Hi @all,

wir wollen in unserer Firma den Umstieg auf Windows 10 forcieren. Allerdings sind die Clientgeräte in der administrativen Obhut ihrer Benutzer. Alle unser Client und Serverbetriebsysteme werden von eimen KMS Server aktiviert. Die Unileitung will die Benutzer allerdings nicht zum Umstieg zwingen, hat allerdings entschieden nicht supportete Betriebssysteme von der Aktivierung ausschliessen zu wollen. Gibt es eine Möglichkeit, dieses zu realisieren, ohne andere Betriebsysteme und Officeprodukte in deren Aktivierung zu beeinträchtigen? Der KMS Server läuft auf OS Server 2012R2.

Bitte um Info.

LG, Bernhard

Hallo zusammen,

aktuell haben wir in unserer Windows Server Umgebung mit hoher CPU Last beim Ausführen eines Scans (egal ob Quick oder Full) über den Windows Defender zu kämpfen. Unsere Umgebung besteht aus Windows Servern 2016 und 2019, welche regelmäßig via SCCM (Version 2002) mit aktuellen Updates/Securtiy Updates/Defender Updates versorgt werden. 

In der Default Policy für den Endpoint haben wir im SCCM einen wöchentlichen Full-Scan und einen täglichen Quick-Scan mit einer CPU-Beschränkung von 30% definiert. 

Die Konfiguration wurde soweit korrekt an die Agents weitergegeben. Die Einstellung bzgl. des Throttling lässt sich ebenfalls via Powershell "Get-MpPreference" und in der Registry unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan\AvgCPULoadFactor" bestätigen.

Allerdings haben wir seit dieser Woche verstärkt das Problem, dass beim Ausführen eines Scans der Prozess "MsMpEng.exe" deutlich mehr (dauerhaft zwischen 90% -100%) CPU in Anspruch nimmt. Bei einem nächtlichen Full-Scan hat das bereits zur Folge gehabt, dass unsere virtualisierten Windows Hosts in die Knie gegangen sind.

Deshalb meine Frage hierzu: Was könnte das Nichtbeachten des CPU-Limits beim Defender herbeigeführt haben und wie kann man den Windows Defender wieder dazu zwingen, nicht über 30% CPU-Last zusteigen?

Noch ein paar weitere Informationen:

Folgende Pfade wurden exkludiert:

• %windir%\SoftwareDistribution\Datastore\Datastore.edb
• %windir%\SoftwareDistribution\Datastore\Logs\Res*.log
• %windir%\SoftwareDistribution\Datastore\Logs\Res*.jrs
• %windir%\SoftwareDistribution\Datastore\Logs\Edb.chk
• %windir%\SoftwareDistribution\Datastore\Logs\Tmp.edb
• %windir%\Security\Database\*.edb
• %windir%\Security\Database\*.sdb
• %windir%\Security\Database\*.log
• %windir%\Security\Database\*.chk
• %windir%\Security\Database\*.jrs
• %ALLUSERSPROFILE%\NTuser.pol
• %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• %SystemRoot%\System32\GroupPolicy\User\registry.pol
• %windir%\temp

Ein Versuch das Limit via Active Directory Gruppenrichtlinie zusetzen, hat ebenfalls keine Veränderung des Zustandes herbeigeführt. 

Liebe Grüße

Marcel

Ich habe seit der Migration auf Server 2016 folgendes Problem mit einem Drucker.

Der Drucker ist am Server installier und hat entsprechende Anpassungen bei den Standard Werten (Ausgabe Fach, Papierformat etc.). Diese Einstellungen werden vom Client (Win10) in der Regel übernommen und angewendet.

Wenn der Server gebootet wird verliert der Client beim nächsten Start diese Einstellungen. Stellt man nun die Werte am Client manuell ein, so werden diese bis zum nächsten SERVERNEUSTART behalten. Der Client wird in zwischen täglich gestartet und heruntergefahren, ohne die Einstellungen zu verlieren.

Wir aber der Server gebootet, verliert der Client die Standardwerte vom Server und steht auf default Treiber Einstellungen.

Drucker Treiberupdates wurde bereits mehrfach über die zeit von mehr als 12 Monaten immer wieder (Verfügbarkeit) durchgeführt.

Drucker wurde gelöscht, neu installiert. Freigabe neu gesetzt.

Userprofil wurde am Client gelöscht.

Andere User/Clients zeigen das gleiche Problem.

Drucker werden über GPO verbunden.

Fragen gerne stellen. Antworten Hilfe würden mich sehr freuen.

Servus Community,

wir haben einen Server, auf den wir Nachts unseren lokal gespiegelten Fileserver synchronisieren. Dieser steht jetzt im Rechenzentrum eines Tochterunternehmens. Jetzt überlegen wir, ob wir als zusätzliche Maßnahme diesen Server verschlüsseln sollen. Ist es für die Synchronisation unerheblich, wenn die Quelle unverschlüsselt ist, das Ziel jedoch verschlüsselt? Auf welcher Ebene findet die Verschlüsselung statt? Note: Ein Hardware RAID 6 ist die Basis des HDD Subsystems.

Das Problem, dass wir bei einem Serverneustart noch vor Erreichen der Möglichkeit RDP zu nutzen, ein Passwort eingeben müssen, können wir lösen. Der Server verfügt über ein iLO Management System, über welches wir eine Remotekonsole öffnen können, um das Passwort einzugeben.

THx & Bye Tom

Hallo Community, 

ich habe mittlerweile keine Ahnung mehr. 

Wieso wird denn der Punkt "Audio" bei Terminaldienstkonfiguration/Verbindungen/RDP-Tcp/Clienteinstellungen grau hinterlegt? Ich kann den Haken da nicht raus nehmen, sodass der Ton weitergegeben werden soll. 

Hat da jemand eine Idee? 

Hallo,

ich habe hier einen TS 2019 (Hardware tut hier mMn nichts zur Sache) auf welchem einige Drucker verwaltet werden, u.a. Netzwerkdrucker, USB Drucker und lokale über VPN verbundene Drucker. Diese wurden mit local Ports auf dem Server angelegt. Das funktionierte bis zum Juni Update auch hervorragend.Drucker sind übrigens überwiegend Brother Geräte, aber auch Epson

Seitdem verschwinden bei jedem Neustart des Servers die local Ports der dazugehörigen Drucker - beim Neustart sind auch die VPN Arbeitsplätze nicht aktiv - somit vergisst Windows anscheinend, wo die dazugehören. In der Registry sind die Ports übrigens noch hinterlegt... Nun ja, das Sonderupdate KB4567513 brachte keine Änderung - außer dass die Systemsteuerung im Bereich Drucker extrem langsam reagiert und auch des öfteren abstürzt.

Ich hoffte nun auf das Juli Update - gerade eingespielt - leider erfolglos. Das Problem dabei sind jetzt nicht nur die VPN User, die nicht mehr drucken können, sondern auch, dass lokale Druckvorgänge v.a. unter Word entweder sehr lange dauern (Drucker werden gesucht) oder gleich abstürzen, da die User nicht so lange warten (wollen).

Kennt hier jemand eine Lösung oder Workaround?

Ich will nicht jedesmal die Drucker über Powershell neu verbinden müssen. Das ist eine essentielle Funktion, welche einfach zu funktionieren hat. TS und Drucken war ja noch nie ein Spaß, aber sowas geht mir auf den Geist - ein wenig QM seitens MS können wir schon erwarten!

Vielen Dank schonmal!

Hallo,

unser alter SBS2011 soll jetzt endgültig aus unserem Netzwerk entfernt werden.
Dieser hatte die letzten Jahren nur noch als Server für die Backsoftware gedient, welche jetzt auch auf einen neuen Server gewechselt ist.
Als neuer DC wurde schon vor Jahren ein Windows Server 2012 R2 eingerichtet, auf welchem auch den Exchange Server 2016 läuft, welcher den Exchange Server 2010 vom SBS2011 abgelöst hat. Das lief jetzt auch über Jahre ohne Probleme.
Auf diesen Windows 2012 R2 server wurden alle FSMO Rollen übertragen, das habe ich jetzt nochmal überprüft
Schemabetriebsmaster Rolle übertagen = Okay
RD/PDC/Infrastruktur Master übertragen = Okay
Domänennamen Betriebsmaster übertragen = Okay
Im letzten Schritt wollte ich den alten, jetzt nicht mehr benötigten SBS2011 Server über den Befehl "dcpromo” als Domänencontroller herabstufen. Dabei erhielt ich aber folgende Fehlermeldung: "Die Active Directory-Zertifikatdienste müssen entfernt werden, bevor die Active Directory.Domaänendienste installiert oder entfernt werden können."

Meine Frage ist jetzt, kann ich die Zertifikatdienste auf dem SBS2011 so einfach installieren? Ich habe da die Befürchtung damit den Exchange Server 2016 mit dessen Zertifikaten zu beschädigen.

Ich habe mir die Zertifikate Mal in der MMC anzeigen lassen und tatsächlich finde ich dort unter"Eigene Zertifikate" ein Zertifikat, welches für den Windows2012R2-Server ausgestellt ist und als "Ausgestellt von..." steht der alte SBS2011 Server. Als "beabsichtigte Zwecke" wird "Clientauthentifizierung und Serverauthentifizierung" angegeben.

Kann mir jemand vielleicht weiterhelfen, wie ich jetzt weiter verfahren soll? Darüber wäre ich wirklich sehr Dankbar.

mit freundlichen Grüßen,

Heiko Witt

Heiko

Hallo,

im Eventlog stehen sammeln sich mit der Zeit enorm viele Daten. Gibt es eine zentrale Übersicht/Darstellung, welche Einstellungen alle getätigt wurden, um Daten in das Eventlog zu schreiben? Aktuell suche ich manuell in der GPO und in der Verzeichnissicherheit.

Danke

Hallo.

Ein Kunde hat intern mehrere Server laufen. Damit diese aus dem Internet erreichbar sind, wurde auf der Firewall ein Portforwarding auf verschiedene Ports geschalten.

Port 9000 auf 192.168.1.15:443

Port 8090 auf 192.168.1.10:443

Port 443 auf 192.168.1.3 (Mailserver - Exchange)

Der Zugriff erfolgt immer https://remote.meinedomain.com:Portnummer aus dem Internet

Nun haben wir das Problem, dass auch aus dem internen Netz mit dem Port 9000 gearbeitet werden muss, da die Applikation entweder ein Port oder eben kein Port konfiguriert haben kann.

Kann ich es intern so einstellen, dass beim Zugriff auf https://remote.meinedomain.com:9000 auf die interne IP 192.168.1.15:443 zugegriffen wird.

Server 2012

Danke im Voraus für eure Hilfe

Hallo zusammen,

Ich habe ein Problem mit dem Windows DNS-Server.

Folgender Fall:

- Zone contoso.com existiert

- A-Record abc.def (abc.def.contoso.com) ==> 123.123.123.123 existiert in dieser Zone

- Nun erstelle ich eine neue Zone def.contoso.com

- Windows DNS delegiert automatisch den "Unterordner" def der Zone contoso.com; somit ist obiger A-Record weg

Gibt es eine Möglichkeit, diese "Auto-Delegation" auszuschalten, wie es meines Wissens nach auch in früheren Windows-Server-Versionen war?

Danke und schönen Gruß

Twenix

Hello Team,

is it possible to have a RDS Session Host in a different (2-way-trusted) domain than its corresponding RDS Connection Broker?

I want to create two collections, each consisting of multiple session hosts in different domains.

Thank you!

Hallo liebe IT Kollegen.

Wir haben seit einigen Tagen das Problem das unsere Drucker auf den Druckservern nicht mehr im AD veröffentlicht werden.

Unsere Konfiguration besteht aus einem Windows Server 2012R2 und einem Windows Server 2019 Druckserver.
Nachdem wir einen neuen Drucker auf einen der Druckserver Installieren und den Haken bei im Verzeichnis anzeigen setzen erscheint folgende Meldung im Event Log des Druckservers unter ServerRoles/Druck und Dokumentendienste.

Die erste Fehlermeldung sieht so aus:

Die zweite Meldung im Eventlog sieht so aus:

Kennt jemand diesen Fehler vielleicht, wir suchen bereits seit einigen Tagen finden aber keine Lösung, probiert haben wir auch schon allles mögliche wie Firewall gecheckt, LDAP Anbindung des Servers zum DC getestet, Konfiguration der IP Adresse und DNS Server, Active Directory überprüft mit Dcdiag /v etc. pp.

Ich habe den verdacht das es sich um ein Rechte Problem handeln kann, nur leider liefen die Server schon über Monate ohne Probleme.

Vielleicht noch ein Anhaltspunkt: Wir haben zwischenzeitlich einen neuen Minolta Kopierer in Betrieb gesetzt, dieser Kopierer hatte Tonnen an Diensten an Board die wir nach und nach abgeschaltet haben, z.B. Bonjour etc. den Kopierer haben wir derzeit wieder vom Netzwerk abgeklemmt weil wir den Verdacht hatten dass der Kopierer irgend etwas macht womit unsere Printserver nicht klar kommen.

Was uns in diesem Zusammenhang aufgefallen ist, ist das die Fehlermeldung im Event Log der Druckserver sich verändert hatten.

Mit aktiven Kopierer sah die Fehlermeldung so aus:

Hallo,

um die lästigen Zertifikatsfehler beim Aufruf der .rdp Verbindung zu umgehen habe ich mich an das CA-Thema gewagt.

Bisher habe ich eine Root-CA erstellt auf der AD-CA. Hier habe ich die Computervorlage kopiert, in den Application Policies habe ich die Einträge entfernt und "Remote Desktop Auth" hinzugefügt. Die Vorlage wurde schließlich aktiviert und mittels GPO als "Zertifikatvorlage für Serverauthentifizierung" hinterlegt.

Beim Verbinden via IP auf einen der RD-Sitzungshosts erhalte ich trotzdem noch 2 Pop-Ups:

- Der Herausgeber dieser Remoteverbindung kann nicht identifiziert werden

- Der Servername auf dem Zertifikat ist falsch (Angefordert steht dort die IP, im Zertifikat des Remotecomputers steht der volle Hostname)

Vielen Dank!

Bisher konnte ich über den Servernamen \\servername - ohne Domaine auf meinen Server mit dem Windows 10 Rechner zugreifen.

Seit dem Update 1904 kann ich das nicht mehr.

Ich brauche jetzt die Domaine \\servername.domaine

Damit funktionieren Verknüpfungen in meinem Zeichenprogramm Solid Edge nicht mehr.

Kann man zurück - oder gibt es eine Hilfestellung dafür?

Hallo Zusammen,

seit einiger zeit bekomme ich im Ereignisprotokoll viele Fehler angezeigt (ca 2-3 mal pro Minute)

die Konstellation meiner Server ist:

Windows Storage Spaces 2012r2

Node1

Node2

Hyperv-2016

HV1

HV3

HV4

Es ist ein sehr spannendes Verhalten.

denn ich bekomme folgende Fehlermeldungen:

Node1

SMBWitnessService  Event ID 26

Fehler (Die Gruppe oder Ressource haben für diesen Vorgang nicht den richtigen Zustand.) bei der Registrierungsanforderung vom Zeugenclient (HYPERV4) an den Zeugendienst für "\\Freigabe".

Node2

SMBWitnessService  Event ID 26

Fehler (Die Gruppe oder Ressource haben für diesen Vorgang nicht den richtigen Zustand.) bei der Registrierungsanforderung vom Zeugenclient (HYPERV1) an den Zeugendienst für "\\Freigabe".

HyperV1

SMBWitnessClient EventID 30
Der Zeugenclient konnte nicht beim Zeugenserver "NODE2" für die Benachrichtigung unter "\\Freigabe" registriert werden. Fehler: Die Gruppe oder Ressource haben für diesen Vorgang nicht den richtigen Zustand.

HyperV3

Keine SMB Fehler

HyperV4

SMBWitnessClient Event ID 30
Der Zeugenclient konnte nicht beim Zeugenserver "NODE1" für die Benachrichtigung unter "\\Freigabe" registriert werden. Fehler: Die Gruppe oder Ressource haben für diesen Vorgang nicht den richtigen Zustand.

Ich hoffe es kann mir hier jemand weiterhelfen leider habe ich sonst nichts gefunden was mir zu einer Lösung verholfen hat

Danke im Voraus

John

Hallo zusammen,

Der Speicherbedarf steigt immer weiter an, obwohl ich eigentlich dachte er stagniert irgendwann. Aktuell bin ich bei 220 GB mit folgenden Produkten: 

Defender Antivirus
Microsoft Edge
Windows 10 Version 1903 and later
Windows 10
Windows Server 2012 R2
Windows Server 2019
Office 2010

Klassifizierungen:

Definitionsupdates
Sicherheitsupdates
Updates
Upgrades
Wichtige Updates
Einmal wöchentlich wird der folgende Befehl per Aufgabenplanung ausgeführt. 

Get-WsusServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Dabei wird in der Regel auch Speicherplatz freigegeben aber nichtsdestotrotz steigt der Speicherbedarf stetig an, was natürlich auf Dauer kritisch ist. Was mache ich falsch? Sind solche Afräumskripts wirklich zwingend erforderlich?

VG

Tobias

Hallo zusammen,

Ich würde WSUS und die GPOs gerne so konfigurieren, dass Updates einfach installiert werden und die Installation dann beim täglichen Feierabend-herunterfahren abgeschlossen wird. Die User sollen keine Nachrichten bekommen, dass der PC bald heruntergefahren wird/ heruntergefahren werden muss. Leider bekomme ich es mit der aktuellen Konfiguration nicht hin, obwohl sich die Einstellungen für mich so lesen als sollten sie das abbilden was ich mir vorstelle. Es muss häufig in den Systemeinstellungen auf "Jetzt installieren" geklickt werden.

Aktuell sind die GPOs folgendermaßen konfiguriert:

Automatische Updates konfigurieren:

4 - Autom. Herunterladen und laut Zeitplan installieren
Während automatischer Wartung: deaktiviert
Installationstag: täglich
Installationszeit 10:00
Jede Woche: aktiviert
Automatische Upates sofort installieren:

aktiviert

Keinen automatischen Neustart für geplante Installationen automatischer Updates wenn Benutzer angemeldet ist:

aktiviert

Ich hatte das auch direkt am WSUS mal realisiert indem ich Stichtage definiert hatte, allerdings wird da ja der PC auch rigoros einfach heruntergefahren, wenn der Stichtag erreicht ist und das Update "zwangsinstalliert" wird. Das Verhalten ist leider auch nicht optimal.

Habe ich irgendwo einen Denkfehler oder ist Userinteraktion gar zwingend erforderlich?

VG

Tobias

Hallo zusammen,

anscheinend funktioniert unter 2019 die unbeaufsichtigte Installation (WDS-Server - Eigenschaften - Client) nicht.

Die Einstellungen der dort hinterlegten xml-Datei (die selbe wie ich sie schon unter 2016 benutzt habe) werden nicht angewendet. Auf den Clients bleibt der Ordner X:\Sources\wdsunattend leer. Normalerweise sollte dort die oben konfigurierte Datei als wdsunattend.xml liegen.

Ich habe derzeit zwei 2019er mit WDS laufen und auf beiden tritt das Problem auf.

Kann das jemand bestätigen?

Pit

english version below

Moin,

ich möche server 2008 r2 Foundation sp1 auf server 2019 upgraden dazu muss ich laut Microsoft erst auf sp2 und dann  auf server 2008 r2 Standard upgraden. leider funktionier das sp2 iso (6002.18005.090410-1830-1_iso_update_sp_wave1-RTMSP2.1_DVD) welche ich online bei ms runterladen kann nicht und es wird als nicht kompatibel ausgegeben.  der Telefonsupport hab mich ans Forum verwiesen da sie auch keine link findne konnten.

Vielen dank für die Hilfe 

Hello,

I cam currently tyring to upgrade an Server 2008 Foundation r2 with sp1 to server 2019 Accoring to an ms doc I have to upgrade to sp2 thent so 2008 r2 standart. unfotunally i cant finde the sp2 download for the foundation edition i tyied the normal one ( iso 6002.18005.090410-1830-1_iso_update_sp_wave1-RTMSP2.1_DVD) and only got an wrong editon error. the phone support didn't have a linke and told me to ask here. 

thanks for the help 

Servus Community,

unsere Geschäftsleitung möchte eine Liste aller sicherheitsrelevanten Passwörter haben und jetzt suchen wir nach einer Lösung, mit der wir alle leben können. Die Systemverwaltung gibt diese Passwörter selbstverständlich nur sehr ungern heraus und die GL möchte sich natürlich für den Falle eines Falles absichern. Die rechtliche Situation ist eindeutig, die GL hat das Recht die Passwörter anzufordern.

Wir sind bei den Überlegungen jetzt da angekommen, dass wir für die GL jetzt einen eigenen Admin Account anlegen (gladmin) und würden diesen jetzt gerne auf das notwendigste einschränken. Idealerweise keine lokale Anmeldung (weder auf Servern, noch auf Workstations, keine Änderung von Benutzerpasswörter etc.), sondern im Grunde müsste dieser gladmin nur der Lage sein, dass Passwort des Domänenadministrators zurückzusetzen. Damit wäre die GL dann in der Lage, die ganze Sache zu übernehmen. (Wie) Geht das überhaupt?

Gibt es dafür zB eine Best Practice Vorgehensweise? Auch würden wir dann die entsprechenden Überwachungsrichtlinien konfigurieren, evtl. wäre das jedoch schon Gegenstand eines entsprechenden Tutorials...

Thx & Bye Tom