18
LAPS Migration Problem
Hallo zusammen
Ich habe vor kurzem bei einem Kunden LAPS eingerichtet. Zuerst mit dem Legacy LAPS, danach habe ich zum Windows LAPS gewechselt. Leider funktioniert das ganze jetzt nicht mehr.
Folgendes habe ich gemacht:
- Die alten Attribute gecleared
- Die alte GPO gelöscht
- LAPS auf jedem Client deinstalliert
Die neue GPO hat folgende Einstellungen: (Siehe Bild)
Der Reiter LAPS erscheint auch im AD, jedoch ist dieser immer leer.
Hat jemand eine Idee woran es liegen könnte?
Vielen Dank für eure Antworten.
Gruss
Ich habe vor kurzem bei einem Kunden LAPS eingerichtet. Zuerst mit dem Legacy LAPS, danach habe ich zum Windows LAPS gewechselt. Leider funktioniert das ganze jetzt nicht mehr.
Folgendes habe ich gemacht:
- Die alten Attribute gecleared
- Die alte GPO gelöscht
- LAPS auf jedem Client deinstalliert
Die neue GPO hat folgende Einstellungen: (Siehe Bild)
Der Reiter LAPS erscheint auch im AD, jedoch ist dieser immer leer.
Hat jemand eine Idee woran es liegen könnte?
Vielen Dank für eure Antworten.
Gruss
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 54276132509
Url: https://administrator.de/contentid/54276132509
Ausgedruckt am: 24.11.2024 um 00:11 Uhr
18 Kommentare
Neuester Kommentar
Hi.
gibts denn den "localadmin" auf den Clients?
Gruß
gibts denn den "localadmin" auf den Clients?
Gruß
2
Hallo accessViolation
Ja, den gibt es. Habe ich geprüft
Gruss
Ja, den gibt es. Habe ich geprüft
Gruss
Ebenfalls hat er die Option Benutzer kann Kennwort nicht ändern deaktiviert (Falls dies eine Rolle spielt)
Hi
Hast du im AD auch die Felder entsprechend berechtigt bzw. das Schema erweitert ?
Powershell: Update-LapsADSchema
Update-LapsADSchema und die MMC Tools entsprechend erweitert ?
Cmd: dism.exe /online /enable-feature:DirectoryServices-DomainController-Tools /all
Was auch sein kann, ist das die alte Legacy DLL noch vorhanden ist
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-scen ...
Mit freundlichen Grüßen Nemesis
Hast du im AD auch die Felder entsprechend berechtigt bzw. das Schema erweitert ?
Powershell: Update-LapsADSchema
Update-LapsADSchema und die MMC Tools entsprechend erweitert ?
Cmd: dism.exe /online /enable-feature:DirectoryServices-DomainController-Tools /all
Was auch sein kann, ist das die alte Legacy DLL noch vorhanden ist
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-scen ...
Mit freundlichen Grüßen Nemesis
Hallo Nemesis
Ja das Laps Schema habe ich aktualisiert. Der dism Befehl war leider auch erfolglos.
Prüfe das mit der alten DLL noch, denke aber nicht dass dies das Problem ist, geht auf einem PC, welchen ich neu aufgesetzt habe auch nicht.
Gruss
Ja das Laps Schema habe ich aktualisiert. Der dism Befehl war leider auch erfolglos.
Prüfe das mit der alten DLL noch, denke aber nicht dass dies das Problem ist, geht auf einem PC, welchen ich neu aufgesetzt habe auch nicht.
Gruss
Ganz trivial gefragt:
Die Clients hast Du nach Inbetriebnahme von LAPS aber mal neugestartet, ja?
Die Clients hast Du nach Inbetriebnahme von LAPS aber mal neugestartet, ja?
Hallo bjoern,
hast du auf den Client mal ins Eventlog geschaut? Gibt extra eins für LAPS.
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-mana ...
Beste Grüße
hast du auf den Client mal ins Eventlog geschaut? Gibt extra eins für LAPS.
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-mana ...
Beste Grüße
Hallo accessViolation
Ja die Clients habe ich neugestartet und auch gpupdate /force drüberlaufen lassen.
Gruss
Ja die Clients habe ich neugestartet und auch gpupdate /force drüberlaufen lassen.
Gruss
Hallo Creative
Nein, bisher nur auf dem Server. Schaue mir das gleich mal an - Danke
Gruss
Nein, bisher nur auf dem Server. Schaue mir das gleich mal an - Danke
Gruss
Hallo zusammen
Vielen Dank für die Antworten.
Habe jetzt mal in die Eventlogs auf Server und Client geschaut. Auf folgenden kommen immer stündlich folgende Meldungen:
1. ID: 10003 - Die Verarbeitung der LAPS-Richtlinie wird jetzt gestartet
2. ID: 10024 - Die LAPS-Richtlinie ist als deaktiviert konfiguriert
3. ID: 10004 - Die LAPS-Richtlinienverarbeitung war erfolgreich
Denke es liegt am Punkt 2, habe auch schon recherchiert aber bisher keine Lösung gefunden. Hat jemand Erfahrungen mit dieser Meldung?
Liebe Grüsse
Vielen Dank für die Antworten.
Habe jetzt mal in die Eventlogs auf Server und Client geschaut. Auf folgenden kommen immer stündlich folgende Meldungen:
1. ID: 10003 - Die Verarbeitung der LAPS-Richtlinie wird jetzt gestartet
2. ID: 10024 - Die LAPS-Richtlinie ist als deaktiviert konfiguriert
3. ID: 10004 - Die LAPS-Richtlinienverarbeitung war erfolgreich
Denke es liegt am Punkt 2, habe auch schon recherchiert aber bisher keine Lösung gefunden. Hat jemand Erfahrungen mit dieser Meldung?
Liebe Grüsse
Hi
Naja du solltest der Policy auch sagen wo das Passwort gespeichert wird, dann wird LAPS auch aktiviert.
Backup Directory
Entweder EntraID oder lokales AD
Mit freundlichen Grüßen Nemesis
Naja du solltest der Policy auch sagen wo das Passwort gespeichert wird, dann wird LAPS auch aktiviert.
Backup Directory
Entweder EntraID oder lokales AD
Mit freundlichen Grüßen Nemesis
Hallo Nemesis
Danke für die Antwort, habe die Option jetzt konfiguriert und schaue morgen ob es nun funktioniert.
Liebe Grüsse
bjoern
Danke für die Antwort, habe die Option jetzt konfiguriert und schaue morgen ob es nun funktioniert.
Liebe Grüsse
bjoern
Hi!
hast du den jeweiligen Container korrekt berechtigt?
Die jeweiligen Container müssen berechtigt sein, die Objekte zu bearbeiten.
hast du den jeweiligen Container korrekt berechtigt?
Set-LapsADComputerSelfPermission -Identity "OU=computers ( oder XX ),DC=XX,DC=XX"
Hi RoundRobin
Ja genau, dies habe ich gemacht leider ohne Erfolg.
Gruss
Ja genau, dies habe ich gemacht leider ohne Erfolg.
Gruss
Hi Nemesis
Ich habe die GPO jetzt angepasst und die Clients neu gestartet, leider ohne Erfolg. Der Event Error ist immer noch derselbe.
Gruss
Ich habe die GPO jetzt angepasst und die Clients neu gestartet, leider ohne Erfolg. Der Event Error ist immer noch derselbe.
Gruss
Hallo zusammen
Vielen Dank für die vielen Ideen und Hilfen.
Nach langer Suche habe ich im Event Viewer dann doch noch einen Fehler gefunden. Nachdem ich die Kennwortsicherung im AD aktiviert hatte, gab es den Fehler, dass die Domänenfunktionsebene zu niedrig war. Nachdem ich diese von 2012R2 auf 2016 heraufgestuft habe, hat es Problemlos funktioniert.
Gruss Björn
Vielen Dank für die vielen Ideen und Hilfen.
Nach langer Suche habe ich im Event Viewer dann doch noch einen Fehler gefunden. Nachdem ich die Kennwortsicherung im AD aktiviert hatte, gab es den Fehler, dass die Domänenfunktionsebene zu niedrig war. Nachdem ich diese von 2012R2 auf 2016 heraufgestuft habe, hat es Problemlos funktioniert.
Gruss Björn
Hi
Du betreibst nen DC mit DFL 2016 ?
Du hast das Schema für Windows LAPS erweitert mit Update-LapsADSchema
Du hast die Computer berechtigt mit
Set-LapsADComputerSelfPermission
Der localadmin ist Angelegt und ist am Client in der lokalen Administratorengruppe?
Deine GPO ist auch auf den Client angewandt ?
Das Client OS kann schon Windows LAPS?
Du hast mal in der Powershell Invoke-LapsPolicyProcessing und Reset-LapsPassword probiert?
Was passiert wenn du die GPO an nem Client manuell konfigurierst?
Das aus dem LINK hier trifft auch alles zu?
https://learn.microsoft.com/en-us/answers/questions/1477954/windows-laps ...
Sprich keine alte/legacy LAPS GPO, kein alter Client mehr installiert, keine DLL am bekannten Ort ?
Mit freundlichen Grüßen Nemesis
Du betreibst nen DC mit DFL 2016 ?
Du hast das Schema für Windows LAPS erweitert mit Update-LapsADSchema
Du hast die Computer berechtigt mit
Set-LapsADComputerSelfPermission
Der localadmin ist Angelegt und ist am Client in der lokalen Administratorengruppe?
Deine GPO ist auch auf den Client angewandt ?
Das Client OS kann schon Windows LAPS?
Du hast mal in der Powershell Invoke-LapsPolicyProcessing und Reset-LapsPassword probiert?
Was passiert wenn du die GPO an nem Client manuell konfigurierst?
Das aus dem LINK hier trifft auch alles zu?
https://learn.microsoft.com/en-us/answers/questions/1477954/windows-laps ...
Sprich keine alte/legacy LAPS GPO, kein alter Client mehr installiert, keine DLL am bekannten Ort ?
Mit freundlichen Grüßen Nemesis
Hi Nemesis
Vielen Dank für die Antwort, das Problem war der DFL 2016. War auf 12R2.
Gruss Björn
Vielen Dank für die Antwort, das Problem war der DFL 2016. War auf 12R2.
Gruss Björn
