Het grote kleine-SysOps-vragen topic deel 1

BabaaserGames schreef op dinsdag 16 februari 2021 @ 13:15:
Beste allemaal, voor mijn stage moest ik onderzoek doen naar wat momenteel populaire monitoringsystemen zijn. Daarom vraag ik jullie bij deze welk systeem jullie gebruiken en waarom jullie hiervoor gekozen hebben.

Het Grote Monitoring Topic

HKLM_ schreef op dinsdag 16 februari 2021 @ 12:04:
Ik moet een aantal Azure Container Registry updaten op onze omgeving maar ik loop vast hoe Heeft iemand hier ervaring mee en kan die persoon mij opweg helpen? Mijn google skills laten mij ook in de steek haha

Het lijkt me dat je een nieuw Docker Image maakt en die pusht. Heb je dat?

https://docs.microsoft.co...ry-get-started-docker-cli

[ Voor 11% gewijzigd door Galukon op 16-02-2021 13:54 ]

HKLM_ schreef op dinsdag 16 februari 2021 @ 12:04:
Ik moet een aantal Azure Container Registry updaten op onze omgeving maar ik loop vast hoe Heeft iemand hier ervaring mee en kan die persoon mij opweg helpen? Mijn google skills laten mij ook in de steek haha

if you are building your images via ACR tasks they do that automatically for the following base images:

• The same Azure container registry where the task runs
• Another private Azure container registry in the same or a different region
• A public repo in Docker Hub
• A public repo in Microsoft Container Registry

https://docs.microsoft.co...#base-image-notifications

Galukon schreef op dinsdag 16 februari 2021 @ 13:53:
[...]

Het lijkt me dat je een nieuw Docker Image maakt en die pusht. Heb je dat?

https://docs.microsoft.co...ry-get-started-docker-cli

Turdie schreef op dinsdag 16 februari 2021 @ 14:37:
[...]


if you are building your images via ACR tasks they do that automatically for the following base images:

• The same Azure container registry where the task runs
• Another private Azure container registry in the same or a different region
• A public repo in Docker Hub
• A public repo in Microsoft Container Registry

https://docs.microsoft.co...#base-image-notifications

Thx beide @Turdie jouw links was ik nog niet tegen gekomen... dat ga ik donderdag eens navragen. Probleem is dat ik de meldingen zie in het security center maar de persoon die het heeft opgezet geen idee heeft hoe en wat Zelf ben ik ook nog een beginner haha maar ik ga eens checken of hij ACR gebruikt.

HKLM_ schreef op dinsdag 16 februari 2021 @ 19:53:
[...]


[...]


Thx beide @Turdie jouw links was ik nog niet tegen gekomen... dat ga ik donderdag eens navragen. Probleem is dat ik de meldingen zie in het security center maar de persoon die het heeft opgezet geen idee heeft hoe en wat Zelf ben ik ook nog een beginner haha maar ik ga eens checken of hij ACR gebruikt.

Je bedoelt waarschijnlijk ACR tasks?
Je kunt die taken ook zelf aanmaken az acr tasks
https://www.shudnow.io/20...eb-app-containers-part-3/

Turdie schreef op dinsdag 16 februari 2021 @ 20:02:
[...]


Je bedoelt waarschijnlijk ACR tasks?
Je kunt die taken ook zelf aanmaken az acr tasks
https://www.shudnow.io/20...eb-app-containers-part-3/

Ja dat bedoel ik (n.a.v je post) dat ga ik eens nader bekijken thx! Ik update binnenkort of het gelukt is.

Ik heb een uitdaging waar ik even niet uit kom, wellicht kunnen jullie mij een duwtje in de juiste richting geven

1 gebruiker binnen ons domein kan geen mail meer versturen vanaf zijn telefoon. Ontvangen geen probleem, verzenden wil gewoonweg niet lukken. Heeft in het verleden altijd gewerkt, en is ook geen nieuwe gebruiker.

Wat heb ik al gedaan:
- Account verwijderd en opnieuw ingesteld
- Verschillende instellingen op de telefoon nagelopen zonder succes
- Account installeren op een ander toestel --> Zelfde probleem

Mede door die laatste actie zou ik zeggen dat het probleem in zijn AD account zit, echter heb ik geen idee waar te zoeken. Jullie enig idee ?

Neles7 schreef op donderdag 18 februari 2021 @ 14:51:
Ik heb een uitdaging waar ik even niet uit kom, wellicht kunnen jullie mij een duwtje in de juiste richting geven

1 gebruiker binnen ons domein kan geen mail meer versturen vanaf zijn telefoon. Ontvangen geen probleem, verzenden wil gewoonweg niet lukken. Heeft in het verleden altijd gewerkt, en is ook geen nieuwe gebruiker.

Wat heb ik al gedaan:
- Account verwijderd en opnieuw ingesteld
- Verschillende instellingen op de telefoon nagelopen zonder succes
- Account installeren op een ander toestel --> Zelfde probleem

Mede door die laatste actie zou ik zeggen dat het probleem in zijn AD account zit, echter heb ik geen idee waar te zoeken. Jullie enig idee ?

Krijgt de gebruiker een foutmelding of verdwijnt de verzonden mail in een zwart gat?

Check wat het primaire email adres is. Dat wordt gebruikt voor uitgaand mailen. Let ook op eventuele regels op de mailserver.

Als de gebruiker een mail naar zichzelf stuurt, komt dit wel aan? En op de telefoon, welke app wordt er gebruikt? Zou kunnen dat die gewoon wordt geweigerd om mee te versturen zonder melding.

@Brahiewahiewa De mail blijft gewoon in de outbox staan. De foutmelding die ik in mijn zoekgeschiedenis terugvindt is: message rejected by server, had ik eigenlijk al moeten vermelden in originele post maar goed.

@Hero of Time Primaire mailadres is keurig gebruikersnaam@domein.nl
Getest met de standaard mailclient op ios, outlook op ios, gmail op android.
Het maakt niet uit aan wie de mail gericht is, gaat via de mobiele telefoon altijd fout.

[ Voor 7% gewijzigd door Neles7 op 18-02-2021 15:19 ]

Neles7 schreef op donderdag 18 februari 2021 @ 15:18:
@Brahiewahiewa De mail blijft gewoon in de outbox staan. De foutmelding die ik in mijn zoekgeschiedenis terugvindt is: message rejected by server, had ik eigenlijk al moeten vermelden in originele post maar goed.

@Hero of Time Primaire mailadres is keurig gebruikersnaam@domein.nl
Getest met de standaard mailclient op ios, outlook op ios, gmail op android.
Het maakt niet uit aan wie de mail gericht is, gaat via de mobiele telefoon altijd fout.

Exchange?
Ik zou eens kijken naar zn mailbox of die ook echt van het type user is (en niet shared oid).
En verder, check zn AD account properties eens of LinkedMasterAccount een null value heeft.

Ja exchange 2016 on-premise in dit geval.

De mailbox is wel van het type shared, maar wilde wachten met converteren tot ik zeker wist dat dit opgelost was. Maar goed als je een password eraan hangt mag het toch niet uitmaken ? (los van de aanbevolen configuratie)

Verder was die property mij onbekend dus ik weet niet of dit klopt, mijn user account geef iig <leeg> aan. Een anders shared mailbox heeft dezelfde waarde als het probleemgeval.

IsLinked : False
LinkedMasterAccount : NT AUTHORITY\SELF

Neles7 schreef op donderdag 18 februari 2021 @ 16:41:
Ja exchange 2016 on-premise in dit geval.

De mailbox is wel van het type shared, maar wilde wachten met converteren tot ik zeker wist dat dit opgelost was. Maar goed als je een password eraan hangt mag het toch niet uitmaken ? (los van de aanbevolen configuratie)

But why? Als het een gewoon useraccount is, waarom dan een shared mailbox?
Volgens mij ondersteunt ActiveSync niet fatsoenlijk shared mailboxen. Je kan die mailbox gewoon converten naar user.

Account disablen en "set-mailbox [mailbox name] -type Regular" runnen. Daarna account weer enablen en volgens mij werkt t dan naar behoren.

[ Voor 10% gewijzigd door Oogje op 18-02-2021 17:01 ]

Eens met @Oogje : je bent aan het rommelen en zo werkt Exchange niet.

En wat betreft dat LinkedMasterAccount....ik heb in t verleden gezeik met ActiveSync gehad met mailboxen die na een migratie nog een LinkedMasterAccount hadden staan en verder niets meer qua config te maken hadden met de oude mailboxen (cross-forest migratie). Dus vandaar dat ik daar naar vroeg. Het op $null zetten van die waarde heeft dan nut. Maar dat is hier niet het geval omdat die waarde gevuld is omdat het een shared mailbox is.
Dus niet gaan lopen klooien met die waarde, gewoon netjes die mailbox converten

@Oogje Waarom een shared, geen idee. WhenCreatedUTC : 16-2-2002 dat was ver voor ik hier werkte.
Ik zal voor de zekerheid de conversie uitvoeren, niet geschoten is altijd mis natuurlijk.

Bedankt voor de informatie m.b.t. LinkedMasterAccount

Leuke uitdaging: ik bben aan het stoeien met een hydrid Exchange 2013/Office365 setup. Mail oude domein wordt rechtstreeks op de exchnage server aangeboden. Nieuwe domeinnaam verwijst naar Office365. Medewerkers die reeds in de Office365 zitten, krijgen op beide domeinen mail binnen. Gedeelde mailboxen op de Exchange server ook. Alleen lokale gebruikers mailboxen op de Exchange server krijgen geen mail op de 365 domeinnaam.

Error is: 550 5.4.1 Recipient address rejected: Access denied. AS(201806281) [CWLGBR01FT010.eop-gbr01.prod.protection.outlook.com]

Nevermind, server reboot en een nachtje slapen doet wonderen.

[ Voor 5% gewijzigd door Creep op 19-02-2021 09:21 ]

De conversie is inmiddels uitgevoerd en een interne mail versturen via de telefoon gaat nu goed. Echter een externe mail als test naar zijn prive mail gaat nog verkeerd zegt hij.

Ben nog niet langs geweest dus heb nog niet op zijn telefoon kunnen kijken voor een foutmelding / het account opnieuw instellen. Maar dit vind ik ook wel bijzonder. Tips/Ideeën zijn altijd welkom natuurlijk.

Iemand ervaringen met het volgende?
HyperV host (HPE ML350 Gen10, firmware uptodate, Server 2019) heeft performance issues van tijd tot tijd. Zie in onze monitoring dat disktime piekt overdag, vervolgens zijn er netwerk timeouts en packet loss. Apps van clients en explorer lopen vervolgens vast. Is dit een known issue?

@Renegade666 5x HP EH000600JWCPL, firmware HPD5, raid 5.
Een applicatie/file server consumeert veel disk tijd. Zie dat er ook een nieuwe firmware uit is HPD6.
Lijkt erop dat alles via 1 kabel loopt, upgrade naar SSD dan maar.

Op het tijdstip dat er een timeout komt zie ik in de logboeken van machine en host:
The Network Setup Service service entered the stopped state. 7036

[ Voor 47% gewijzigd door Harmen op 25-02-2021 11:58 . Reden: Extra info ]

Wat voor schijven heb je er in @Harmen

edit:
Oke, fysieke schijven. uhm, Kun je ook zien wat er dan die schijven gebruikt?
Is het een andere VM, of HyperV zelf?
Alles over 1 netwerkkabel, of worden meerdere poorten gebruikt in LA/ of los per server?

[ Voor 82% gewijzigd door Renegade666 op 25-02-2021 11:34 ]

Kreeg vandaag een bericht van de gebruiker dat alles inmiddels weer werkt. Afgelopen dagen bezig geweest met andere zaken en er geen aandacht aan besteed, sommige problemen lossen zich vanzelf op, ideaal.

geen idee of jullie er ook last van hebben, maar groot deel van onze windows 10 h2 hebben ruzie met de GPO's op onze 2012 R2 DC's.
gpo's worden niet toegpast na het inloggen. Melding dat de Sysvol out of sync is. maar dat is niet het geval als je de logboeken na kijkt.

pa na 5 minuten een gpupdate doen en alles word toegepast.

meer mensen last van deze issues?

en nee geen last van https://msrc-blog.microso...related-to-cve-2020-1472/

Ik heb hier ook wat bijzonders.

Ik heb 2 klanten, die beide een ML380 G10 hebben, met eigenlijk hetzelfde "issue".

Klant A > De server heeft vmware, maar niet erg druk, maar zit altijd op het "randje" van fans opspinnen en dan weer afspinnen. Dit gaat de hele dag wat door. Laatst alles al bijgewerkt, mar weinig effect.

Klant B> De server heeft vmware, ook niet erg druk, maar deze loopt ook altijd te blazen, niet volledig, maar op 50% ongeveer.

Beide servers waren gewoon stil in het begin.

Renegade666 schreef op vrijdag 5 maart 2021 @ 10:13:
Ik heb hier ook wat bijzonders.

Ik heb 2 klanten, die beide een ML380 G10 hebben, met eigenlijk hetzelfde "issue".

Klant A > De server heeft vmware, maar niet erg druk, maar zit altijd op het "randje" van fans opspinnen en dan weer afspinnen. Dit gaat de hele dag wat door. Laatst alles al bijgewerkt, mar weinig effect.

Klant B> De server heeft vmware, ook niet erg druk, maar deze loopt ook altijd te blazen, niet volledig, maar op 50% ongeveer.

Beide servers waren gewoon stil in het begin.

Zou dr een keer de compressor opzetten, dikke kans dat ze net iets warmer worden door het stof dat zich de laatste jaren verzameld heeft.
En anders in BIOS gewoon de tempinstellingen iets verhogen. Gaat ie later blazen. Sure, is niet het beste voor de lifetime van die bak maar dat levert jou dan weer extra op als je nieuw spul mag leveren

Renegade666 schreef op vrijdag 5 maart 2021 @ 10:13:
Ik heb hier ook wat bijzonders.

Ik heb 2 klanten, die beide een ML380 G10 hebben, met eigenlijk hetzelfde "issue".

Klant A > De server heeft vmware, maar niet erg druk, maar zit altijd op het "randje" van fans opspinnen en dan weer afspinnen. Dit gaat de hele dag wat door. Laatst alles al bijgewerkt, mar weinig effect.

Klant B> De server heeft vmware, ook niet erg druk, maar deze loopt ook altijd te blazen, niet volledig, maar op 50% ongeveer.

Beide servers waren gewoon stil in het begin.

Lees even in iLO uit of hij alle devices ziet. HPe heeft een methode om, als de insteekkaarten niet worden herkend, om de ventilatoren harder te laten draaien.

In de Gen8 is dat bijvoorbeeld / onder andere sensor 27 - LOM Card, deze heeft op sommige momenten ineens geen reading (vast een firmware dingetjes) en dan gaan de ventilatoren aan de rechterzijde van 7% naar 25%.

@The Eagle
Beide zijn gewoon schoon van binnen, en de temps in ILO zijn allemaal keurig onder de treshold.

@Vorkie
Ze hebben verder geen losse kaarten er ing. alleen mobo met cpu+geheugen en wat SSD"s

Renegade666 schreef op vrijdag 5 maart 2021 @ 11:27:
@The Eagle
Beide zijn gewoon schoon van binnen, en de temps in ILO zijn allemaal keurig onder de treshold.

@Vorkie
Ze hebben verder geen losse kaarten er ing. alleen mobo met cpu+geheugen en wat SSD"s

Leest ie alle temperaturen uit de SSD’s (allen ook originele HP’s?)

@Vorkie
Zijn originele HP SSD's.
Maar ik zie geen temps in ILO over de SSD"s. Zowel algemeen temperatuur lijst, als via storage bij de SSD.

Vorkie schreef op vrijdag 5 maart 2021 @ 10:54:
[...]


Lees even in iLO uit of hij alle devices ziet. HPe heeft een methode om, als de insteekkaarten niet worden herkend, om de ventilatoren harder te laten draaien.

In de Gen8 is dat bijvoorbeeld / onder andere sensor 27 - LOM Card, deze heeft op sommige momenten ineens geen reading (vast een firmware dingetjes) en dan gaan de ventilatoren aan de rechterzijde van 7% naar 25%.

[Afbeelding]

Wij hebben dit eerder gehad toen er een loop was in het netwerk, dan slaat de ilo op hol.
Probeer eens de switchpoort van de ilo uit te schakelen.

Wij backuppen de meeste van onze 95 vm's ieder uur. Die uurbackup wordt na een week samengevoegd in dagbackups, na 2 weken worden die samengevoegd tot weekbackups en later maandbackups etc. etc.

Die backup staat in onze serverruimte en wordt nadat de backup voltooid is naar een NAS geschreven die 400 meter verderop in het kantoor van de fabriek staat.

We zijn sindskort ook begonnen met offline backup van kritieke servers zoals databases, fileservers, exchange server, domaincontrollers, om versleutelde backups bij een ransomware aanval voor te zijn. Dat is alles bij elkaar 10TB, dat komt op een externe schijf te staan die we daarna afkoppelen. Alleen die job duurt zo lang dat deze niet klaar is voor de volgende job begint.

Ben wel benieuwd hoe jullie de offline backup geregeld hebben? Wij zijn nu een tapestreamer aan het overwegen, met LTO 7 of 8 tapes.

[ Voor 3% gewijzigd door FastFred op 08-03-2021 11:08 ]

FastFred schreef op maandag 8 maart 2021 @ 11:07:
Wij backuppen de meeste van onze 95 vm's ieder uur. Die uurbackup wordt na een week samengevoegd in dagbackups, na 2 weken worden die samengevoegd tot weekbackups en later maandbackups etc. etc.

Die backup staat in onze serverruimte en wordt nadat de backup voltooid is naar een NAS geschreven die 400 meter verderop in het kantoor van de fabriek staat.

We zijn sindskort ook begonnen met offline backup van kritieke servers zoals databases, fileservers, exchange server, domaincontrollers, om versleutelde backups bij een ransomware aanval voor te zijn. Dat is alles bij elkaar 10TB, dat komt op een externe schijf te staan die we daarna afkoppelen. Alleen die job duurt zo lang dat deze niet klaar is voor de volgende job begint.

Ben wel benieuwd hoe jullie de offline backup geregeld hebben? Wij zijn nu een tapestreamer aan het overwegen, met LTO 7 of 8 tapes.

Hoever kunnen jullie terug?

Wij backuppen incrementeel, 1x per dag. full 1x per week naar nas.

Ik prefereer LTO, maar sta alleen

@Duinkonijn Backups ouder dan 7 of 8 jaar wordt automatisch weg gegooid

[ Voor 6% gewijzigd door FastFred op 08-03-2021 11:23 ]

Het mooiste zou zijn, als dit ook extern werd bewaard. En dit door een externe partij ook verzorgd wordt.

Ik heb een leuke! Of eigenlijk.... 1990 belde....

De organisatie heeft een telefoonsysteem gekocht en laten installeren. Bellen en gebeld worden werkt inmiddels prima. Dat is het goede nieuws.

Het minder goede nieuws is dat oa de rapportage functie het niet doet. Toen ik daar met de techneut over boomde begon die te roepen dat als hij de naam pingde vanaf een client, deze niet geresolved werd. Waar de techneut geen rekening mee had gehouden is dat wij inmiddels alles via Intune/Endpoint Manager uitrollen. Er is geen koppeling met het domein dus de laptops en desktops zijn alleen lid van hun eigen werkgroepje. Ze krijgen een IP adres van een Windows DNS DHCP server en dat is het.

Normaal zou "ping server" worden vertaald naar "ping server.domein.nl" maar doordat het ding geen idee heeft van een DNS Suffix of een DNS registratie werkt dat dus niet.

Ik zit te zoeken naar een eenvoudige oplossing, maar meer dan een Reddit posting (https://www.reddit.com/r/...list_via_intune/?sort=new) kom ik tot nu toe niet tegen.

Iemand een idee?

asing schreef op maandag 8 maart 2021 @ 11:55:
Ik heb een leuke! Of eigenlijk.... 1990 belde....

De organisatie heeft een telefoonsysteem gekocht en laten installeren. Bellen en gebeld worden werkt inmiddels prima. Dat is het goede nieuws.

Het minder goede nieuws is dat oa de rapportage functie het niet doet. Toen ik daar met de techneut over boomde begon die te roepen dat als hij de naam pingde vanaf een client, deze niet geresolved werd. Waar de techneut geen rekening mee had gehouden is dat wij inmiddels alles via Intune/Endpoint Manager uitrollen. Er is geen koppeling met het domein dus de laptops en desktops zijn alleen lid van hun eigen werkgroepje. Ze krijgen een IP adres van een Windows DNS server en dat is het.

Normaal zou "ping server" worden vertaald naar "ping server.domein.nl" maar doordat het ding geen idee heeft van een DNS Suffix of een DNS registratie werkt dat dus niet.

Ik zit te zoeken naar een eenvoudige oplossing, maar meer dan een Reddit posting (https://www.reddit.com/r/...list_via_intune/?sort=new) kom ik tot nu toe niet tegen.

Iemand een idee?

via het register aanpassen? https://social.technet.mi...n-order?forum=winserverPN

Duinkonijn schreef op maandag 8 maart 2021 @ 12:15:
[...]

via het register aanpassen? https://social.technet.mi...n-order?forum=winserverPN

Ik probeer het momenteel via een OMA-URI. Het maffe is dat ik nergens kan vinden welk type gegeven het zou moeten zijn, ik vermoed een String. Het kan zijn dat dit op zich niet genoeg is.

asing schreef op maandag 8 maart 2021 @ 12:23:
[...]

Ik probeer het momenteel via een OMA-URI. Het maffe is dat ik nergens kan vinden welk type gegeven het zou moeten zijn, ik vermoed een String. Het kan zijn dat dit op zich niet genoeg is.

Kan je geen dhcp reservering maken in combinatie met een cname/a record?

asing schreef op maandag 8 maart 2021 @ 11:55:
Ze krijgen een IP adres van een Windows DNS server en dat is het.

Huh, IP van DNS?

Ik vermoed van DHCP en DHCP heeft een domain name option (15) waarin je dit kunt vastleggen (eventueel domain search list option (119)).

[ Voor 9% gewijzigd door nescafe op 08-03-2021 13:23 ]

nescafe schreef op maandag 8 maart 2021 @ 13:05:
[...]


Huh, IP van DNS?

Ik vermoed van DHCP en DHCP heeft een domain search list option (119) waarin je dit kunt vastleggen.

Hmmmmm

When working with Windows based clients you usually don’t come across DHCP option 119 because Windows just doesn’t use it

https://www.normanbauer.c...on-a-windows-dhcp-server/

Windows moet per policy geregeld worden. Voor Intune dus OMA-URI.

[ Voor 41% gewijzigd door asing op 08-03-2021 13:25 ]

@asing sorry, zie edit. Option 15 voor domain name.

Hmm, afgelopen weekend bij een klant het nodige data verhuist naar een DFS.
Policies aangepast.
Getest met de RDS omgeving met 5 servers. geen problemen met de shares en redirectionfolders.

Een lokale RDS vergeten, maar die pakt alleen de oude policy instellingen nog. dus het pad word naar het oude gewezen (share is al uitgezet), dus die krijgen foutmelding.

Vreemd is, de administrator werkt wel goed, krijgt de juiste paden. Maar de gebruikers niet.
Ondertussen al tig keer gpupdate (/force erbij) gedaan, maar houd de oude bij gebruikers..

Iemand een idee?

Renegade666 schreef op maandag 8 maart 2021 @ 14:14:
Hmm, afgelopen weekend bij een klant het nodige data verhuist naar een DFS.
Policies aangepast.
Getest met de RDS omgeving met 5 servers. geen problemen met de shares en redirectionfolders.

Een lokale RDS vergeten, maar die pakt alleen de oude policy instellingen nog. dus het pad word naar het oude gewezen (share is al uitgezet), dus die krijgen foutmelding.

Vreemd is, de administrator werkt wel goed, krijgt de juiste paden. Maar de gebruikers niet.
Ondertussen al tig keer gpupdate (/force erbij) gedaan, maar houd de oude bij gebruikers..

Iemand een idee?

Probeer eens een GPRESULT /R /H op een gebruiker en kijk wat ze krijgen. Eventlog kan je ook wat vertellen, en in het allerergste geval weet de lokale DC van niks . Maar dan heb je replicatie problemen en dan moet je ergens anders gaan kijken .

[ Voor 4% gewijzigd door asing op 08-03-2021 14:32 ]

Renegade666 schreef op maandag 8 maart 2021 @ 14:14:
Hmm, afgelopen weekend bij een klant het nodige data verhuist naar een DFS.
Policies aangepast.
Getest met de RDS omgeving met 5 servers. geen problemen met de shares en redirectionfolders.

Een lokale RDS vergeten, maar die pakt alleen de oude policy instellingen nog. dus het pad word naar het oude gewezen (share is al uitgezet), dus die krijgen foutmelding.

Vreemd is, de administrator werkt wel goed, krijgt de juiste paden. Maar de gebruikers niet.
Ondertussen al tig keer gpupdate (/force erbij) gedaan, maar houd de oude bij gebruikers..

Iemand een idee?

Al die RDS servers hebben dezelfde policies? Policies staan ingesteld op computer ou of user ou? En als het op computer ou is staat loopback proccesing mode wel goed bij die machine waar het niet op werkt?

@asing
Lokale AD was ik even vergeten dat we die daar hadden Maar even gecontrolleerd, alles is in sync word aangegeven.
GPresult /r geeft wel meldingen, dus zal daar even in duiken.


@Tylen
De policies waar het omgaat zijn users policies. Zowel de RDS als de losse TS gebruiken de zelfde policy. Alleen staan ze beide in een ander OU.


Na een nieuw OU aangemaakt te hebben, server verplaatst en opnieuw ingelogd lijkt het wel goed qua policies. Maar hij past die verdomde redirect niet toe
En hij pakt de policy niet van de lokale AD, maar van de remote. Weet niet dat dit kwaad kan. Heeft iig de main dc


Reboot gedaan. werkt nu weer

Een nieuwe gebruiker die ik had aangemaakt pakt nu wel de nieuwe instellingen. Maar een bestaande nog niet. Blijft volhouden op de oude.

[ Voor 40% gewijzigd door Renegade666 op 08-03-2021 15:29 ]

Renegade666 schreef op maandag 8 maart 2021 @ 14:42:
Een nieuwe gebruiker die ik had aangemaakt pakt nu wel de nieuwe instellingen. Maar een bestaande nog niet. Blijft volhouden op de oude.

Ok je zit in die hoek.

Er zitten een hele hoop vinkjes achter de redirects. Dan moet je kijken naar de logging in de eventvwr. Niet in de standaard logs, maar die eronder. Daar vind je een paar speciale group policy logs.

Het is vast volkomen logisch.

@asing

Het werk weer, zag dat mijn edit er tussen in is gekomen..

Om even mijn eigen vraag te beantwoorden : het deel van de policies wat je via Intune zou kunnen instellen zit nog in de Insider Builds.

Dat wil zeggen : op dit moment kan het nog niet toegepast worden.

of te wel.. het is nog niet volwassen en/of we willen te snel

Duinkonijn schreef op woensdag 10 maart 2021 @ 08:19:
of te wel.. het is nog niet volwassen en/of we willen te snel

Ik vind het gewoon ronduit slecht dat ze het hele GPO systeem niet gewoon al in Intune hebben zitten. Het is een waardevol stuk gereedschap.

Maar goed, het is de speeltuin van Microsoft dus we moeten het er maar mee doen.

asing schreef op woensdag 10 maart 2021 @ 08:24:
[...]

Ik vind het gewoon ronduit slecht dat ze het hele GPO systeem niet gewoon al in Intune hebben zitten. Het is een waardevol stuk gereedschap.

Maar goed, het is de speeltuin van Microsoft dus we moeten het er maar mee doen.

Dit is dus ook één van de redenen dat wij nog niet over kunnen naar full AzureAD-joined systemen. Sommige policies die wij gebruiken zijn (nog) niet beschikbaar binnen Intune. Maar ik heb van een Microsoft engineer begrepen dat ze volop hiermee bezig zijn om dit zsm in orde te krijgen.

Maar ja.. Microsoft en een correcte tijdsaanduiding zijn ook twee termen die niet samengaan. Bij kopie acties staat er vaak "nog 5 seconden".. Maar die duren vaak 5 minuten

asing schreef op woensdag 10 maart 2021 @ 08:24:
[...]

Ik vind het gewoon ronduit slecht dat ze het hele GPO systeem niet gewoon al in Intune hebben zitten. Het is een waardevol stuk gereedschap.

Maar goed, het is de speeltuin van Microsoft dus we moeten het er maar mee doen.

Policies is een essentieel iets. Juist dat is het mooie van MS ten opzichte van andere management oplossingen

asing schreef op woensdag 10 maart 2021 @ 08:24:
[...]

Ik vind het gewoon ronduit slecht dat ze het hele GPO systeem niet gewoon al in Intune hebben zitten. Het is een waardevol stuk gereedschap.

Maar goed, het is de speeltuin van Microsoft dus we moeten het er maar mee doen.

https://docs.microsoft.co...trative-templates-windows
Is dit niet wat je zoekt?

Galukon schreef op woensdag 10 maart 2021 @ 09:46:
[...]

https://docs.microsoft.co...trative-templates-windows
Is dit niet wat je zoekt?

Dat zou je denken maar de policy set is verre van compleet.

asing schreef op woensdag 10 maart 2021 @ 09:54:
[...]


Dat zou je denken maar de policy set is verre van compleet.

Ik meen me te herinneren dat je zelf ook de ADMX'en kan uploaden daar zodat je wel meer hebt maar ik ben dan weer geen Intune-expert dus pin me er niet op vast.
Misschien heb je hier wat aan:
https://blog.thinformatic...mx-ingestion-with-intune/

Clients verliezen af en toe verbinding met fileserver, BPA laat een aantal issues zien.
'short file name creation'
Applicaties verliezen verbinding en geven een foutmelding dat het bestand niet beschikbaar is. Logboeken geven bar weinig info.

Galukon schreef op woensdag 10 maart 2021 @ 10:07:
[...]

Ik meen me te herinneren dat je zelf ook de ADMX'en kan uploaden daar zodat je wel meer hebt maar ik ben dan weer geen Intune-expert dus pin me er niet op vast.
Misschien heb je hier wat aan:
https://blog.thinformatic...mx-ingestion-with-intune/

Dat kan inderdaad . Echter, Microsoft geeft aan dat dit geen goed idee is omdat het de boel in het Centum gooit als zij dezelfde policy ook gaan implementeren. Dus..... Even wachten tot het uit de Insider Builds is.

nextware schreef op woensdag 10 maart 2021 @ 09:16:
[...]


Dit is dus ook één van de redenen dat wij nog niet over kunnen naar full AzureAD-joined systemen. Sommige policies die wij gebruiken zijn (nog) niet beschikbaar binnen Intune. Maar ik heb van een Microsoft engineer begrepen dat ze volop hiermee bezig zijn om dit zsm in orde te krijgen.

Maar ja.. Microsoft en een correcte tijdsaanduiding zijn ook twee termen die niet samengaan. Bij kopie acties staat er vaak "nog 5 seconden".. Maar die duren vaak 5 minuten

Hebben jullie ook gekeken naar de oplossing van PolicyPak? Wij pushen hiermee policysettings die ook nog niet met intune te doen zijn, uiteraard weet ik niet of zoiets van toepassing kan zijn voor jullie organisatie.

asing schreef op woensdag 10 maart 2021 @ 12:07:
[...]


Dat kan inderdaad . Echter, Microsoft geeft aan dat dit geen goed idee is omdat het de boel in het Centum gooit als zij dezelfde policy ook gaan implementeren. Dus..... Even wachten tot het uit de Insider Builds is.

Daar is inmiddels oa de settings catalog voor (preview wel), waar oa meer csp settings in beschikbaar zijn.

De dns searchlist oma uri is btw alleen applicable op Windows 10 Enterprise. Welke Windows versie is het?

[ Voor 10% gewijzigd door FREAKJAM op 10-03-2021 19:00 ]

FREAKJAM schreef op woensdag 10 maart 2021 @ 18:58:
[...]


Daar is inmiddels oa de settings catalog voor (preview wel), waar oa meer csp settings in beschikbaar zijn.

De dns searchlist oma uri is btw alleen applicable op Windows 10 Enterprise. Welke Windows versie is het?

Enterprise!

Ik merk ook dat ik Intune echt een struggeling vind om mooi in te richten. Dingen die super simpel waren met GPO zijn soms vrijwel onmogelijk met Intune.

Ik probeer nu zelf een omgeving te maken voor een basisschool waar de laptops voor de leerlingen uiteraard afgeschermd moeten worden zodat ze niet er op los kunnen kloten. Instellingen afschermen/uitschakelen is uiteraard een mooie instelling voor beschikbaar. Alleen vervolgens geld dit ook als een Global Admin of zelfs een non-azure local admin account inlogt en kan je er dus zelf ook niet meer bij als je beheer zou willen uitvoeren. Het enige waar je wel iets af kan schermen voor een specifieke groep gebruikers is dan weer Kiosk. Alleen die is eigenlijk weer iets te beperkt, of je moet een uitgebreide lijst gaan maken met alle apps die ze wel mogen openen. Maar hier is Kiosk natuurlijk niet voor bedoelt.

Iemand die hier ook mee stoeit en nog een goede tip heeft?

Oh en ik blijf het gewoon heel kneuterig vinden dat van de 6 standaard folders die de gebruiker krijgt in zijn favorieten. Er maar 3 worden meegenomen in KFM van OneDrive

[ Voor 8% gewijzigd door Poenzkie op 11-03-2021 11:57 ]

Struggeling... nieuw woord. Je vind het moeilijk of lastig.

Hoe je het het makkelijkste voor een school kan inrichten weet ik niet, maar er zijn wel beheerders hier die dat doen.

asing schreef op donderdag 11 maart 2021 @ 13:05:
Struggeling... nieuw woord. Je vind het moeilijk of lastig.

Hoe je het het makkelijkste voor een school kan inrichten weet ik niet, maar er zijn wel beheerders hier die dat doen.

Moeilijk of lastig is niet het goede woord. Het is een worsteling als je GPO's gewend bent.

Overigens hoeft het niet specifiek over de inrichting voor een school te gaan, ik weet precies wat ik wil. Maar meer over verschillende rechten/instellingen in stellen voor verschillende groepen gebruikers. In GPO's was dit triviaal, maar via Intune schijnbaar onmogelijk.

Overigens is Struggeling gewoon een Nederlandse verbastering van Struggling

[ Voor 9% gewijzigd door Poenzkie op 11-03-2021 13:55 ]

Harmen schreef op woensdag 10 maart 2021 @ 12:01:
... Logboeken geven bar weinig info.

Jij ook!

Poenzkie schreef op donderdag 11 maart 2021 @ 13:50:
[...]

Moeilijk of lastig is niet het goede woord. Het is een worsteling als je GPO's gewend bent.

Overigens hoeft het niet specifiek over de inrichting voor een school te gaan, ik weet precies wat ik wil. Maar meer over verschillende rechten/instellingen in stellen voor verschillende groepen gebruikers. In GPO's was dit triviaal, maar via Intune schijnbaar onmogelijk.

Overigens is Struggeling gewoon een Nederlandse verbastering van Struggling

Ik liep ook tegen het probleem aan dat het hele idee van GPO's niet geland is in Intune-land. Als je dan ziet HOE ze dat hebben opgelost van bijvoorbeeld Chrome dan gaan echt al je haren recht overeind staan.

Kijk hier maar eens bij troubleshooting : https://howtomanagedevice...agelocation-using-intune/

Ik denk dat struggelen een uitvinding is van de Millenial generatie, daar ben ik al veel te oud voor . Bij het woord strugle denk ik aan een Amerikaans tienermeisje die haar leven te moeilijk vind. Maar dat ben ik. Ik ken alleen problemen en uitdagingen.

Ik had het al eerder genoemd, maar de settings catalog in Intune komt zeker wel in de buurt van GPO's!

https://www.inthecloud247...-intune-settings-catalog/

Ook Chrome is makkelijker te beheren en hoeft niet perse op basis van admx ingestion.

https://www.petervanderwo...he-google-chrome-browser/

[ Voor 29% gewijzigd door FREAKJAM op 11-03-2021 20:12 ]

FREAKJAM schreef op donderdag 11 maart 2021 @ 20:09:
Ik had het al eerder genoemd, maar de settings catalog in Intune komt zeker wel in de buurt van GPO's!

https://www.inthecloud247...-intune-settings-catalog/

Ook Chrome is makkelijker te beheren en hoeft niet perse op basis van admx ingestion.

https://www.petervanderwo...he-google-chrome-browser/

Gezien maar wat ik nodig heb zit er nog niet in.

Verder is het leuk dat je het ook kan via google admin maar als de eerste pagina in duckduckgo gevuld is met de oma-uri methode dan ga ik niet verder zoeken.

Harmen schreef op woensdag 10 maart 2021 @ 12:01:
Clients verliezen af en toe verbinding met fileserver, BPA laat een aantal issues zien.
'short file name creation'
Applicaties verliezen verbinding en geven een foutmelding dat het bestand niet beschikbaar is. Logboeken geven bar weinig info.

PSTs op die fileserver staan toevallig?

Poenzkie schreef op donderdag 11 maart 2021 @ 11:06:

Oh en ik blijf het gewoon heel kneuterig vinden dat van de 6 standaard folders die de gebruiker krijgt in zijn favorieten. Er maar 3 worden meegenomen in KFM van OneDrive

Gewoon die mappen via een registry key redirecten naar je onedrive. Problem solved.

Oogje schreef op vrijdag 12 maart 2021 @ 07:17:
[...]
PSTs op die fileserver staan toevallig?

Nope, verbindingen met de fileserver (AD server met losse Fileserver, Server 2019) vallen regelmatig uit, in de logboeken zie je dat smb niet kan reconnecten. Het vreemde is dat het bij een aantal mensen voorkomt. Heb dit nog niet eerder gezien, anders had ik het wel opgelost.
BPA geeft veel info, maar kan het niet plaatsen.

Tylen schreef op vrijdag 12 maart 2021 @ 09:35:
[...]


Gewoon die mappen via een registry key redirecten naar je onedrive. Problem solved.

Ja uiteraard is er een workaround beschikbaar. Maar het blijft van de zotte dat er zoveel workarounds nodig zijn. Want Registry keys kun je met Intune ook niet direct uit laten voeren, dat moet weer via een PS script. Oh en je hebt geen mogelijkheid om scripts elke keer uit te voeren als een gebruiker inlogt.

Ze hadden het beter Workaround Manager kunnen nomen ipv Endpoint Manager

asing schreef op donderdag 11 maart 2021 @ 14:23:
[...]

Ik liep ook tegen het probleem aan dat het hele idee van GPO's niet geland is in Intune-land. Als je dan ziet HOE ze dat hebben opgelost van bijvoorbeeld Chrome dan gaan echt al je haren recht overeind staan.

Kijk hier maar eens bij troubleshooting : https://howtomanagedevice...agelocation-using-intune/

Ik denk dat struggelen een uitvinding is van de Millenial generatie, daar ben ik al veel te oud voor . Bij het woord strugle denk ik aan een Amerikaans tienermeisje die haar leven te moeilijk vind. Maar dat ben ik. Ik ken alleen problemen en uitdagingen.

Chrome beheren wordt het volgende project als we een werkende inlogomgeving hebben nu al zin in

[ Voor 49% gewijzigd door Poenzkie op 12-03-2021 12:37 ]

Een beginnersvraagje.. waarom haalt Windows 8/8se/10 de fu*cking uefi key niet gewoon uit het systeem ?

Tuurlijk.. met powershell/ wmi etc is het zo gebeurd, maar doe het ff zelf

[ Voor 32% gewijzigd door Duinkonijn op 15-03-2021 14:58 ]

Duinkonijn schreef op maandag 15 maart 2021 @ 14:24:
Een beginnersvraagje.. waarom haalt Windows 8/8se/10 de fu*cking uefi key niet gewoon uit de bios?

Tuurlijk.. met powershell/ wmi etc is het zo gebeurd, maar doe het ff zelf

??? UEFI key uit BIOS???

UEFI is de successor van BIOS.

En dat doen ze wel, ze halen de licentie uit het systeem. Maar dan moet die er wel zijn én voor de betreffende versie zijn die je installeert. Zeker met Windows 10, waarbij de hardware ID aan de licentie wordt gekoppeld en naar MS wordt gestuurd, is het niet meer nodig om een key op te geven na clean install. Als er internet is, zal het zelf wel de key ophalen en activeren. Want het wordt gematched met het hardware ID.

als ik Home installeer, dan zou hij het toch gewoon zelf moeten doen?

weet vrij zeker dar ik het met pro <-> pro ook had

Pro doet het ook gewoon netjes ophalen. Wat is het probleem precies? Welk OS+editie installeer je en met welke editie is de hardware oorspronkelijk geleverd?

Hero of Time schreef op maandag 15 maart 2021 @ 15:28:
Pro doet het ook gewoon netjes ophalen. Wat is het probleem precies? Welk OS+editie installeer je en met welke editie is de hardware oorspronkelijk geleverd?

Ik ga het morgen opnieuw proberen als ik er aan denk.. de versie was lager of gelijk aan dat van de uefi.

In de basis is het voor mijn werk ook niet interessant omdat ik gewoon KMS heb e.d.

Als de versie lager is, kan dat een probleem zijn. Hardware ooit geleverd met W8/8.1 en je gaat W10 installeren als vervanging, dan gaat het niet activeren. Want de key in de hardware is niet voor W10 geschikt.

Heb je er wel al eens W10 op gehad, dan moet het gewoon werken. Kan allicht eventjes duren voordat je het resultaat ziet.

Ik heb ook een vreemd probleem bij een klant.

Klant heeft een nevenlocatie, die een Site2SiteVPN/BOVPN heeft naar de hoofd locatie.

Die gebruikers deels lokaal, en deels naar een RDP naar 2008r2 (ja ik weet het..) voor 1 pakket.
Maar de laatste tijd wat issue, connectie/sessie weg, en dus sjaggie gebruikers. Nou prima, ding moet toch weg.

Maak ik een nieuwe RDS server (2016 en 2019 geprobeerd). dan werkt RDP niet eens normaal via de normale mstsc weg. Hij logt wel in. Maar als het bureaublad in beeld komt, loopt de sessie vast.

Als ik het doe op mijn laptop (buiten hun domein, wel zelfde netwerk), dan gebeurd het soort van hetzelfde via gewone mstsc ook. Iets minder vaak, gebeurd wel, naar zowel de RDS, als de AD/APP/BU servers.

Echter als ik gebruik maak van RemoteDesktopManager (devolutions), die ook gewoon de mstsc gebruikt onderliggend, werkt het wel goed. geen problemen.

Een bijkomend fenomeen is, als ik via de nieuwe servers RDWeb gebruik, werkt die applicatie via mijn laptop prima (zover dat pakket prima draait..). Maar via hun pc's/laptops niet en loopt eigenlijk gelijk vast/word zeer traag.

Laptops/pc's zijn allemaal W10 met de laatste of 1 na laatste builds.
Mijn laptop ook, en is ook up to date.
Gebeurd dus zowel wifi als bekabeld op die locatie.

De VPN tunnel is ondertussen al gestript qua beveiliging (IPS etc).
Voor de zekerheid ga ik die tunnel even opnieuw opbouwen.

Ook de GPO's doorgelopen, maar vind verder niks over RDP achtige zaken wat aangepast is.

Iemand tips/suggesties?

Renegade666 schreef op woensdag 17 maart 2021 @ 13:50:
Ik heb ook een vreemd probleem bij een klant.

Klant heeft een nevenlocatie, die een Site2SiteVPN/BOVPN heeft naar de hoofd locatie.

Die gebruikers deels lokaal, en deels naar een RDP naar 2008r2 (ja ik weet het..) voor 1 pakket.
Maar de laatste tijd wat issue, connectie/sessie weg, en dus sjaggie gebruikers. Nou prima, ding moet toch weg.

Iemand tips/suggesties?

Tja denk dat niemand dat zo van afstand kan zien, persoonlijk heb ik diverse keren ellende op RDS servers gehad bij gebruik van verkeerde printer drivers of verschillende driver versies voor dezelfde printer, door krijg je zelfs een 2019 RDS server mee op zijn gat.

Plus als je RDS eenmaal gaar is, het blijft windows, dus een keer de server verversen kan vaak ook een hoop oplossen. (Tenzij dat volledig handwerk is dan gaat het een hoop tijd kosten.)

Renegade666 schreef op woensdag 17 maart 2021 @ 13:50:
Iemand tips/suggesties?

inkopper: check eventlog

@paulhekje
Leuk, maar als daar niks staat wat over die rdp connectie gaat, schiet het niet op

Zal morgen nog wel even wat dingen testen.

Renegade666 schreef op woensdag 17 maart 2021 @ 17:03:
@paulhekje
Leuk, maar als daar niks staat wat over die rdp connectie gaat, schiet het niet op

Zal morgen nog wel even wat dingen testen.

Bekabeling van je server tot je ISP?
Tussenliggende devices uitsluiten
Firewall
AV

@Duinkonijn
- Het werk in het hoofd kantoor prima.
- Het werk vanaf andere locatie ook prima (Rdweb)
- Als het bekabeling is, zou de rest ook niet werken (shares via vpn etc), er word dan heel wat meer data over gepompt.
- de switch die er tussen in zit, geeft ook geen meldingen etc.
- AV geeft op beide geen meldingen. Op de nieuwe RDS die ik vandaag even uit de grond gestampt hebt, heeft alleen MS defender er op.

Als ze geen meldingen geven, wil niet zeggen dat er geen probleem is.

Gezien het intern wel werkt, zou ik eerst de externe factoren uitsluiten en doen mogelijk monitoren.
Router, gateway schoppen

Coax/glas/koper vervangen

Een flappende poort,
Spanningtree error

[ Voor 8% gewijzigd door Duinkonijn op 17-03-2021 18:01 ]

MTU mismatch?

Wat doet een Ping van een uur?

c-nan schreef op woensdag 17 maart 2021 @ 18:18:
MTU mismatch?

RDP is een draak als je MTU niet goed staat inderdaad

Dat heeft dan weer te maken met de UDP kant er van.

En dan kom je op dingen zoals:

MTU & Remote Desktop Services (Random Disconnects)

https://social.technet.mi...onnects?forum=winserverTS

Vorkie schreef op woensdag 17 maart 2021 @ 18:23:
[...]

RDP is een draak als je MTU niet goed staat inderdaad

Dat heeft dan weer te maken met de UDP kant er van.

En dan kom je op dingen zoals:


[...]

https://social.technet.mi...onnects?forum=winserverTS

Ik doe (gelukkig ) helemaal niets met Microsoft. Alleen Linux.

Echter weet ik dat SSH sessies bijvoorbeeld opzetten wel lukt, maar je verder (bijna) niets kan als je MTU niet goed staat. Vandaar dacht ik dat het wel eens MTU kon zijn.

Ik ben benieuwd

@Verwijderd
MTU is niet veranderd op de firewall. en ga er niet vanuit dat een provider dit zomaar doet?
Maar kan ik morgen eens checken.

@Duinkonijn
Ping gaat prima, af en toe een dropje via de tunnel, maar die is dan niet merkbaar. Verbinding blijft dan gewoon actief. Gemonitoord naar meerdere punten via de tunnel, en naar extern. heeft ongeveer 4 uur aangestaan met Pingplotter. Alleen toen ik de tunnel volledig opnieuw heb opgebouwd was hij even weg (duh:P)

Net als test nog even een BOVPN via mijn eigen firewall gedaan richting de klant. Dit werkt als een trein via RDP. Dus zit ergens lokaal op die locatie.

Renegade666 schreef op woensdag 17 maart 2021 @ 19:10:
@Verwijderd
MTU is niet veranderd op de firewall. en ga er niet vanuit dat een provider dit zomaar doet?
Maar kan ik morgen eens checken.

@Duinkonijn
Ping gaat prima, af en toe een dropje via de tunnel, maar die is dan niet merkbaar. Verbinding blijft dan gewoon actief. Gemonitoord naar meerdere punten via de tunnel, en naar extern. heeft ongeveer 4 uur aangestaan met Pingplotter. Alleen toen ik de tunnel volledig opnieuw heb opgebouwd was hij even weg (duh:P)

Net als test nog even een BOVPN via mijn eigen firewall gedaan richting de klant. Dit werkt als een trein via RDP. Dus zit ergens lokaal op die locatie.

Ping met verschillende packet sizes gaat ook goed?

@Renegade666, VPN, is dat op basis van UDP of TCP? Ik gebruikte eerst een IPSec VPN om thuis te werken, maar m'n remote sessie liep regelmatig vast. Ping gaf 0% packet loss. Toch was een SSH sessie niet stabiel. Nu ik een SSL VPN gebruik, wat via TCP gaat, blijft m'n remote sessie vlekkeloos draaien.

@c-nan nee, niet getest

@Hero of Time
IPSEC Tunnel via de firewalls. Maar tunnel is wel stabiel.

Renegade666 schreef op woensdag 17 maart 2021 @ 21:08:
@Hero of Time
IPSEC Tunnel via de firewalls. Maar tunnel is wel stabiel.

Dat was mijn tunnel ook. Toch was de verbinding die ik over de tunnel maakte dat niet. Sommige verbindingen zijn nogal picky als er wat packets missen of in de verkeerde volgorde binnen komen.

Het zou dus goed kunnen dat je ergens in een diepere netwerklaag moet gaan uitzoeken waar het exact mis gaat.

Renegade666 schreef op woensdag 17 maart 2021 @ 13:50:
Ik heb ook een vreemd probleem bij een klant.

Klant heeft een nevenlocatie, die een Site2SiteVPN/BOVPN heeft naar de hoofd locatie.

Die gebruikers deels lokaal, en deels naar een RDP naar 2008r2 (ja ik weet het..) voor 1 pakket.
Maar de laatste tijd wat issue, connectie/sessie weg, en dus sjaggie gebruikers. Nou prima, ding moet toch weg.

Maak ik een nieuwe RDS server (2016 en 2019 geprobeerd). dan werkt RDP niet eens normaal via de normale mstsc weg. Hij logt wel in. Maar als het bureaublad in beeld komt, loopt de sessie vast.

Als ik het doe op mijn laptop (buiten hun domein, wel zelfde netwerk), dan gebeurd het soort van hetzelfde via gewone mstsc ook. Iets minder vaak, gebeurd wel, naar zowel de RDS, als de AD/APP/BU servers.

Echter als ik gebruik maak van RemoteDesktopManager (devolutions), die ook gewoon de mstsc gebruikt onderliggend, werkt het wel goed. geen problemen.

Een bijkomend fenomeen is, als ik via de nieuwe servers RDWeb gebruik, werkt die applicatie via mijn laptop prima (zover dat pakket prima draait..). Maar via hun pc's/laptops niet en loopt eigenlijk gelijk vast/word zeer traag.

Laptops/pc's zijn allemaal W10 met de laatste of 1 na laatste builds.
Mijn laptop ook, en is ook up to date.
Gebeurd dus zowel wifi als bekabeld op die locatie.

De VPN tunnel is ondertussen al gestript qua beveiliging (IPS etc).
Voor de zekerheid ga ik die tunnel even opnieuw opbouwen.

Ook de GPO's doorgelopen, maar vind verder niks over RDP achtige zaken wat aangepast is.

Iemand tips/suggesties?

Als het voor 1 pakket is, kun je die app dan niet aanbieden als RemoteApp ? Wellicht lost dat het probleem voor je op ?

nextware schreef op donderdag 18 maart 2021 @ 10:15:
[...]


Als het voor 1 pakket is, kun je die app dan niet aanbieden als RemoteApp ? Wellicht lost dat het probleem voor je op ?

Wij gebruiken RDS enkel en alleen voor het aanbieden van RemoteApps. Via de HTML5 webclient is het helemaal geweldig. Werkt als een tierelier.

@nextware
Dat is ook de planning, maar zelf dat loopt dus ook bij hun vast.
Echter het is ook een Java pakket, dus echt vlot werkt het vreemd genoeg niet op 2016/2019 servers
De oude 2008r2 draait het pakket een stuk sneller.

@Hero of Time
Terugkomende op de VPN, dat is een IKE tunnel, geen ipsec, my bad.

@pjlgt
Die HTML zal ik ook even naar kijken, misschien dat het dan beter gaat. Is iets wat standaard niet aanstaat en vergeet het telkens even te testen.

Ook was de MTU gewoon goed, dat is bij hun 1500 en daar staat het op.

[ Voor 6% gewijzigd door Renegade666 op 18-03-2021 10:37 ]

De recente update KB5000802 veroorzaakte BSoD's op onze clients, deze heb ik toen via WSUS weer op approve for Removal gezet.
Nu met de fix via KB5001567 wil ik beiden alsnog laten installeren.

Echter kan ik KB5001567 niet vinden in WSUS, wanneer ik KB5000802 nu alsnog op Approve for Install zet, wordt dan de versie waarin dit probleem is verholpen al geïnstalleerd?

IKE, is naar mijn weten, geen smaak in de tunneltypes.

Wel heb met 2016 eens last gehad dat er een TLS mismatch was. Sta je voor RDS (serverzijde) TLS 1.0 toe?

@Ouwe meuk: Ja, 2008R2 is een stuk lichter dan de recente Windows 10 arch. Wellicht dat Win2012R2 ongeveer nog dezelfde prestaties bieden, maar dat is eigenlijk een upgrade die je 'niet wil'.