Inventory | Instagram: @sequenzpounder | http://www.zdaemon.org | ZDaemon! Client/Server port for DOOM!
Ik heb dit wel eens gezien, maar dan bleek de inhoud xml te zijn die dan als xls weggeschreven wordt. En dat vind Excel niet zo leuk meer, en ik zie zoiets kunnen openen nog wel eens helemaal verdwijnen ivm security.Da_maniaC schreef op dinsdag 21 mei 2019 @ 13:13:
Weet iemand hoe deze melding uit te schakelen is toevallig?
Dit gebeurd bij het openen van sommige .xls files die worden aangeboden vanuit SaaS applicaties (zoals reports, exports ed.)
[Afbeelding]
Als je die xls ff opent met een notepad/binary reader, wat is de inhoud dan?
Any errors in spelling, tact, or fact are transmission errors.
Klopt, het betreft een oude SaaS applicatie (Cognos 8.4) die geen nette .xls(x) file kan genereren.Oogje schreef op dinsdag 21 mei 2019 @ 13:23:
[...]
Ik heb dit wel eens gezien, maar dan bleek de inhoud xml te zijn die dan als xls weggeschreven wordt. En dat vind Excel niet zo leuk meer, en ik zie zoiets kunnen openen nog wel eens helemaal verdwijnen ivm security.
Als je die xls ff opent met een notepad/binary reader, wat is de inhoud dan?
De inhoud is .mht / .xml.
We hebben echter een oude Windows 7 image build met Office 2010 waar we deze melding niet krijgen (we kunnen alleen de GPO niet pinpointen die hiervoor zorgt op de nieuwe Windows 10 / Office 2016 build).
Deze willen we eigenlijk ook actief zetten voor de nieuwe Policy group.
Hier een stukje van de file header (via Notepad++):
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| MIME-Version: 1.0 X-Document-Type: Workbook Content-Type: multipart/related; boundary="----=_NextPart_01C3AACE.2206ED10" This document is a Web archive file. If you are seeing this message, this means your browser or editor doesn't support Web archive files. For more information on the Web archive format, go to http://officeupdate.microsoft.com/office/webarchive.htm. ------=_NextPart_01C3AACE.2206ED10 Content-Location: http://localhost/excel.htm Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset="utf-8" <html xmlns:o=3D"urn:schemas-microsoft-com:office:office" xmlns:x=3D"urn:schemas-microsoft-com:office:excel" xmlns:v=3D"urn:schemas-microsoft-com:vml" xmlns=3D"http://www.w3.org/TR/REC-html40"> <head> |
Inventory | Instagram: @sequenzpounder | http://www.zdaemon.org | ZDaemon! Client/Server port for DOOM!
Excel 2010 is wat minder kieskeurig dan Excel 2016 (valt me mee dat in 2016 het nog steeds werkt met een popup ipv helemaal afgeschaft)Da_maniaC schreef op dinsdag 21 mei 2019 @ 13:38:
[...]
Klopt, het betreft een oude SaaS applicatie (Cognos 8.4) die geen nette .xls(x) file kan genereren.
De inhoud is .mht / .xml.
We hebben echter een oude Windows 7 image build met Office 2010 waar we deze melding niet krijgen (we kunnen alleen de GPO niet pinpointen die hiervoor zorgt op de nieuwe Windows 10 / Office 2016 build).
Deze willen we eigenlijk ook actief zetten voor de nieuwe Policy group.
Hier een stukje van de file header (via Notepad++):
code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MIME-Version: 1.0 X-Document-Type: Workbook Content-Type: multipart/related; boundary="----=_NextPart_01C3AACE.2206ED10" This document is a Web archive file. If you are seeing this message, this means your browser or editor doesn't support Web archive files. For more information on the Web archive format, go to http://officeupdate.microsoft.com/office/webarchive.htm. ------=_NextPart_01C3AACE.2206ED10 Content-Location: http://localhost/excel.htm Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset="utf-8" <html xmlns:o=3D"urn:schemas-microsoft-com:office:office" xmlns:x=3D"urn:schemas-microsoft-com:office:excel" xmlns:v=3D"urn:schemas-microsoft-com:vml" xmlns=3D"http://www.w3.org/TR/REC-html40"> <head>
In Excel 2010 was het:
HKEY_CURRENT_USER\Software\Microsoft\Office\14\Excel\Security
DWord named ExtensionHardening, value 0.
[ Voor 4% gewijzigd door Oogje op 21-05-2019 13:45 ]
Any errors in spelling, tact, or fact are transmission errors.
Dat was hem inderdaad, thanks!Oogje schreef op dinsdag 21 mei 2019 @ 13:44:
[...]
Excel 2010 is wat minder kieskeurig dan Excel 2016 (valt me mee dat in 2016 het nog steeds werkt met een popup ipv helemaal afgeschaft)
In Excel 2010 was het:
[...]
Inventory | Instagram: @sequenzpounder | http://www.zdaemon.org | ZDaemon! Client/Server port for DOOM!
1
2
3
4
| $LanguageList = New-WinUserLanguageList nl-NL $LanguageList[0].InputMethodTips.Clear() $LanguageList[0].InputMethodTips.Add('0413:00000809') Set-WinUserLanguageList $LanguageList -Force |
Maar als je nu inlogt onder een andere gebruiker, staat het weer gewoon op VS Internationaal. Weet iemand ook of het mogelijk om een script te bouwen dat ervoor zorgt dat het voor alle gebruikers op deze laptop standaard op UK gezet wordt?
Aan mensen die me ipv mijn gebruiken: hebben jullie in het echt ook zo'n spraakgebrek?
Commandline FTW | Tweakt met mate
Ik denk dat je het volgende moet doen. Maar eigenlijk doe je het via Group Policy voor alle gebruikers.Metalfreak schreef op woensdag 22 mei 2019 @ 09:52:
Toetsenbordinstellingen zijn userafhankelijk... Nu hebben we een lading laptops binnengekregen met een UK toetsenbord en wil ik dit voor deze laptops alleen instellen. We maken gebruik van een standaard image voor alle laptops en PC's. Ik krijg het nu wel onder Powershell voor elkaar om het onder een user account te doen via onderstaand script:
code:
1 2 3 4 $LanguageList = New-WinUserLanguageList nl-NL $LanguageList[0].InputMethodTips.Clear() $LanguageList[0].InputMethodTips.Add('0413:00000809') Set-WinUserLanguageList $LanguageList -Force
Maar als je nu inlogt onder een andere gebruiker, staat het weer gewoon op VS Internationaal. Weet iemand ook of het mogelijk om een script te bouwen dat ervoor zorgt dat het voor alle gebruikers op deze laptop standaard op UK gezet wordt?
1
2
3
4
5
6
7
8
| $LanguageList = New-WinUserLanguageList nl-NL $LanguageList[0].InputMethodTips.Clear() $LanguageList[0].InputMethodTips.Add('0413:00000809') Set-WinUserLanguageList $LanguageList -Force Set-Culture nl-NL Set-WinSystemLocale -SystemLocale nl-NL Set-WinUILanguageOverride -Language nl-NL Set-WinHomeLocation -GeoId 176 |
[ Voor 24% gewijzigd door Turdie op 22-05-2019 14:56 ]
Group policy kan niet, want de laptops zitten niet in een aparte OU (anders hebben we een complete redesign nodig van onze infrastructuur) en users kunnen ook op een laptop inloggen die niet voorzien is van een UK toetsenbord.shadowman12 schreef op woensdag 22 mei 2019 @ 14:49:
[...]
Ik denk dat je het volgende moet doen. Maar eigenlijk doe je het via Group Policy voor alle gebruikers.
PowerShell:
1 2 3 4 5 6 7 8 $LanguageList = New-WinUserLanguageList nl-NL $LanguageList[0].InputMethodTips.Clear() $LanguageList[0].InputMethodTips.Add('0413:00000809') Set-WinUserLanguageList $LanguageList -Force Set-Culture nl-NL Set-WinSystemLocale -SystemLocale nl-NL Set-WinUILanguageOverride -Language nl-NL Set-WinHomeLocation -GeoId 176
Ik ga je oplossing eens testen, maar dat gaat pas volgende week worden. Eerst morgen training en dan weekendje weg.
[ Voor 6% gewijzigd door Metalfreak op 22-05-2019 16:05 ]
Aan mensen die me ipv mijn gebruiken: hebben jullie in het echt ook zo'n spraakgebrek?
Dat is dan een erg slecht ontwerp wat er nu draait dan. Sub OU maken, de afwijkende machines in hangen en daar policy aan koppelen met aangepaste layout. Staan machines op tig plaatsen, dan maak je $tig sub OUs aan en koppel je hetzelfde GPO aan die $tig OUs.Metalfreak schreef op woensdag 22 mei 2019 @ 16:05:
[...]
Group policy kan niet, want de laptops zitten niet in een aparte OU (anders hebben we een complete redesign nodig van onze infrastructuur) en users kunnen ook op een laptop inloggen die niet voorzien is van een UK toetsenbord.
Commandline FTW | Tweakt met mate
Juist dan is het heel makkelijk om er een GPO aan te hangen, die op de OU staat, je zou voor de zekerheid alle laptops in een security group kunnen gooien en daar op kunnen filteren in je GPO (Security group filtering).Metalfreak schreef op woensdag 22 mei 2019 @ 16:05:
[...]
Group policy kan niet, want de laptops zitten niet in een aparte OU (anders hebben we een complete redesign nodig van onze infrastructuur) en users kunnen ook op een laptop inloggen die niet voorzien is van een UK toetsenbord.
Ik ga je oplossing eens testen, maar dat gaat pas volgende week worden. Eerst morgen training en dan weekendje weg.
[ Voor 7% gewijzigd door Turdie op 22-05-2019 16:41 ]
Een klant van ons werkt op onze terminalserver, daarbinnen willen ze dan Citrix gebruiken om naar applicatie van hun leverancier te connecten.
Het vreemde is, als je het voor de eerste keer instelt werkt het prima. Meld ik de Windows sessie af en log weer in, dan krijg ik deze foutmelding:

De gebruiker werkt met een UPD (User Profile Disk) dus settings zouden bewaard moeten blijven.
Dit lijkt ook het geval, want server adres wordt ik niet weer om gevraagd. Ook gebruiken we RES Ivanti Workspace Manager om de werkplek op te bouwen. Heb hier al een capture/sampling gedaan om te kijken wat er tijdens het instellen van de Receiver wordt weggeschreven. De betreffende registry trees laat ik nu mee capturen.
Toch krijg ik het nog niet voor elkaar. Enige manier om de boel weer aan de gang te krijgen is via het tray-icon de receiver opnieuw in te stellen. Maar volgende keer af- & aanmelden en het probleem is weer terug

[ Voor 5% gewijzigd door ThinkPad op 23-05-2019 11:04 ]
Access-list 150 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 23
Wanneer je zo'n ACL hebt met eq, kijkt dat eq naar source & destination poort of alleen naar source of destination? Wat zitten googlen maar geen eenduidig antwoord op kunnen vinden. Ik wil zeggen alleen destination maar durf het niet met 100% zekerheid te zeggen.
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Heb even geen omgeving om dat te doen, zal er wel even mee spelen zodra ik er achter zitFreeaqingme schreef op donderdag 23 mei 2019 @ 14:51:
Ik weet het niet, maar je zou het op zich gewoon kunnen testen, toch?
Goed, toen we alles wel zo'n beetje geprobeerd hadden hebben we hem voor de 3e keer nog maar eens gevraagd of hij niet nog ergens een mobiel of tablet heeft waar hij ook zijn e-mail op ingesteld had.FastFred schreef op maandag 13 mei 2019 @ 15:23:
Gebruiker moet wachtwoord aanpassen volgens policy. Gebruiker past wachtwoord aan maar vergeet dit te doen op zijn iPhone, waardoor zijn account om de zoveel tijd locked out raakt. Gebeld met gebruiker, wachtwoord ook laten aanpassen op iPhone. Mail komt weer binnen, fixed!
Echter, account raakt nog steeds om de zoveel tijd locked out. Heb OWA van de gebruiker al gechecked, daar staat alleen zijn iPhone in. Mail komt ook binnen op iPhone.
Gebruiker maakt gebruik van de standaard Mail app op iPhone, iPhone al eens herstart zonder resultaat. Vanmorgen mail account van telefoon verwijderd en weer toegevoegd zonder resultaat.
FYI: als een gebruikersaccount locked out raakt krijgen wij daar per mail een notificatie van met gebruikersnaam, datum en tijd, en vanaf welk werkstation. Dat is in dit geval iedere keer onze Exchange server.
En nu was het antwoord op die vraag ineens 'ja'

een eq = equals, dus als het poort 23 is blokkeert ie het verkeer, maar 22 en 24 laat ie door.
een gt is greater, dus gt 23 is alles vanaf poort 24
Access list lees je altijd:
Permit / deny, Source, subnet, destination, subnet, eventuele port of vanaf poort.
Makkelijker denken: de source port is random. Daar is niet echt makkelijk op te filteren. Dan is het logischer wanneer het om de destination port gaat.Ingegno schreef op donderdag 23 mei 2019 @ 14:48:
Vraagje tussendoor
Access-list 150 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 23
Wanneer je zo'n ACL hebt met eq, kijkt dat eq naar source & destination poort of alleen naar source of destination? Wat zitten googlen maar geen eenduidig antwoord op kunnen vinden. Ik wil zeggen alleen destination maar durf het niet met 100% zekerheid te zeggen.
Commandline FTW | Tweakt met mate
Bij een klant gebruiken wij dit in combinatie met FSLogix O365 Containers, maar het zoeken in Outlook geeft wat problemen. Nu blijkt dat er twee 'exclusions' in de UPD configuratie gemaakt moeten worden.
Nu vraag ik me alleen af wat er gebeurd als ik nu, terwijl gebruikers al maanden op het systeem werken, de exclusions toevoeg.
De exclusions die toegevoegd moeten worden zijn:
\Users\<username>\AppData\Local\Microsoft\Outlook
\Users\<username>\AppData\Roaming\FSLogix\WSearch
De WSearch is niet zo spannend, als hij zijn index opnieuw gaat opbouwen..
Maar als het ost bestand uitgezonderd wordt, wat gebeurd er dan?
Krijg je dan een foutmelding als je Outlook start, verplaatst Windows het bestand of gaat hij hem zonder melding opnieuw aanmaken?
Verder dan dit gaat mijn kennis ook niet. Wat zou een exclusion moeten doen dan? Waar komt het dan te staan?
Commandline FTW | Tweakt met mate
Daar heeft FSLogix een oplossing voor gemaakt. Namelijk dat de indexering van de gebruiker in de persoonlijke FSLogix VHD(X) terecht komt. Hierdoor blijft de indexering beschikbaar. Je gebruikt als het ware 2 profiel VHDX-en per gebruiker naast elkaar, of je moet de volledige suite afnemen van FSLogix.
In jouw situatie heb je waarschijnlijk de hele windows search functie niet aanstaan/geïnstalleerd waardoor hij altijd online zijn zoek opdrachten doet. Ik heb al vaker gemerkt dat hierdoor de zoekopdrachten langer (kunnen) duren.
Lange dag!Hero of Time schreef op donderdag 23 mei 2019 @ 15:37:
[...]
Makkelijker denken: de source port is random. Daar is niet echt makkelijk op te filteren. Dan is het logischer wanneer het om de destination port gaat.
Klinkt als iets extra wat je draait en wij niet.joenevd schreef op donderdag 23 mei 2019 @ 15:51:
Daar heeft FSLogix een oplossing voor gemaakt. Namelijk dat de indexering van de gebruiker in de persoonlijke FSLogix VHD(X) terecht komt. Hierdoor blijft de indexering beschikbaar. Je gebruikt als het ware 2 profiel VHDX-en per gebruiker naast elkaar, of je moet de volledige suite afnemen van FSLogix.
Als je een RDS installeert, komt de desktop experience mee als vereiste. Daar zit Windows Search in. En als ik 't goed heb, kan je niet vanuit het startmenu zoeken naar o.a. programma's als de Windows Search niet draait. En dat werkt prima op onze servers. Ook de domain controller, wat ik dan wel vreemd zou vinden als daar toch wel de desktop experience op staat. Zal ik na moeten kijken.In jouw situatie heb je waarschijnlijk de hele windows search functie niet aanstaan/geïnstalleerd waardoor hij altijd online zijn zoek opdrachten doet. Ik heb al vaker gemerkt dat hierdoor de zoekopdrachten langer (kunnen) duren.
En zoals gezegd, als ik het mij goed herinner. Dat kan met dit soort zaken in Windows nog wel eens fout zijn.
Commandline FTW | Tweakt met mate
Overigens is de Desktop Experience iets dat je 'vroeger' moest inschakelen.
Sinds Server 2016 zit dat er standaard in als je geen core installatie doet.
De Windows Search is een onderdeel dat daarbij apart ingeschakeld moet worden.
Op onze AD zie ik nu dat Desktop Experience niet geïnstalleerd is en volgens de omschrijving zit daar Search bij. Het zoeken naar programma's in het startmenu is blijkbaar niet meer afhankelijk van Windows Search zoals in W7 het geval was (service uit/functie verwijdert en zoekbalk in start weg).
Commandline FTW | Tweakt met mate
Windows Search is losstaand van DE in 2012r2. Deze kun je gewoon los installeren/activeren via server manager.
In 2019 zit DE standaard geinstalleerd, en is geen losse rol meer. Windows Search is nog steeds een losse rol volgens mij.
Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |
Komende week heb ik een leuke uitdaging. Sinds afgelopen donderdag is opeens een van de drie RDS servers enorm traag met inloggen. Met m'n admin account ben ik wel gewoon snel ingelogd, maar m'n normale gebruiker deed er een uur over. Afmelden doet het niet. M'n sessie is weg, maar er blijft staan "wachten op remote desktop client service". Het houdt daardoor ook de lock op de UPD, waardoor je dus bij opnieuw inloggen op een andere server uit kan komen maar met een tijdelijk profiel.
Omdat het een VM is, dacht ik dat het mogelijk aan de host kon liggen, maar de VM power cyclen deed niets, de host herstarten deed niets en op een andere host draaien gaf geen verschil in de tijd die nodig is om in te loggen.
We hebben echt die derde machine nodig, of ik moet de resources van de andere twee verhogen en het aantal connecties uitbreiden. In de event viewer kan ik iig niet direct iets van aanleiding vinden waarom het zo lang duurt opeens.
Commandline FTW | Tweakt met mate
Wellicht profiel issues van de gebruikers ? Krijg je een (fout)melding tijdens het inloggen ?Hero of Time schreef op zaterdag 25 mei 2019 @ 21:50:
Klinkt logisch. Bij W7 was Windows Search ook een apart onderdeel die je kon verwijderen.
Komende week heb ik een leuke uitdaging. Sinds afgelopen donderdag is opeens een van de drie RDS servers enorm traag met inloggen. Met m'n admin account ben ik wel gewoon snel ingelogd, maar m'n normale gebruiker deed er een uur over. Afmelden doet het niet. M'n sessie is weg, maar er blijft staan "wachten op remote desktop client service". Het houdt daardoor ook de lock op de UPD, waardoor je dus bij opnieuw inloggen op een andere server uit kan komen maar met een tijdelijk profiel.
Omdat het een VM is, dacht ik dat het mogelijk aan de host kon liggen, maar de VM power cyclen deed niets, de host herstarten deed niets en op een andere host draaien gaf geen verschil in de tijd die nodig is om in te loggen.
We hebben echt die derde machine nodig, of ik moet de resources van de andere twee verhogen en het aantal connecties uitbreiden. In de event viewer kan ik iig niet direct iets van aanleiding vinden waarom het zo lang duurt opeens.
Worden er GPO's gepusht tijdens het inloggen ?
Waarom zou het inloggen op de andere twee dan wel gewoon snel zijn dan? Foutmelding krijgen we niet, GPO krijgen we wel gepusht, maar zoals gezegd, dat was nooit een probleem tot afgelopen donderdag op een enkele server.nextware schreef op zaterdag 25 mei 2019 @ 21:52:
[...]
Wellicht profiel issues van de gebruikers ? Krijg je een (fout)melding tijdens het inloggen ?
Worden er GPO's gepusht tijdens het inloggen ?
Commandline FTW | Tweakt met mate
Ik zit eraan te denken dat de betreffende server wellicht de server waarop, bijvoorbeeld, de homefolders van de gebruiker niet kan benaderen. Dat dit het trage inloggen veroorzaakt ? Geen updates op die server binnen gekregen toevallig ?Hero of Time schreef op zaterdag 25 mei 2019 @ 21:56:
[...]
Waarom zou het inloggen op de andere twee dan wel gewoon snel zijn dan? Foutmelding krijgen we niet, GPO krijgen we wel gepusht, maar zoals gezegd, dat was nooit een probleem tot afgelopen donderdag op een enkele server.
Nu ik er over nadenk... We hebben iets soortgelijks meegemaakt. Wel op basis van published apps. Het laden ervan (dus inloggen) op de RDS server duurde zeer lang. Dit bleek, na onderzoek, te liggen aan de Audio service op de RDS server zelf. Hierop de Audio service uitgeschakeld en alles was werd weer snel gestart.
Geen toegang tot homefolders, goed punt om te controleren. We maken gebruik van redirected folders voor Documenten e.d. Kan niet zeggen dat ik hier op gekeken heb. Maar elke stap in het inlogproces dat wordt getoond blijft lang staan. Print policy toepassen, registry policy toepassen, algemeen group policy toepassen, alles staat er een kwartier ofzo, als het er maar 4 zijn (anders evenredig verdeeld om een uur te krijgen).
Ik had bij geen toegang toch wel iets van een melding in de logs verwacht.
Commandline FTW | Tweakt met mate
Ik neem aan dat je al in het policy logboek hebt gekeken ? Het lijkt wel alsof je tegen de policy time out aanloopt. DNS settings nog in orde?Hero of Time schreef op zaterdag 25 mei 2019 @ 22:24:
Geen toegang tot homefolders, goed punt om te controleren. We maken gebruik van redirected folders voor Documenten e.d. Kan niet zeggen dat ik hier op gekeken heb. Maar elke stap in het inlogproces dat wordt getoond blijft lang staan. Print policy toepassen, registry policy toepassen, algemeen group policy toepassen, alles staat er een kwartier ofzo, als het er maar 4 zijn (anders evenredig verdeeld om een uur te krijgen).
Ik had bij geen toegang toch wel iets van een melding in de logs verwacht.
Anders eens kijken om een GPRESULT uit te voeren als een gebruiker is ingelogd..?
Commandline FTW | Tweakt met mate

Heb tenminste iets te doen vandaag...
Commandline FTW | Tweakt met mate
https://support.microsoft...in-retail-builds-of-windo
Understanding How to Read a Userenv Log : http://blogs.technet.com/...a-userenv-log-part-1.aspx
[ Voor 28% gewijzigd door Turdie op 27-05-2019 12:04 ]
Nu hopen dat ik weer in kan loggen zonder de server te moeten rebooten. Weet dan iig wel dat de registry setting voor debug aan staat.
Commandline FTW | Tweakt met mate
Kan ook zijn dat WMI corrupt is:Hero of Time schreef op maandag 27 mei 2019 @ 13:06:
Ik heb iig wel gevonden dat er ergens een issue is met de GPO toegang. Want gpresult /r geeft 'access denied' en rsop.msc komt met 'timeout period expired'. Welke GPO het om gaat, geen idee. En het is er een waar mijn admin gebruiker niet in hangt (dat is zo'n beetje elke user GPO).
Nu hopen dat ik weer in kan loggen zonder de server te moeten rebooten. Weet dan iig wel dat de registry setting voor debug aan staat.
winmgmt /resetrepository
gpupdate /force
[ Voor 4% gewijzigd door Turdie op 27-05-2019 13:23 ]
Commandline FTW | Tweakt met mate
Toevallig een policy ergens waar authenticated users (dus ook systemen) niet in aanwezig is en die RDP server toevallig niet expliciet rechten heeft om de GPO te lezen?Hero of Time schreef op maandag 27 mei 2019 @ 13:06:
Ik heb iig wel gevonden dat er ergens een issue is met de GPO toegang. Want gpresult /r geeft 'access denied' en rsop.msc komt met 'timeout period expired'. Welke GPO het om gaat, geen idee. En het is er een waar mijn admin gebruiker niet in hangt (dat is zo'n beetje elke user GPO).
Nu hopen dat ik weer in kan loggen zonder de server te moeten rebooten. Weet dan iig wel dat de registry setting voor debug aan staat.
En anders ff ervoor zorgen dat die machine geen GPO's meer krijgt en kijken of je dan kan inloggen
Any errors in spelling, tact, or fact are transmission errors.
Ik kan iig wel elke map in de SYSVOL share benaderen mbt policies vanaf de trage server, dus lezen zou geen probleem moeten zijn. Morgen verder uitzoeken.
Btw, @shadowman12, die debug optie voor inloggen. Er staat niet specifiek bij dat je moet herstarten oid, dus dat heb ik ook niet gedaan. Toch werd er geen log gemaakt toen ik inlogde.
Commandline FTW | Tweakt met mate
Dan is er in het eventlog het standaard deel, en nog een specifiek deel. In dat specifieke deel zit een log voor het uitvoeren van de policies.
Verder moeten authenticated users naast read ook apply rechten hebben.
Ook te proberen : maak een OU, hang daar een testgebruiker in en voeg één voor één de GPO's toe. Kijk wat er dan gebeurt.
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Commandline FTW | Tweakt met mate
Klopt je moet wel rebooten als je die aanpassing doet.Hero of Time schreef op maandag 27 mei 2019 @ 19:08:
@Oogje, de rechten had ik al nagekeken. Geen heeft bij Delegation een explicite deny voor de RDS en Authenticated Users staat er gewoon bij met 'read' rechten. Er is 1 GPO, of groep eigenlijk waar een paar GPO aan hangen, die ik verdenk, maar omdat mensen van andere afdelingen die helemaal niet in die groep zitten ook last hebben van traag inloggen, moet het een andere zijn.
Ik kan iig wel elke map in de SYSVOL share benaderen mbt policies vanaf de trage server, dus lezen zou geen probleem moeten zijn. Morgen verder uitzoeken.
Btw, @shadowman12, die debug optie voor inloggen. Er staat niet specifiek bij dat je moet herstarten oid, dus dat heb ik ook niet gedaan. Toch werd er geen log gemaakt toen ik inlogde.
Je zou met dit Powershell stukje alle GPO's even na kunnen lopen.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| Import-Module -Name GroupPolicy $GPOList = Get-GPO -All $VerbosePreference = 'Continue' $GroupName = 'Authenticated Users' $InvalidGPOList = foreach($GPO in $GPOList) { Try { $GPPermission = Get-GPPermission -Guid $GPO.Id -TargetType Group -TargetName $GroupName -ErrorAction Stop if( $GPPermission.Permission.HasFlag([Microsoft.GroupPolicy.GPPermissionType]::GpoRead) ) { $Message = 'GPO: [{0}] is OK!' -f $GPO.DisplayName } else { $Message = 'No read access found group {0} in GPO: [{1}]' -f $GroupName, $GPO.DisplayName $GPO } } Catch { if($_.FullyQualifiedErrorId -like 'NoSecurityGroupFoundInGpoWithId*') { $GPO $Message = 'No access found group {0} in GPO: [{1}]' -f $GroupName, $GPO.DisplayName } else { throw } } Finally { Write-Verbose -Message $Message } } Write-Output -InputObject $InvalidGPOList |
[ Voor 54% gewijzigd door Turdie op 27-05-2019 19:37 ]
De gebruikers maak en test ik eerst met de GPO alvorens de server te herstarten voor de debug log.
Commandline FTW | Tweakt met mate
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Commandline FTW | Tweakt met mate
ouwe sql code... tis geen powershell, maar het doet wat ik nodig hebDuinkonijn schreef op donderdag 16 mei 2019 @ 15:09:
heeft iemand toevallig nog het adamj clean wsus script?
Het mag nog deze maand gebruikt worden, maar ondertussen is alles offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
| /* ################################ # Adamj WSUS Synchronization # # Cleanup SQL Script # # Version 1.0 # # Taken from various sources # # from the Internet. # # # # Modified By: Adam Marshall # # http://www.adamj.org # # http://www.helpingteens.org # ################################ ################################ # Instructions # ################################ 1. Download and install SQL Server Management Studio on your WUS Server 2. Connect to Named Pipes Windows Internal Database on Windows Server 2012 R2 with SQL Server Management Studio in 'Run as Administrator' mode. \\.\pipe\MICROSOFT##WID\tsql\query Use Windows Authentication 3. HIGHLIGHT WHICH OPTION YOU WANT TO USE and hit F5 or Execute */ /* ################################ # Options # ################################ /* Delete All WSUS Synchronization Logs older than 7 days */ USE SUSDB GO DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') AND DATEDIFF(day, TimeAtServer, CURRENT_TIMESTAMP) >= 7; GO /* Delete All WSUS Synchronization Logs older than 1 month */ USE SUSDB GO DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') AND DATEDIFF(month, TimeAtServer, CURRENT_TIMESTAMP) >= 1; GO /* Delete All WSUS Synchronization Logs older than xxx date */ USE SUSDB GO DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') AND TimeAtServer < '2014-11-01' GO /* Delete All WSUS Synchronization Logs */ USE SUSDB GO DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') GO */ |
Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?
Ehm, je script doet iets fout. Het beweert dat op o.a. het default domain policy de groep 'authenticated users' geen leesrechten heeft, maar dat heeft 't wel. Het staat bij zowel Scope - Security Filtering als bij Delegation. Ook bij de 'default domain controller policy' piept het, terwijl daar ook 'authenticated users' bij staat. Er staat bij Delegation wel achter de rechten "(from security filtering)", wat dus bij Scope vandaan moet komen.shadowman12 schreef op maandag 27 mei 2019 @ 19:29:
[...]
Klopt je moet wel rebooten als je die aanpassing doet.
Je zou met dit Powershell stukje alle GPO's even na kunnen lopen.
PowerShell:
1[script]
De policies waar het zegt dat het OK is, heeft bij Scope niet die groep toegekend. Het script lijkt dus te kijken naar expliciet gezette rechten en niet wat vanuit de Scope is overgenomen.
Aangezien de policies waar je script over klaagt wel worden toegepast, ga ik uit van een foutje in je script en niet de policy rechten.
Commandline FTW | Tweakt met mate
Sloop die rechten eens, en wijs ze opnieuw toe.Hero of Time schreef op dinsdag 28 mei 2019 @ 09:10:
[...]
Ehm, je script doet iets fout. Het beweert dat op o.a. het default domain policy de groep 'authenticated users' geen leesrechten heeft, maar dat heeft 't wel. Het staat bij zowel Scope - Security Filtering als bij Delegation. Ook bij de 'default domain controller policy' piept het, terwijl daar ook 'authenticated users' bij staat. Er staat bij Delegation wel achter de rechten "(from security filtering)", wat dus bij Scope vandaan moet komen.
De policies waar het zegt dat het OK is, heeft bij Scope niet die groep toegekend. Het script lijkt dus te kijken naar expliciet gezette rechten en niet wat vanuit de Scope is overgenomen.
Aangezien de policies waar je script over klaagt wel worden toegepast, ga ik uit van een foutje in je script en niet de policy rechten.
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Ik moet de testgebruikers nog uitvoeren. Ondertussen is er wat andere feces die een draaiend object zijn tegengekomen.
Commandline FTW | Tweakt met mate
On the Fly (tijdens het draaien) of toch via IP buiten ESX om?
Ik heb nu een klant met 5 SSD"s in de server zitten, er komen nu 3 bij.
En heb niet zoveel zin om alles te verplaatsen en verwijderen en opnieuw bouwen.
Gaat om een HP Proliant DL380 G10.
Draait ESX 6.7u1
Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |
Gewoon erbij plaatsen en uitbreiden. Merk je niets van normaliter, gebeurd op de achtergrond. Bij een drukke server kan het wel enkele uren tot dagen duren.Renegade666 schreef op dinsdag 28 mei 2019 @ 10:50:
Hoe is jullie ervaring om een Raid array uit breiden?
On the Fly (tijdens het draaien) of toch via IP buiten ESX om?
Ik heb nu een klant met 5 SSD"s in de server zitten, er komen nu 3 bij.
En heb niet zoveel zin om alles te verplaatsen en verwijderen en opnieuw bouwen.
Gaat om een HP Proliant DL380 G10.
Draait ESX 6.7u1
Automatisch crypto handelen via een NL platform? Check BitBotsi !
Nou ik denk dat er geen fout in het script zit want in mijn eigen test omgeving werkt ie gewoon prima.Hero of Time schreef op dinsdag 28 mei 2019 @ 09:10:
[...]
Ehm, je script doet iets fout. Het beweert dat op o.a. het default domain policy de groep 'authenticated users' geen leesrechten heeft, maar dat heeft 't wel. Het staat bij zowel Scope - Security Filtering als bij Delegation. Ook bij de 'default domain controller policy' piept het, terwijl daar ook 'authenticated users' bij staat. Er staat bij Delegation wel achter de rechten "(from security filtering)", wat dus bij Scope vandaan moet komen.
De policies waar het zegt dat het OK is, heeft bij Scope niet die groep toegekend. Het script lijkt dus te kijken naar expliciet gezette rechten en niet wat vanuit de Scope is overgenomen.
Aangezien de policies waar je script over klaagt wel worden toegepast, ga ik uit van een foutje in je script en niet de policy rechten.
Je zou zelf even de permissies kunnen ophalen van alle GPO's met het volgende commando en kijken of ze goed staan:
1
2
3
4
5
6
7
8
9
10
| $gpos = Get-GPO -All $info = foreach ($gpo in $gpos) { Get-GPPermissions -Guid $gpo.Id -All | Select-Object ` @{n='GPOName';e={$gpo.DisplayName}}, @{n='AccountName';e={$_.Trustee.Name}}, @{n='AccountType';e={$_.Trustee.SidType.ToString()}}, @{n='Permissions';e={$_.Permission}} } $info | Export-Csv -Path 'C:\Temp_Storage\GPOPermissions.csv' -NoTypeInformation |
[ Voor 21% gewijzigd door Turdie op 13-06-2019 17:36 ]
Dat zeg ik, er zit een fout in want waar het over klaagt is helemaal geen reden om over te klagen omdat Authenticated Users wel gewoon read rechten heeft (met in deze gevallen zelfs Apply).shadowman12 schreef op dinsdag 28 mei 2019 @ 14:14:
[...]
Nou ik denk dat er een fout in het script zit want in mijn eigen test omgeving werkt ie gewoon prima.
Maar ik heb het euvel gevonden. Printer policies. De eerste de beste die ik toevoegde gaf een mooie inlogtijd van een uur. Haal het policy weg en inloggen is weer seconden werk.
Vreemd genoeg blijf ik bij 'gpresult /r' een Access Denied krijgen. Inloggen op een van de andere twee geeft gewoon het resultaat weer.
Doe ik 'gpresult /r' met m'n admin account, dan krijg ik wel wat informatie, maar lidmaatschap van groepen geeft een onverwachte fout.
Zou de server zelf opeens fubar zijn geworden?
Commandline FTW | Tweakt met mate
Volgens mij kun je onder een normale user geen gpresult /v draaien, dat is een commando wat alleen door admins gedraaid kan worden. Zie hier voor een workaroundHero of Time schreef op dinsdag 28 mei 2019 @ 14:36:
[...]
Dat zeg ik, er zit een fout in want waar het over klaagt is helemaal geen reden om over te klagen omdat Authenticated Users wel gewoon read rechten heeft (met in deze gevallen zelfs Apply).
Maar ik heb het euvel gevonden. Printer policies. De eerste de beste die ik toevoegde gaf een mooie inlogtijd van een uur. Haal het policy weg en inloggen is weer seconden werk.
Vreemd genoeg blijf ik bij 'gpresult /r' een Access Denied krijgen. Inloggen op een van de andere twee geeft gewoon het resultaat weer.
Doe ik 'gpresult /r' met m'n admin account, dan krijg ik wel wat informatie, maar lidmaatschap van groepen geeft een onverwachte fout.
Zou de server zelf opeens fubar zijn geworden?
https://www.gfisk.com/rsop-gpresult-with-non-admin-account/
shadowman12 schreef op dinsdag 28 mei 2019 @ 18:03:
[...]
Volgens mij kun je onder een normale user geen gpresult /v draaien, dat is een commando wat alleen door admins gedraaid kan worden. Zie hier voor een workaround
https://www.gfisk.com/rsop-gpresult-with-non-admin-account/
Commandline FTW | Tweakt met mate
Je zei toch dat je onder een normale user een access denied krijgt bij gpresult /v?Hero of Time schreef op dinsdag 28 mei 2019 @ 19:14:
[...]
Waar lees jij dat ik gpresult /v wil draaien? Elke domme gebruiker en sterveling mag gpresult /r draaien hoor.
Nee. Die krijg ik bij /r. En bij m'n admin krijg ik ook een error als het de groepen waar ik lid van ben wil laten zien. Lees maar goed:shadowman12 schreef op dinsdag 28 mei 2019 @ 20:13:
[...]
Je zei toch dat je onder een normale user een access denied krijgt bij gpresult /v?
Op de andere servers krijg ik wel gewoon de informatie te zien.Hero of Time schreef op dinsdag 28 mei 2019 @ 14:36:
Vreemd genoeg blijf ik bij 'gpresult /r' een Access Denied krijgen. Inloggen op een van de andere twee geeft gewoon het resultaat weer.
Doe ik 'gpresult /r' met m'n admin account, dan krijg ik wel wat informatie, maar lidmaatschap van groepen geeft een onverwachte fout.
We hebben meerdere printer policies. Bij die voor 'iedereen' blijft het hangen. Wijs ik een andere toe, dan ben ik wel vlot ingelogd. Alleen had ik bij die test ook een brak profiel, het kon opeens m'n bureaublad niet vinden en 't startmenu was leeg. Met 3 'spook' sessies/gebruikers nog op de server heb ik 'm herstart en kijk ik er morgen wel verder naar. Dan zal het ook de logins gaan loggen door de register aanpassing.
Commandline FTW | Tweakt met mate
Verkeerde been uit bed gestapt?Hero of Time schreef op dinsdag 28 mei 2019 @ 20:24:
[...]
Nee. Die krijg ik bij /r. En bij m'n admin krijg ik ook een error als het de groepen waar ik lid van ben wil laten zien. Lees maar goed:
[...]
Op de andere servers krijg ik wel gewoon de informatie te zien.
We hebben meerdere printer policies. Bij die voor 'iedereen' blijft het hangen. Wijs ik een andere toe, dan ben ik wel vlot ingelogd. Alleen had ik bij die test ook een brak profiel, het kon opeens m'n bureaublad niet vinden en 't startmenu was leeg. Met 3 'spook' sessies/gebruikers nog op de server heb ik 'm herstart en kijk ik er morgen wel verder naar. Dan zal het ook de logins gaan loggen door de register aanpassing.
Voor die printer policy moet je in de eventviewer zijn. Dat staat op 2 plekken. De eerste plek is vaag, policy xyz took 46484 ms to complete. De andere geeft je exact weer welke printer het probleem is.
3 tips:
Gebruik goedgekeurde drivers
Maak juist gebruik van create change en delete
Gebruik zo min mogelijk acl in je policy
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Jij hebt jouw OCD, ik heb de mijne.
In de ochtend (rond 11:13) de testgebruiker ingelogd en ten tijde van de trage login zie ik wel een melding dat de folder redirection 125 ms erover deed. Leuk om te weten. Maar dan is het stil. Geen melding hoe lang het met de printer policy bezig was. Het gaat van het ene moment over naar het andere met een uur verschil tussen de items. Een paar entries in de event viewer bij GroupPolicy:Voor die printer policy moet je in de eventviewer zijn. Dat staat op 2 plekken. De eerste plek is vaag, policy xyz took 46484 ms to complete. De andere geeft je exact weer welke printer het probleem is.
11:13:08 - Group policy session returned to winlogon.
11:13:08 - Group Policy received the notification Logon from Winlogon for session 6.
12:13:03 - Group Policy Winlogon status reporting has completed.
12:13:03 - Group policy session returned to winlogon.
Daar vind ik dus niet direct de reden tussen. Ik graaf ondertussen nog wel verder na wat andere dingen proberen.
Het vage is juist dat de printers die toegewezen worden met de GPO die langzaam inloggen gaf, en de tweede GPO met 1 printer erin, allemaal hetzelfde type is. En logischerwijs dezelfde driver en versie.3 tips:
Gebruik goedgekeurde drivers
Maak juist gebruik van create change en delete
Gebruik zo min mogelijk acl in je policy
We blijven kijken naar de staat van de GPO, maar het is maar 1 server die staat te bokken. De andere twee doen het zonder issues. Ik betwijfel daarom ten zeerste dat het probleem echt in de GPO zit en de bijbehorende rechten.
Ik ga de server uit het domein halen en weer erin zetten, hopen dat dat wat oplost.
Commandline FTW | Tweakt met mate
https://www.thomasmaurer....rt-in-azure-vpn-gateways/
Je zou ook even de drivers kunnen cleanen van de server die problemen geeft, en ze opnieuw installeren.Hero of Time schreef op woensdag 29 mei 2019 @ 08:41:
[...]
Jij hebt jouw OCD, ik heb de mijne.
[...]
In de ochtend (rond 11:13) de testgebruiker ingelogd en ten tijde van de trage login zie ik wel een melding dat de folder redirection 125 ms erover deed. Leuk om te weten. Maar dan is het stil. Geen melding hoe lang het met de printer policy bezig was. Het gaat van het ene moment over naar het andere met een uur verschil tussen de items. Een paar entries in de event viewer bij GroupPolicy:
11:13:08 - Group policy session returned to winlogon.
11:13:08 - Group Policy received the notification Logon from Winlogon for session 6.
12:13:03 - Group Policy Winlogon status reporting has completed.
12:13:03 - Group policy session returned to winlogon.
Daar vind ik dus niet direct de reden tussen. Ik graaf ondertussen nog wel verder na wat andere dingen proberen.
[...]
Het vage is juist dat de printers die toegewezen worden met de GPO die langzaam inloggen gaf, en de tweede GPO met 1 printer erin, allemaal hetzelfde type is. En logischerwijs dezelfde driver en versie.
We blijven kijken naar de staat van de GPO, maar het is maar 1 server die staat te bokken. De andere twee doen het zonder issues. Ik betwijfel daarom ten zeerste dat het probleem echt in de GPO zit en de bijbehorende rechten.
Ik ga de server uit het domein halen en weer erin zetten, hopen dat dat wat oplost.
[ Voor 68% gewijzigd door Turdie op 29-05-2019 16:42 ]
Dat is het uur dat we moeten wachten.
Nu naar huis, morgen relaxen en vrijdag kijk ik wel weer verder. Drivers ga ik dan ook onder handen nemen.
Commandline FTW | Tweakt met mate
Onderaan die pagina staat een script. Dat heeft al meerdere keren mijn bacon geredHero of Time schreef op woensdag 29 mei 2019 @ 16:43:
Kan ik idd ook doen. Kwam ook nog https://community.spicewo...aking-605-seconds-to-boot tegen omdat ik ook die melding zie. In mijn geval is het "The winlogon notification subscriber <gpclient> took 3593 second(s) to handle the notification event (Logon)."
Dat is het uur dat we moeten wachten.Helaas heeft dat geen verandering gebracht.
Nu naar huis, morgen relaxen en vrijdag kijk ik wel weer verder. Drivers ga ik dan ook onder handen nemen.
Meldt het Group Policy eventlog nog iets bijzonders?
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Die WBEM repo cleanup bedoel je? Die heb ik gedraaid, geen effect.asing schreef op woensdag 29 mei 2019 @ 19:33:
[...]
Onderaan die pagina staat een script. Dat heeft al meerdere keren mijn bacon gered.
Ik had iets eerder vandaag al de eventlogs met tijden gepost die elkaar direct opvolgen. Een uur van doodse stilte mbt de GPO events in de logs.Meldt het Group Policy eventlog nog iets bijzonders?
Server uit 't domein en er weer in deed ook niets. Of het door de fresh reboot kwam of toch een aardige bijkomstigheid, maar een gpresult /r met m'n admin account gaf iig weer m'n groeplidmaatschappen weer, maar voor non-admin blijft het access denied.
De debug log voor het aanmelden heb ik wel. Althans, ik denk dat het 't is, want het staat in de genoemde locatie. Alleen heet het niet UserEnv.log oid, maar gpcsvc.log of wat er op lijkt. Die moet ik nog lezen.
Commandline FTW | Tweakt met mate
Sccm heb ik thuis niet
[ Voor 32% gewijzigd door HKLM_ op 29-05-2019 20:09 ]
Cloud ☁️
Dat is lammer...Hero of Time schreef op woensdag 29 mei 2019 @ 19:55:
[...]
Die WBEM repo cleanup bedoel je? Die heb ik gedraaid, geen effect.
Laat ik iets specifieker zijn. Je hebt 5 "standaard" logs. Application, System, Setup, Security en forwarded events. Dat is aardig maar niet specifiek genoeg.Ik had iets eerder vandaag al de eventlogs met tijden gepost die elkaar direct opvolgen. Een uur van doodse stilte mbt de GPO events in de logs.
Onder Applications and Services vind je GroupPolicy met een log.
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Zeker lame.
Ja, die heb ik gevonden. Klap je wat MS zaken open en er komt een lap regels bij. Daar komen ook de entries vandaan.[...]
Laat ik iets specifieker zijn. Je hebt 5 "standaard" logs. Application, System, Setup, Security en forwarded events. Dat is aardig maar niet specifiek genoeg.
Onder Applications and Services vind je GroupPolicy met een log.
Commandline FTW | Tweakt met mate
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Dat heb ik gedaan. Aparte OU, nieuwe gebruiker en dan policies toepassen (en de gebruiker toevoegen aan de scope van de GPO, anders doet het nog niets tenzij ik 'm in groepen hang). Met Folder redirection voor de documenten en afbeeldingen, geen probleem. Hang er een printer policy aan, duurt een uur.asing schreef op woensdag 29 mei 2019 @ 23:15:
Dan zou ik echt beginnen met een lege OU en een testgebruiker. Dan stuk voor stuk de policies toepassen en kijken wat er gebeurt. Let op dat sommige dingen alleen bij het inloggen gedaan worden. De foute GPO moet je dan eens opnieuw opbouwen en nog eens proberen.
Máár! Terwijl ik op de andere RDS servers dus geen last heb van langzame login en vrijelijk de uitvoer van gpresult /r kan lezen, was dat zonder een GPO extra al niet mogelijk op de gare server.
Om het nog leuker te maken, er zijn wat policies die aan het domein hangen, naast de default domain policy. Er worden daar twee van toegepast van wat ik zo even herinner. Het zou niet uit moeten maken, want het issue is maar op 1 server en pas nadat ik een printer policy toepas. Het moet dus echt ergens ín die Windows installatie zitten. Ik heb ook geen flauw idee wat er vorige week van woensdag naar donderdag is verandert. Of op de donderdag zelf eigenlijk, want een paar gebruikers waren begin van de dag ingelogd zonder problemen.
Commandline FTW | Tweakt met mate
https://macmonitor.by/en
Hiermee kun je dus zie wie er op welke switchpoort zit via een handige webinterface.
Hoe staat het nu met de problemen van het trage inloggen die je vorige week had? Ik heb zitten zoeken in beide SysOps topics, maar ik zie niks meer van je vershijnen hierover.
Mooi dat het opgelost is! De Print Management MMC is erg handig om printers te beheren, makkelijker dan via devices en printers i.i.gHero of Time schreef op dinsdag 4 juni 2019 @ 20:26:
[...]
Dit is de oplossing geweest voor het probleem. Toen ik de print spooler service stopte en de GPO met de printers aan liet, was ik binnen seconden ingelogd.
Wat mij ook opviel, was dat de andere manier waarop we printers toekennen niet leek te werken. De twee (van de drie) GPOs die we hebben voor printers aan gebruikers geven maken gebruik van GPP. De derde doet het via de Printer Manager (Deploy using GPO).
Met wat moeite de lokale printserver eigenschappen weten te openen (goed om te weten, selecteer eerst een printer (die moet je wel hebben!), waarna de knop 'printserver properties' verschijnt als je in CP -> Devices & Printers zit) en daar de drivers verwijdert. Moest wel telkens de print spooler herstarten omdat het constant zat te piepen dat de driver bestanden in gebruik waren.
Na deze opruimactie de server herstart (voor de zekerheid, en ook om eventuele rogue sessies kwijt te raken) ingelogd met een testgebruiker en had binnen een minuut de desktop. Tweede testgebruiker net zo. En ook mijn eigen gebruiker was er in korte tijd weer in.
Stond op 't punt om de server opnieuw te installeren. scheelt weer een paar uur tijd.
Dus @shadowman12, terwijl jij je post plaatste, was ik dit bericht aan het typen.voor je hulp.
Geen idee wat GoT deed, maar dit hoorde eigenlijk erna te komen, beetje messed up nu, maar goed.
[ Voor 91% gewijzigd door Turdie op 04-06-2019 20:34 ]
Dit is de oplossing geweest voor het probleem. Toen ik de print spooler service stopte en de GPO met de printers aan liet, was ik binnen seconden ingelogd.shadowman12 schreef op woensdag 29 mei 2019 @ 16:32:
[...]
Je zou ook even de drivers kunnen cleanen van de server die problemen geeft, en ze opnieuw installeren.
Wat mij ook opviel, was dat de andere manier waarop we printers toekennen niet leek te werken. De twee (van de drie) GPOs die we hebben voor printers aan gebruikers geven maken gebruik van GPP. De derde doet het via de Printer Manager (Deploy using GPO).
Met wat moeite de lokale printserver eigenschappen weten te openen (goed om te weten, selecteer eerst een printer (die moet je wel hebben!), waarna de knop 'printserver properties' verschijnt als je in CP -> Devices & Printers zit) en daar de drivers verwijdert. Moest wel telkens de print spooler herstarten omdat het constant zat te piepen dat de driver bestanden in gebruik waren.
Na deze opruimactie de server herstart (voor de zekerheid, en ook om eventuele rogue sessies kwijt te raken) ingelogd met een testgebruiker en had binnen een minuut de desktop. Tweede testgebruiker net zo. En ook mijn eigen gebruiker was er in korte tijd weer in.
Stond op 't punt om de server opnieuw te installeren. scheelt weer een paar uur tijd.
Dus @shadowman12, terwijl jij je post plaatste, was ik dit bericht aan het typen.

Edit:
Ik zocht in het startmenu en bij Administrative Tools al naar iets dat met 'print' begint, maar die heb je dus niet standaard. Ik ken de Print Manager MMC tool alleen als je ook daadwerkelijk de printserver rol hebt geïnstalleerd. En die heb je dus niet op een RDS of je misbruikt 'm ook als printserver (maar waar ben je dan in vredesnaam mee bezig als je dat doet
[ Voor 11% gewijzigd door Hero of Time op 04-06-2019 20:31 ]
Commandline FTW | Tweakt met mate
De Print Management tool is volgens mij onderdeel van de RSAT(Remote Server Administration Tools), als je die geinstalleerd hebt, kun je ook de Print Management MMC installeren.Hero of Time schreef op dinsdag 4 juni 2019 @ 20:26:
[...]
Dit is de oplossing geweest voor het probleem. Toen ik de print spooler service stopte en de GPO met de printers aan liet, was ik binnen seconden ingelogd.
Wat mij ook opviel, was dat de andere manier waarop we printers toekennen niet leek te werken. De twee (van de drie) GPOs die we hebben voor printers aan gebruikers geven maken gebruik van GPP. De derde doet het via de Printer Manager (Deploy using GPO).
Met wat moeite de lokale printserver eigenschappen weten te openen (goed om te weten, selecteer eerst een printer (die moet je wel hebben!), waarna de knop 'printserver properties' verschijnt als je in CP -> Devices & Printers zit) en daar de drivers verwijdert. Moest wel telkens de print spooler herstarten omdat het constant zat te piepen dat de driver bestanden in gebruik waren.
Na deze opruimactie de server herstart (voor de zekerheid, en ook om eventuele rogue sessies kwijt te raken) ingelogd met een testgebruiker en had binnen een minuut de desktop. Tweede testgebruiker net zo. En ook mijn eigen gebruiker was er in korte tijd weer in.
Stond op 't punt om de server opnieuw te installeren. scheelt weer een paar uur tijd.
Dus @shadowman12, terwijl jij je post plaatste, was ik dit bericht aan het typen.voor je hulp.
Edit:
Ik zocht in het startmenu en bij Administrative Tools al naar iets dat met 'print' begint, maar die heb je dus niet standaard. Ik ken de Print Manager MMC tool alleen als je ook daadwerkelijk de printserver rol hebt geïnstalleerd. En die heb je dus niet op een RDS of je misbruikt 'm ook als printserver (maar waar ben je dan in vredesnaam mee bezig als je dat doet).
Weet ik, ik had 'm ook vanaf de printserver kunnen openen en dan 'connect to other server' kiezen. Maar vanwege de vage 'access denied' meldingen wilde ik niet dat risico lopen enzo. Plus, nu kon ik bij het verdwijnen van de melding dat de service wordt gestart gelijk op de 'delete' knop drukken voor de drivers. Had zelfs het netwerk 'losgekoppeld', dus dan gaat RSAT al helemaal niet helpen.shadowman12 schreef op dinsdag 4 juni 2019 @ 20:37:
[...]
De Print Management tool is volgens mij onderdeel van de RSAT(Remote Server Administration Tools), als je die geinstalleerd hebt, kun je ook de Print Management MMC installeren.
[Afbeelding]
Commandline FTW | Tweakt met mate
Source en dest pratend naar telnet poortIngegno schreef op donderdag 23 mei 2019 @ 14:48:
Vraagje tussendoor
Access-list 150 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 23
Wanneer je zo'n ACL hebt met eq, kijkt dat eq naar source & destination poort of alleen naar source of destination? Wat zitten googlen maar geen eenduidig antwoord op kunnen vinden. Ik wil zeggen alleen destination maar durf het niet met 100% zekerheid te zeggen.
Oeh beetje laat denk ik
Netwerk Engineer
Ik vermoed dat User Account Control je in de weg heeft gezeten met die acces denied meldingen.Hero of Time schreef op dinsdag 4 juni 2019 @ 20:42:
[...]
Weet ik, ik had 'm ook vanaf de printserver kunnen openen en dan 'connect to other server' kiezen. Maar vanwege de vage 'access denied' meldingen wilde ik niet dat risico lopen enzo. Plus, nu kon ik bij het verdwijnen van de melding dat de service wordt gestart gelijk op de 'delete' knop drukken voor de drivers. Had zelfs het netwerk 'losgekoppeld', dus dan gaat RSAT al helemaal niet helpen.Die installeer je op je management machine, niet de RDS waar je gebruikers op zitten (ook daar, heb je dat wel, wat doe je dan?).
Er zijn ook scripts die alle drivers en printers wegtieven, had je ook kunnen doen bedenk ik me nu, en ze dan opnieuw toevoegen. Wat je vraag is met die laatste zin snap ik niet helemaal.
Nee, die access denied meldingen kwamen bij het opvragen van rsop gegevens zoals je die met gpresult /r krijgt. Gaf ik een gebruiker geen printer policy en was deze daardoor binnen een minuut ingelogd, zodra ik 'm aan een van de GPOs hing, was het gedaan er mee. Voerde ik achter elkaar 'gpresult /r ; gpupdate ; gpresult /r', dan kreeg ik bij de eerste netjes informatie, bij de tweede access denied. De hele printer zooi was gewoon compleet fubar. Gelukkig was m'n eigen admin account niet getroffen, waardoor ik de drivers gewoon normaal weg kon gooien. Ik had UAC op dat moment ook even uitgezet, maar denk niet dat het iets van verschil zou hebben gemaakt.shadowman12 schreef op dinsdag 4 juni 2019 @ 20:48:
[...]
Ik vermoed dat User Account Control je in de weg heeft gezeten met die acces denied meldingen.
Er zijn ook scripts die alle drivers en printers wegtieven, had je ook kunnen doen bedenk ik me nu, en ze dan opnieuw toevoegen.
Mijn angst voor access denied was misschien niet gegrond, maar lekker lokaal oplossing zonder remote systemen (wat ik dus niet heb getest, was bang dat dat niet ging werken) deed 't prima.
Niet een normale vraag, maar een retorische vraag. Als je dat doet, ben je een prutser en is het wellicht handig om na te denken aan een carrièreswitch.Wat je vraag is met die laatste zin snap ik niet helemaal.
Commandline FTW | Tweakt met mate
Ik deel ze uit via GPP, gaat prima zolang je update gebruikt. En zoveel mogelijk generieke drivers, zeker als je veel verschillende types van één merk hebt.
Het verbaasd me dat je hierin gestonken bent. Iedere Windows beheerder weet toch wel hoe ontzettend ranzig die drivers in elkaar worden gezet? En dan bedoel ik jullie HP, die functies toevoegen aan bepaalde dlls en dan de oudere modellen confuus maken.
Anyway, ik vergat ernaar te vragen. Je weet nu dat je voor je printserver absoluut het kiss principe moet handhaven.
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
De printers die wij hebben is Ricoh en OKI. De drivers die er eigenlijk niet op hoorde van wat ik zag, waren een HP driver en van twee Dell. En nog iets van MS zelf. Als het nodig is, haalt 'ie het maar weer uit z'n driver store.
En ja, ik weet dat printer drivers ranzig kunnen zijn. Maar dat het van het ene op het andere moment 180° draait heb ik niet eerder gezien. Je kan, als het fout gaat, dan altijd wel aan een wijziging koppelen. Hier is niets verandert.
Ik had vorige week RDP printer redirect uitgezet, maar daar kwam gister opeens een klacht van een thuiswerker dat die niet kon printen op haar printer thuis. Dat heb ik weer ingeschakeld, dus ze kon erna weer printen, maar ik ga dit wel even met m'n manager bespreken. Want van een thuis printer kan je ook zomaar troep binnen krijgen qua drivers. Of heeft MS dat ondertussen aangepast en wordt er een generieke RDP printer driver gebruikt?
Commandline FTW | Tweakt met mate
Ja volgens mij wordt er een generieke RDP printer gebruikt, pin me er niet op vast. Ik zou het zelf ook even moeten nazoeken, wat ik zo ga doen, want je hebt me getriggerdHero of Time schreef op dinsdag 4 juni 2019 @ 22:22:
En uitrollen met GPP is dus een doodsteek als er iets fubar gaat (wij gebruiken ook update). Gewoon via print manager deployen, dat gaf geen uren voor inloggen.
De printers die wij hebben is Ricoh en OKI. De drivers die er eigenlijk niet op hoorde van wat ik zag, waren een HP driver en van twee Dell. En nog iets van MS zelf. Als het nodig is, haalt 'ie het maar weer uit z'n driver store.
En ja, ik weet dat printer drivers ranzig kunnen zijn. Maar dat het van het ene op het andere moment 180° draait heb ik niet eerder gezien. Je kan, als het fout gaat, dan altijd wel aan een wijziging koppelen. Hier is niets verandert.
Ik had vorige week RDP printer redirect uitgezet, maar daar kwam gister opeens een klacht van een thuiswerker dat die niet kon printen op haar printer thuis. Dat heb ik weer ingeschakeld, dus ze kon erna weer printen, maar ik ga dit wel even met m'n manager bespreken. Want van een thuis printer kan je ook zomaar troep binnen krijgen qua drivers. Of heeft MS dat ondertussen aangepast en wordt er een generieke RDP printer driver gebruikt?
Edit:
Ja het is een driver, Microsoft Easy Print
[ Voor 4% gewijzigd door Turdie op 04-06-2019 23:47 ]
Commandline FTW | Tweakt met mate
Deze wil ik gebruiken icm met firepower device manager. Echter lees ik op de cisco site dat ik eerst het moet omflashen naar Firepower Threat Defense van asa wat er nu op draait. Als iemand weet wat ik nu moet doen hoor ik het graag
"Computers are like Old Testament gods: lots of rules and no mercy." --Joseph Campbell
Heb je hier wat aan?Iekozz schreef op zaterdag 8 juni 2019 @ 17:47:
Voor mijn werk heb ik een kleine firewall aangeschaft (pricewatch: Cisco ASA 5506-X with FirePOWER Services)
Deze wil ik gebruiken icm met firepower device manager. Echter lees ik op de cisco site dat ik eerst het moet omflashen naar Firepower Threat Defense van asa wat er nu op draait. Als iemand weet wat ik nu moet doen hoor ik het graag.
https://www.cisco.com/c/e...ubleshoot_chapter_011.pdf
https://www.cisco.com/c/e...ding-firepower-threa.html
[ Voor 7% gewijzigd door HKLM_ op 08-06-2019 17:53 ]
Cloud ☁️
Ja die had ik openstaan inderdaad/ Ziet er dus wel naar uit dat ik die moet installeren voordat ik het aan de praat krijg. Nu kan ik alleen die software niet downloaden vanaf de cisco site zonder licentie. (Die ik wel kreeg in de doos).
"Computers are like Old Testament gods: lots of rules and no mercy." --Joseph Campbell
Als je hem met FTD hebt gekocht is het kwestie via de cli manager add ip address controller 123345(code)Iekozz schreef op zaterdag 8 juni 2019 @ 17:47:
Voor mijn werk heb ik een kleine firewall aangeschaft (pricewatch: Cisco ASA 5506-X with FirePOWER Services)
Deze wil ik gebruiken icm met firepower device manager. Echter lees ik op de cisco site dat ik eerst het moet omflashen naar Firepower Threat Defense van asa wat er nu op draait. Als iemand weet wat ik nu moet doen hoor ik het graag.
Daarna toevoegen in firepower management server met die code.
Als je met ASA software hebt moet je hem inderdaad om flashen, wat best een uitdaging is, rommon, tftp etc etc..... Zucht..
/edit
Benader je hem nu met adsm? Zo niet dan is ie al ftd
[ Voor 3% gewijzigd door Vorkie op 08-06-2019 19:28 ]
Heb hem gekocht met firepower services. Van wat ik zie moet je dat apart flashen. Wel een gedoe, maargoed.Vorkie schreef op zaterdag 8 juni 2019 @ 19:23:
[...]
Als je hem met FTD hebt gekocht is het kwestie via de cli manager add ip address controller 123345(code)
Daarna toevoegen in firepower management server met die code.
Als je met ASA software hebt moet je hem inderdaad om flashen, wat best een uitdaging is, rommon, tftp etc etc..... Zucht..
/edit
Benader je hem nu met adsm? Zo niet dan is ie al ftd
"Computers are like Old Testament gods: lots of rules and no mercy." --Joseph Campbell
Ik heb nu een xx aantal 550x-x with Firepower services geïmplementeerd en allen hadden al de juiste software, dus weet je het zeker?Iekozz schreef op zaterdag 8 juni 2019 @ 19:47:
[...]
Heb hem gekocht met firepower services. Van wat ik zie moet je dat apart flashen. Wel een gedoe, maargoed.
Als je die aansluit op een grote monitor (denk een 40" of groter scherm voor in vergaderzalen) dan gaat Windows 10 de schaling aanpassen, naar bijvoorbeeld 300%, zodat je niks meer kwijt kunt op je scherm en alles absurd groot is. Functionaliteit noemt men dat.
Nu is 100% schaling op een 4K resolutie niet wenselijk, dan moet je een vergrootglas hebben, dus ik heb de schaling lokaal op 200% gezet, dat lijkt goed te zijn. Echter log ik dan met een domein account in in Citrix, dan staat de schaling gewoon weer op 300%.
Hoe zet ik die achterlijke functionaliteit gewoon in z'n geheel uit? Met Google kom ik niet verder als 'hier kun je handmatig de schaling aanpassen', of 'zo schakel je de DPI schaling voor deze applicatie uit'.
Daar heb ik dus geen kont aan, ik wil niet dat ie automatisch de schaling gaat zitten verkloten, ik wil die hele functionaliteit er gewoon uit slopen.
op het werk staan een paar van die Surface Studio's. Ook daar moet je eerst de koeieletters uitzetten. De oorzaak lijkt te zitten in het feit dat de monitor teruggeeft hoeveel DPI het scherm is. Windows past daarop de scaling aan.
Edit : toch iets gevonden :

Eronder staat een tabelletje met wat de waardes kunnen zijn. Ik denk dat je het 2 profielen moet aanpassen, lokaal en Citrix. Echter, dat zal issues geven als de gebruiker weer achter een normaal scherm zit.
https://www.tenforums.com...isplays-windows-10-a.html
[ Voor 36% gewijzigd door asing op 11-06-2019 19:17 ]
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Die LogPixels entry heb ik niet, maar als ik het mapje Desktop openvouw staat daar wel 'PerMonitorSettings' met daaronder een mapje dat letterlijk het serienummer van de monitor is met daarin een 'DpiValue'.
Maar dan zit ik altijd nog in Current User te werken en eigenlijk wil ik dit in Local Machine hebben zodat hij dit doet ongeacht de gebruiker, en als die gebruiker op z'n eigen plek gaat inloggen ook daar alles goed staat. Ik ga er vanmiddag eens mee stoeien. Thx
EDIT: Nope, zowel LogPixels als PerMonitorSettings staan niet in het register van thinclient
[ Voor 20% gewijzigd door FastFred op 12-06-2019 13:04 ]
Ik denk ook niet dat je onder Current User uit kan komen. Maar je zou wel iets moois kunnen maken met RES PowerfuseFastFred schreef op woensdag 12 juni 2019 @ 12:41:
[...]
Die LogPixels entry heb ik niet, maar als ik het mapje Desktop openvouw staat daar wel 'PerMonitorSettings' met daaronder een mapje dat letterlijk het serienummer van de monitor is met daarin een 'DpiValue'.
Maar dan zit ik altijd nog in Current User te werken en eigenlijk wil ik dit in Local Machine hebben zodat hij dit doet ongeacht de gebruiker, en als die gebruiker op z'n eigen plek gaat inloggen ook daar alles goed staat. Ik ga er vanmiddag eens mee stoeien. Thx
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Probeer een MSSQL Database te bereiken via een andere client maar blijf tegen die foutmelding aanlopen. De database lijk ik alleen te kunnen bereiken wanneer ik op de machine zelf zit, maar via andere clients/servers lukt het niet. TShoot conform de punten die in de link staan, de Kerberos Config tool werkt voor geen meter
Heb je de SPN's al aangemaakt?Ingegno schreef op donderdag 13 juni 2019 @ 21:04:
Iemand wel eens deze fout gehad: https://support.microsoft...spi-context-error-message
Probeer een MSSQL Database te bereiken via een andere client maar blijf tegen die foutmelding aanlopen. De database lijk ik alleen te kunnen bereiken wanneer ik op de machine zelf zit, maar via andere clients/servers lukt het niet. TShoot conform de punten die in de link staan, de Kerberos Config tool werkt voor geen meterRot lopen Googlen maar geen success.
punt 5 van de dingen te doen.
Met de setspn utility heb ik gecheckt of de output op mijn client gelijk is aan de output als wanneer ik direcht op de machine zelf zit.Vorkie schreef op donderdag 13 juni 2019 @ 21:11:
[...]
Heb je de SPN's al aangemaakt?
punt 5 van de dingen te doen.
PS: Windows Authentication die ik gebruik. Heb ook gekeken om het met local DB accounts te doen maar helpt helaas ook niet.
En check even de link goed die je zelf geeft, als ik het goed lees gebruikt ie helemaal geen kerberos in jouw situatie.
Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)
Jep, probleem nu opgelost. Njah, opgelost. Eerder een workaround. SQL in mixed authentication mode gezet, lokale gebruiker aanmaken en hoppa kan er remote bij. Ook prima.The Eagle schreef op donderdag 13 juni 2019 @ 22:01:
Ik neem aan dat je nadat je het SQL server account geswitcht had, je wel een reboot of restart van de sqlserver service gedaan hebt?
En check even de link goed die je zelf geeft, als ik het goed lees gebruikt ie helemaal geen kerberos in jouw situatie.
Tijdens tshoot en kijkend naar documentatie wel achter gekomen wat het probleem is: gebruikersrechten. De SQL-service draait under een Windows Domain service account (speciaal aangemaakt). Had voor de gein dit even aangepast naar een domain admin en voila, dan werkt het wel. Zet ik het terug, weer die foutmelding.
Volgens MS documentatie en overige internetbronnen zou je dit kunnen fixen door in ADSI Edit te rommelen en de Read/Write UserPrincipalName optie aan te vinken voor die gebruiker. Dit heb ik weliswaar geprobeerd maar ook toen werkte het niet. Denk dat je mogelijk nog meer vinkjes aan moet zetten maar had er wel genoeg van en de workaround is ook best. Weet in ieder geval dat het iets met gebruikersrechten is, maar ga daar niet nog meer uren in lopen steken.
--------------------
On an (un)related note: scriptje nu dus mooi af. En werkt naar wens
ps2exe? PS Studio? Anders? Waar ik nu wel rekening mee wil houden (weet niet eens of dit überhaupt mogelijk is):
- Mijn script maakt gebruik van bepaalde bestanden die bepaalde input leveren (bv. een hele grote SQL-query van heel wat regels) en die ik dus niet direct in de PS-code zelf heb zitten
- Er worden ook bepaalde modules ingeladen zoals PDFtools wat niet standaard is.
Is het mogelijk om Powershell scriptjes zodanig te converteren dat dit alles (met aanpassingen aan de code van het script natuurlijk) wordt meegenomen zodat ik mijn .exe lekker overal kan lanceren zonder problemen?
Beide clusters zijn AD connected, maar kennen elkaar verder niet.
Methodes die ik ken:
1) Export / Import heeft nogal wat tijd nodig (grote files, moeten dan 2x geprocessed worden en tijdelijk opgeslagen)
2) Copy / Paste van de Config XML en VHD(X) files kan wel. Maar bij import is het dan geneuzel. En ik weet niet zeker of de disken dan dezelfde drive letter krijgen in het Windows?
3) Move naar een ander cluster heb ik ergens gelezen, maar 0,0 ervaring mee. Werkt zoiets een beetje?
Downtime is geen probleem, dat is ingecalculeerd.
Optie 3 zou het beste zijn, maar optie 2 is ook een optie. Als ik zeker weet dat disken goed gekoppeld worden kan ik zo een nieuwe VM config maken op het nieuwe cluster, memory/cpu/netwerk goed zetten en disken koppelen. Dat ik vervolgens nog even het IP in Windows moet goed zetten is geen groot werk voor 10 machines.
[ Voor 3% gewijzigd door Drardollan op 14-06-2019 22:36 ]
Automatisch crypto handelen via een NL platform? Check BitBotsi !
Letop, dit topic is bedoeld voor technische vragen, niet voor het klagen over je werk, je klanten of manager. Daarvoor kan je terecht in Topicreeks: Systeembeheerders en hun problemen