NorbertFe 2.050 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai korrekt. Das Deaktivieren hatte man zu 2003 Zeiten empfohlen, weil es da wohl Performanceprobleme gab (merkbar wegen der damaligen Hardware) und weil zu dieser Zeit natürlich noch jede Menge alte Systeme unterwegs waren, die damit nicht klarkamen. Beides sollte heutzutage der Vergangenheit angehören. :) Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 15. Mai Autor Melden Teilen Geschrieben 15. Mai Guten Morgen, ich habe die Richtlinie nun aktiviert (gehabt) und musste Sie leider zurücksetzen, da reihenweise Zugänge im AD (aufgrund zu vieler Fehlanmeldungen) gesperrt wurden. Ehrlicherweise muss ich sagen, dass die GPO auch heute Vormittag zum Tagesbeginn aktiviert bzw. geändert habe. Liegt es ggf. daran, dass die GPO noch nicht von allen Systemen übernommen wurden? Auf dem DC wurden Fehler wie 12294 verzeichnet. Das Konto von XXX in der SAM-Datenbank konnte aufgrund eines Ressourcenfehlers, z. B. ein Schreibfehler auf der Festplatte, nicht gesperrt werden. Der Fehlercode ist in den Fehlerdaten zu finden. Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses Konto zurück. Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 15. Mai Melden Teilen Geschrieben 15. Mai vor 9 Minuten schrieb roccomarcy: Ehrlicherweise muss ich sagen, dass die GPO auch heute Vormittag zum Tagesbeginn aktiviert bzw. geändert habe. Wäre vielleicht sinnvoller, sowas eben nicht zum Tagesstart zu setzen, sondern eher zum Feierabend. ;) Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 15. Mai Autor Melden Teilen Geschrieben 15. Mai Gibt es denn eine Reihenfolge, die man einhalten sollte? Das Problem könnte mir ja abends wieder ereilen, wenn ich die Settings aktiviere aber umliegende Systeme evtl. gar nicht mehr die GPO abrufen können. Oder ist die Vermutung quatsch? Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 15. Mai Melden Teilen Geschrieben 15. Mai Ich würde sagen auf den DCs anschalten und die auch ggf. mal Rebooten. Danach dann für alle Clients. Denn die Clients sprechen ja signiert, wenn der Server zustimmt. Und der bietet ja jetzt nur noch mandatory SMB Signing an. Zitieren Link zu diesem Kommentar
daabm 1.357 Geschrieben 15. Mai Melden Teilen Geschrieben 15. Mai Ich würde es andersherum machen - GPO auf eine Gruppe von Testclients einschränken und SMB dort dann erzwingen. Auf den DCs kann man da nix selektiv machen, entweder man erzwingt es oder halt nicht. vor 9 Stunden schrieb roccomarcy: Fehler wie 12294 SMB Signing hat "eigentlich" nichts mit Account-Sperrungen zu tun. Vielleicht hast Du mehr als nur eine Herausforderung... Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 15. Mai Melden Teilen Geschrieben 15. Mai vor 39 Minuten schrieb daabm: GPO auf eine Gruppe von Testclients einschränken und SMB dort dann erzwingen. Hmm, am Ende doch aber Wurst. Auf den dcs ist es deaktiviert. Also sollten sich diese testclients dann nicht mehr sinnvoll anmelden können, oder? Zitieren Link zu diesem Kommentar
MurdocX 952 Geschrieben 15. Mai Melden Teilen Geschrieben 15. Mai Es genau anderst herum Signing erfordert nur der DC in der Standardeinstellung. Microsoft network server Digitally sign communications (always) - Windows 10 | Microsoft Learn Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 15. Mai Melden Teilen Geschrieben 15. Mai Nur dass der to nicht den Standard hat, wenn ich mir sein erstes posting anschaue. Zitieren Link zu diesem Kommentar
MurdocX 952 Geschrieben 15. Mai Melden Teilen Geschrieben 15. Mai So verstehe ich das auch. Laut Dokumentation (ich kanns gerade nicht validieren) wurden die Standard-Einstellungen der DDCP verändert. Hier muss jetzt alles kontrolliert werden. So würde ich es jetzt machen: Signing auf den DCs wieder aktivieren Signing auf den Servern forcen Signing auf den Clients forcen Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 15. Mai Melden Teilen Geschrieben 15. Mai Aussperren geht ja afair nicht mehr seit irgendeinem Update. ;) insofern also quasi gefahrlos. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.