einstellung zieht nun für Kunde3-OU User? Hat er sie oder sie deaktiviert? Mir geht es darum zu wissen, ob "erzwungene" GPOs auch die "nicht konfigurierten" Einstellungen der GPOs anwenden oder nur die "aktivierten" bzw. "deaktivierten" Einstellungen.

Hallo, zu einer AD 2008 R2 hätte ich folgende Fragen : 1. Wenn ich eine GPO auf einer OU (Kunde1-OU) erzwinge, wirken dann auch die nicht konfigurierten GPOs dieser KUNDE1-OU oder nur diejenigen, die konfiguriert (aktiviert/deaktiviert) sind im Vergleich zu den GPO Einstellungen einer übergeordneten OU (Kunden-OU)? Domain GPOs Kunden-OU GPOs KUNDE1-OU GPOs 2. Wenn einer User sich in einer OU befindet in der GPOs auf die Benutzer wirken und dann gleichzeitig Mitglied einer Gruppe ist, die sich in einer anderen OU befindet, auf die andere GPOs wirken...welche OU GPOs wirken dann unterm Strich? Hoffe ich hab mich verständlich ausgedrückt.

Hi, zwei DCs. Warum Sie das sollten? Na, ich habe des Öfteren gelesen, dass sie das tun. Es wird beim "Logon" Server die Zeit abgefragt, welcher ja nicht unbedingt der PDC sein muss. Ich habe in meiner Domain ja nur einen PDC, so wie es das Modell vorschreibt.

Ok. Habe das nun überprüft. Es wird tatsächlich nur UDP Port 123 verwendet. Was ich aber nicht hinbekommen habe ist , dass die Clients auch mal einen "anderen" DC abfragen, ausser den PDC.

Ach... erst habe ich gar nicht geschnallt was ihr meint :confused: Aber nun ists klar... :jau:

Jetzt muss ich doch noch nachhacken....wenn ein Mitgliedsserver seinen LOGON Server auf Zeit abfragt, macht er das ebenfalls über UDP Port 123 oder geschieht das im Kerberos Verfahren? Weil ja dann, auch jeder DC über UDP Port 123 zugänglich sein muss.

Danke euch!

Hallo, in einer Active Directory Domäne (2008R2) wird die Zeitsynchronisierung ja an sich automatisch erledigt, WENN man den PDC entsprechend konfiguriert. Allerdings ergeben sich in diesem Konstrukt für mich zwei Fragen und ich hoffe Jemand weiß genau Bescheid. 1. Holt sich ein Mitgliedsserver seine Zeit vom "PDC" oder von einem Domaincontroller bei dem er sich authentifiziert? Das ist ja ein Unterschied, wenn man mehr als einen DC im Netzwerk hat. 2. MUSS der "Windows-Zeitgeber" Dienst auf den Mitgliedsservern laufen? In vielen Beschreibungen findet man die Information, dass dieser Dienst nur dann notwendig ist, wenn die Zeit über einen NTP Server IM INTERNET synchronisiert wird.

Hallo, ich habe mehrerer Win2k8R2 Server, auf denen Sitzungen teilweise über 50 Tage im Ruhezustand laufen. Gibt es eine Möglichkeite über CMD oder Powershell diese Sitzungen zu schließen? Finden kann man es ja leicht durch "net session". Dadurch , dass aber der Benutzer desöfteren an dem Computer angemeldet ist und auch aktuelle Sitzungen des Benutzers vorhanden sind, möchte ich einen Weg finden, NUR die "älteren" Sitzungen zu schließen. Beispielsweise Sitzungen, die länger als 7 Tage laufen. Auch das kann ich ja mit cmd über "net session | findstr /I "D.*H" | findstr /I %username%" realisieren. Nur wie schlißet man die Sitzungen, die über X-Tage laufen.

Hallo, wollte nur abschließend Bescheid geben, dass es so funktioniert hat. Alle neuen Win2k12R2 Server lassen sich nun aktivieren. Danke für die HIlfe.

Hallo, danke für deinen Beitrag. Den Hotfix hatte ich bereits. Das steht ja auf vielen eingeschlägigen Seiten. Aber nicht , dass man den "neueren" KMS Key auf einem "älteren" OS auch installieren muss. Naja...dann werde ich das mal jetzt machen (-:

Hallo, wir betreiben eine Win2k8R2 Domäne (Gesamtstruktur und Domäne) mit zwei Win2k8R2 Servern. Diese beiden Server dienen auch als KMS Hosts für die Produktaktivierung. Wir haben bis dato nur Win2k8R2 Server betrieben. Nun sollen Win2k12R2 Server als Mitgliedsserver der Domain hinzukommen. Laut diesem Artikel: http://www.server-talk.eu/2014/02/14/key-management-service-kms-mit-windows-server-2012-r2/ soll man hierzu einfach den "KMS Host Key" auf dem "KMS Server" für Windows Server 2012R2 installieren: Nun habe ich allerdins die Befürchtung , dass wenn ich den Win2k12R KMS Host Key auf dem KMS Host (OS: 2008R2) installiere, dass dann die bestehenden "Win2k8R2-Server" nicht mehr aktiviert werden. Hat Jemand hier schon Erfahrung bzw. kann meine "Ängste" zu nichte machen?

Hallo, @daabm: Das habe ich natürlich schon versucht gehabt. Aber die Namen bleiben dann in der MMC immer noch, obwohl ich sie entsprechend austausche. ich denke , da müsste ich die angegebenen IDs der XML auch austauschen, was natürlich wieder zu dazuführt, dass ich die neuen IDs erst mal rausfinden müsste. @Sunny61: Toll. Die Funktion kannte ich bis dato gar nicht. Das sollte an sich genügen. Hier habe ich ja auch alle Konten.

Hallo Zusammen, ich müsste mir eine MMC Konsole erstellen (Dienste) , über die ich auf hunderte von Desktops zugreifen möchten. Leider habe ich natürlich keine Luste mir jeden Rechner manuell über "hinzufügen" und "Rechnernamen eingeben" hinzuzufügen. Geht das auch irgendwie etwas schneller? Automatisierter? Eventuell irgendwas, wo ich eine Liste an Rechnernamen einspeisen kann?

Hallo Sunny61, super...die Option "Automatische Updates konfigurieren : 2 - Vor Herunterladen und Installation benachrichtigen" kann natürlich nicht automatisch die Server neustarten bzw. die Updates installieren lassen. Das ist wohl genau die Ursache. Ich werde den Patch gleich installieren und Abends verifizieren, ob die neuen Einstellungen (Option 4) greifen.

Hallo, @Sunn61: Es handelt sich tatsächlich um Win2k8R2-Desktops (Also keine Win7/8 Clients), die aktualisiert werden sollen. Aber das sollte ja keinen Unterschied machen. hier sind die Server Einstellungen: @zahni: Ich kann natürlich das Update einspielen. Ich dachte aber immer, dass das der WSUS selber macht mit den Windows Updates.

Hallo, ich habe hier eine Win2k8R2 Domäne mit einem WSUS Server. Es befinden sich Win2k8R2-Desktops in einer OU, die mit WSUS konfiguriert sind. Ich sehe diese Desktops auch am WSUS Server in der korrekten Computergruppe, sie ziehen sich auch die Updates vom WSUS Server und ich könnte sie bei allen manuell installieren, allerdings instalieren diese Desktops die Updates nicht wie im Zeitplan erfasst, obwohl das definitiv in der GPO korrekt konfiguriert ist. Mein Problem ist jetzt eher so, dass ich nicht weiß, wo ich mit der Analyse überhaupt beginnen soll. Die UPdates sollten SOnntag um 23:00 eingespielt werden. Das %windir%\WindowsUpdate.log des "Clients" sagt folgendes:

Ok. Danke. Aber sollte so ein Script im Kontext der Computer-GPOs laufen können? Weil ich im ersten Step gesehen habe, dass es nicht gelaufen ist.

Hallo, ich habe im ersten Thread aus Versehen die Zeile nicht verfollständigt. Hier der komplette Aufruf des Scriptes, welcher nicht läuft (Nach Analyse läuft das Script wie erwähnt nicht in den GPOs der Benutzerkonfiguration\Windows-Einstellungen\Scripts(Anmelden) wegen eingeschränkten Berechtigungen. Ich war mir eben nicht ganz sicher, unter welchem Kontext die Script in dieser GPO laufen. Betrifft das Ausführen von Scripten im Kontext des Users auch das Anmeldescript im Active Directory Profil des Benutzers? Somit hätte ich wohl wirklich nur die "Computerkonfiguration" als Ausweg. @echo off :OSPP reg query HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM if %errorlevel%==1 (goto RUN) else (goto END) :RUN set ProgramFilesPath=%ProgramFiles% "%ProgramFilesPath%\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPREARM.EXE" C:\Windows\system32\cscript.exe "%ProgramFilesPath%\Microsoft Office\Office14\ospp.vbs" /act set ProgramFilesPath=%ProgramFiles(x86)% "%ProgramFilesPath%\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPREARM.EXE" C:\Windows\system32\cscript.exe "%ProgramFilesPath%\Microsoft Office\Office14\ospp.vbs" /act REG ADD "HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM" :END Exit

Hallo, ich habe eine Win2k8R2 Domain. Ich fuehre mehrere Script beim Anmelden aus (GPO Anmeldescripte fuer User und Computer). Es gibt allerdings einige, die "administrative" Berechtigungen benötigen. Laufen solche Script bzw. Befehl denn in den GPOs nicht von Haus auf mit administrativen Berechtigungen? Wenn nein, wie könnte man es anstellen solche Script mit höheren Berechtigungen laufen zu lassen. Beispiel: "C:\windows\system32\cscript.exe" läuft nicht, auch nicht, wenn ich es unter den GPOs der "Computerkonfiguration" als Startscript hinzufüge.

Danke für euere Beiträge. Das mit dem Overkill habe ich mir schon gedacht, wollte aber eigentlich nicht jede Berechtigung jeder OU für einen User anfassen.

Hallo, wir haben hier eine AD 2008 R2. Nun gibt es meines Wissens nach, DREI Möglichkeiten, wie ich einem bestimmten User (Nicht Domänen Admin) erlaube, "Computerkonten" zur Domäne hinzuzufügen. 1. Über die Objektverwaltung (Delegierung) mit der Option "Fügt einen Computer einer Domäne hinzu" 2. Über die Computerkonfiguration Gruppenrichtlinie "Hinzufügen von Arbeitsstationen zur Domäne" 3. Benutzer zur Gruppe "Konten-Operatoren" hinzufügen. Nun die große Frage: Wo liegt der Unterschied bzw. was sollte man vielleicht nicht einsetzen? Ich habe einen User, den ich explizit für das Hinzufügen von Computerkonten einsetzten möchte. Allerdings soll der User in der Lage sein ein Computerobjekt in jeder OU zu erstellen und nicht nur in der System OU "Computers".