Fehler in Windows Server 2019 einbauen
Hallo Zusammen,
ich möchte mich für eine Admin-Schulung in zwei Wochen vorbereiten und brauche dabei eure Hilfe.
Ich möchte auf ein paar Schulungsservern mit Windows Server 2019 (jeweils Hyper-V mit verschiedenen virtuellen Server -> DC, Fileserver, WTS) ein paar Fehler einbauen, die dann von den jeweiligen Teilnehmern gefunden und behoben werden sollen. Die Fehler sollten natürlich anspruchsvoll und nicht einfach zu finden sein. Ich hätte da an defekte Systemdateien, inkompatible Treiber etc. gedacht.
Könnt ihr mir helfen? Was habt ihr denn für Ideen? Bzw. hattet ihr vielleicht selbst Probleme, die ihr nach langer Suche lösen konntet und die ich nachstellen kann?
Willkommen ist alles, was das System ausbremst, Bluescreens verursacht oder zu einem Freeze führt.
Bin schon mal gespannt und danke schonmal für jede Antwort
ich möchte mich für eine Admin-Schulung in zwei Wochen vorbereiten und brauche dabei eure Hilfe.
Ich möchte auf ein paar Schulungsservern mit Windows Server 2019 (jeweils Hyper-V mit verschiedenen virtuellen Server -> DC, Fileserver, WTS) ein paar Fehler einbauen, die dann von den jeweiligen Teilnehmern gefunden und behoben werden sollen. Die Fehler sollten natürlich anspruchsvoll und nicht einfach zu finden sein. Ich hätte da an defekte Systemdateien, inkompatible Treiber etc. gedacht.
Könnt ihr mir helfen? Was habt ihr denn für Ideen? Bzw. hattet ihr vielleicht selbst Probleme, die ihr nach langer Suche lösen konntet und die ich nachstellen kann?
Willkommen ist alles, was das System ausbremst, Bluescreens verursacht oder zu einem Freeze führt.
Bin schon mal gespannt und danke schonmal für jede Antwort
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4507391927
Url: https://administrator.de/forum/fehler-in-windows-server-2019-einbauen-4507391927.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
22 Kommentare
Neuester Kommentar
Das mit den Systemdateien wird wohl eher nix, wegen Dateischutz. Aber ansonsten fällt mir da einiges ein
- Falsche Anmeldedaten in die Credentials von einem Dienst, so dass er nicht starten kann
- Falsche Weiterleitungs-IP als Weiterleitungsziel in den DNS Server
- Irgendwelche wichtigen Ports, z.B 139 mittels Windows-FW Firewall sperren
- RDP Port ändern, warum kommt man nicht per RDP auf den Server ?
- Alle SMB-Versionen auf aus machen, warum kommt man nicht per UNC Pfad auf den Server ?
- Bei verschiedenen Servern, Subnetzmasken verändern, so dass Sie sich nicht erreichen können
- Anmelderechte in der AD für diverse Server sperren, admin kann sich nicht mehr anmelden und muss den fehler erstmal auf dem DC finden
- Ins Autorun ein Script einbauen, was den User sofort wieder abmeldet Könnte man per c$ von einem anderen Server aus herausfinden und fixen
- Ein Script bauen was alle 15 Minuten die Uhrzeit um mehr als 8 Stunden verstellt
- Server auf abgesicherten Modus stellen, merkt man erstmal nicht wundert sich nur warum alle Dienste nicht gestartet sind
puhhh da kann man so einiges machen.
- Falsche Anmeldedaten in die Credentials von einem Dienst, so dass er nicht starten kann
- Falsche Weiterleitungs-IP als Weiterleitungsziel in den DNS Server
- Irgendwelche wichtigen Ports, z.B 139 mittels Windows-FW Firewall sperren
- RDP Port ändern, warum kommt man nicht per RDP auf den Server ?
- Alle SMB-Versionen auf aus machen, warum kommt man nicht per UNC Pfad auf den Server ?
- Bei verschiedenen Servern, Subnetzmasken verändern, so dass Sie sich nicht erreichen können
- Anmelderechte in der AD für diverse Server sperren, admin kann sich nicht mehr anmelden und muss den fehler erstmal auf dem DC finden
- Ins Autorun ein Script einbauen, was den User sofort wieder abmeldet Könnte man per c$ von einem anderen Server aus herausfinden und fixen
- Ein Script bauen was alle 15 Minuten die Uhrzeit um mehr als 8 Stunden verstellt
- Server auf abgesicherten Modus stellen, merkt man erstmal nicht wundert sich nur warum alle Dienste nicht gestartet sind
puhhh da kann man so einiges machen.
- Ins Autorun ein Script einbauen, was den User sofort wieder abmeldet face-smile Könnte man per c$ von einem anderen Server aus herausfinden und fixen
An so etwas hab ich gerade auch noch gedacht. Allerdings in den Scheduled Tasks nen Job versteckt platzieren, der alle 5 Minuten die Explorer.exe abschießt…Zitat von @Vision2015:
Moin...
mach einfach nur Windows Updates... das reicht als Fehler
Frank
Moin...
Fehler in Windows Server 2019 einbauen
mach einfach nur Windows Updates... das reicht als Fehler
Frank
Hahahaha
Zitat von @Clark465:
Danke für die vielen Vorschläge. Einige Dinge sind aber tatsächlich zu leicht. Sind keine Schüler, sondern langjährige Sysadmins, die ich etwas fordern soll. Das meiste der erwähnten Dinge, haben die in nicht mal fünf Minuten gefunden. Vielleicht hatte ja jemand schonmal einen Fehler, für den er selbst Stunden oder gar Tage gebraucht hat, bis er ihn gefunden hat? Ein Bug mit dem der Prozessor ohne ersichtlichen Grund ausgelastet wird? Eine Einstellung, die den Datendurchsatz deutlich reduziert? Sowas in der Art. Hauptsache schwer zu finden. Vielleicht auch etwas, dass nur sporadisch auftritt...
Danke für die vielen Vorschläge. Einige Dinge sind aber tatsächlich zu leicht. Sind keine Schüler, sondern langjährige Sysadmins, die ich etwas fordern soll. Das meiste der erwähnten Dinge, haben die in nicht mal fünf Minuten gefunden. Vielleicht hatte ja jemand schonmal einen Fehler, für den er selbst Stunden oder gar Tage gebraucht hat, bis er ihn gefunden hat? Ein Bug mit dem der Prozessor ohne ersichtlichen Grund ausgelastet wird? Eine Einstellung, die den Datendurchsatz deutlich reduziert? Sowas in der Art. Hauptsache schwer zu finden. Vielleicht auch etwas, dass nur sporadisch auftritt...
Hallo
Wie schwer soll es denn werden? So schwer, daß Du dich selbst nicht mehr auskennst? Bleib realistisch und mach es wie bei einem Werkstatttest. Es werden 10 Fehler eingebaut, von leicht bis schwer aber nicht unmöglich, alle müssen innerhalb einer festgesetzten Zeit gefunden werden. Die Delinquenten dürfen nicht im Team arbeiten und sich nicht austauschen. Enge die Möglichkeiten ein, nimm den Personen die Handys ab und sperre Internetzugriff. Also kein Google, keine Foren. Teile den Fehlern Schwierigkeitspunkte zu, so hast Du einen fairen Massstab. 80% sollten erreicht werden.
Unmögliche Fehler wie vermurkste Treiber oder gar Bugs oder Inkompatibilitäten zwischen Usersoftware zu finden ist die Kür für Vollprofis. Hier geht es offenbar um die Pflicht. Denn wenn ein System so verkorkst ist, daß es sich immer wieder selbst wegballert, dann ist es auch im echten Leben wirtschaftlicher ein altes Backup wiederherzustellen oder gar ganz neu aufzusetzen. Niemand rennt einem Virus auf einem System oder Netzwerk hinterher. Da wird abgestöpselt und neu gemacht.
Andererseits frage ich mich wieso Du selbst keine weiteren Einfälle hast? Aber den Mut die Ideen abzutun und über andere zu richten. Um andere zu beurteilen muss man selbst mindestens eine Stufe besser sein. Wie rechtfertigst Du das? Meister werden nie von Einzelpersonen geprüft, sondern von einem Prüfungsauschuss. Geht es hier um ein Coaching, oder um einen Einstellungstest? Deine Anforderungen erinnern an einen Hacking-Contest.
Hallo
Bei allen Missverständnissen meinerseits, die Essenz bleibt. Was Du offenbar nicht verstanden hast, weil Du wenig didaktische Erfahrung hast, ist folgendes: Deine Anforderungen klingen nach einer Hürde, die niemand überspringen sollen kann. Das ist nicht realistisch. Und fair ist es schon gar nicht. Das ist keine Schulung! Die Schüler müssen eine realistische, wenn auch schwere Chance auf Erfolg haben. Es muss ein Lerneffekt da sein. Dazu gehören Erfolgserlebnisse und Rückschläge. Nimm Dir ein Beispiel an anderen Schulungen, die Du selbst besucht hast.
Wie gesagt: Baue mehrere Fehler ein, sag niemandem wieviele Fehler es sind. Begrenze die Zeit. Lass Dir den Lösungsansatz demonstrieren und analysiere den Schlussbericht des Schülers und seine Rechtfertigung, warum jetzt alles OK sein soll. Und erst dann kommt die Benotung und Deine Rechtfertigung. Die Genauigkeit Deiner Rechtfertigung ist weitaus wichtiger als die Begründung des Schülers. Denn Deine muss absolut fehlerfrei, nachvollziehbar, gerechtfertigt und schlichtweg unangreifbar sein. So geht Schulung!
Den Gegenwind nach Abschluss einer Prüfung haben die Lehrer, nicht die Schüler! Wir sprechen aus Erfahrung.
MfG,
MacLeod
Bei allen Missverständnissen meinerseits, die Essenz bleibt. Was Du offenbar nicht verstanden hast, weil Du wenig didaktische Erfahrung hast, ist folgendes: Deine Anforderungen klingen nach einer Hürde, die niemand überspringen sollen kann. Das ist nicht realistisch. Und fair ist es schon gar nicht. Das ist keine Schulung! Die Schüler müssen eine realistische, wenn auch schwere Chance auf Erfolg haben. Es muss ein Lerneffekt da sein. Dazu gehören Erfolgserlebnisse und Rückschläge. Nimm Dir ein Beispiel an anderen Schulungen, die Du selbst besucht hast.
Wie gesagt: Baue mehrere Fehler ein, sag niemandem wieviele Fehler es sind. Begrenze die Zeit. Lass Dir den Lösungsansatz demonstrieren und analysiere den Schlussbericht des Schülers und seine Rechtfertigung, warum jetzt alles OK sein soll. Und erst dann kommt die Benotung und Deine Rechtfertigung. Die Genauigkeit Deiner Rechtfertigung ist weitaus wichtiger als die Begründung des Schülers. Denn Deine muss absolut fehlerfrei, nachvollziehbar, gerechtfertigt und schlichtweg unangreifbar sein. So geht Schulung!
Den Gegenwind nach Abschluss einer Prüfung haben die Lehrer, nicht die Schüler! Wir sprechen aus Erfahrung.
MfG,
MacLeod
Ein paar essentielle Berechtigungseinträge via adsiedit/aduc im AD oder WMI verbiegen und es wird auch interessant ...
u.k.
u.k.
Hätte auch gesagt: DNS verstümmeln, GPOs die sich aufheben , Hosts Datei eintragen, Registry Dateien beschädigen, versteckte Tasks, Routen manuell eintragen, Switch Mac Adressen sperren, Firewall Ports sperren ...
PS: Erinnert mich an einen ex Kollegen in der Ex Firma, der hat sowas auch in einem (anderen) Forum gefragt, als er wusste dass er gehen muss. Wir sind aber drauf gekommen.
PS: Erinnert mich an einen ex Kollegen in der Ex Firma, der hat sowas auch in einem (anderen) Forum gefragt, als er wusste dass er gehen muss. Wir sind aber drauf gekommen.
Lustig könnte auch ein Script ( Powershell ) sein was nach und nach alle AD Accounts ( oder ausgewählte Accounts ) sperrt indem der User per Script 5 x falsch angemeldet wird und dann ist der Account gesperrt
Die GPO Einstellungen müssen natürlich auch passen.
Das ganze hat mal ein EX Kollege bei uns Versucht. Wir hatten einen Jira und Bitbucket Server bzw. das Interface über Reverse Proxy nach außen ind Internet veröffentlicht. Die Benutzer welche den nutzen mussten/durften haben sich dann mit ihren AD Cred. angemeldet und hatten nach erfolgreicher Auth Zugriff auf die Systeme. Sperre bei 5 Falschanmeldungen. Er hat fleißig die Service Accounts durchprobiert.
Dumm nur für Ihn das wir daher wussten das es ein Kolege od. ex Kollege sein muss weil die Namen waren etwas kompliziert sodass man diese erraten hätten können. Was folgte war ein Strafverfahren. Ach ja geschafft hat er übrigens nicht denn das Jira hat die Anmeldung nicht weitergereicht weil die Benutzer sowieso kein Recht hatten da diese nicht in der Gruppe waren und das AD somit gesagt hat : Keine Berechtigung da User nicht in Gruppe >> Keine Abfrage nach Benutzername / Kennwort bzw. Anmeldung damit möglich.
Ich hätte ja wie oben geschrieben ein PS Script erstellt das immer 5-20 User per Zufall aus einer OU nimmt bzw. Zufällig eine Anzahl an OU´s auswählt und dann die Benutzer durch Falschanmeldung sperrt. Das Script würde ich natürlich per random Time laufen lassen und natürlich auf die verschiedensten Clients verteilen sodass wenn man einen Client bereinigt hat das ganze dann z.b. 72 Stunden später wieder losgeht
Das wäre damals sehr sehr lustig gewesen das zu finden da die Ausführung der Scripte ja zufällig gestartet werden würde und immer andere Benutzer Betroffen wären oder irgendwann mal ein wichtiger Service Account und da hätte man dann gesucht irgendwann wäre der Account dann natürlich wieder autom. entsperrt worden und keiner hätte u.U. gewusst wo die Sperre hergekommen wäre. Bzw. bei den Benutzern geht man ja i.d.R. davon aus das die zu dumm sind ihr Kennwort richtig einzugeben Das Script bzw. die Sperre würde da Random nicht immer alle Benutzer treffen und es gäb Tage da ist alles normal und dann gibt es tage da rufen 10 User gleichzeitig den Helpdesk an
Nur so als Gedanke
Ach ja und natürlich die Klassiker wie DNS verbiegen / Zone Löschen / Einträge löschen ,
zweiter DHCP welcher ein anderes Gateway od. DNS zuteilt,
Windows Fireewall / Externe Firewall
Netzwerkeinstellungen verbiegen
oder gaaaaanz Mies:
Du hast als BSP die DNS Domäne ; Tagesschau.de als AD Domäne und gehst her und änderst die Zone im DNS auf
Tagescshau.de. So wie die Spammer / Trojaner Verteiler in den Domains machen. Denn beim schnellen lesen fällt das unserem Hin nicht auf da die Buchstaben alle passen und unser Hirn das Wort kennt und deswegen autom. davon ausgeht das es passt .-)
Was ich meine ist hier : http://satzzeichen-blog.de/2018/10/03/wiseo-knoeenn-wir-das-lseen-wie-u ...
beschreiben
Die GPO Einstellungen müssen natürlich auch passen.
Das ganze hat mal ein EX Kollege bei uns Versucht. Wir hatten einen Jira und Bitbucket Server bzw. das Interface über Reverse Proxy nach außen ind Internet veröffentlicht. Die Benutzer welche den nutzen mussten/durften haben sich dann mit ihren AD Cred. angemeldet und hatten nach erfolgreicher Auth Zugriff auf die Systeme. Sperre bei 5 Falschanmeldungen. Er hat fleißig die Service Accounts durchprobiert.
Dumm nur für Ihn das wir daher wussten das es ein Kolege od. ex Kollege sein muss weil die Namen waren etwas kompliziert sodass man diese erraten hätten können. Was folgte war ein Strafverfahren. Ach ja geschafft hat er übrigens nicht denn das Jira hat die Anmeldung nicht weitergereicht weil die Benutzer sowieso kein Recht hatten da diese nicht in der Gruppe waren und das AD somit gesagt hat : Keine Berechtigung da User nicht in Gruppe >> Keine Abfrage nach Benutzername / Kennwort bzw. Anmeldung damit möglich.
Ich hätte ja wie oben geschrieben ein PS Script erstellt das immer 5-20 User per Zufall aus einer OU nimmt bzw. Zufällig eine Anzahl an OU´s auswählt und dann die Benutzer durch Falschanmeldung sperrt. Das Script würde ich natürlich per random Time laufen lassen und natürlich auf die verschiedensten Clients verteilen sodass wenn man einen Client bereinigt hat das ganze dann z.b. 72 Stunden später wieder losgeht
Das wäre damals sehr sehr lustig gewesen das zu finden da die Ausführung der Scripte ja zufällig gestartet werden würde und immer andere Benutzer Betroffen wären oder irgendwann mal ein wichtiger Service Account und da hätte man dann gesucht irgendwann wäre der Account dann natürlich wieder autom. entsperrt worden und keiner hätte u.U. gewusst wo die Sperre hergekommen wäre. Bzw. bei den Benutzern geht man ja i.d.R. davon aus das die zu dumm sind ihr Kennwort richtig einzugeben Das Script bzw. die Sperre würde da Random nicht immer alle Benutzer treffen und es gäb Tage da ist alles normal und dann gibt es tage da rufen 10 User gleichzeitig den Helpdesk an
Nur so als Gedanke
Ach ja und natürlich die Klassiker wie DNS verbiegen / Zone Löschen / Einträge löschen ,
zweiter DHCP welcher ein anderes Gateway od. DNS zuteilt,
Windows Fireewall / Externe Firewall
Netzwerkeinstellungen verbiegen
oder gaaaaanz Mies:
Du hast als BSP die DNS Domäne ; Tagesschau.de als AD Domäne und gehst her und änderst die Zone im DNS auf
Tagescshau.de. So wie die Spammer / Trojaner Verteiler in den Domains machen. Denn beim schnellen lesen fällt das unserem Hin nicht auf da die Buchstaben alle passen und unser Hirn das Wort kennt und deswegen autom. davon ausgeht das es passt .-)
Was ich meine ist hier : http://satzzeichen-blog.de/2018/10/03/wiseo-knoeenn-wir-das-lseen-wie-u ...
beschreiben
Zitat von @silent-daniel:
PS: Erinnert mich an einen ex Kollegen in der Ex Firma, der hat sowas auch in einem (anderen) Forum gefragt, als er wusste dass er gehen muss. Wir sind aber drauf gekommen.
PS: Erinnert mich an einen ex Kollegen in der Ex Firma, der hat sowas auch in einem (anderen) Forum gefragt, als er wusste dass er gehen muss. Wir sind aber drauf gekommen.
Schön, daß jemand anderes das hier äußert. Dieser Verdacht drängt sich mir auch langsam auf.
Zitat von @Crusher79:
1 Post 2 Kommentare.
Was ist mit der guten Gartenschere und Patchkabel geworden? Old School gibt es auch Methoden
Nicht umsonst gibt es in Verträgen die Klausel mit der Freistellung .....
1 Post 2 Kommentare.
Was ist mit der guten Gartenschere und Patchkabel geworden? Old School gibt es auch Methoden
Nicht umsonst gibt es in Verträgen die Klausel mit der Freistellung .....
Ich wäre ja für "Knoten im Glasfaserkabel" oder alternativ das Kabel "knicken" :-=
oder so befestigen das du es zwangsläufig knicken musst wenn du dran musst
oder Startup Konfig auf Switchen so vermurksen das die nach einem Reboot als
Standard Switch hochkommen ohne Konfig Wichtig ist das die Running Config
natürlich bleiben muss.
oder bei den Servern wenns ein ESXi ist den USB Stick fürs Booten entfernen und die
Kollegen wundern sich dann warum die Kiste nicht mehr hoch kommt.
So einen ähnlichen Fall hatten wir mal in der Firma in einem kleinen vSphere ESX Cluster.
4 Nodes per SAS direkt an einer HP MSA 2040 oder 1040 angeschlossen und jeweils pro
Node eine LUN für das ESX Basis OS damit die Server booten können + 2 Große LUN für die Daten.
Kollege hatte gemeint er müsste die 4 LUNs mit jeweils 8 GB löschen. Systeme leifen auch weiter
nur eben beim nächsten reboot kamen diese nicht mehr hoch.
Glaube er hatte auch die Zentrale LOG Lun auf dem Storage gelöscht. Das war schon ein Held.
Der hatte auch mal eine Fibrechannel PCI-x Karte mit 8Gbit in eine Synology eingebaut und sich gewundert warum das nicht geht ( so weit ich weiss geht das mitlerweile bei einigen Synology Geräten aber damals konnten die das
definitiv NICHT ). Als wir Ihn dann darauf aufmerksam machen wollten sagte er dann in etwa: Ob jetzt 10 Gbit oder nur 8 das ist doch dem Server egal sind halt 2 Gbit weniger aber das NAS oder die Platten schafft ja eh keine 10Gbit.
Das es Unterschiedliche Protokolle sind wollte er kapieren. Irgendwann hat er auch mal ein 8Gbit Fibre Channel SFP+ in eine 10Gbit Intel xDA2 Netzwerkkarte gesteckt und sich gewundert das der Link nicht hochkommt obwohl die Faser ja leuchtet bzw. er einen Pegel messen konnte
Manche Fehler baut man sich also durchaus selber ein:
Aber Lesson learnd aus der Sache:
Die FC SFP+ Optiken hatten dann ab diesen Zeitpunkt alle einen Aufkleber / Lable was klar
aussagte : Ich bin FC und kein Ethernet. Zum Schluss wurden die Optiken auf der Oberseite ( Freie Seite ) entsprechend mit Klebepunkten markiert bzw. mit Lack ( Revell Farbe aus dem Modellbau ) entsprechend
markiert. ROT = Ethernet 10G / Hellgrün FC 8Gbit / Orange Ethernet SM LX / und Schwarz DWDM SFP+ 10G LX bzw.
Gelb waren tuneable DWDM SFP+ welche aber in der Schublade lagen weil die Sack teuer waren.
Nicht ohne Grund gibt es die Freistellung nach Kündigung