leex01
Goto Top

PS AD Event

Hallo liebe crowd,

ich fand diesen Artikel ganz spannend und hätte das auch gerne ausprobiert und umgesetzt (das Hicks und Kanakos das zum Laufen bekommen war zu erwarten) aber leider klappt das bei mir noch nicht.

https://jdhitsolutions.com/blog/powershell/8067/building-an-active-direc ...

Getestet habe ich es auf DCs mit Windows Server 2012R2/2016/2019 jeweils in Englisch und Remote mit Win 10 20H2 De, mit Windows Powershell und Powershell Core 7.1.1 (auch als Admin gestartet).

Meldungen sind z.B. "Der WS-Verwaltungsdienst kann die Anforderung nicht verarbeiten. Der WMI-Dienst oder der WMI-Anbieter hat einen unbekannten Fehler zurückgegeben: HRESULT 0x8004106c"
Remote Registry und WMI sind an, PS Remotung an Firewall passt

Ich habe versucht den Fehler zu finden aber das ist mit bisher nicht gelungen.
Selbst der Befehl
Register-CimIndicationEvent -Query "Select * from __InstanceCreationEvent Within 10 where TargetInstance ISA 'DS_USER'" -Namespace root\directory\ldap -SourceIdentifier NewUser  
auf dem das Script aufbaut wirft den Fehler
"Register-CimIndicationEvent: Quota violation"

Wer kann helfen?

Grüße

Content-ID: 644616

Url: https://administrator.de/forum/ps-ad-event-644616.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

147323
147323 25.01.2021 aktualisiert um 18:42:44 Uhr
Goto Top
Zitat von @LeeX01:
"Register-CimIndicationEvent: Quota violation"
Die Meldung deutet darauf hin das dein verwendeter Account evt. zu wenig Rechte für die CIM/WMI Subscription besitzt:

Funktioniert hier nämlich problemlos, guckst du:

screenshot

Prüfe also deine effektiven Berechtigungen für diesen Bereich, diese lassen sich sowohl für Verwendung Lokal als auch Remote detailliert festlegen

screenshot

Gruß jokari

p.s. zum Testen gibt es auch das schöne Tool wbemtest
LeeX01
LeeX01 25.01.2021 um 18:41:05 Uhr
Goto Top
Zitat von @147323:

Zitat von @LeeX01:
"Register-CimIndicationEvent: Quota violation"
Die Meldung deutet darauf hin das dein verwendeter Account zu wenig Rechte für die CIM/WMI Subscription besitzt:

Funktioniert hier nämlich problemlos, guckst du:

screenshot

Prüfe also deine effektiven Berechtigungen für diesen Bereich, diese lassen sich sowohl für Verwendung Lokal als auch Remote detailliert festlegen

screenshot

Gruß jokari

p.s. zum Testen gibt es auch das schöne Tool wbemtest

Danke für den Tipp, der User ist Domain Admin, deswegen habe ich in die Richtung noch nicht geschaut.
LeeX01
LeeX01 25.01.2021 um 19:49:16 Uhr
Goto Top
Nachdem ich den User explizit eingetragen habe ist zumindest die Fehlermeldung weg aber laufen tuts noch nicht wirklich
unbenannt
LeeX01
LeeX01 25.01.2021 aktualisiert um 21:20:47 Uhr
Goto Top
komplette Rechte auf alles gesetzt, Dienste durchgestartet Server neu gestartet -> immer noch das gleiche
Andere Testumgebung probiert, der Befehl läuft ohne irgendwas zu tun.

Muss ich das verstehen? Was könnte das sein? Serverversion? AD Level? Schemaversion? Sonnenflecken...?

Edit: andere Testumgebung mit Srv 2012R2 geht auch sofort...Murphy wieder
147323
147323 25.01.2021 um 22:26:43 Uhr
Goto Top
Was könnte das sein?
Verbasteltes AD.
LeeX01
LeeX01 25.01.2021 um 22:28:01 Uhr
Goto Top
Zitat von @147323:

Was könnte das sein?
Verbasteltes AD.

nee gar nicht, eigentlich eher jungfräulich.
147323
147323 25.01.2021 aktualisiert um 22:30:26 Uhr
Goto Top
Zitat von @LeeX01:
nee gar nicht, eigentlich eher jungfräulich.
Auch ein neues AD kann man mit den falschen Methoden ins Chaos stürzen 😉.
LeeX01
LeeX01 25.01.2021 um 22:31:05 Uhr
Goto Top
hättest du vielleicht auch die Möglichkeit zu schauen ob du die Events mit dem vollen Script remote mit einem Win10 Client bekommst?
147323
147323 25.01.2021 aktualisiert um 22:38:05 Uhr
Goto Top
Für Remote Events solltest du dir dringend mal die Parameter anschauen
https://docs.microsoft.com/en-us/powershell/module/cimcmdlets/register-c ...
Denn ohne -Forward bzw. get-Event bekommst du nämlich nichts automatisch Remote angezeigt.

RTFM!
LeeX01
LeeX01 25.01.2021 um 22:47:32 Uhr
Goto Top
RTFM!
Entschuldige dass ich eine Frage gestellt habe!

Das habe ich nicht grundlos getan denn im Artikel heißt es:
I am running this code on a domain member Windows 10 desktop. The query says, “check for a creation event every 10 seconds where the object type is a user account.
LeeX01
LeeX01 26.01.2021 um 11:21:21 Uhr
Goto Top
Das gleiche Problem beim Produktivsystem, Gruppenmitgliedschaften sind gleich...
147323
147323 26.01.2021 aktualisiert um 11:40:46 Uhr
Goto Top
Geht hier out of the box mit nem stinknormalen User auf ner Windows 10 20H2 Kiste auf nen 2012er DC.
In der OU wo der User erstellt wird muss der User natürlich über LDAP zumindest Lesezugriff haben sonst bekommt er das mangels Zugriffsrecht auf die jeweilige OU nicht mit.

Schnapp dir dann auch mal wie gesagt wbemtest und führe dort eine asynchrone Event Abfrage mit der WQL-Clause auf den Namespace aus. Klappt das nicht brauchst du es erst gar nicht mit der PS und CIM probieren.
LeeX01
LeeX01 28.01.2021 um 14:24:00 Uhr
Goto Top
Schnapp dir dann auch mal wie gesagt wbemtest und führe dort eine asynchrone Event Abfrage mit der WQL-Clause auf den Namespace aus. Klappt das nicht brauchst du es erst gar nicht mit der PS und CIM probieren.

Da habe ich den gleichen Fehler, war auch so zu erwarten.

Den einzigen Unterschied den ich bis jetzt sehen kann ist das die ADs wo es nicht funktioniert gut gefüllt sind. Also vielleicht ist die Quota Meldung nicht so ganz falsch, allerdings habe ich schon so ziemloch alles ausprobiert was im Netz dazu zu finden war.
147323
147323 28.01.2021 aktualisiert um 15:19:44 Uhr
Goto Top
Zitat von @LeeX01:
Den einzigen Unterschied den ich bis jetzt sehen kann ist das die ADs wo es nicht funktioniert gut gefüllt sind.
Bedeutet wieviel genau?
Hab hier ein Test-AD mit knapp 7000 generierten Useraccounts, 400 OUs, 200 Gruppen und keine Probleme.
Schau halt mal in die Powershell Debug-Logs.