Het grote kleine-SysOps-vragen topic deel 1

Da_maniaC schreef op dinsdag 21 mei 2019 @ 13:13:
Weet iemand hoe deze melding uit te schakelen is toevallig?

Dit gebeurd bij het openen van sommige .xls files die worden aangeboden vanuit SaaS applicaties (zoals reports, exports ed.)

[Afbeelding]

Oogje schreef op dinsdag 21 mei 2019 @ 13:23:
[...]

Ik heb dit wel eens gezien, maar dan bleek de inhoud xml te zijn die dan als xls weggeschreven wordt. En dat vind Excel niet zo leuk meer, en ik zie zoiets kunnen openen nog wel eens helemaal verdwijnen ivm security.

Als je die xls ff opent met een notepad/binary reader, wat is de inhoud dan?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

MIME-Version: 1.0
X-Document-Type: Workbook
Content-Type: multipart/related; boundary="----=_NextPart_01C3AACE.2206ED10"

This document is a Web archive file.  If you are seeing this message, this means your browser or editor doesn't support Web archive files.  For more information on the Web archive format, go to http://officeupdate.microsoft.com/office/webarchive.htm.

------=_NextPart_01C3AACE.2206ED10
Content-Location: http://localhost/excel.htm
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="utf-8"

<html xmlns:o=3D"urn:schemas-microsoft-com:office:office"
xmlns:x=3D"urn:schemas-microsoft-com:office:excel"
xmlns:v=3D"urn:schemas-microsoft-com:vml"
xmlns=3D"http://www.w3.org/TR/REC-html40">
<head>

Da_maniaC schreef op dinsdag 21 mei 2019 @ 13:38:
[...]


Klopt, het betreft een oude SaaS applicatie (Cognos 8.4) die geen nette .xls(x) file kan genereren.
De inhoud is .mht / .xml.
We hebben echter een oude Windows 7 image build met Office 2010 waar we deze melding niet krijgen (we kunnen alleen de GPO niet pinpointen die hiervoor zorgt op de nieuwe Windows 10 / Office 2016 build).
Deze willen we eigenlijk ook actief zetten voor de nieuwe Policy group.

Hier een stukje van de file header (via Notepad++):

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

MIME-Version: 1.0 X-Document-Type: Workbook Content-Type: multipart/related; boundary="----=_NextPart_01C3AACE.2206ED10" This document is a Web archive file. If you are seeing this message, this means your browser or editor doesn't support Web archive files. For more information on the Web archive format, go to http://officeupdate.microsoft.com/office/webarchive.htm. ------=_NextPart_01C3AACE.2206ED10 Content-Location: http://localhost/excel.htm Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset="utf-8" <html xmlns:o=3D"urn:schemas-microsoft-com:office:office" xmlns:x=3D"urn:schemas-microsoft-com:office:excel" xmlns:v=3D"urn:schemas-microsoft-com:vml" xmlns=3D"http://www.w3.org/TR/REC-html40"> <head>

HKEY_CURRENT_USER\Software\Microsoft\Office\14\Excel\Security
DWord named ExtensionHardening, value 0.

[ Voor 4% gewijzigd door Oogje op 21-05-2019 13:45 ]

Oogje schreef op dinsdag 21 mei 2019 @ 13:44:
[...]


Excel 2010 is wat minder kieskeurig dan Excel 2016 (valt me mee dat in 2016 het nog steeds werkt met een popup ipv helemaal afgeschaft)

In Excel 2010 was het:

[...]

Metalfreak schreef op woensdag 22 mei 2019 @ 09:52:
Toetsenbordinstellingen zijn userafhankelijk... Nu hebben we een lading laptops binnengekregen met een UK toetsenbord en wil ik dit voor deze laptops alleen instellen. We maken gebruik van een standaard image voor alle laptops en PC's. Ik krijg het nu wel onder Powershell voor elkaar om het onder een user account te doen via onderstaand script:

code:

1 2 3 4

$LanguageList = New-WinUserLanguageList nl-NL $LanguageList[0].InputMethodTips.Clear() $LanguageList[0].InputMethodTips.Add('0413:00000809') Set-WinUserLanguageList $LanguageList -Force

Maar als je nu inlogt onder een andere gebruiker, staat het weer gewoon op VS Internationaal. Weet iemand ook of het mogelijk om een script te bouwen dat ervoor zorgt dat het voor alle gebruikers op deze laptop standaard op UK gezet wordt?

1
2
3
4
5
6
7
8

$LanguageList = New-WinUserLanguageList nl-NL
$LanguageList[0].InputMethodTips.Clear()
$LanguageList[0].InputMethodTips.Add('0413:00000809')
Set-WinUserLanguageList $LanguageList -Force
Set-Culture nl-NL
Set-WinSystemLocale -SystemLocale nl-NL
Set-WinUILanguageOverride -Language nl-NL
Set-WinHomeLocation -GeoId 176

[ Voor 24% gewijzigd door Turdie op 22-05-2019 14:56 ]

shadowman12 schreef op woensdag 22 mei 2019 @ 14:49:
[...]


Ik denk dat je het volgende moet doen. Maar eigenlijk doe je het via Group Policy voor alle gebruikers.

PowerShell:

1 2 3 4 5 6 7 8

$LanguageList = New-WinUserLanguageList nl-NL $LanguageList[0].InputMethodTips.Clear() $LanguageList[0].InputMethodTips.Add('0413:00000809') Set-WinUserLanguageList $LanguageList -Force Set-Culture nl-NL Set-WinSystemLocale -SystemLocale nl-NL Set-WinUILanguageOverride -Language nl-NL Set-WinHomeLocation -GeoId 176

[ Voor 6% gewijzigd door Metalfreak op 22-05-2019 16:05 ]

Metalfreak schreef op woensdag 22 mei 2019 @ 16:05:
[...]

Group policy kan niet, want de laptops zitten niet in een aparte OU (anders hebben we een complete redesign nodig van onze infrastructuur) en users kunnen ook op een laptop inloggen die niet voorzien is van een UK toetsenbord.

Metalfreak schreef op woensdag 22 mei 2019 @ 16:05:
[...]


Group policy kan niet, want de laptops zitten niet in een aparte OU (anders hebben we een complete redesign nodig van onze infrastructuur) en users kunnen ook op een laptop inloggen die niet voorzien is van een UK toetsenbord.

Ik ga je oplossing eens testen, maar dat gaat pas volgende week worden. Eerst morgen training en dan weekendje weg.

[ Voor 7% gewijzigd door Turdie op 22-05-2019 16:41 ]

[ Voor 5% gewijzigd door ThinkPad op 23-05-2019 11:04 ]

Freeaqingme schreef op donderdag 23 mei 2019 @ 14:51:
Ik weet het niet, maar je zou het op zich gewoon kunnen testen, toch?

FastFred schreef op maandag 13 mei 2019 @ 15:23:
Gebruiker moet wachtwoord aanpassen volgens policy. Gebruiker past wachtwoord aan maar vergeet dit te doen op zijn iPhone, waardoor zijn account om de zoveel tijd locked out raakt. Gebeld met gebruiker, wachtwoord ook laten aanpassen op iPhone. Mail komt weer binnen, fixed!

Echter, account raakt nog steeds om de zoveel tijd locked out. Heb OWA van de gebruiker al gechecked, daar staat alleen zijn iPhone in. Mail komt ook binnen op iPhone.

Gebruiker maakt gebruik van de standaard Mail app op iPhone, iPhone al eens herstart zonder resultaat. Vanmorgen mail account van telefoon verwijderd en weer toegevoegd zonder resultaat.

FYI: als een gebruikersaccount locked out raakt krijgen wij daar per mail een notificatie van met gebruikersnaam, datum en tijd, en vanaf welk werkstation. Dat is in dit geval iedere keer onze Exchange server.

Ingegno schreef op donderdag 23 mei 2019 @ 14:48:
Vraagje tussendoor
Access-list 150 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 23

Wanneer je zo'n ACL hebt met eq, kijkt dat eq naar source & destination poort of alleen naar source of destination? Wat zitten googlen maar geen eenduidig antwoord op kunnen vinden. Ik wil zeggen alleen destination maar durf het niet met 100% zekerheid te zeggen.

Hero of Time schreef op donderdag 23 mei 2019 @ 15:37:
[...]

Makkelijker denken: de source port is random. Daar is niet echt makkelijk op te filteren. Dan is het logischer wanneer het om de destination port gaat.

joenevd schreef op donderdag 23 mei 2019 @ 15:51:
Daar heeft FSLogix een oplossing voor gemaakt. Namelijk dat de indexering van de gebruiker in de persoonlijke FSLogix VHD(X) terecht komt. Hierdoor blijft de indexering beschikbaar. Je gebruikt als het ware 2 profiel VHDX-en per gebruiker naast elkaar, of je moet de volledige suite afnemen van FSLogix.

In jouw situatie heb je waarschijnlijk de hele windows search functie niet aanstaan/geïnstalleerd waardoor hij altijd online zijn zoek opdrachten doet. Ik heb al vaker gemerkt dat hierdoor de zoekopdrachten langer (kunnen) duren.

Hero of Time schreef op zaterdag 25 mei 2019 @ 21:50:
Klinkt logisch. Bij W7 was Windows Search ook een apart onderdeel die je kon verwijderen.

Komende week heb ik een leuke uitdaging. Sinds afgelopen donderdag is opeens een van de drie RDS servers enorm traag met inloggen. Met m'n admin account ben ik wel gewoon snel ingelogd, maar m'n normale gebruiker deed er een uur over. Afmelden doet het niet. M'n sessie is weg, maar er blijft staan "wachten op remote desktop client service". Het houdt daardoor ook de lock op de UPD, waardoor je dus bij opnieuw inloggen op een andere server uit kan komen maar met een tijdelijk profiel.

Omdat het een VM is, dacht ik dat het mogelijk aan de host kon liggen, maar de VM power cyclen deed niets, de host herstarten deed niets en op een andere host draaien gaf geen verschil in de tijd die nodig is om in te loggen.

We hebben echt die derde machine nodig, of ik moet de resources van de andere twee verhogen en het aantal connecties uitbreiden. In de event viewer kan ik iig niet direct iets van aanleiding vinden waarom het zo lang duurt opeens.

nextware schreef op zaterdag 25 mei 2019 @ 21:52:
[...]

Wellicht profiel issues van de gebruikers ? Krijg je een (fout)melding tijdens het inloggen ?
Worden er GPO's gepusht tijdens het inloggen ?

Hero of Time schreef op zaterdag 25 mei 2019 @ 21:56:
[...]

Waarom zou het inloggen op de andere twee dan wel gewoon snel zijn dan? Foutmelding krijgen we niet, GPO krijgen we wel gepusht, maar zoals gezegd, dat was nooit een probleem tot afgelopen donderdag op een enkele server.

Hero of Time schreef op zaterdag 25 mei 2019 @ 22:24:

Geen toegang tot homefolders, goed punt om te controleren. We maken gebruik van redirected folders voor Documenten e.d. Kan niet zeggen dat ik hier op gekeken heb. Maar elke stap in het inlogproces dat wordt getoond blijft lang staan. Print policy toepassen, registry policy toepassen, algemeen group policy toepassen, alles staat er een kwartier ofzo, als het er maar 4 zijn (anders evenredig verdeeld om een uur te krijgen).

Ik had bij geen toegang toch wel iets van een melding in de logs verwacht.

[ Voor 28% gewijzigd door Turdie op 27-05-2019 12:04 ]

Hero of Time schreef op maandag 27 mei 2019 @ 13:06:
Ik heb iig wel gevonden dat er ergens een issue is met de GPO toegang. Want gpresult /r geeft 'access denied' en rsop.msc komt met 'timeout period expired'. Welke GPO het om gaat, geen idee. En het is er een waar mijn admin gebruiker niet in hangt (dat is zo'n beetje elke user GPO).

Nu hopen dat ik weer in kan loggen zonder de server te moeten rebooten. Weet dan iig wel dat de registry setting voor debug aan staat.

1. winmgmt /resetrepository

2. gpupdate /force

[ Voor 4% gewijzigd door Turdie op 27-05-2019 13:23 ]

Hero of Time schreef op maandag 27 mei 2019 @ 13:06:
Ik heb iig wel gevonden dat er ergens een issue is met de GPO toegang. Want gpresult /r geeft 'access denied' en rsop.msc komt met 'timeout period expired'. Welke GPO het om gaat, geen idee. En het is er een waar mijn admin gebruiker niet in hangt (dat is zo'n beetje elke user GPO).

Nu hopen dat ik weer in kan loggen zonder de server te moeten rebooten. Weet dan iig wel dat de registry setting voor debug aan staat.

Hero of Time schreef op maandag 27 mei 2019 @ 19:08:
@Oogje, de rechten had ik al nagekeken. Geen heeft bij Delegation een explicite deny voor de RDS en Authenticated Users staat er gewoon bij met 'read' rechten. Er is 1 GPO, of groep eigenlijk waar een paar GPO aan hangen, die ik verdenk, maar omdat mensen van andere afdelingen die helemaal niet in die groep zitten ook last hebben van traag inloggen, moet het een andere zijn.

Ik kan iig wel elke map in de SYSVOL share benaderen mbt policies vanaf de trage server, dus lezen zou geen probleem moeten zijn. Morgen verder uitzoeken.

Btw, @shadowman12, die debug optie voor inloggen. Er staat niet specifiek bij dat je moet herstarten oid, dus dat heb ik ook niet gedaan. Toch werd er geen log gemaakt toen ik inlogde.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

Import-Module -Name GroupPolicy
$GPOList = Get-GPO -All
$VerbosePreference = 'Continue'
$GroupName = 'Authenticated Users'
$InvalidGPOList = foreach($GPO in $GPOList)
{
    Try
    {
        $GPPermission = Get-GPPermission -Guid $GPO.Id -TargetType Group -TargetName $GroupName -ErrorAction Stop
        if(
            $GPPermission.Permission.HasFlag([Microsoft.GroupPolicy.GPPermissionType]::GpoRead)
        )
        {
            $Message = 'GPO: [{0}] is OK!' -f $GPO.DisplayName
        }
        else
        {
            $Message = 'No read access found group {0} in GPO: [{1}]' -f $GroupName, $GPO.DisplayName
            $GPO
        }
    }
    Catch
    {
        if($_.FullyQualifiedErrorId -like 'NoSecurityGroupFoundInGpoWithId*')
        {
            $GPO
            $Message = 'No access found group {0} in GPO: [{1}]' -f $GroupName, $GPO.DisplayName
        }
        else
        {
            throw
        }
    }
    Finally
    {
        Write-Verbose -Message $Message
    }
}
Write-Output -InputObject $InvalidGPOList

[ Voor 54% gewijzigd door Turdie op 27-05-2019 19:37 ]

Duinkonijn schreef op donderdag 16 mei 2019 @ 15:09:
heeft iemand toevallig nog het adamj clean wsus script?

Het mag nog deze maand gebruikt worden, maar ondertussen is alles offline

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66

/*
################################
#  Adamj WSUS Synchronization  #
#      Cleanup SQL Script      #
#       Version 1.0            #
#  Taken from various sources  #
#      from the Internet.      #
#                              #
#  Modified By: Adam Marshall  #
#     http://www.adamj.org     #
# http://www.helpingteens.org  #
################################

################################
#         Instructions         #
################################
1. Download and install SQL Server Management Studio on your WUS Server

2. Connect to Named Pipes Windows Internal Database on Windows Server 2012 R2 with
  SQL Server Management Studio in 'Run as Administrator' mode.
  \\.\pipe\MICROSOFT##WID\tsql\query
  Use Windows Authentication

3. HIGHLIGHT WHICH OPTION YOU WANT TO USE and hit F5 or Execute
*/


/*
################################
#           Options            #
################################

/*
Delete All WSUS Synchronization Logs older than 7 days
*/
USE SUSDB
GO
DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') AND DATEDIFF(day, TimeAtServer, CURRENT_TIMESTAMP) >= 7;
GO

/*
Delete All WSUS Synchronization Logs older than 1 month
*/
USE SUSDB
GO
DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') AND DATEDIFF(month, TimeAtServer, CURRENT_TIMESTAMP) >= 1;
GO

/*
Delete All WSUS Synchronization Logs older than xxx date
*/
USE SUSDB
GO
DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389') AND TimeAtServer < '2014-11-01'
GO

/*
Delete All WSUS Synchronization Logs
*/
USE SUSDB
GO
DELETE FROM tbEventInstance WHERE EventNamespaceID = '2' AND EVENTID IN ('381', '382', '384', '386', '387', '389')
GO


*/

shadowman12 schreef op maandag 27 mei 2019 @ 19:29:
[...]

Klopt je moet wel rebooten als je die aanpassing doet.

Je zou met dit Powershell stukje alle GPO's even na kunnen lopen.

PowerShell:

1

[script]

Hero of Time schreef op dinsdag 28 mei 2019 @ 09:10:
[...]

Ehm, je script doet iets fout. Het beweert dat op o.a. het default domain policy de groep 'authenticated users' geen leesrechten heeft, maar dat heeft 't wel. Het staat bij zowel Scope - Security Filtering als bij Delegation. Ook bij de 'default domain controller policy' piept het, terwijl daar ook 'authenticated users' bij staat. Er staat bij Delegation wel achter de rechten "(from security filtering)", wat dus bij Scope vandaan moet komen.

De policies waar het zegt dat het OK is, heeft bij Scope niet die groep toegekend. Het script lijkt dus te kijken naar expliciet gezette rechten en niet wat vanuit de Scope is overgenomen.

Aangezien de policies waar je script over klaagt wel worden toegepast, ga ik uit van een foutje in je script en niet de policy rechten.

asing schreef op dinsdag 28 mei 2019 @ 09:12:
[...]

Sloop die rechten eens, en wijs ze opnieuw toe.

Renegade666 schreef op dinsdag 28 mei 2019 @ 10:50:
Hoe is jullie ervaring om een Raid array uit breiden?
On the Fly (tijdens het draaien) of toch via IP buiten ESX om?
Ik heb nu een klant met 5 SSD"s in de server zitten, er komen nu 3 bij.
En heb niet zoveel zin om alles te verplaatsen en verwijderen en opnieuw bouwen.

Gaat om een HP Proliant DL380 G10.
Draait ESX 6.7u1

Hero of Time schreef op dinsdag 28 mei 2019 @ 09:10:
[...]

Ehm, je script doet iets fout. Het beweert dat op o.a. het default domain policy de groep 'authenticated users' geen leesrechten heeft, maar dat heeft 't wel. Het staat bij zowel Scope - Security Filtering als bij Delegation. Ook bij de 'default domain controller policy' piept het, terwijl daar ook 'authenticated users' bij staat. Er staat bij Delegation wel achter de rechten "(from security filtering)", wat dus bij Scope vandaan moet komen.

De policies waar het zegt dat het OK is, heeft bij Scope niet die groep toegekend. Het script lijkt dus te kijken naar expliciet gezette rechten en niet wat vanuit de Scope is overgenomen.

Aangezien de policies waar je script over klaagt wel worden toegepast, ga ik uit van een foutje in je script en niet de policy rechten.

1
2
3
4
5
6
7
8
9
10

$gpos = Get-GPO -All
$info = foreach ($gpo in $gpos)
{
    Get-GPPermissions -Guid $gpo.Id -All | Select-Object `
    @{n='GPOName';e={$gpo.DisplayName}},
    @{n='AccountName';e={$_.Trustee.Name}},
    @{n='AccountType';e={$_.Trustee.SidType.ToString()}},
    @{n='Permissions';e={$_.Permission}}
}
$info | Export-Csv -Path 'C:\Temp_Storage\GPOPermissions.csv' -NoTypeInformation

[ Voor 21% gewijzigd door Turdie op 13-06-2019 17:36 ]

shadowman12 schreef op dinsdag 28 mei 2019 @ 14:14:
[...]

Nou ik denk dat er een fout in het script zit want in mijn eigen test omgeving werkt ie gewoon prima.

Hero of Time schreef op dinsdag 28 mei 2019 @ 14:36:
[...]

Dat zeg ik, er zit een fout in want waar het over klaagt is helemaal geen reden om over te klagen omdat Authenticated Users wel gewoon read rechten heeft (met in deze gevallen zelfs Apply).

Maar ik heb het euvel gevonden. Printer policies. De eerste de beste die ik toevoegde gaf een mooie inlogtijd van een uur. Haal het policy weg en inloggen is weer seconden werk.

Vreemd genoeg blijf ik bij 'gpresult /r' een Access Denied krijgen. Inloggen op een van de andere twee geeft gewoon het resultaat weer.
Doe ik 'gpresult /r' met m'n admin account, dan krijg ik wel wat informatie, maar lidmaatschap van groepen geeft een onverwachte fout.

Zou de server zelf opeens fubar zijn geworden?

shadowman12 schreef op dinsdag 28 mei 2019 @ 18:03:
[...]

Volgens mij kun je onder een normale user geen gpresult /v draaien, dat is een commando wat alleen door admins gedraaid kan worden. Zie hier voor een workaround
https://www.gfisk.com/rsop-gpresult-with-non-admin-account/

Hero of Time schreef op dinsdag 28 mei 2019 @ 19:14:
[...]

Waar lees jij dat ik gpresult /v wil draaien? Elke domme gebruiker en sterveling mag gpresult /r draaien hoor.

shadowman12 schreef op dinsdag 28 mei 2019 @ 20:13:
[...]

Je zei toch dat je onder een normale user een access denied krijgt bij gpresult /v?

Hero of Time schreef op dinsdag 28 mei 2019 @ 14:36:
Vreemd genoeg blijf ik bij 'gpresult /r' een Access Denied krijgen. Inloggen op een van de andere twee geeft gewoon het resultaat weer.
Doe ik 'gpresult /r' met m'n admin account, dan krijg ik wel wat informatie, maar lidmaatschap van groepen geeft een onverwachte fout.

Hero of Time schreef op dinsdag 28 mei 2019 @ 20:24:
[...]

Nee. Die krijg ik bij /r. En bij m'n admin krijg ik ook een error als het de groepen waar ik lid van ben wil laten zien. Lees maar goed:


[...]

Op de andere servers krijg ik wel gewoon de informatie te zien.

We hebben meerdere printer policies. Bij die voor 'iedereen' blijft het hangen. Wijs ik een andere toe, dan ben ik wel vlot ingelogd. Alleen had ik bij die test ook een brak profiel, het kon opeens m'n bureaublad niet vinden en 't startmenu was leeg. Met 3 'spook' sessies/gebruikers nog op de server heb ik 'm herstart en kijk ik er morgen wel verder naar. Dan zal het ook de logins gaan loggen door de register aanpassing.

asing schreef op woensdag 29 mei 2019 @ 06:45:
[...]

Verkeerde been uit bed gestapt?

Voor die printer policy moet je in de eventviewer zijn. Dat staat op 2 plekken. De eerste plek is vaag, policy xyz took 46484 ms to complete. De andere geeft je exact weer welke printer het probleem is.

3 tips:
Gebruik goedgekeurde drivers
Maak juist gebruik van create change en delete
Gebruik zo min mogelijk acl in je policy

Hero of Time schreef op woensdag 29 mei 2019 @ 16:43:
Kan ik idd ook doen. Kwam ook nog https://community.spicewo...aking-605-seconds-to-boot tegen omdat ik ook die melding zie. In mijn geval is het "The winlogon notification subscriber <gpclient> took 3593 second(s) to handle the notification event (Logon)."
Dat is het uur dat we moeten wachten. Helaas heeft dat geen verandering gebracht.

Nu naar huis, morgen relaxen en vrijdag kijk ik wel weer verder. Drivers ga ik dan ook onder handen nemen.

asing schreef op woensdag 29 mei 2019 @ 19:33:
[...]

Onderaan die pagina staat een script. Dat heeft al meerdere keren mijn bacon gered .

Meldt het Group Policy eventlog nog iets bijzonders?

[ Voor 32% gewijzigd door HKLM_ op 29-05-2019 20:09 ]

Hero of Time schreef op woensdag 29 mei 2019 @ 19:55:
[...]

Die WBEM repo cleanup bedoel je? Die heb ik gedraaid, geen effect.

Ik had iets eerder vandaag al de eventlogs met tijden gepost die elkaar direct opvolgen. Een uur van doodse stilte mbt de GPO events in de logs.

asing schreef op woensdag 29 mei 2019 @ 20:12:
[...]

Dat is lammer...

[...]

Laat ik iets specifieker zijn. Je hebt 5 "standaard" logs. Application, System, Setup, Security en forwarded events. Dat is aardig maar niet specifiek genoeg.

Onder Applications and Services vind je GroupPolicy met een log.

asing schreef op woensdag 29 mei 2019 @ 23:15:
Dan zou ik echt beginnen met een lege OU en een testgebruiker. Dan stuk voor stuk de policies toepassen en kijken wat er gebeurt. Let op dat sommige dingen alleen bij het inloggen gedaan worden. De foute GPO moet je dan eens opnieuw opbouwen en nog eens proberen.

Hero of Time schreef op dinsdag 4 juni 2019 @ 20:26:
[...]

Dit is de oplossing geweest voor het probleem. Toen ik de print spooler service stopte en de GPO met de printers aan liet, was ik binnen seconden ingelogd.

Wat mij ook opviel, was dat de andere manier waarop we printers toekennen niet leek te werken. De twee (van de drie) GPOs die we hebben voor printers aan gebruikers geven maken gebruik van GPP. De derde doet het via de Printer Manager (Deploy using GPO).

Met wat moeite de lokale printserver eigenschappen weten te openen (goed om te weten, selecteer eerst een printer (die moet je wel hebben!), waarna de knop 'printserver properties' verschijnt als je in CP -> Devices & Printers zit) en daar de drivers verwijdert. Moest wel telkens de print spooler herstarten omdat het constant zat te piepen dat de driver bestanden in gebruik waren.

Na deze opruimactie de server herstart (voor de zekerheid, en ook om eventuele rogue sessies kwijt te raken) ingelogd met een testgebruiker en had binnen een minuut de desktop. Tweede testgebruiker net zo. En ook mijn eigen gebruiker was er in korte tijd weer in.

Stond op 't punt om de server opnieuw te installeren. scheelt weer een paar uur tijd.

Dus @shadowman12, terwijl jij je post plaatste, was ik dit bericht aan het typen. voor je hulp.

[ Voor 91% gewijzigd door Turdie op 04-06-2019 20:34 ]

shadowman12 schreef op woensdag 29 mei 2019 @ 16:32:
[...]

Je zou ook even de drivers kunnen cleanen van de server die problemen geeft, en ze opnieuw installeren.

[ Voor 11% gewijzigd door Hero of Time op 04-06-2019 20:31 ]

Hero of Time schreef op dinsdag 4 juni 2019 @ 20:26:
[...]

Dit is de oplossing geweest voor het probleem. Toen ik de print spooler service stopte en de GPO met de printers aan liet, was ik binnen seconden ingelogd.

Wat mij ook opviel, was dat de andere manier waarop we printers toekennen niet leek te werken. De twee (van de drie) GPOs die we hebben voor printers aan gebruikers geven maken gebruik van GPP. De derde doet het via de Printer Manager (Deploy using GPO).

Met wat moeite de lokale printserver eigenschappen weten te openen (goed om te weten, selecteer eerst een printer (die moet je wel hebben!), waarna de knop 'printserver properties' verschijnt als je in CP -> Devices & Printers zit) en daar de drivers verwijdert. Moest wel telkens de print spooler herstarten omdat het constant zat te piepen dat de driver bestanden in gebruik waren.

Na deze opruimactie de server herstart (voor de zekerheid, en ook om eventuele rogue sessies kwijt te raken) ingelogd met een testgebruiker en had binnen een minuut de desktop. Tweede testgebruiker net zo. En ook mijn eigen gebruiker was er in korte tijd weer in.

Stond op 't punt om de server opnieuw te installeren. scheelt weer een paar uur tijd.

Dus @shadowman12, terwijl jij je post plaatste, was ik dit bericht aan het typen. voor je hulp.


Edit:
Ik zocht in het startmenu en bij Administrative Tools al naar iets dat met 'print' begint, maar die heb je dus niet standaard. Ik ken de Print Manager MMC tool alleen als je ook daadwerkelijk de printserver rol hebt geïnstalleerd. En die heb je dus niet op een RDS of je misbruikt 'm ook als printserver (maar waar ben je dan in vredesnaam mee bezig als je dat doet ).

shadowman12 schreef op dinsdag 4 juni 2019 @ 20:37:
[...]

De Print Management tool is volgens mij onderdeel van de RSAT(Remote Server Administration Tools), als je die geinstalleerd hebt, kun je ook de Print Management MMC installeren.
[Afbeelding]

Ingegno schreef op donderdag 23 mei 2019 @ 14:48:
Vraagje tussendoor
Access-list 150 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 23

Wanneer je zo'n ACL hebt met eq, kijkt dat eq naar source & destination poort of alleen naar source of destination? Wat zitten googlen maar geen eenduidig antwoord op kunnen vinden. Ik wil zeggen alleen destination maar durf het niet met 100% zekerheid te zeggen.

Hero of Time schreef op dinsdag 4 juni 2019 @ 20:42:
[...]

Weet ik, ik had 'm ook vanaf de printserver kunnen openen en dan 'connect to other server' kiezen. Maar vanwege de vage 'access denied' meldingen wilde ik niet dat risico lopen enzo. Plus, nu kon ik bij het verdwijnen van de melding dat de service wordt gestart gelijk op de 'delete' knop drukken voor de drivers. Had zelfs het netwerk 'losgekoppeld', dus dan gaat RSAT al helemaal niet helpen. Die installeer je op je management machine, niet de RDS waar je gebruikers op zitten (ook daar, heb je dat wel, wat doe je dan?).

shadowman12 schreef op dinsdag 4 juni 2019 @ 20:48:
[...]

Ik vermoed dat User Account Control je in de weg heeft gezeten met die acces denied meldingen.
Er zijn ook scripts die alle drivers en printers wegtieven, had je ook kunnen doen bedenk ik me nu, en ze dan opnieuw toevoegen.

Wat je vraag is met die laatste zin snap ik niet helemaal.

Hero of Time schreef op dinsdag 4 juni 2019 @ 22:22:
En uitrollen met GPP is dus een doodsteek als er iets fubar gaat (wij gebruiken ook update). Gewoon via print manager deployen, dat gaf geen uren voor inloggen.

De printers die wij hebben is Ricoh en OKI. De drivers die er eigenlijk niet op hoorde van wat ik zag, waren een HP driver en van twee Dell. En nog iets van MS zelf. Als het nodig is, haalt 'ie het maar weer uit z'n driver store.

En ja, ik weet dat printer drivers ranzig kunnen zijn. Maar dat het van het ene op het andere moment 180° draait heb ik niet eerder gezien. Je kan, als het fout gaat, dan altijd wel aan een wijziging koppelen. Hier is niets verandert.

Ik had vorige week RDP printer redirect uitgezet, maar daar kwam gister opeens een klacht van een thuiswerker dat die niet kon printen op haar printer thuis. Dat heb ik weer ingeschakeld, dus ze kon erna weer printen, maar ik ga dit wel even met m'n manager bespreken. Want van een thuis printer kan je ook zomaar troep binnen krijgen qua drivers. Of heeft MS dat ondertussen aangepast en wordt er een generieke RDP printer driver gebruikt?

[ Voor 4% gewijzigd door Turdie op 04-06-2019 23:47 ]

Iekozz schreef op zaterdag 8 juni 2019 @ 17:47:
Voor mijn werk heb ik een kleine firewall aangeschaft (pricewatch: Cisco ASA 5506-X with FirePOWER Services)

Deze wil ik gebruiken icm met firepower device manager. Echter lees ik op de cisco site dat ik eerst het moet omflashen naar Firepower Threat Defense van asa wat er nu op draait. Als iemand weet wat ik nu moet doen hoor ik het graag .

[ Voor 7% gewijzigd door HKLM_ op 08-06-2019 17:53 ]

HKLM_ schreef op zaterdag 8 juni 2019 @ 17:53:
[...]


Heb je hier wat aan?
https://www.cisco.com/c/e...ubleshoot_chapter_011.pdf

https://www.cisco.com/c/e...ding-firepower-threa.html

Iekozz schreef op zaterdag 8 juni 2019 @ 17:47:
Voor mijn werk heb ik een kleine firewall aangeschaft (pricewatch: Cisco ASA 5506-X with FirePOWER Services)

Deze wil ik gebruiken icm met firepower device manager. Echter lees ik op de cisco site dat ik eerst het moet omflashen naar Firepower Threat Defense van asa wat er nu op draait. Als iemand weet wat ik nu moet doen hoor ik het graag .

[ Voor 3% gewijzigd door Vorkie op 08-06-2019 19:28 ]

Vorkie schreef op zaterdag 8 juni 2019 @ 19:23:
[...]

Als je hem met FTD hebt gekocht is het kwestie via de cli manager add ip address controller 123345(code)

Daarna toevoegen in firepower management server met die code.

Als je met ASA software hebt moet je hem inderdaad om flashen, wat best een uitdaging is, rommon, tftp etc etc..... Zucht..

/edit
Benader je hem nu met adsm? Zo niet dan is ie al ftd

Iekozz schreef op zaterdag 8 juni 2019 @ 19:47:
[...]

Heb hem gekocht met firepower services. Van wat ik zie moet je dat apart flashen. Wel een gedoe, maargoed.

[ Voor 36% gewijzigd door asing op 11-06-2019 19:17 ]

asing schreef op dinsdag 11 juni 2019 @ 19:12:
Edit : toch iets gevonden :

[Afbeelding]

[ Voor 20% gewijzigd door FastFred op 12-06-2019 13:04 ]

FastFred schreef op woensdag 12 juni 2019 @ 12:41:
[...]


Die LogPixels entry heb ik niet, maar als ik het mapje Desktop openvouw staat daar wel 'PerMonitorSettings' met daaronder een mapje dat letterlijk het serienummer van de monitor is met daarin een 'DpiValue'.

Maar dan zit ik altijd nog in Current User te werken en eigenlijk wil ik dit in Local Machine hebben zodat hij dit doet ongeacht de gebruiker, en als die gebruiker op z'n eigen plek gaat inloggen ook daar alles goed staat. Ik ga er vanmiddag eens mee stoeien. Thx

Ingegno schreef op donderdag 13 juni 2019 @ 21:04:
Iemand wel eens deze fout gehad: https://support.microsoft...spi-context-error-message

Probeer een MSSQL Database te bereiken via een andere client maar blijf tegen die foutmelding aanlopen. De database lijk ik alleen te kunnen bereiken wanneer ik op de machine zelf zit, maar via andere clients/servers lukt het niet. TShoot conform de punten die in de link staan, de Kerberos Config tool werkt voor geen meter Rot lopen Googlen maar geen success.

Vorkie schreef op donderdag 13 juni 2019 @ 21:11:
[...]


Heb je de SPN's al aangemaakt?

punt 5 van de dingen te doen.

The Eagle schreef op donderdag 13 juni 2019 @ 22:01:
Ik neem aan dat je nadat je het SQL server account geswitcht had, je wel een reboot of restart van de sqlserver service gedaan hebt?
En check even de link goed die je zelf geeft, als ik het goed lees gebruikt ie helemaal geen kerberos in jouw situatie.

[ Voor 3% gewijzigd door Drardollan op 14-06-2019 22:36 ]