Stichwort Suche

Kategorie: 4) Windows Server

WAP to ADFS with Kemp Loadbalancer no connection – TCP syn checking failed

Eine Verbindung von einem WAP Server (DMZ) zu einem ADFS Server ist nicht möglich. Der WAP und der ADFS Server befindeen sich hinter einem Two-Arm Kemp Loadbalancer.

Die direkte Verbindung von dem WAP zu dem ADFS ohne Kemp Loadbalancer dazwischen funktioniert.

Im Firewall Log der Watchguard zwischen DMZ und LAN ist folgende Meldung sichtbar.

“TCP syn checking failed (expecting SYN packt for new TCP connection, but received ACK, FIN, or RST instead).

Der TCP Flag der Watchguard ist Fehlerhaft, daher dropt die Watchguard das Packet zu dem Kemp.

Die Lösung mithilfe des Kemp-Support ist folgende:

In dein Einstellungen die Option: Use Default Route Only setzen

 

 

Find Active Directory Schema Update History

$schema = Get-ADObject -SearchBase ((Get-ADRootDSE).schemaNamingContext) `
-SearchScope OneLevel -Filter * -Property objectClass, name, whenChanged,`
whenCreated | Select-Object objectClass, name, whenCreated, whenChanged, `
@{name=”event”;expression={($_.whenCreated).Date.ToShortDateString()}} | `
Sort-Object whenCreated

$schema | Format-Table objectClass, name, whenCreated, whenChanged `
-GroupBy event -AutoSize

$schema | Group-Object event | Format-Table Count, Name, Group –AutoSize

Domänen Benutzer Kennwort Ablauf Powershell

Mit folgendem Befehl kann überprüft werden, wann die Kennwörter bei den Benutzern ablaufen:

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} –Properties “DisplayName”, “msDS-UserPasswordExpiryTimeComputed” | Select-Object -Property “Displayname”,@{Name=“ExpiryDate”;Expression={[datetime]::FromFileTime($_.“msDS-UserPasswordExpiryTimeComputed”)}}

Windows Datendeduplizierung deaktivieren

Um auf einem Laufwerk eine vorhanden Datendeduplizierung zu deaktivieren folgende Schritte auf dem Laufwerk ausführen:

1) komplettes Laufwerk als Ausnahme hinterlegen

2) Volumes anzeigen lassen:

Get-DedupVolume

3) “End”-Duplizierung starten

Achtung dieser Vorgang kann einige Zeit in Anspruch nehmen. Zudem muss ausreichend Speicherplatz zur Verfügung stehen!

Start-DedupJob -Full -Path e: -Type Unoptimization

Domain Controller SYSVOL FRS zu DFRS

Microsoft unterstützt für Domäne Controller basierend auf der Version Windows Server 2016 Build 1709 nicht mehr länger FRS ( File Replication Service ). Dieser wird genutzt das SYSVOL Share zu replizieren.

https://support.microsoft.com/en-us/help/4025991/windows-server-version-1709-no-longer-supports-frs

Stattdessen wird zukünftig nur noch DFRS unterstüzt.

Wurde z.B. damals eine Domäne von 2000/2003 auf 2008 migriert und die replikation nicht von FRS auf DFRS umgestellt muss dies vor der migration auf Server 2016 gemacht werden.

Dies geschieht mithilfe von dem Kommandozeilen Tool ” dfsrmig”. Der Vorgang ist in vier Schritte aufgeteilt. Und hat bisher ohne größere Probleme funktioniert.

State 0 – Start

State 1 – Prepared

State 2 – Redirected

State 3 – Elminated

Eine Ausführliche Anleitung befindet sich im Microsoft Blog.

https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd640019(v=ws.10)

 

Bis State 2 kann im Notfall ein Fallback erfolgen.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd640509%28v%3dws.10%29