Kuddel071089 9 Geschrieben 25. Juli 2022 Melden Geschrieben 25. Juli 2022 (bearbeitet) Hallo zusammen, wir müssen bei uns auf allen Windows Server (über 750) die DNS Server aktualisieren. Dafür gibt es ja mehrere Möglichkeiten: 1. per GPO setzen 2. per remote Powershell mit AD-User 3. per remote User und local Admin und LAPS PW Option 1 würde ich im Nachgang aktivieren und nicht für die eigentliche Aktualisierung verwenden oder? Option 2 wäre möglich, allerdings wird dann auf jedem Server ein Profil von meinen User erzeugt Option 3 wäre am besten, allerdings habe ich bisher noch keine Remote Verbindung mit dem lokalen Admin zu Stande bekommen Was habt ihr für Tips für mich? Habe ich evtl. noch eine Möglichkeit vergessen? Vielen Dank schon einmal -------------------- EDIT: Ich habe es soeben doch mit dem lokalen Admin und dem LAPS PW hinbekommen. Allerdings muss man dazu auf dem Quellserver, auf dem die Befehle ausgeführt werden sollen, folgenden Befehl ausführen: Set-Item -Path WSMan:\localhost\Client\TrustedHosts -Value '*' Ich kann gerade nicht abschätzen, welche Auswirkungen dieser Befehl bzgl. der Sicherheit hat. Evtl. wäre das eine Option für die Umstellung und man würde den Eintrag am Ende des Skriptes wieder Rückgänging machen? bearbeitet 25. Juli 2022 von Kuddel071089 Zitieren
testperson 1.761 Geschrieben 25. Juli 2022 Melden Geschrieben 25. Juli 2022 Hi, die Option 1 würde ich gar nicht in Betracht ziehen. Das fällt einem später mit Sicherheit auf die Füße, da es - in meinen Augen - eine relativ ungewöhnliche Option ist, die DNS Server an die Clients zu bringen. Bei Option 2 hätte ich kein Problem mit den Benutzerprofilen, was stört dich da? Die TrustedHosts aus Option 3 solltest du auch per GPO konfigurieren können. Da kannst du anstatt der Value "*" auch die FQDNs oder IP-Adressen der zugreifenden Computer nehmen. Oder etwas moderater mit einer Wildcard wie bspw. "*.<deine Domain>.<tld>" ran gehen. Falls es eine Softwareverteilung oder ein Clientmanagement gibt, könnte man darüber noch prüfen, ob sich diese dafür nutzen lässt. Gruß Jan Zitieren
NorbertFe 2.175 Geschrieben 25. Juli 2022 Melden Geschrieben 25. Juli 2022 (bearbeitet) vor 26 Minuten schrieb Kuddel071089: Option 1 würde ich im Nachgang aktivieren und nicht für die eigentliche Aktualisierung verwenden oder? Würde ich auf jeden Fall ganz nach hinten auf irgendwelche Listen setzen. DNS per GPO zu konfigurieren ist als würde man die Henne fragen ob das Ei zuerst da war. ;) Wie wärs denn, das einfach in ein Startup Skript zu packen und die Kisten bei nächster GElegenheit zu booten? Alternativ per GPP einen Task verteilen, der das dann im Systemkontext regelt. bearbeitet 25. Juli 2022 von NorbertFe 1 Zitieren
cj_berlin 1.408 Geschrieben 25. Juli 2022 Melden Geschrieben 25. Juli 2022 vor 34 Minuten schrieb testperson: die Option 1 würde ich gar nicht in Betracht ziehen. Das fällt einem später mit Sicherheit auf die Füße, da es - in meinen Augen - eine relativ ungewöhnliche Option ist, die DNS Server an die Clients zu bringen. das würde ich auch aus einem anderen Grund nicht machen: Zitieren
Kuddel071089 9 Geschrieben 25. Juli 2022 Autor Melden Geschrieben 25. Juli 2022 Vielen Dank schon einmal für die schnellen Rückmeldungen. Option 1 werde ich dann mal direkt streichen Zitieren
cj_berlin 1.408 Geschrieben 25. Juli 2022 Melden Geschrieben 25. Juli 2022 vor 35 Minuten schrieb NorbertFe: Wie wärs denn, das einfach in ein Startup Skript zu packen und die Kisten bei nächster GElegenheit zu booten? Alternativ per GPP einen Task verteilen, der das dann im Systemkontext regelt. Zitieren
Kuddel071089 9 Geschrieben 25. Juli 2022 Autor Melden Geschrieben 25. Juli 2022 Die Option Startskript ist natürlich auch noch eine gute Möglichkeit. Problem beim Startskript als auch bei Task per GPO, man hat keine Überblick. Wenn man das per Remote PS macht, sieht man immer direkt, wo es umgesetzt wurde und wo nicht (wenn man die aktuelle Konfig prüft) Zitieren
NorbertFe 2.175 Geschrieben 25. Juli 2022 Melden Geschrieben 25. Juli 2022 vor 1 Minute schrieb Kuddel071089: Problem beim Startskript als auch bei Task per GPO, man hat keine Überblick. Warum nicht? Ist ja nur die Frage wie gut dein Startskript ist :) Zitieren
Kuddel071089 9 Geschrieben 25. Juli 2022 Autor Melden Geschrieben 25. Juli 2022 vor 6 Minuten schrieb NorbertFe: Warum nicht? Ist ja nur die Frage wie gut dein Startskript ist :) stimmt auch wieder. Man kann natürlich direkt eine Art Logging konfigurieren. Danke für den Hinweis Zitieren
cj_berlin 1.408 Geschrieben 25. Juli 2022 Melden Geschrieben 25. Juli 2022 Was lernen wir also aus diesem Thread? Konfigurationsmanagement auf Servern ist NICHT optional, wenn man mehr als einen oder zwei davon hat 1 Zitieren
Sunny61 819 Geschrieben 25. Juli 2022 Melden Geschrieben 25. Juli 2022 vor 4 Stunden schrieb Kuddel071089: 1. per GPO setzen Man sieht den vergebenen DNS Server dann auch nicht via ipconfig /all auf der Konsole. Wir hatten das Thema hier im Forum schon mal in einem Thread. Da hat sich das am Ende rausgestellt, dass der DNS via GPO eingetragen wurde. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.