Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Acties:
  • 0Henk 'm!

  • Da_maniaC
  • Registratie: september 2004
  • Laatst online: 20-09 10:45

Da_maniaC

a.k.a. The Sequenz Pounder

Weet iemand hoe deze melding uit te schakelen is toevallig?

Dit gebeurd bij het openen van sommige .xls files die worden aangeboden vanuit SaaS applicaties (zoals reports, exports ed.)

Inventory | http://www.zdaemon.org ZDaemon! Client/Server port for DOOM!


Acties:
  • +1Henk 'm!

  • Oogje
  • Registratie: oktober 2003
  • Niet online
Da_maniaC schreef op dinsdag 21 mei 2019 @ 13:13:
Weet iemand hoe deze melding uit te schakelen is toevallig?

Dit gebeurd bij het openen van sommige .xls files die worden aangeboden vanuit SaaS applicaties (zoals reports, exports ed.)

[Afbeelding]
Ik heb dit wel eens gezien, maar dan bleek de inhoud xml te zijn die dan als xls weggeschreven wordt. En dat vind Excel niet zo leuk meer, en ik zie zoiets kunnen openen nog wel eens helemaal verdwijnen ivm security.

Als je die xls ff opent met een notepad/binary reader, wat is de inhoud dan?

Any errors in spelling, tact, or fact are transmission errors.


Acties:
  • 0Henk 'm!

  • Da_maniaC
  • Registratie: september 2004
  • Laatst online: 20-09 10:45

Da_maniaC

a.k.a. The Sequenz Pounder

Oogje schreef op dinsdag 21 mei 2019 @ 13:23:
[...]

Ik heb dit wel eens gezien, maar dan bleek de inhoud xml te zijn die dan als xls weggeschreven wordt. En dat vind Excel niet zo leuk meer, en ik zie zoiets kunnen openen nog wel eens helemaal verdwijnen ivm security.

Als je die xls ff opent met een notepad/binary reader, wat is de inhoud dan?
Klopt, het betreft een oude SaaS applicatie (Cognos 8.4) die geen nette .xls(x) file kan genereren.
De inhoud is .mht / .xml.
We hebben echter een oude Windows 7 image build met Office 2010 waar we deze melding niet krijgen (we kunnen alleen de GPO niet pinpointen die hiervoor zorgt op de nieuwe Windows 10 / Office 2016 build).
Deze willen we eigenlijk ook actief zetten voor de nieuwe Policy group.

Hier een stukje van de file header (via Notepad++):

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
MIME-Version: 1.0
X-Document-Type: Workbook
Content-Type: multipart/related; boundary="----=_NextPart_01C3AACE.2206ED10"

This document is a Web archive file.  If you are seeing this message, this means your browser or editor doesn't support Web archive files.  For more information on the Web archive format, go to http://officeupdate.microsoft.com/office/webarchive.htm.

------=_NextPart_01C3AACE.2206ED10
Content-Location: http://localhost/excel.htm
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="utf-8"

<html xmlns:o=3D"urn:schemas-microsoft-com:office:office"
xmlns:x=3D"urn:schemas-microsoft-com:office:excel"
xmlns:v=3D"urn:schemas-microsoft-com:vml"
xmlns=3D"http://www.w3.org/TR/REC-html40">
<head>

Inventory | http://www.zdaemon.org ZDaemon! Client/Server port for DOOM!


Acties:
  • +1Henk 'm!

  • Oogje
  • Registratie: oktober 2003
  • Niet online
Da_maniaC schreef op dinsdag 21 mei 2019 @ 13:38:
[...]


Klopt, het betreft een oude SaaS applicatie (Cognos 8.4) die geen nette .xls(x) file kan genereren.
De inhoud is .mht / .xml.
We hebben echter een oude Windows 7 image build met Office 2010 waar we deze melding niet krijgen (we kunnen alleen de GPO niet pinpointen die hiervoor zorgt op de nieuwe Windows 10 / Office 2016 build).
Deze willen we eigenlijk ook actief zetten voor de nieuwe Policy group.

Hier een stukje van de file header (via Notepad++):

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
MIME-Version: 1.0
X-Document-Type: Workbook
Content-Type: multipart/related; boundary="----=_NextPart_01C3AACE.2206ED10"

This document is a Web archive file.  If you are seeing this message, this means your browser or editor doesn't support Web archive files.  For more information on the Web archive format, go to http://officeupdate.microsoft.com/office/webarchive.htm.

------=_NextPart_01C3AACE.2206ED10
Content-Location: http://localhost/excel.htm
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="utf-8"

<html xmlns:o=3D"urn:schemas-microsoft-com:office:office"
xmlns:x=3D"urn:schemas-microsoft-com:office:excel"
xmlns:v=3D"urn:schemas-microsoft-com:vml"
xmlns=3D"http://www.w3.org/TR/REC-html40">
<head>

Excel 2010 is wat minder kieskeurig dan Excel 2016 (valt me mee dat in 2016 het nog steeds werkt met een popup ipv helemaal afgeschaft)

In Excel 2010 was het:
HKEY_CURRENT_USER\Software\Microsoft\Office\14\Excel\Security
DWord named ExtensionHardening, value 0.

Oogje wijzigde deze reactie 21-05-2019 13:45 (4%)

Any errors in spelling, tact, or fact are transmission errors.


Acties:
  • +1Henk 'm!

  • Da_maniaC
  • Registratie: september 2004
  • Laatst online: 20-09 10:45

Da_maniaC

a.k.a. The Sequenz Pounder

Oogje schreef op dinsdag 21 mei 2019 @ 13:44:
[...]


Excel 2010 is wat minder kieskeurig dan Excel 2016 (valt me mee dat in 2016 het nog steeds werkt met een popup ipv helemaal afgeschaft)

In Excel 2010 was het:

[...]
Dat was hem inderdaad, thanks! d:)b

Inventory | http://www.zdaemon.org ZDaemon! Client/Server port for DOOM!


  • Metalfreak
  • Registratie: april 2003
  • Laatst online: 19-09 03:53
Toetsenbordinstellingen zijn userafhankelijk... Nu hebben we een lading laptops binnengekregen met een UK toetsenbord en wil ik dit voor deze laptops alleen instellen. We maken gebruik van een standaard image voor alle laptops en PC's. Ik krijg het nu wel onder Powershell voor elkaar om het onder een user account te doen via onderstaand script:


code:
1
2
3
4
$LanguageList = New-WinUserLanguageList nl-NL
$LanguageList[0].InputMethodTips.Clear()
$LanguageList[0].InputMethodTips.Add('0413:00000809')
Set-WinUserLanguageList $LanguageList -Force



Maar als je nu inlogt onder een andere gebruiker, staat het weer gewoon op VS Internationaal. Weet iemand ook of het mogelijk om een script te bouwen dat ervoor zorgt dat het voor alle gebruikers op deze laptop standaard op UK gezet wordt?

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Roaming profiles? Zo niet, zorgen dat in het OS staat ingesteld om de layout voor het loginscherm, system account en nieuwe gebruikers te gebruiken. Dat is in de GUI een paar vinkjes, dat zou je met PoSh ook moeten kunnen zetten.

Spekkies | Commandline FTW

Metalfreak schreef op woensdag 22 mei 2019 @ 09:52:
Toetsenbordinstellingen zijn userafhankelijk... Nu hebben we een lading laptops binnengekregen met een UK toetsenbord en wil ik dit voor deze laptops alleen instellen. We maken gebruik van een standaard image voor alle laptops en PC's. Ik krijg het nu wel onder Powershell voor elkaar om het onder een user account te doen via onderstaand script:


code:
1
2
3
4
$LanguageList = New-WinUserLanguageList nl-NL
$LanguageList[0].InputMethodTips.Clear()
$LanguageList[0].InputMethodTips.Add('0413:00000809')
Set-WinUserLanguageList $LanguageList -Force



Maar als je nu inlogt onder een andere gebruiker, staat het weer gewoon op VS Internationaal. Weet iemand ook of het mogelijk om een script te bouwen dat ervoor zorgt dat het voor alle gebruikers op deze laptop standaard op UK gezet wordt?
Ik denk dat je het volgende moet doen. Maar eigenlijk doe je het via Group Policy voor alle gebruikers.

PowerShell:
1
2
3
4
5
6
7
8
$LanguageList = New-WinUserLanguageList nl-NL
$LanguageList[0].InputMethodTips.Clear()
$LanguageList[0].InputMethodTips.Add('0413:00000809')
Set-WinUserLanguageList $LanguageList -Force
Set-Culture nl-NL
Set-WinSystemLocale -SystemLocale nl-NL
Set-WinUILanguageOverride -Language nl-NL
Set-WinHomeLocation -GeoId 176

shadowman12 wijzigde deze reactie 22-05-2019 14:56 (24%)

Assumption is the mother of all fuck ups


  • Metalfreak
  • Registratie: april 2003
  • Laatst online: 19-09 03:53
shadowman12 schreef op woensdag 22 mei 2019 @ 14:49:
[...]


Ik denk dat je het volgende moet doen. Maar eigenlijk doe je het via Group Policy voor alle gebruikers.

PowerShell:
1
2
3
4
5
6
7
8
$LanguageList = New-WinUserLanguageList nl-NL
$LanguageList[0].InputMethodTips.Clear()
$LanguageList[0].InputMethodTips.Add('0413:00000809')
Set-WinUserLanguageList $LanguageList -Force
Set-Culture nl-NL
Set-WinSystemLocale -SystemLocale nl-NL
Set-WinUILanguageOverride -Language nl-NL
Set-WinHomeLocation -GeoId 176

Group policy kan niet, want de laptops zitten niet in een aparte OU (anders hebben we een complete redesign nodig van onze infrastructuur) en users kunnen ook op een laptop inloggen die niet voorzien is van een UK toetsenbord.

Ik ga je oplossing eens testen, maar dat gaat pas volgende week worden. Eerst morgen training en dan weekendje weg.

Metalfreak wijzigde deze reactie 22-05-2019 16:05 (6%)


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Metalfreak schreef op woensdag 22 mei 2019 @ 16:05:
[...]

Group policy kan niet, want de laptops zitten niet in een aparte OU (anders hebben we een complete redesign nodig van onze infrastructuur) en users kunnen ook op een laptop inloggen die niet voorzien is van een UK toetsenbord.
Dat is dan een erg slecht ontwerp wat er nu draait dan. Sub OU maken, de afwijkende machines in hangen en daar policy aan koppelen met aangepaste layout. Staan machines op tig plaatsen, dan maak je $tig sub OUs aan en koppel je hetzelfde GPO aan die $tig OUs.

Spekkies | Commandline FTW

Metalfreak schreef op woensdag 22 mei 2019 @ 16:05:
[...]


Group policy kan niet, want de laptops zitten niet in een aparte OU (anders hebben we een complete redesign nodig van onze infrastructuur) en users kunnen ook op een laptop inloggen die niet voorzien is van een UK toetsenbord.

Ik ga je oplossing eens testen, maar dat gaat pas volgende week worden. Eerst morgen training en dan weekendje weg.
Juist dan is het heel makkelijk om er een GPO aan te hangen, die op de OU staat, je zou voor de zekerheid alle laptops in een security group kunnen gooien en daar op kunnen filteren in je GPO (Security group filtering).

shadowman12 wijzigde deze reactie 22-05-2019 16:41 (7%)

Assumption is the mother of all fuck ups


  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 22:01

ThinkPad

Moderator Duurzame Energie & Domotica

L460

Iemand ervaring met Citrix binnen een Windows terminal server?

Een klant van ons werkt op onze terminalserver, daarbinnen willen ze dan Citrix gebruiken om naar applicatie van hun leverancier te connecten.

Het vreemde is, als je het voor de eerste keer instelt werkt het prima. Meld ik de Windows sessie af en log weer in, dan krijg ik deze foutmelding:


De gebruiker werkt met een UPD (User Profile Disk) dus settings zouden bewaard moeten blijven.
Dit lijkt ook het geval, want server adres wordt ik niet weer om gevraagd. Ook gebruiken we RES Ivanti Workspace Manager om de werkplek op te bouwen. Heb hier al een capture/sampling gedaan om te kijken wat er tijdens het instellen van de Receiver wordt weggeschreven. De betreffende registry trees laat ik nu mee capturen.

Toch krijg ik het nog niet voor elkaar. Enige manier om de boel weer aan de gang te krijgen is via het tray-icon de receiver opnieuw in te stellen. Maar volgende keer af- & aanmelden en het probleem is weer terug 8)7

ThinkPad wijzigde deze reactie 23-05-2019 11:04 (5%)

Gas besparen door CV-tuning | Elektriciteit besparen
Geen (Domoticz) vragen via privébericht die ook via het forum kunnen a.u.b.


  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 21:39
Vraagje tussendoor
Access-list 150 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 23

Wanneer je zo'n ACL hebt met eq, kijkt dat eq naar source & destination poort of alleen naar source of destination? Wat zitten googlen maar geen eenduidig antwoord op kunnen vinden. Ik wil zeggen alleen destination maar durf het niet met 100% zekerheid te zeggen.

  • Freeaqingme
  • Registratie: april 2006
  • Laatst online: 20-09 22:23
Ik weet het niet, maar je zou het op zich gewoon kunnen testen, toch?

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 21:39
Freeaqingme schreef op donderdag 23 mei 2019 @ 14:51:
Ik weet het niet, maar je zou het op zich gewoon kunnen testen, toch?
Heb even geen omgeving om dat te doen, zal er wel even mee spelen zodra ik er achter zit :)

  • FastFred
  • Registratie: maart 2009
  • Laatst online: 21:43
FastFred schreef op maandag 13 mei 2019 @ 15:23:
Gebruiker moet wachtwoord aanpassen volgens policy. Gebruiker past wachtwoord aan maar vergeet dit te doen op zijn iPhone, waardoor zijn account om de zoveel tijd locked out raakt. Gebeld met gebruiker, wachtwoord ook laten aanpassen op iPhone. Mail komt weer binnen, fixed!

Echter, account raakt nog steeds om de zoveel tijd locked out. Heb OWA van de gebruiker al gechecked, daar staat alleen zijn iPhone in. Mail komt ook binnen op iPhone.

Gebruiker maakt gebruik van de standaard Mail app op iPhone, iPhone al eens herstart zonder resultaat. Vanmorgen mail account van telefoon verwijderd en weer toegevoegd zonder resultaat.

FYI: als een gebruikersaccount locked out raakt krijgen wij daar per mail een notificatie van met gebruikersnaam, datum en tijd, en vanaf welk werkstation. Dat is in dit geval iedere keer onze Exchange server.
Goed, toen we alles wel zo'n beetje geprobeerd hadden hebben we hem voor de 3e keer nog maar eens gevraagd of hij niet nog ergens een mobiel of tablet heeft waar hij ook zijn e-mail op ingesteld had.

En nu was het antwoord op die vraag ineens 'ja' :F

Everything that is, sprang from what was | iRacing Profiel


  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

@Ingegno

een eq = equals, dus als het poort 23 is blokkeert ie het verkeer, maar 22 en 24 laat ie door.
een gt is greater, dus gt 23 is alles vanaf poort 24

Access list lees je altijd:
Permit / deny, Source, subnet, destination, subnet, eventuele port of vanaf poort.

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Ingegno schreef op donderdag 23 mei 2019 @ 14:48:
Vraagje tussendoor
Access-list 150 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 23

Wanneer je zo'n ACL hebt met eq, kijkt dat eq naar source & destination poort of alleen naar source of destination? Wat zitten googlen maar geen eenduidig antwoord op kunnen vinden. Ik wil zeggen alleen destination maar durf het niet met 100% zekerheid te zeggen.
Makkelijker denken: de source port is random. Daar is niet echt makkelijk op te filteren. Dan is het logischer wanneer het om de destination port gaat. ;)

Spekkies | Commandline FTW


  • joenevd
  • Registratie: januari 2007
  • Laatst online: 18:36
Iemand hier ervaring met RDS server in combinatie met UPD?

Bij een klant gebruiken wij dit in combinatie met FSLogix O365 Containers, maar het zoeken in Outlook geeft wat problemen. Nu blijkt dat er twee 'exclusions' in de UPD configuratie gemaakt moeten worden.
Nu vraag ik me alleen af wat er gebeurd als ik nu, terwijl gebruikers al maanden op het systeem werken, de exclusions toevoeg.

De exclusions die toegevoegd moeten worden zijn:
\Users\<username>\AppData\Local\Microsoft\Outlook
\Users\<username>\AppData\Roaming\FSLogix\WSearch

De WSearch is niet zo spannend, als hij zijn index opnieuw gaat opbouwen..

Maar als het ost bestand uitgezonderd wordt, wat gebeurd er dan?
Krijg je dan een foutmelding als je Outlook start, verplaatst Windows het bestand of gaat hij hem zonder melding opnieuw aanmaken?

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Wij gebruiken UPD met onze RDS omgeving. Vziw geen uitzondering gemaakt en men kan gewoon met Outlook zoeken in de mail (die bij O365 staat).

Verder dan dit gaat mijn kennis ook niet. Wat zou een exclusion moeten doen dan? Waar komt het dan te staan?

Spekkies | Commandline FTW


  • joenevd
  • Registratie: januari 2007
  • Laatst online: 18:36
Het nadeel met UPD is dat als je afgemeld bent van de RDS omgeving en de VHD(X) losgekoppeld is, dat de server de data niet meer ziet en deze uit de indexering gooit.

Daar heeft FSLogix een oplossing voor gemaakt. Namelijk dat de indexering van de gebruiker in de persoonlijke FSLogix VHD(X) terecht komt. Hierdoor blijft de indexering beschikbaar. Je gebruikt als het ware 2 profiel VHDX-en per gebruiker naast elkaar, of je moet de volledige suite afnemen van FSLogix.

In jouw situatie heb je waarschijnlijk de hele windows search functie niet aanstaan/geïnstalleerd waardoor hij altijd online zijn zoek opdrachten doet. Ik heb al vaker gemerkt dat hierdoor de zoekopdrachten langer (kunnen) duren.

  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 21:39
Hero of Time schreef op donderdag 23 mei 2019 @ 15:37:
[...]

Makkelijker denken: de source port is random. Daar is niet echt makkelijk op te filteren. Dan is het logischer wanneer het om de destination port gaat. ;)
Lange dag!

:P

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

joenevd schreef op donderdag 23 mei 2019 @ 15:51:
Daar heeft FSLogix een oplossing voor gemaakt. Namelijk dat de indexering van de gebruiker in de persoonlijke FSLogix VHD(X) terecht komt. Hierdoor blijft de indexering beschikbaar. Je gebruikt als het ware 2 profiel VHDX-en per gebruiker naast elkaar, of je moet de volledige suite afnemen van FSLogix.
Klinkt als iets extra wat je draait en wij niet.
In jouw situatie heb je waarschijnlijk de hele windows search functie niet aanstaan/geïnstalleerd waardoor hij altijd online zijn zoek opdrachten doet. Ik heb al vaker gemerkt dat hierdoor de zoekopdrachten langer (kunnen) duren.
Als je een RDS installeert, komt de desktop experience mee als vereiste. Daar zit Windows Search in. En als ik 't goed heb, kan je niet vanuit het startmenu zoeken naar o.a. programma's als de Windows Search niet draait. En dat werkt prima op onze servers. Ook de domain controller, wat ik dan wel vreemd zou vinden als daar toch wel de desktop experience op staat. Zal ik na moeten kijken.
En zoals gezegd, als ik het mij goed herinner. Dat kan met dit soort zaken in Windows nog wel eens fout zijn. :P

Spekkies | Commandline FTW


Acties:
  • +1Henk 'm!

  • joenevd
  • Registratie: januari 2007
  • Laatst online: 18:36
Het is inderdaad iets 'extra' wat niet standaard is.
Overigens is de Desktop Experience iets dat je 'vroeger' moest inschakelen.
Sinds Server 2016 zit dat er standaard in als je geen core installatie doet.
De Windows Search is een onderdeel dat daarbij apart ingeschakeld moet worden.

Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Wij hebben hier nog 2012R2 servers en heb alleen in een testomgeving een paar 2019 machines waar ik nog niet uitgebreid naar heb gekeken.

Op onze AD zie ik nu dat Desktop Experience niet geïnstalleerd is en volgens de omschrijving zit daar Search bij. Het zoeken naar programma's in het startmenu is blijkbaar niet meer afhankelijk van Windows Search zoals in W7 het geval was (service uit/functie verwijdert en zoekbalk in start weg).

Spekkies | Commandline FTW


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 19:46
@Hero of Time
Windows Search is losstaand van DE in 2012r2. Deze kun je gewoon los installeren/activeren via server manager.

In 2019 zit DE standaard geinstalleerd, en is geen losse rol meer. Windows Search is nog steeds een losse rol volgens mij.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Klinkt logisch. Bij W7 was Windows Search ook een apart onderdeel die je kon verwijderen.

Komende week heb ik een leuke uitdaging. Sinds afgelopen donderdag is opeens een van de drie RDS servers enorm traag met inloggen. Met m'n admin account ben ik wel gewoon snel ingelogd, maar m'n normale gebruiker deed er een uur over. Afmelden doet het niet. M'n sessie is weg, maar er blijft staan "wachten op remote desktop client service". Het houdt daardoor ook de lock op de UPD, waardoor je dus bij opnieuw inloggen op een andere server uit kan komen maar met een tijdelijk profiel.

Omdat het een VM is, dacht ik dat het mogelijk aan de host kon liggen, maar de VM power cyclen deed niets, de host herstarten deed niets en op een andere host draaien gaf geen verschil in de tijd die nodig is om in te loggen.

We hebben echt die derde machine nodig, of ik moet de resources van de andere twee verhogen en het aantal connecties uitbreiden. In de event viewer kan ik iig niet direct iets van aanleiding vinden waarom het zo lang duurt opeens.

Spekkies | Commandline FTW


  • nextware
  • Registratie: mei 2002
  • Laatst online: 20:24
Hero of Time schreef op zaterdag 25 mei 2019 @ 21:50:
Klinkt logisch. Bij W7 was Windows Search ook een apart onderdeel die je kon verwijderen.

Komende week heb ik een leuke uitdaging. Sinds afgelopen donderdag is opeens een van de drie RDS servers enorm traag met inloggen. Met m'n admin account ben ik wel gewoon snel ingelogd, maar m'n normale gebruiker deed er een uur over. Afmelden doet het niet. M'n sessie is weg, maar er blijft staan "wachten op remote desktop client service". Het houdt daardoor ook de lock op de UPD, waardoor je dus bij opnieuw inloggen op een andere server uit kan komen maar met een tijdelijk profiel.

Omdat het een VM is, dacht ik dat het mogelijk aan de host kon liggen, maar de VM power cyclen deed niets, de host herstarten deed niets en op een andere host draaien gaf geen verschil in de tijd die nodig is om in te loggen.

We hebben echt die derde machine nodig, of ik moet de resources van de andere twee verhogen en het aantal connecties uitbreiden. In de event viewer kan ik iig niet direct iets van aanleiding vinden waarom het zo lang duurt opeens.
Wellicht profiel issues van de gebruikers ? Krijg je een (fout)melding tijdens het inloggen ?
Worden er GPO's gepusht tijdens het inloggen ?

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

nextware schreef op zaterdag 25 mei 2019 @ 21:52:
[...]

Wellicht profiel issues van de gebruikers ? Krijg je een (fout)melding tijdens het inloggen ?
Worden er GPO's gepusht tijdens het inloggen ?
Waarom zou het inloggen op de andere twee dan wel gewoon snel zijn dan? Foutmelding krijgen we niet, GPO krijgen we wel gepusht, maar zoals gezegd, dat was nooit een probleem tot afgelopen donderdag op een enkele server.

Spekkies | Commandline FTW


  • nextware
  • Registratie: mei 2002
  • Laatst online: 20:24
Hero of Time schreef op zaterdag 25 mei 2019 @ 21:56:
[...]

Waarom zou het inloggen op de andere twee dan wel gewoon snel zijn dan? Foutmelding krijgen we niet, GPO krijgen we wel gepusht, maar zoals gezegd, dat was nooit een probleem tot afgelopen donderdag op een enkele server.
Ik zit eraan te denken dat de betreffende server wellicht de server waarop, bijvoorbeeld, de homefolders van de gebruiker niet kan benaderen. Dat dit het trage inloggen veroorzaakt ? Geen updates op die server binnen gekregen toevallig ?

Nu ik er over nadenk... We hebben iets soortgelijks meegemaakt. Wel op basis van published apps. Het laden ervan (dus inloggen) op de RDS server duurde zeer lang. Dit bleek, na onderzoek, te liggen aan de Audio service op de RDS server zelf. Hierop de Audio service uitgeschakeld en alles was werd weer snel gestart.

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Als de audio service aan staat, heeft iemand die bij ons aangezet en verdient een rotschop. We doen niets met audio. Dat willen we ook niet op de RDS. Maar gelukkig had ik die donderdag al met m'n collega die de helpdesk doet de services vergeleken met een andere server die wel snel is en alleen een paar verschillen gezien met services die niet spannend zijn. Twee van de drie waren triggered services, de derde was ook iets triggered, maar niet als start type.

Geen toegang tot homefolders, goed punt om te controleren. We maken gebruik van redirected folders voor Documenten e.d. Kan niet zeggen dat ik hier op gekeken heb. Maar elke stap in het inlogproces dat wordt getoond blijft lang staan. Print policy toepassen, registry policy toepassen, algemeen group policy toepassen, alles staat er een kwartier ofzo, als het er maar 4 zijn (anders evenredig verdeeld om een uur te krijgen).

Ik had bij geen toegang toch wel iets van een melding in de logs verwacht.

Spekkies | Commandline FTW


Acties:
  • +1Henk 'm!

  • nextware
  • Registratie: mei 2002
  • Laatst online: 20:24
Hero of Time schreef op zaterdag 25 mei 2019 @ 22:24:

Geen toegang tot homefolders, goed punt om te controleren. We maken gebruik van redirected folders voor Documenten e.d. Kan niet zeggen dat ik hier op gekeken heb. Maar elke stap in het inlogproces dat wordt getoond blijft lang staan. Print policy toepassen, registry policy toepassen, algemeen group policy toepassen, alles staat er een kwartier ofzo, als het er maar 4 zijn (anders evenredig verdeeld om een uur te krijgen).

Ik had bij geen toegang toch wel iets van een melding in de logs verwacht.
Ik neem aan dat je al in het policy logboek hebt gekeken ? Het lijkt wel alsof je tegen de policy time out aanloopt. DNS settings nog in orde?

Anders eens kijken om een GPRESULT uit te voeren als een gebruiker is ingelogd..?

Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Mijn profiel kan wel geladen worden en dat gaat via UPD, die op de DC staat. DNS zou dus wel in orde moeten zijn. Morgen ga ik dus pas alles nakijken.

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

En er staat nog steeds "Waiting for the group policy client" in beeld. Op de console van de server, want daar had ik even ingelogd met m'n normale gebruiker. Dat staat er dus al sinds vrijdagmiddag. |:(

Heb tenminste iets te doen vandaag...

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!
Ik zou even Debug logging aanzetten voor het User Login Process:
https://support.microsoft...in-retail-builds-of-windo

Understanding How to Read a Userenv Log : http://blogs.technet.com/...a-userenv-log-part-1.aspx

shadowman12 wijzigde deze reactie 27-05-2019 12:04 (28%)

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Ik heb iig wel gevonden dat er ergens een issue is met de GPO toegang. Want gpresult /r geeft 'access denied' en rsop.msc komt met 'timeout period expired'. Welke GPO het om gaat, geen idee. En het is er een waar mijn admin gebruiker niet in hangt (dat is zo'n beetje elke user GPO).

Nu hopen dat ik weer in kan loggen zonder de server te moeten rebooten. Weet dan iig wel dat de registry setting voor debug aan staat. :P

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!
Hero of Time schreef op maandag 27 mei 2019 @ 13:06:
Ik heb iig wel gevonden dat er ergens een issue is met de GPO toegang. Want gpresult /r geeft 'access denied' en rsop.msc komt met 'timeout period expired'. Welke GPO het om gaat, geen idee. En het is er een waar mijn admin gebruiker niet in hangt (dat is zo'n beetje elke user GPO).

Nu hopen dat ik weer in kan loggen zonder de server te moeten rebooten. Weet dan iig wel dat de registry setting voor debug aan staat. :P
Kan ook zijn dat WMI corrupt is:
  1. winmgmt /resetrepository
  2. gpupdate /force

shadowman12 wijzigde deze reactie 27-05-2019 13:23 (4%)

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Kwam ook al hints tegen over WMI. Ga ik zo er doorheen jassen. Sessie is weg, maar blijft staan op 'wachten op group policy client'. RDP sessie maar gesloten, hopen dat ik er nog gewoon op kom.

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!

  • Oogje
  • Registratie: oktober 2003
  • Niet online
Hero of Time schreef op maandag 27 mei 2019 @ 13:06:
Ik heb iig wel gevonden dat er ergens een issue is met de GPO toegang. Want gpresult /r geeft 'access denied' en rsop.msc komt met 'timeout period expired'. Welke GPO het om gaat, geen idee. En het is er een waar mijn admin gebruiker niet in hangt (dat is zo'n beetje elke user GPO).

Nu hopen dat ik weer in kan loggen zonder de server te moeten rebooten. Weet dan iig wel dat de registry setting voor debug aan staat. :P
Toevallig een policy ergens waar authenticated users (dus ook systemen) niet in aanwezig is en die RDP server toevallig niet expliciet rechten heeft om de GPO te lezen?
En anders ff ervoor zorgen dat die machine geen GPO's meer krijgt en kijken of je dan kan inloggen :)

Any errors in spelling, tact, or fact are transmission errors.


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

@Oogje, de rechten had ik al nagekeken. Geen heeft bij Delegation een explicite deny voor de RDS en Authenticated Users staat er gewoon bij met 'read' rechten. Er is 1 GPO, of groep eigenlijk waar een paar GPO aan hangen, die ik verdenk, maar omdat mensen van andere afdelingen die helemaal niet in die groep zitten ook last hebben van traag inloggen, moet het een andere zijn.

Ik kan iig wel elke map in de SYSVOL share benaderen mbt policies vanaf de trage server, dus lezen zou geen probleem moeten zijn. Morgen verder uitzoeken.

Btw, @shadowman12, die debug optie voor inloggen. Er staat niet specifiek bij dat je moet herstarten oid, dus dat heb ik ook niet gedaan. Toch werd er geen log gemaakt toen ik inlogde.

Spekkies | Commandline FTW


Acties:
  • +1Henk 'm!
@Hero of Time : je begint na het inloggen met de command prompt. Daar tik je set <enter>. Krijg je een waslijst aan dingen en ergens ertussen staat je logonserver. Dat is de DC die voor het aanloggen zorgt en dus ook voor de GPOs. Dar is dus je eerste verdachte. Check met repladmin even of je replicatie in orde is.

Dan is er in het eventlog het standaard deel, en nog een specifiek deel. In dat specifieke deel zit een log voor het uitvoeren van de policies.

Verder moeten authenticated users naast read ook apply rechten hebben.

Ook te proberen : maak een OU, hang daar een testgebruiker in en voeg één voor één de GPO's toe. Kijk wat er dan gebeurt.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Het moet een combi zijn van server en GPO, want m'n admin met minder GPO's is er binnen seconden ingelogd. Het uitsluiten van een GPO door een aparte OU te maken buiten de huidige structuur en testen is een goede. Ik zou mijzelf kunnen gebruiken, want ik weet dat ik ook issues heb, maar een test gebruiker maken is net zo makkelijk. Eerst reproduceren, daarna uitfilteren. Wordt pas vervelend als elke GPO het probleem geeft.

Spekkies | Commandline FTW


Acties:
  • +2Henk 'm!
Hero of Time schreef op maandag 27 mei 2019 @ 19:08:
@Oogje, de rechten had ik al nagekeken. Geen heeft bij Delegation een explicite deny voor de RDS en Authenticated Users staat er gewoon bij met 'read' rechten. Er is 1 GPO, of groep eigenlijk waar een paar GPO aan hangen, die ik verdenk, maar omdat mensen van andere afdelingen die helemaal niet in die groep zitten ook last hebben van traag inloggen, moet het een andere zijn.

Ik kan iig wel elke map in de SYSVOL share benaderen mbt policies vanaf de trage server, dus lezen zou geen probleem moeten zijn. Morgen verder uitzoeken.

Btw, @shadowman12, die debug optie voor inloggen. Er staat niet specifiek bij dat je moet herstarten oid, dus dat heb ik ook niet gedaan. Toch werd er geen log gemaakt toen ik inlogde.
Klopt je moet wel rebooten als je die aanpassing doet.

Je zou met dit Powershell stukje alle GPO's even na kunnen lopen.


PowerShell:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
Import-Module -Name GroupPolicy
$GPOList = Get-GPO -All
$VerbosePreference = 'Continue'
$GroupName = 'Authenticated Users'
$InvalidGPOList = foreach($GPO in $GPOList)
{
    Try
    {
        $GPPermission = Get-GPPermission -Guid $GPO.Id -TargetType Group -TargetName $GroupName -ErrorAction Stop
        if(
            $GPPermission.Permission.HasFlag([Microsoft.GroupPolicy.GPPermissionType]::GpoRead)
        )
        {
            $Message = 'GPO: [{0}] is OK!' -f $GPO.DisplayName
        }
        else
        {
            $Message = 'No read access found group {0} in GPO: [{1}]' -f $GroupName, $GPO.DisplayName
            $GPO
        }
    }
    Catch
    {
        if($_.FullyQualifiedErrorId -like 'NoSecurityGroupFoundInGpoWithId*')
        {
            $GPO
            $Message = 'No access found group {0} in GPO: [{1}]' -f $GroupName, $GPO.DisplayName
        }
        else
        {
            throw
        }
    }
    Finally
    {
        Write-Verbose -Message $Message
    }
}
Write-Output -InputObject $InvalidGPOList

shadowman12 wijzigde deze reactie 27-05-2019 19:37 (54%)

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Denk niet dat er output komt over foute GPO, maar zal het eens draaien op de AD machine. Niet geschoten is hoe dan ook mis.

De gebruikers maak en test ik eerst met de GPO alvorens de server te herstarten voor de debug log.

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!
Nog zoiets wat hele gekke dingen veroorzaakt : staat je domein wel overal op tijd?

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Jep, dat wel. Was een van de eerste dingen die ik deed: timesync regelen.

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!

  • Duinkonijn
  • Registratie: augustus 2001
  • Laatst online: 18:09

Duinkonijn

Old dirty bastard

Duinkonijn schreef op donderdag 16 mei 2019 @ 15:09:
heeft iemand toevallig nog het adamj clean wsus script?

Het mag nog deze maand gebruikt worden, maar ondertussen is alles offline
ouwe sql code... tis geen powershell, maar het doet wat ik nodig heb :P

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
/*
################################
#  Adamj WSUS Synchronization  #
#      Cleanup SQL Script      #
#       Version 1.0            #
#  Taken from various sources  #
#      from the Internet.      #
#                              #
#  Modified By: Adam Marshall  #
#     http://www.adamj.org     #
# http://www.helpingteens.org  #
################################

################################
#         Instructions         #
################################
1. Download and install SQL Server Management Studio on your WUS Server

2. Connect to Named Pipes Windows Internal Database on Windows Server 2012 R2 with
  SQL Server Management Studio in 'Run as Administrator' mode.
  \\.\pipe\MICROSOFT##WID\tsql\query
  Use Windows Authentication

3. HIGHLIGHT WHICH OPTION YOU WANT TO USE and hit F5 or Execute
*/


/*
################################
#           Options            #
################################

/*
Delete All WSUS Synchronization Logs older than 7 days
*/
USE SUSDB
GO
DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') AND DATEDIFF(day, TimeAtServer, CURRENT_TIMESTAMP) >= 7;
GO

/*
Delete All WSUS Synchronization Logs older than 1 month
*/
USE SUSDB
GO
DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') AND DATEDIFF(month, TimeAtServer, CURRENT_TIMESTAMP) >= 1;
GO

/*
Delete All WSUS Synchronization Logs older than xxx date
*/
USE SUSDB
GO
DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') AND TimeAtServer < '2014-11-01'
GO

/*
Delete All WSUS Synchronization Logs
*/
USE SUSDB
GO
DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389')
GO


*/

EX-Lid van FC breke been - NAH - CVA


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

shadowman12 schreef op maandag 27 mei 2019 @ 19:29:
[...]

Klopt je moet wel rebooten als je die aanpassing doet.

Je zou met dit Powershell stukje alle GPO's even na kunnen lopen.


PowerShell:
1
[script]

Ehm, je script doet iets fout. Het beweert dat op o.a. het default domain policy de groep 'authenticated users' geen leesrechten heeft, maar dat heeft 't wel. Het staat bij zowel Scope - Security Filtering als bij Delegation. Ook bij de 'default domain controller policy' piept het, terwijl daar ook 'authenticated users' bij staat. Er staat bij Delegation wel achter de rechten "(from security filtering)", wat dus bij Scope vandaan moet komen.

De policies waar het zegt dat het OK is, heeft bij Scope niet die groep toegekend. Het script lijkt dus te kijken naar expliciet gezette rechten en niet wat vanuit de Scope is overgenomen.

Aangezien de policies waar je script over klaagt wel worden toegepast, ga ik uit van een foutje in je script en niet de policy rechten.

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!
Hero of Time schreef op dinsdag 28 mei 2019 @ 09:10:
[...]

Ehm, je script doet iets fout. Het beweert dat op o.a. het default domain policy de groep 'authenticated users' geen leesrechten heeft, maar dat heeft 't wel. Het staat bij zowel Scope - Security Filtering als bij Delegation. Ook bij de 'default domain controller policy' piept het, terwijl daar ook 'authenticated users' bij staat. Er staat bij Delegation wel achter de rechten "(from security filtering)", wat dus bij Scope vandaan moet komen.

De policies waar het zegt dat het OK is, heeft bij Scope niet die groep toegekend. Het script lijkt dus te kijken naar expliciet gezette rechten en niet wat vanuit de Scope is overgenomen.

Aangezien de policies waar je script over klaagt wel worden toegepast, ga ik uit van een foutje in je script en niet de policy rechten.
Sloop die rechten eens, en wijs ze opnieuw toe.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

asing schreef op dinsdag 28 mei 2019 @ 09:12:
[...]

Sloop die rechten eens, en wijs ze opnieuw toe.
Ik moet de testgebruikers nog uitvoeren. Ondertussen is er wat andere feces die een draaiend object zijn tegengekomen.

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 19:46
Hoe is jullie ervaring om een Raid array uit breiden?
On the Fly (tijdens het draaien) of toch via IP buiten ESX om?
Ik heb nu een klant met 5 SSD"s in de server zitten, er komen nu 3 bij.
En heb niet zoveel zin om alles te verplaatsen en verwijderen en opnieuw bouwen.

Gaat om een HP Proliant DL380 G10.
Draait ESX 6.7u1

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • 0Henk 'm!

  • Drardollan
  • Registratie: juli 2018
  • Laatst online: 20-09 21:50
Renegade666 schreef op dinsdag 28 mei 2019 @ 10:50:
Hoe is jullie ervaring om een Raid array uit breiden?
On the Fly (tijdens het draaien) of toch via IP buiten ESX om?
Ik heb nu een klant met 5 SSD"s in de server zitten, er komen nu 3 bij.
En heb niet zoveel zin om alles te verplaatsen en verwijderen en opnieuw bouwen.

Gaat om een HP Proliant DL380 G10.
Draait ESX 6.7u1
Gewoon erbij plaatsen en uitbreiden. Merk je niets van normaliter, gebeurd op de achtergrond. Bij een drukke server kan het wel enkele uren tot dagen duren.

Acties:
  • 0Henk 'm!
Hero of Time schreef op dinsdag 28 mei 2019 @ 09:10:
[...]

Ehm, je script doet iets fout. Het beweert dat op o.a. het default domain policy de groep 'authenticated users' geen leesrechten heeft, maar dat heeft 't wel. Het staat bij zowel Scope - Security Filtering als bij Delegation. Ook bij de 'default domain controller policy' piept het, terwijl daar ook 'authenticated users' bij staat. Er staat bij Delegation wel achter de rechten "(from security filtering)", wat dus bij Scope vandaan moet komen.

De policies waar het zegt dat het OK is, heeft bij Scope niet die groep toegekend. Het script lijkt dus te kijken naar expliciet gezette rechten en niet wat vanuit de Scope is overgenomen.

Aangezien de policies waar je script over klaagt wel worden toegepast, ga ik uit van een foutje in je script en niet de policy rechten.
Nou ik denk dat er geen fout in het script zit want in mijn eigen test omgeving werkt ie gewoon prima.

Je zou zelf even de permissies kunnen ophalen van alle GPO's met het volgende commando en kijken of ze goed staan:

PowerShell:
1
2
3
4
5
6
7
8
9
10
$gpos = Get-GPO -All
$info = foreach ($gpo in $gpos)
{
    Get-GPPermissions -Guid $gpo.Id -All | Select-Object `
    @{n='GPOName';e={$gpo.DisplayName}},
    @{n='AccountName';e={$_.Trustee.Name}},
    @{n='AccountType';e={$_.Trustee.SidType.ToString()}},
    @{n='Permissions';e={$_.Permission}}
}
$info | Export-Csv -Path 'C:\Temp_Storage\GPOPermissions.csv' -NoTypeInformation

shadowman12 wijzigde deze reactie 13-06-2019 17:36 (21%)

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

shadowman12 schreef op dinsdag 28 mei 2019 @ 14:14:
[...]

Nou ik denk dat er een fout in het script zit want in mijn eigen test omgeving werkt ie gewoon prima.
Dat zeg ik, er zit een fout in want waar het over klaagt is helemaal geen reden om over te klagen omdat Authenticated Users wel gewoon read rechten heeft (met in deze gevallen zelfs Apply).

Maar ik heb het euvel gevonden. Printer policies. De eerste de beste die ik toevoegde gaf een mooie inlogtijd van een uur. Haal het policy weg en inloggen is weer seconden werk.

Vreemd genoeg blijf ik bij 'gpresult /r' een Access Denied krijgen. Inloggen op een van de andere twee geeft gewoon het resultaat weer.
Doe ik 'gpresult /r' met m'n admin account, dan krijg ik wel wat informatie, maar lidmaatschap van groepen geeft een onverwachte fout.

Zou de server zelf opeens fubar zijn geworden?

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!
Hero of Time schreef op dinsdag 28 mei 2019 @ 14:36:
[...]

Dat zeg ik, er zit een fout in want waar het over klaagt is helemaal geen reden om over te klagen omdat Authenticated Users wel gewoon read rechten heeft (met in deze gevallen zelfs Apply).

Maar ik heb het euvel gevonden. Printer policies. De eerste de beste die ik toevoegde gaf een mooie inlogtijd van een uur. Haal het policy weg en inloggen is weer seconden werk.

Vreemd genoeg blijf ik bij 'gpresult /r' een Access Denied krijgen. Inloggen op een van de andere twee geeft gewoon het resultaat weer.
Doe ik 'gpresult /r' met m'n admin account, dan krijg ik wel wat informatie, maar lidmaatschap van groepen geeft een onverwachte fout.

Zou de server zelf opeens fubar zijn geworden?
Volgens mij kun je onder een normale user geen gpresult /v draaien, dat is een commando wat alleen door admins gedraaid kan worden. Zie hier voor een workaround
https://www.gfisk.com/rsop-gpresult-with-non-admin-account/

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

shadowman12 schreef op dinsdag 28 mei 2019 @ 18:03:
[...]

Volgens mij kun je onder een normale user geen gpresult /v draaien, dat is een commando wat alleen door admins gedraaid kan worden. Zie hier voor een workaround
https://www.gfisk.com/rsop-gpresult-with-non-admin-account/
:? Waar lees jij dat ik gpresult /v wil draaien? Elke domme gebruiker en sterveling mag gpresult /r draaien hoor.

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!
Hero of Time schreef op dinsdag 28 mei 2019 @ 19:14:
[...]

:? Waar lees jij dat ik gpresult /v wil draaien? Elke domme gebruiker en sterveling mag gpresult /r draaien hoor.
Je zei toch dat je onder een normale user een access denied krijgt bij gpresult /v?

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

shadowman12 schreef op dinsdag 28 mei 2019 @ 20:13:
[...]

Je zei toch dat je onder een normale user een access denied krijgt bij gpresult /v?
Nee. Die krijg ik bij /r. En bij m'n admin krijg ik ook een error als het de groepen waar ik lid van ben wil laten zien. Lees maar goed:
Hero of Time schreef op dinsdag 28 mei 2019 @ 14:36:
Vreemd genoeg blijf ik bij 'gpresult /r' een Access Denied krijgen. Inloggen op een van de andere twee geeft gewoon het resultaat weer.
Doe ik 'gpresult /r' met m'n admin account, dan krijg ik wel wat informatie, maar lidmaatschap van groepen geeft een onverwachte fout.
Op de andere servers krijg ik wel gewoon de informatie te zien.

We hebben meerdere printer policies. Bij die voor 'iedereen' blijft het hangen. Wijs ik een andere toe, dan ben ik wel vlot ingelogd. Alleen had ik bij die test ook een brak profiel, het kon opeens m'n bureaublad niet vinden en 't startmenu was leeg. Met 3 'spook' sessies/gebruikers nog op de server heb ik 'm herstart en kijk ik er morgen wel verder naar. Dan zal het ook de logins gaan loggen door de register aanpassing.

Spekkies | Commandline FTW

Hero of Time schreef op dinsdag 28 mei 2019 @ 20:24:
[...]

Nee. Die krijg ik bij /r. En bij m'n admin krijg ik ook een error als het de groepen waar ik lid van ben wil laten zien. Lees maar goed:


[...]

Op de andere servers krijg ik wel gewoon de informatie te zien.

We hebben meerdere printer policies. Bij die voor 'iedereen' blijft het hangen. Wijs ik een andere toe, dan ben ik wel vlot ingelogd. Alleen had ik bij die test ook een brak profiel, het kon opeens m'n bureaublad niet vinden en 't startmenu was leeg. Met 3 'spook' sessies/gebruikers nog op de server heb ik 'm herstart en kijk ik er morgen wel verder naar. Dan zal het ook de logins gaan loggen door de register aanpassing.
Verkeerde been uit bed gestapt?

Voor die printer policy moet je in de eventviewer zijn. Dat staat op 2 plekken. De eerste plek is vaag, policy xyz took 46484 ms to complete. De andere geeft je exact weer welke printer het probleem is.

3 tips:
Gebruik goedgekeurde drivers
Maak juist gebruik van create change en delete
Gebruik zo min mogelijk acl in je policy

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

asing schreef op woensdag 29 mei 2019 @ 06:45:
[...]

Verkeerde been uit bed gestapt?
Jij hebt jouw OCD, ik heb de mijne. ;)
Voor die printer policy moet je in de eventviewer zijn. Dat staat op 2 plekken. De eerste plek is vaag, policy xyz took 46484 ms to complete. De andere geeft je exact weer welke printer het probleem is.
In de ochtend (rond 11:13) de testgebruiker ingelogd en ten tijde van de trage login zie ik wel een melding dat de folder redirection 125 ms erover deed. Leuk om te weten. Maar dan is het stil. Geen melding hoe lang het met de printer policy bezig was. Het gaat van het ene moment over naar het andere met een uur verschil tussen de items. Een paar entries in de event viewer bij GroupPolicy:
11:13:08 - Group policy session returned to winlogon.
11:13:08 - Group Policy received the notification Logon from Winlogon for session 6.
12:13:03 - Group Policy Winlogon status reporting has completed.
12:13:03 - Group policy session returned to winlogon.

Daar vind ik dus niet direct de reden tussen. Ik graaf ondertussen nog wel verder na wat andere dingen proberen.
3 tips:
Gebruik goedgekeurde drivers
Maak juist gebruik van create change en delete
Gebruik zo min mogelijk acl in je policy
Het vage is juist dat de printers die toegewezen worden met de GPO die langzaam inloggen gaf, en de tweede GPO met 1 printer erin, allemaal hetzelfde type is. En logischerwijs dezelfde driver en versie.
We blijven kijken naar de staat van de GPO, maar het is maar 1 server die staat te bokken. De andere twee doen het zonder issues. Ik betwijfel daarom ten zeerste dat het probleem echt in de GPO zit en de bijbehorende rechten.

Ik ga de server uit het domein halen en weer erin zetten, hopen dat dat wat oplost.

Spekkies | Commandline FTW

Azure VPN gateways hebben nu ondersteuning voor OpenVPN:
https://www.thomasmaurer....rt-in-azure-vpn-gateways/

Assumption is the mother of all fuck ups


Acties:
  • +1Henk 'm!
Hero of Time schreef op woensdag 29 mei 2019 @ 08:41:
[...]

Jij hebt jouw OCD, ik heb de mijne. ;)


[...]

In de ochtend (rond 11:13) de testgebruiker ingelogd en ten tijde van de trage login zie ik wel een melding dat de folder redirection 125 ms erover deed. Leuk om te weten. Maar dan is het stil. Geen melding hoe lang het met de printer policy bezig was. Het gaat van het ene moment over naar het andere met een uur verschil tussen de items. Een paar entries in de event viewer bij GroupPolicy:
11:13:08 - Group policy session returned to winlogon.
11:13:08 - Group Policy received the notification Logon from Winlogon for session 6.
12:13:03 - Group Policy Winlogon status reporting has completed.
12:13:03 - Group policy session returned to winlogon.

Daar vind ik dus niet direct de reden tussen. Ik graaf ondertussen nog wel verder na wat andere dingen proberen.


[...]

Het vage is juist dat de printers die toegewezen worden met de GPO die langzaam inloggen gaf, en de tweede GPO met 1 printer erin, allemaal hetzelfde type is. En logischerwijs dezelfde driver en versie.
We blijven kijken naar de staat van de GPO, maar het is maar 1 server die staat te bokken. De andere twee doen het zonder issues. Ik betwijfel daarom ten zeerste dat het probleem echt in de GPO zit en de bijbehorende rechten.

Ik ga de server uit het domein halen en weer erin zetten, hopen dat dat wat oplost.
Je zou ook even de drivers kunnen cleanen van de server die problemen geeft, en ze opnieuw installeren.

shadowman12 wijzigde deze reactie 29-05-2019 16:42 (68%)

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Kan ik idd ook doen. Kwam ook nog https://community.spicewo...aking-605-seconds-to-boot tegen omdat ik ook die melding zie. In mijn geval is het "The winlogon notification subscriber <gpclient> took 3593 second(s) to handle the notification event (Logon)."
Dat is het uur dat we moeten wachten. :-( Helaas heeft dat geen verandering gebracht.

Nu naar huis, morgen relaxen en vrijdag kijk ik wel weer verder. Drivers ga ik dan ook onder handen nemen.

Spekkies | Commandline FTW

Hero of Time schreef op woensdag 29 mei 2019 @ 16:43:
Kan ik idd ook doen. Kwam ook nog https://community.spicewo...aking-605-seconds-to-boot tegen omdat ik ook die melding zie. In mijn geval is het "The winlogon notification subscriber <gpclient> took 3593 second(s) to handle the notification event (Logon)."
Dat is het uur dat we moeten wachten. :-( Helaas heeft dat geen verandering gebracht.

Nu naar huis, morgen relaxen en vrijdag kijk ik wel weer verder. Drivers ga ik dan ook onder handen nemen.
Onderaan die pagina staat een script. Dat heeft al meerdere keren mijn bacon gered :) .

Meldt het Group Policy eventlog nog iets bijzonders?

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

asing schreef op woensdag 29 mei 2019 @ 19:33:
[...]

Onderaan die pagina staat een script. Dat heeft al meerdere keren mijn bacon gered :) .
Die WBEM repo cleanup bedoel je? Die heb ik gedraaid, geen effect.
Meldt het Group Policy eventlog nog iets bijzonders?
Ik had iets eerder vandaag al de eventlogs met tijden gepost die elkaar direct opvolgen. Een uur van doodse stilte mbt de GPO events in de logs.

Server uit 't domein en er weer in deed ook niets. Of het door de fresh reboot kwam of toch een aardige bijkomstigheid, maar een gpresult /r met m'n admin account gaf iig weer m'n groeplidmaatschappen weer, maar voor non-admin blijft het access denied.

De debug log voor het aanmelden heb ik wel. Althans, ik denk dat het 't is, want het staat in de genoemde locatie. Alleen heet het niet UserEnv.log oid, maar gpcsvc.log of wat er op lijkt. Die moet ik nog lezen.

Spekkies | Commandline FTW


  • HKLM_
  • Registratie: februari 2009
  • Laatst online: 22:00

HKLM_

www.cloud23.nl

Weet iemand of je met een GPO kan zorgen dat de c disk encrypt gaat worden met bitlocker? Zoek mij helemaal suf maar lijkt alleen via een script te kunnen of een sccm task.

Sccm heb ik thuis niet :P Script zou ook via gpo kunnen uiteraard maar als er een (echte) voor is zou dat nog makkelijker zijn. #learning

HKLM_ wijzigde deze reactie 29-05-2019 20:09 (32%)

Ubiquiti • 2 site’s • 2x Unifi USG 3P • Unifi Switch 16 ports 150w • 2x Unifi AC-LR • 2x Unifi AC-Lite • Unifi CloudKey


Acties:
  • +1Henk 'm!
Hero of Time schreef op woensdag 29 mei 2019 @ 19:55:
[...]

Die WBEM repo cleanup bedoel je? Die heb ik gedraaid, geen effect.
Dat is lammer...
Ik had iets eerder vandaag al de eventlogs met tijden gepost die elkaar direct opvolgen. Een uur van doodse stilte mbt de GPO events in de logs.
Laat ik iets specifieker zijn. Je hebt 5 "standaard" logs. Application, System, Setup, Security en forwarded events. Dat is aardig maar niet specifiek genoeg.

Onder Applications and Services vind je GroupPolicy met een log. :)

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Zeker lame. :P
[...]

Laat ik iets specifieker zijn. Je hebt 5 "standaard" logs. Application, System, Setup, Security en forwarded events. Dat is aardig maar niet specifiek genoeg.

Onder Applications and Services vind je GroupPolicy met een log. :)
Ja, die heb ik gevonden. Klap je wat MS zaken open en er komt een lap regels bij. Daar komen ook de entries vandaan. ;) Ophalen van GPO met UID bla duurde 0 ms, etc. Allemaal niet schokkend. Alleen vreemd dat de tijd van toepassen van folder redirection wel wordt getoond (althans, die zag ik gisteren nog wel, vandaag niet op gelet) en aangaf dat het enkele seconden nodig had (eerste keer iig iets van 20-25, zeer waarschijnlijk om de mappen aan te maken en eventuele data te verhuizen, daarna was het binnen een seconde gedaan). Dat het de printer policy ging toepassen wordt ook genoemd, en dan is 't stil. Geen tijdsduur, geen melding dat het klaar is, niets. Tot je daadwerkelijk bent ingelogd.

Spekkies | Commandline FTW

Dan zou ik echt beginnen met een lege OU en een testgebruiker. Dan stuk voor stuk de policies toepassen en kijken wat er gebeurt. Let op dat sommige dingen alleen bij het inloggen gedaan worden. De foute GPO moet je dan eens opnieuw opbouwen en nog eens proberen.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

asing schreef op woensdag 29 mei 2019 @ 23:15:
Dan zou ik echt beginnen met een lege OU en een testgebruiker. Dan stuk voor stuk de policies toepassen en kijken wat er gebeurt. Let op dat sommige dingen alleen bij het inloggen gedaan worden. De foute GPO moet je dan eens opnieuw opbouwen en nog eens proberen.
Dat heb ik gedaan. Aparte OU, nieuwe gebruiker en dan policies toepassen (en de gebruiker toevoegen aan de scope van de GPO, anders doet het nog niets tenzij ik 'm in groepen hang). Met Folder redirection voor de documenten en afbeeldingen, geen probleem. Hang er een printer policy aan, duurt een uur.
Máár! Terwijl ik op de andere RDS servers dus geen last heb van langzame login en vrijelijk de uitvoer van gpresult /r kan lezen, was dat zonder een GPO extra al niet mogelijk op de gare server.

Om het nog leuker te maken, er zijn wat policies die aan het domein hangen, naast de default domain policy. Er worden daar twee van toegepast van wat ik zo even herinner. Het zou niet uit moeten maken, want het issue is maar op 1 server en pas nadat ik een printer policy toepas. Het moet dus echt ergens ín die Windows installatie zitten. Ik heb ook geen flauw idee wat er vorige week van woensdag naar donderdag is verandert. Of op de donderdag zelf eigenlijk, want een paar gebruikers waren begin van de dag ingelogd zonder problemen.

Spekkies | Commandline FTW


Acties:
  • +1Henk 'm!
Handig stukje software die ik net tegenkwam op reddit:
https://macmonitor.by/en

Hiermee kun je dus zie wie er op welke switchpoort zit via een handige webinterface.

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!
@Hero of Time

Hoe staat het nu met de problemen van het trage inloggen die je vorige week had? Ik heb zitten zoeken in beide SysOps topics, maar ik zie niks meer van je vershijnen hierover.
Hero of Time schreef op dinsdag 4 juni 2019 @ 20:26:
[...]

Dit is de oplossing geweest voor het probleem. Toen ik de print spooler service stopte en de GPO met de printers aan liet, was ik binnen seconden ingelogd.

Wat mij ook opviel, was dat de andere manier waarop we printers toekennen niet leek te werken. De twee (van de drie) GPOs die we hebben voor printers aan gebruikers geven maken gebruik van GPP. De derde doet het via de Printer Manager (Deploy using GPO).

Met wat moeite de lokale printserver eigenschappen weten te openen (goed om te weten, selecteer eerst een printer (die moet je wel hebben!), waarna de knop 'printserver properties' verschijnt als je in CP -> Devices & Printers zit) en daar de drivers verwijdert. Moest wel telkens de print spooler herstarten omdat het constant zat te piepen dat de driver bestanden in gebruik waren.

Na deze opruimactie de server herstart (voor de zekerheid, en ook om eventuele rogue sessies kwijt te raken) ingelogd met een testgebruiker en had binnen een minuut de desktop. Tweede testgebruiker net zo. En ook mijn eigen gebruiker was er in korte tijd weer in.

Stond op 't punt om de server opnieuw te installeren. scheelt weer een paar uur tijd. :)

Dus @shadowman12, terwijl jij je post plaatste, was ik dit bericht aan het typen. *O* voor je hulp.
Mooi dat het opgelost is! De Print Management MMC is erg handig om printers te beheren, makkelijker dan via devices en printers i.i.g

Geen idee wat GoT deed, maar dit hoorde eigenlijk erna te komen, beetje messed up nu, maar goed.

shadowman12 wijzigde deze reactie 04-06-2019 20:34 (91%)

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

shadowman12 schreef op woensdag 29 mei 2019 @ 16:32:
[...]

Je zou ook even de drivers kunnen cleanen van de server die problemen geeft, en ze opnieuw installeren.
Dit is de oplossing geweest voor het probleem. Toen ik de print spooler service stopte en de GPO met de printers aan liet, was ik binnen seconden ingelogd.

Wat mij ook opviel, was dat de andere manier waarop we printers toekennen niet leek te werken. De twee (van de drie) GPOs die we hebben voor printers aan gebruikers geven maken gebruik van GPP. De derde doet het via de Printer Manager (Deploy using GPO).

Met wat moeite de lokale printserver eigenschappen weten te openen (goed om te weten, selecteer eerst een printer (die moet je wel hebben!), waarna de knop 'printserver properties' verschijnt als je in CP -> Devices & Printers zit) en daar de drivers verwijdert. Moest wel telkens de print spooler herstarten omdat het constant zat te piepen dat de driver bestanden in gebruik waren.

Na deze opruimactie de server herstart (voor de zekerheid, en ook om eventuele rogue sessies kwijt te raken) ingelogd met een testgebruiker en had binnen een minuut de desktop. Tweede testgebruiker net zo. En ook mijn eigen gebruiker was er in korte tijd weer in.

Stond op 't punt om de server opnieuw te installeren. scheelt weer een paar uur tijd. :)

Dus @shadowman12, terwijl jij je post plaatste, was ik dit bericht aan het typen. *O* voor je hulp.


Edit:
Ik zocht in het startmenu en bij Administrative Tools al naar iets dat met 'print' begint, maar die heb je dus niet standaard. Ik ken de Print Manager MMC tool alleen als je ook daadwerkelijk de printserver rol hebt geïnstalleerd. En die heb je dus niet op een RDS of je misbruikt 'm ook als printserver (maar waar ben je dan in vredesnaam mee bezig als je dat doet :+).

Hero of Time wijzigde deze reactie 04-06-2019 20:31 (11%)

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!
Hero of Time schreef op dinsdag 4 juni 2019 @ 20:26:
[...]

Dit is de oplossing geweest voor het probleem. Toen ik de print spooler service stopte en de GPO met de printers aan liet, was ik binnen seconden ingelogd.

Wat mij ook opviel, was dat de andere manier waarop we printers toekennen niet leek te werken. De twee (van de drie) GPOs die we hebben voor printers aan gebruikers geven maken gebruik van GPP. De derde doet het via de Printer Manager (Deploy using GPO).

Met wat moeite de lokale printserver eigenschappen weten te openen (goed om te weten, selecteer eerst een printer (die moet je wel hebben!), waarna de knop 'printserver properties' verschijnt als je in CP -> Devices & Printers zit) en daar de drivers verwijdert. Moest wel telkens de print spooler herstarten omdat het constant zat te piepen dat de driver bestanden in gebruik waren.

Na deze opruimactie de server herstart (voor de zekerheid, en ook om eventuele rogue sessies kwijt te raken) ingelogd met een testgebruiker en had binnen een minuut de desktop. Tweede testgebruiker net zo. En ook mijn eigen gebruiker was er in korte tijd weer in.

Stond op 't punt om de server opnieuw te installeren. scheelt weer een paar uur tijd. :)

Dus @shadowman12, terwijl jij je post plaatste, was ik dit bericht aan het typen. *O* voor je hulp.


Edit:
Ik zocht in het startmenu en bij Administrative Tools al naar iets dat met 'print' begint, maar die heb je dus niet standaard. Ik ken de Print Manager MMC tool alleen als je ook daadwerkelijk de printserver rol hebt geïnstalleerd. En die heb je dus niet op een RDS of je misbruikt 'm ook als printserver (maar waar ben je dan in vredesnaam mee bezig als je dat doet :+).
De Print Management tool is volgens mij onderdeel van de RSAT(Remote Server Administration Tools), als je die geinstalleerd hebt, kun je ook de Print Management MMC installeren.

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

shadowman12 schreef op dinsdag 4 juni 2019 @ 20:37:
[...]

De Print Management tool is volgens mij onderdeel van de RSAT(Remote Server Administration Tools), als je die geinstalleerd hebt, kun je ook de Print Management MMC installeren.
[Afbeelding]
Weet ik, ik had 'm ook vanaf de printserver kunnen openen en dan 'connect to other server' kiezen. Maar vanwege de vage 'access denied' meldingen wilde ik niet dat risico lopen enzo. Plus, nu kon ik bij het verdwijnen van de melding dat de service wordt gestart gelijk op de 'delete' knop drukken voor de drivers. Had zelfs het netwerk 'losgekoppeld', dus dan gaat RSAT al helemaal niet helpen. ;) Die installeer je op je management machine, niet de RDS waar je gebruikers op zitten (ook daar, heb je dat wel, wat doe je dan?).

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!

  • DutchITMaster
  • Registratie: augustus 2004
  • Laatst online: 20-09 23:37

DutchITMaster

Pay peanuts, get monkeys.

Ingegno schreef op donderdag 23 mei 2019 @ 14:48:
Vraagje tussendoor
Access-list 150 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 23

Wanneer je zo'n ACL hebt met eq, kijkt dat eq naar source & destination poort of alleen naar source of destination? Wat zitten googlen maar geen eenduidig antwoord op kunnen vinden. Ik wil zeggen alleen destination maar durf het niet met 100% zekerheid te zeggen.
Source en dest pratend naar telnet poort

Oeh beetje laat denk ik

Telefoon en Netwerk Engineer


Acties:
  • 0Henk 'm!
Hero of Time schreef op dinsdag 4 juni 2019 @ 20:42:
[...]

Weet ik, ik had 'm ook vanaf de printserver kunnen openen en dan 'connect to other server' kiezen. Maar vanwege de vage 'access denied' meldingen wilde ik niet dat risico lopen enzo. Plus, nu kon ik bij het verdwijnen van de melding dat de service wordt gestart gelijk op de 'delete' knop drukken voor de drivers. Had zelfs het netwerk 'losgekoppeld', dus dan gaat RSAT al helemaal niet helpen. ;) Die installeer je op je management machine, niet de RDS waar je gebruikers op zitten (ook daar, heb je dat wel, wat doe je dan?).
Ik vermoed dat User Account Control je in de weg heeft gezeten met die acces denied meldingen.
Er zijn ook scripts die alle drivers en printers wegtieven, had je ook kunnen doen bedenk ik me nu, en ze dan opnieuw toevoegen. Wat je vraag is met die laatste zin snap ik niet helemaal.

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

shadowman12 schreef op dinsdag 4 juni 2019 @ 20:48:
[...]

Ik vermoed dat User Account Control je in de weg heeft gezeten met die acces denied meldingen.
Er zijn ook scripts die alle drivers en printers wegtieven, had je ook kunnen doen bedenk ik me nu, en ze dan opnieuw toevoegen.
Nee, die access denied meldingen kwamen bij het opvragen van rsop gegevens zoals je die met gpresult /r krijgt. Gaf ik een gebruiker geen printer policy en was deze daardoor binnen een minuut ingelogd, zodra ik 'm aan een van de GPOs hing, was het gedaan er mee. Voerde ik achter elkaar 'gpresult /r ; gpupdate ; gpresult /r', dan kreeg ik bij de eerste netjes informatie, bij de tweede access denied. De hele printer zooi was gewoon compleet fubar. Gelukkig was m'n eigen admin account niet getroffen, waardoor ik de drivers gewoon normaal weg kon gooien. Ik had UAC op dat moment ook even uitgezet, maar denk niet dat het iets van verschil zou hebben gemaakt.

Mijn angst voor access denied was misschien niet gegrond, maar lekker lokaal oplossing zonder remote systemen (wat ik dus niet heb getest, was bang dat dat niet ging werken) deed 't prima.
Wat je vraag is met die laatste zin snap ik niet helemaal.
Niet een normale vraag, maar een retorische vraag. Als je dat doet, ben je een prutser en is het wellicht handig om na te denken aan een carrièreswitch. :P

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!
Dus je hele probleem bestond uit een rotte driver, of meerdere?

Ik deel ze uit via GPP, gaat prima zolang je update gebruikt. En zoveel mogelijk generieke drivers, zeker als je veel verschillende types van één merk hebt.

Het verbaasd me dat je hierin gestonken bent. Iedere Windows beheerder weet toch wel hoe ontzettend ranzig die drivers in elkaar worden gezet? En dan bedoel ik jullie HP, die functies toevoegen aan bepaalde dlls en dan de oudere modellen confuus maken.

Anyway, ik vergat ernaar te vragen. Je weet nu dat je voor je printserver absoluut het kiss principe moet handhaven.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

En uitrollen met GPP is dus een doodsteek als er iets fubar gaat (wij gebruiken ook update). Gewoon via print manager deployen, dat gaf geen uren voor inloggen.

De printers die wij hebben is Ricoh en OKI. De drivers die er eigenlijk niet op hoorde van wat ik zag, waren een HP driver en van twee Dell. En nog iets van MS zelf. Als het nodig is, haalt 'ie het maar weer uit z'n driver store.

En ja, ik weet dat printer drivers ranzig kunnen zijn. Maar dat het van het ene op het andere moment 180° draait heb ik niet eerder gezien. Je kan, als het fout gaat, dan altijd wel aan een wijziging koppelen. Hier is niets verandert.

Ik had vorige week RDP printer redirect uitgezet, maar daar kwam gister opeens een klacht van een thuiswerker dat die niet kon printen op haar printer thuis. Dat heb ik weer ingeschakeld, dus ze kon erna weer printen, maar ik ga dit wel even met m'n manager bespreken. Want van een thuis printer kan je ook zomaar troep binnen krijgen qua drivers. Of heeft MS dat ondertussen aangepast en wordt er een generieke RDP printer driver gebruikt?

Spekkies | Commandline FTW


Acties:
  • 0Henk 'm!
Hero of Time schreef op dinsdag 4 juni 2019 @ 22:22:
En uitrollen met GPP is dus een doodsteek als er iets fubar gaat (wij gebruiken ook update). Gewoon via print manager deployen, dat gaf geen uren voor inloggen.

De printers die wij hebben is Ricoh en OKI. De drivers die er eigenlijk niet op hoorde van wat ik zag, waren een HP driver en van twee Dell. En nog iets van MS zelf. Als het nodig is, haalt 'ie het maar weer uit z'n driver store.

En ja, ik weet dat printer drivers ranzig kunnen zijn. Maar dat het van het ene op het andere moment 180° draait heb ik niet eerder gezien. Je kan, als het fout gaat, dan altijd wel aan een wijziging koppelen. Hier is niets verandert.

Ik had vorige week RDP printer redirect uitgezet, maar daar kwam gister opeens een klacht van een thuiswerker dat die niet kon printen op haar printer thuis. Dat heb ik weer ingeschakeld, dus ze kon erna weer printen, maar ik ga dit wel even met m'n manager bespreken. Want van een thuis printer kan je ook zomaar troep binnen krijgen qua drivers. Of heeft MS dat ondertussen aangepast en wordt er een generieke RDP printer driver gebruikt?
Ja volgens mij wordt er een generieke RDP printer gebruikt, pin me er niet op vast. Ik zou het zelf ook even moeten nazoeken, wat ik zo ga doen, want je hebt me getriggerd :)

Edit:
Ja het is een driver, Microsoft Easy Print

shadowman12 wijzigde deze reactie 04-06-2019 23:47 (4%)

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 18:00

Hero of Time

Moderator NOS/CSA

There is only one Legend

Dat scheelt iig nog wat. Die had ik ook verwijdert op de RDS, zodat het hele lijstje netjes leeg was. Het komt vanzelf wel terug als het nodig is, en anders heeft de gebruiker maar even pech. Meld ze opnieuw aan, komt ze misschien op een andere server uit die de driver nog wel heeft. :P

Spekkies | Commandline FTW


  • Iekozz
  • Registratie: december 2007
  • Laatst online: 20:40
Voor mijn werk heb ik een kleine firewall aangeschaft (pricewatch: Cisco ASA 5506-X with FirePOWER Services)

Deze wil ik gebruiken icm met firepower device manager. Echter lees ik op de cisco site dat ik eerst het moet omflashen naar Firepower Threat Defense van asa wat er nu op draait. Als iemand weet wat ik nu moet doen hoor ik het graag :).

"Computers are like Old Testament gods: lots of rules and no mercy." --Joseph Campbell


  • HKLM_
  • Registratie: februari 2009
  • Laatst online: 22:00

HKLM_

www.cloud23.nl

Iekozz schreef op zaterdag 8 juni 2019 @ 17:47:
Voor mijn werk heb ik een kleine firewall aangeschaft (pricewatch: Cisco ASA 5506-X with FirePOWER Services)

Deze wil ik gebruiken icm met firepower device manager. Echter lees ik op de cisco site dat ik eerst het moet omflashen naar Firepower Threat Defense van asa wat er nu op draait. Als iemand weet wat ik nu moet doen hoor ik het graag :).
Heb je hier wat aan?
https://www.cisco.com/c/e...ubleshoot_chapter_011.pdf

https://www.cisco.com/c/e...ding-firepower-threa.html

HKLM_ wijzigde deze reactie 08-06-2019 17:53 (7%)

Ubiquiti • 2 site’s • 2x Unifi USG 3P • Unifi Switch 16 ports 150w • 2x Unifi AC-LR • 2x Unifi AC-Lite • Unifi CloudKey


  • Iekozz
  • Registratie: december 2007
  • Laatst online: 20:40
Ja die had ik openstaan inderdaad/ Ziet er dus wel naar uit dat ik die moet installeren voordat ik het aan de praat krijg. Nu kan ik alleen die software niet downloaden vanaf de cisco site zonder licentie. (Die ik wel kreeg in de doos).

"Computers are like Old Testament gods: lots of rules and no mercy." --Joseph Campbell


  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Iekozz schreef op zaterdag 8 juni 2019 @ 17:47:
Voor mijn werk heb ik een kleine firewall aangeschaft (pricewatch: Cisco ASA 5506-X with FirePOWER Services)

Deze wil ik gebruiken icm met firepower device manager. Echter lees ik op de cisco site dat ik eerst het moet omflashen naar Firepower Threat Defense van asa wat er nu op draait. Als iemand weet wat ik nu moet doen hoor ik het graag :).
Als je hem met FTD hebt gekocht is het kwestie via de cli manager add ip address controller 123345(code)

Daarna toevoegen in firepower management server met die code.

Als je met ASA software hebt moet je hem inderdaad om flashen, wat best een uitdaging is, rommon, tftp etc etc..... Zucht..

/edit
Benader je hem nu met adsm? Zo niet dan is ie al ftd

KRGT wijzigde deze reactie 08-06-2019 19:28 (3%)


  • Iekozz
  • Registratie: december 2007
  • Laatst online: 20:40
KRGT schreef op zaterdag 8 juni 2019 @ 19:23:
[...]

Als je hem met FTD hebt gekocht is het kwestie via de cli manager add ip address controller 123345(code)

Daarna toevoegen in firepower management server met die code.

Als je met ASA software hebt moet je hem inderdaad om flashen, wat best een uitdaging is, rommon, tftp etc etc..... Zucht..

/edit
Benader je hem nu met adsm? Zo niet dan is ie al ftd
Heb hem gekocht met firepower services. Van wat ik zie moet je dat apart flashen. Wel een gedoe, maargoed.

"Computers are like Old Testament gods: lots of rules and no mercy." --Joseph Campbell


  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Iekozz schreef op zaterdag 8 juni 2019 @ 19:47:
[...]

Heb hem gekocht met firepower services. Van wat ik zie moet je dat apart flashen. Wel een gedoe, maargoed.
Ik heb nu een xx aantal 550x-x with Firepower services geïmplementeerd en allen hadden al de juiste software, dus weet je het zeker?

  • FastFred
  • Registratie: maart 2009
  • Laatst online: 21:43
Iemand dit al eens gehad? Sinds kort ook Windows 10 thinclients van HP naast onze Windows 7 thinclients. Wat de Windows 7 thinclients perfect doen, daar gaat het met de Windows 10 mis.

Als je die aansluit op een grote monitor (denk een 40" of groter scherm voor in vergaderzalen) dan gaat Windows 10 de schaling aanpassen, naar bijvoorbeeld 300%, zodat je niks meer kwijt kunt op je scherm en alles absurd groot is. Functionaliteit noemt men dat.

Nu is 100% schaling op een 4K resolutie niet wenselijk, dan moet je een vergrootglas hebben, dus ik heb de schaling lokaal op 200% gezet, dat lijkt goed te zijn. Echter log ik dan met een domein account in in Citrix, dan staat de schaling gewoon weer op 300%.

Hoe zet ik die achterlijke functionaliteit gewoon in z'n geheel uit? Met Google kom ik niet verder als 'hier kun je handmatig de schaling aanpassen', of 'zo schakel je de DPI schaling voor deze applicatie uit'.

Daar heb ik dus geen kont aan, ik wil niet dat ie automatisch de schaling gaat zitten verkloten, ik wil die hele functionaliteit er gewoon uit slopen.

Everything that is, sprang from what was | iRacing Profiel


Acties:
  • +1Henk 'm!
Je hebt er geen kont aan maar Windows 7 is zo ongeveer uitgefaseerd voor 4K schermen bestonden, dus die heeft dat probleem niet. Windows 10 snapt 4K dan weer wel maar begrijpt niet hoe groot je scherm is en gaat zelf iets doen.

op het werk staan een paar van die Surface Studio's. Ook daar moet je eerst de koeieletters uitzetten. De oorzaak lijkt te zitten in het feit dat de monitor teruggeeft hoeveel DPI het scherm is. Windows past daarop de scaling aan.

Edit : toch iets gevonden :



Eronder staat een tabelletje met wat de waardes kunnen zijn. Ik denk dat je het 2 profielen moet aanpassen, lokaal en Citrix. Echter, dat zal issues geven als de gebruiker weer achter een normaal scherm zit.

https://www.tenforums.com...isplays-windows-10-a.html

asing wijzigde deze reactie 11-06-2019 19:17 (36%)

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


Acties:
  • +2Henk 'm!

  • Patrick
  • Registratie: juli 1999
  • Laatst online: 20:04
Bij een oude werkgever hadden we gewoon een aantal reg bestanden op een algemene share staan die men naar eigen inzicht kon gebruiken om de dpi in te stellen onder Citrix. Gewoon dubbelklik en klaar (misschien wel even opnieuw inloggen, maar daar ben ik even niet zeker van)

  • FastFred
  • Registratie: maart 2009
  • Laatst online: 21:43
Die LogPixels entry heb ik niet, maar als ik het mapje Desktop openvouw staat daar wel 'PerMonitorSettings' met daaronder een mapje dat letterlijk het serienummer van de monitor is met daarin een 'DpiValue'.

Maar dan zit ik altijd nog in Current User te werken en eigenlijk wil ik dit in Local Machine hebben zodat hij dit doet ongeacht de gebruiker, en als die gebruiker op z'n eigen plek gaat inloggen ook daar alles goed staat. Ik ga er vanmiddag eens mee stoeien. Thx

EDIT: Nope, zowel LogPixels als PerMonitorSettings staan niet in het register van thinclient

FastFred wijzigde deze reactie 12-06-2019 13:04 (20%)

Everything that is, sprang from what was | iRacing Profiel

FastFred schreef op woensdag 12 juni 2019 @ 12:41:
[...]


Die LogPixels entry heb ik niet, maar als ik het mapje Desktop openvouw staat daar wel 'PerMonitorSettings' met daaronder een mapje dat letterlijk het serienummer van de monitor is met daarin een 'DpiValue'.

Maar dan zit ik altijd nog in Current User te werken en eigenlijk wil ik dit in Local Machine hebben zodat hij dit doet ongeacht de gebruiker, en als die gebruiker op z'n eigen plek gaat inloggen ook daar alles goed staat. Ik ga er vanmiddag eens mee stoeien. Thx
Ik denk ook niet dat je onder Current User uit kan komen. Maar je zou wel iets moois kunnen maken met RES Powerfuse :9 .

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 21:39
Iemand wel eens deze fout gehad: https://support.microsoft...spi-context-error-message

Probeer een MSSQL Database te bereiken via een andere client maar blijf tegen die foutmelding aanlopen. De database lijk ik alleen te kunnen bereiken wanneer ik op de machine zelf zit, maar via andere clients/servers lukt het niet. TShoot conform de punten die in de link staan, de Kerberos Config tool werkt voor geen meter :( Rot lopen Googlen maar geen success.

  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Ingegno schreef op donderdag 13 juni 2019 @ 21:04:
Iemand wel eens deze fout gehad: https://support.microsoft...spi-context-error-message

Probeer een MSSQL Database te bereiken via een andere client maar blijf tegen die foutmelding aanlopen. De database lijk ik alleen te kunnen bereiken wanneer ik op de machine zelf zit, maar via andere clients/servers lukt het niet. TShoot conform de punten die in de link staan, de Kerberos Config tool werkt voor geen meter :( Rot lopen Googlen maar geen success.
Heb je de SPN's al aangemaakt?

punt 5 van de dingen te doen.

  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 21:39
KRGT schreef op donderdag 13 juni 2019 @ 21:11:
[...]


Heb je de SPN's al aangemaakt?

punt 5 van de dingen te doen.
Met de setspn utility heb ik gecheckt of de output op mijn client gelijk is aan de output als wanneer ik direcht op de machine zelf zit.

PS: Windows Authentication die ik gebruik. Heb ook gekeken om het met local DB accounts te doen maar helpt helaas ook niet.

  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 21:16

The Eagle

I wear my sunglasses at night

Ik neem aan dat je nadat je het SQL server account geswitcht had, je wel een reboot of restart van de sqlserver service gedaan hebt?
En check even de link goed die je zelf geeft, als ik het goed lees gebruikt ie helemaal geen kerberos in jouw situatie.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


Acties:
  • +1Henk 'm!

  • Equator
  • Registratie: april 2001
  • Laatst online: 21:09

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

Topicstarter
Ik heb de posts omtrnet monitoring verplaatst naar Het Grote Monitoring Topic :)

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 21:39
The Eagle schreef op donderdag 13 juni 2019 @ 22:01:
Ik neem aan dat je nadat je het SQL server account geswitcht had, je wel een reboot of restart van de sqlserver service gedaan hebt?
En check even de link goed die je zelf geeft, als ik het goed lees gebruikt ie helemaal geen kerberos in jouw situatie.
Jep, probleem nu opgelost. Njah, opgelost. Eerder een workaround. SQL in mixed authentication mode gezet, lokale gebruiker aanmaken en hoppa kan er remote bij. Ook prima.

Tijdens tshoot en kijkend naar documentatie wel achter gekomen wat het probleem is: gebruikersrechten. De SQL-service draait under een Windows Domain service account (speciaal aangemaakt). Had voor de gein dit even aangepast naar een domain admin en voila, dan werkt het wel. Zet ik het terug, weer die foutmelding.

Volgens MS documentatie en overige internetbronnen zou je dit kunnen fixen door in ADSI Edit te rommelen en de Read/Write UserPrincipalName optie aan te vinken voor die gebruiker. Dit heb ik weliswaar geprobeerd maar ook toen werkte het niet. Denk dat je mogelijk nog meer vinkjes aan moet zetten maar had er wel genoeg van en de workaround is ook best. Weet in ieder geval dat het iets met gebruikersrechten is, maar ga daar niet nog meer uren in lopen steken.

--------------------


On an (un)related note: scriptje nu dus mooi af. En werkt naar wens :) Wat gebruiken jullie zoal om PS- scriptjes om te gooien naar .exe?

ps2exe? PS Studio? Anders? Waar ik nu wel rekening mee wil houden (weet niet eens of dit überhaupt mogelijk is):

- Mijn script maakt gebruik van bepaalde bestanden die bepaalde input leveren (bv. een hele grote SQL-query van heel wat regels) en die ik dus niet direct in de PS-code zelf heb zitten
- Er worden ook bepaalde modules ingeladen zoals PDFtools wat niet standaard is.

Is het mogelijk om Powershell scriptjes zodanig te converteren dat dit alles (met aanpassingen aan de code van het script natuurlijk) wordt meegenomen zodat ik mijn .exe lekker overal kan lanceren zonder problemen?

  • Drardollan
  • Registratie: juli 2018
  • Laatst online: 20-09 21:50
Iemand ervaring met het overzetten van virtuele machines van het ene Hyper-V cluster naar het andere?
Beide clusters zijn AD connected, maar kennen elkaar verder niet.

Methodes die ik ken:

1) Export / Import heeft nogal wat tijd nodig (grote files, moeten dan 2x geprocessed worden en tijdelijk opgeslagen)

2) Copy / Paste van de Config XML en VHD(X) files kan wel. Maar bij import is het dan geneuzel. En ik weet niet zeker of de disken dan dezelfde drive letter krijgen in het Windows?

3) Move naar een ander cluster heb ik ergens gelezen, maar 0,0 ervaring mee. Werkt zoiets een beetje?

Downtime is geen probleem, dat is ingecalculeerd.

Optie 3 zou het beste zijn, maar optie 2 is ook een optie. Als ik zeker weet dat disken goed gekoppeld worden kan ik zo een nieuwe VM config maken op het nieuwe cluster, memory/cpu/netwerk goed zetten en disken koppelen. Dat ik vervolgens nog even het IP in Windows moet goed zetten is geen groot werk voor 10 machines.

Drardollan wijzigde deze reactie 14-06-2019 22:36 (3%)

Pagina: 1 ... 9 ... 13 Laatste


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrisch rijden

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True