Active Directory

[micko]

Olen joskus Windows XP:n aikaan tehnyt muutaman sadan koneen organisaatiossa domain admin hommia ja asennellut ohjelmia AD:n kautta. Silloin hallitut ohjelmistot asennettiin MSI-pakettien avulla. Tai ainakin niin minua silloin ohjeistettiin.

Nyt mahdollisesti mulle olisi tulossa töissäni ylläpidettäväksi muutamakymmentä konetta ja mietinkin, miten tällaiset asiat nykyään tehdään. Nykyinen IT-tukemme on asentanut ohjelmia etänä hiljaisena asennuksena, ja tämä ei käsittääkseni ole vastaava AD:n kautta hallittu setti. Ainakin hän pyytää minua usein varmistamaan, että tietokoneet ovat käynnissä suunniteltuna asennusaikana. Mikä mahtaa olla tässä tavassa etuna AD:n hallinnoimaan asennukseen?

 

[Stanley H. Tweedle]

Ei mitään etua, vaan hankalampaa. Ellei sitten ole käytössä (tuskin) joku työkalu, jolla hoidetaan kaikkien käyttöjärjestelmien ja mobiililaitteiden asennukset ja hallinta samalla.

 

[nestori]

Nyt mahdollisesti mulle olisi tulossa töissäni ylläpidettäväksi muutamakymmentä konetta ja mietinkin, miten tällaiset asiat nykyään tehdään. Nykyinen IT-tukemme on asentanut ohjelmia etänä hiljaisena asennuksena, ja tämä ei käsittääkseni ole vastaava AD:n kautta hallittu setti. Ainakin hän pyytää minua usein varmistamaan, että tietokoneet ovat käynnissä suunniteltuna asennusaikana?

Suosiolla System Center 2012R2 käyttöön tai juuri julkaistu 2016. Muutaman kymmenen koneen ylläpitoon mennee muutenkin jo hyvin aikaa ja tuon kautta voi hallinnoida koneita melkein miten päin vain. Päivitykset voi pistää levitykseen haluttuina ajankohtina ja vaikka OS:n mukaan niputettuina.

 

[Encrypted]

Configuration Manager on paras, mutta muutaman kymmenen koneen ympäristöön ehkä hieman "overkill". Järjestelmä on laaja ja oppimiskynnys korkea. Ja Configuration Managerista ei ole mitään "2016" -versiota, vaikka tuossa Nestori jotain sellaista huuteleekin. Configuration Manager on nykyisin samanlainen kehitysmalliltaan, kuin esim. Windows 10. Se päivittyy featureiden suhteen useamman kerran vuodessa eikä enää tule mitään isoa versiojulkaisua 3-5 vuoden välein mikä oli kehitysmalli vielä ConfigMgr 2012 R2 asti. Tästä syystä tuotteen nimestä on pudotettu vuosilukukin pois.

Ja aloittajalle. Active Directory / Group Policyn mahdollistamat ohjelmistojakelut kannattaa unohtaa - oli ympäristön koko mikä tahansa. Se on kömpelö hallittava ja tukee vain MSI -paketteja. Microsoft ei missään nimessä suosittele sitä käytettäväksi missään nykyisin - on lähinnä jäänteitä vuosituhannen alusta.

Ilmaisia yksinkertaisia ohjelmistoja softa -jakeluihin on monia ja tässä muutama vaihtoehto:

PDQ Deploy (Löytyy Free -versio)

PsExec (osa MS:n SysInternals -pakettia)

PowerShell

ManageEngine Desktop Central (kokonaisvaltainen hallintajärjestelmä, agenttipohjainen)

Lanssweeper (paljon muutakin, kuin softa-asennukset)

 

[Encrypted]

..............

 

[nestori]

Configuration Manager on paras, mutta muutaman kymmenen koneen ympäristöön ehkä hieman "overkill". Järjestelmä on laaja ja oppimiskynnys korkea. Ja Configuration Managerista ei ole mitään "2016" -versiota, vaikka tuossa Nestori jotain sellaista huuteleekin. Configuration Manager on nykyisin samanlainen kehitysmalliltaan, kuin esim. Windows 10. Se päivittyy featureiden suhteen useamman kerran vuodessa eikä enää tule mitään isoa versiojulkaisua 3-5 vuoden välein mikä oli kehitysmalli vielä ConfigMgr 2012 R2 asti. Tästä syystä tuotteen nimestä on pudotettu vuosilukukin pois.)

Miksi taas pitää vängätä selvistä asioista?
https://www.microsoft.com/fi-fi/server-cloud/products/system-center-2016/default.aspx

"

Servers + desktops
Deploy and manage Windows Server 2016 and Windows 10—configuration, health, and compliance."

System Center 2016 keeps you in control of your IT—whether on-premises, in the cloud, or across platforms

 

[Encrypted]

Vängätä selvistä asioista? Ei ole olemassa mitään "Configuration Manager 2016" -versiota, vaikka Configuration Managerin asennukseen tarvittavat binäärit tuossa System Center 2016 -paketin mukana tulevatkin. System Center on tuotepaketti mihin kuuluu useita eri teknologioita ja Configuration Manager on vain yksi niistä joten keskitytään pelkästään siihen.

Configuration Managerin uusin versio on tällä hetkellä 1606 ja 1610 versio on Technical Preview -tilassa. 1610 -versio julkaistaan ensi kuussa. Versionumero tulee vuodesta ja kuukaudesta "YYMM".

1606 baseline -versio tulee tuossa System Center 2016 -paketin mukana.

(Note 1) This 1606 baseline media is available as part of Microsoft System Center 2016 or System Center Configuration Manager (Current Branch and Long-Term Servicing Branch 1606) release.

https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates


Googletata Configuration Manager as a service, Configuration Manager Current Branch.

 

[Tege]

Eikö tuollaiseen pieneen ympäristöön MS Intune olisi kivempi?

 

[Hans_K]

Jos koneita alle 100 ja paketoijia/asentajia kourallinen, menisin PDQ Deploy Enterprise versiolla. Kahdelle adminille kustantaa tonnin vuodessa dollareissa. Enterprisessa tulee pääsy niiden pakettikirjastoon jossa yleisimmät paketit valmiina asennettavaksi.

Jos yli 100 konetta, on firmalla varmasti jonkun tason MS soppari. Kyselisin paikalliselta TAMilta tms. MS:n edustajalta System Center pakettia.

 

[Lagittaja]

Koulun koostetehtävässä toimialueen luontia kuvitteelliselle yritykselle, käyttäjätunnusten yhteydessä mainittu että laaditaan käyttölupahakemus ja käyttäjätunnuksen saa käyttöön allekirjoittamalla käyttölupahakemuksen.
Tyhmänä nyt tässä jäin miettimään että onko AD:ssä muka joku sellainen ominaisuus että esimerkiksi sen ensi kirjautumisen yhteydessä vaaditaan käyttäjä "allekirjoittamaan" (ruksi ruutuun tjsp) kyseinen käyttölupa jonka jälkeen käyttäjätunnus on aktivoitu ja käytettävissä.
Pikaisella googletuksella ei mitään aiheeseen liittyvää tullut vastaan..
Eli onko tässä tarkoitus luoda jokin lippulappu jonka "käyttäjä" allekirjoittaa ja sen jälkeen kyseisen käyttäjän tunnus käydään manuaalisesti aktivoimassa? Ilmeisesti mutta eihän se kysyminen ikinä mitään haittaa

 

[Tege]

Koulun koostetehtävässä toimialueen luontia kuvitteelliselle yritykselle, käyttäjätunnusten yhteydessä mainittu että laaditaan käyttölupahakemus ja käyttäjätunnuksen saa käyttöön allekirjoittamalla käyttölupahakemuksen.
Tyhmänä nyt tässä jäin miettimään että onko AD:ssä muka joku sellainen ominaisuus että esimerkiksi sen ensi kirjautumisen yhteydessä vaaditaan käyttäjä "allekirjoittamaan" (ruksi ruutuun tjsp) kyseinen käyttölupa jonka jälkeen käyttäjätunnus on aktivoitu ja käytettävissä.
Pikaisella googletuksella ei mitään aiheeseen liittyvää tullut vastaan..
Eli onko tässä tarkoitus luoda jokin lippulappu jonka "käyttäjä" allekirjoittaa ja sen jälkeen kyseisen käyttäjän tunnus käydään manuaalisesti aktivoimassa? Ilmeisesti mutta eihän se kysyminen ikinä mitään haittaa

Loginiin kyllä saa sellaisen halutun tekstin missä kerrotaan mihin on loggaamassa jne. Samalla käyttäjä voi painaa ok ja kirjautua.
DoD Notice and Consent Banner.

 

[Lagittaja]

No niin tietenkin, GPO säädöillähän tuollaisen saa aikaan. Eipä tullut edes mieleen.. Suuret kiitokset!

 

[Tege]

No niin tietenkin, GPO säädöillähän tuollaisen saa aikaan. Eipä tullut edes mieleen.. Suuret kiitokset!

Itse en ole käyttänyt mutta tuo vissiin tulee aina kun tekee loginin mutta kaippa sitäkin voi säätää.

 

[Lagittaja]

Joo, siltä se näyttää. Empä nyt tiedä haettiinko tässä tuollaista ratkaisua, voisi sitä kai huvin vuoksi kysyä huomenna mutta epäilen.
Eli se lippulappu, vähän turhan vaikeasti lähdin asiaa purkamaan. Kun nimenomaan puhutaan hakemuksesta ja että käyttäjätunnuksen saa käyttöön allekirjoittamalla sen. Ei kai tässä muuta kuin lyödä Word tulille ja repäistä silinterihatusta jotain jännää..

Sinällään kuitenkin ihan pätevä ominaisuus tuo login banneri, jos jossain on niin tiukat säännöt mitä koneilla saa/ei saa tehdä niin siinähän ne rävähtää silmien eteen joka kerta kun koneelle menee ja ne pitää hyväksyä. En kyllä livenä ole tuollaiseen vielä törmännyt.

Hieman ot tämä minun juttu mutta ehkä tämä liittyi jotenkin etäisesti aiheeseen...
Pitäisikö tätä jatkaa yleisenä Windows Server triidinä vai tehdäkkö erillinen?

 

[Tege]

Eiköhän tämä ole oikea ketju. Osaakos joku sanoa kun GPO:lla tekee näitä policyjä niin ne näkyvät tuolla sysvollissa ja kansioita on X määrä. Ovatko nämä kansiot sama määrä kuin domainissa olevat aktiiviset policyt ja voiko niitä jotenkin kohdentaa mikä policy on mikäkin jos katsotaan gpo managerilla näitä?

Edit. Olihan siellä id millä tunnisti homman.

 

[Obi-Lan]

Mulla olis se käsitys että siellä sysvol kansiossa on ihan kaikki GPO:t, oli ne käytössä tai ei.

 

[Tege]

Mulla olis se käsitys että siellä sysvol kansiossa on ihan kaikki GPO:t, oli ne käytössä tai ei.

Juu siellä ne on. Ne menee sillä id:llä ja mielenkiinnosta aloin tutkimaan mitä kaikki ne ovat. En ole alunperin sitä domainia laittanut kasaan.

 

[yannara]

Miten ois GPO -> Task Scheduler -> Run install.bat? Raportointi jää toki puuttumaan ja virheenselvitys voi olla hankalaa, mutta tälläinen köyhän miehen softajakeluna saattais olla jotain järkee.

 

[Encrypted]

Miten ois GPO -> Task Scheduler -> Run install.bat? Raportointi jää toki puuttumaan ja virheenselvitys voi olla hankalaa, mutta tälläinen köyhän miehen softajakeluna saattais olla jotain järkee.

Kyllä tuosta toimivan saisi, mutta miksi vaivautua kun tarjolla on parempiakin ilmaisia ratkaisuja tähän tarkoitukseen. PowerShell, PsExec, AdminArsenal PDQ Deploy...

Ja batit on niin 90's...

 

[dataaja95]

Rupesin itsekkin perehtymään active direktoryyn ja näin aluksi täytyy sanoa että on hieno systeemi. Kysymys GBO jaotteluista. Miten olette tuon homman hoitaneet. Yksi GBO per käyttäjä ja kone. Vaiko miten. Mikä olisi järkevin systeemi. Seuraavaksi konffaamaan WSUS:llä keskitetyt päivitykset ja windows deployment servicesillä windowsin etäasennukset. Voisi myös network policy serveriä katsoa. Hieno systeemi tämä windows server. Millä kannantaisi softien asennukset hoitaa nykyään. Group policyjen kautta pystyy ilmeisesti asentamaan vain MSI paketteja.

 

[dataaja95]

Vielä kysymys ketjussa puhuttiin system center configuration managerista. Mikä systeemi on oikein kyseessä. Ilmeisesti pystyy hallitsemaan windows työasemia todella laajasti. Onko systeemissä jotain ominaisuuksia mitkä puuttuvat puhtaasta active direktorysta. Tyhmiä kysymyksiä ehkä mutta aikaisemmin käyttänyt vain linux servereitä.

 

[Tege]

SCCM lienee se taikasana jos haluat sillä jakaa päivityksiä jne. niin se osaa hoitaa juurikin nuo. AD:llä et jaa kuin pientä roinaa ja ylläpidät hommia. Päivityksien jakamisesta toki WSUS osaa hoitaa hommansa mutta nykyään tuppaa ne Office-päivitykset tulemaan sen muutaman kerran vuodessa ja nämäkin sitten ovat aina kokoluokkaa sen 3,5Gt.

Vissiin tarkoitat GPO? Niin toki aluksi domainia koskevat kokonais policyt ja sitten jos tarvetta on, niin pilkot koskevaan joko tiettyjä käyttäjiä tai työasemia, riippuen siitä mitä haluat tehdä. GPO:ssa pitää sitten määritellä koskeeko jotain käyttäjä/työasemaryhmää.

 

[dataaja95]

SCCM lienee se taikasana jos haluat sillä jakaa päivityksiä jne. niin se osaa hoitaa juurikin nuo. AD:llä et jaa kuin pientä roinaa ja ylläpidät hommia. Päivityksien jakamisesta toki WSUS osaa hoitaa hommansa mutta nykyään tuppaa ne Office-päivitykset tulemaan sen muutaman kerran vuodessa ja nämäkin sitten ovat aina kokoluokkaa sen 3,5Gt.

Vissiin tarkoitat GPO? Niin toki aluksi domainia koskevat kokonais policyt ja sitten jos tarvetta on, niin pilkot koskevaan joko tiettyjä käyttäjiä tai työasemia, riippuen siitä mitä haluat tehdä. GPO:ssa pitää sitten määritellä koskeeko jotain käyttäjä/työasemaryhmää.

Joo GPO:ta meinaan. Eli mikäli ymmärsin niin työasemakohtaiset ja käyttäjäkohtaiset GPO:t erikseen.

 

[Tege]

Joo GPO:ta meinaan. Eli mikäli ymmärsin niin työasemakohtaiset ja käyttäjäkohtaiset GPO:t erikseen.

Juu on erikseen, toki pitää miettiä mitä GPO:ta tekemässä eli miten sen sitten haluaa jakaa.

Jos haluaa verkkojakoja tehdä, niin käyttäjäkohtaisesti se vaikkapa.

 

[yannara]

Rupesin itsekkin perehtymään active direktoryyn ja näin aluksi täytyy sanoa että on hieno systeemi. Kysymys GBO jaotteluista. Miten olette tuon homman hoitaneet. Yksi GBO per käyttäjä ja kone. Vaiko miten. Mikä olisi järkevin systeemi. Seuraavaksi konffaamaan WSUS:llä keskitetyt päivitykset ja windows deployment servicesillä windowsin etäasennukset. Voisi myös network policy serveriä katsoa. Hieno systeemi tämä windows server. Millä kannantaisi softien asennukset hoitaa nykyään. Group policyjen kautta pystyy ilmeisesti asentamaan vain MSI paketteja.

NPS on deprikoitu, älä koske siihen. Olet muutenkin aika myöhään liikenteessä, AD ja GPO:t ovat olleet 15v maisemissa ja noi siirtyy pilveen, eli jos panostat osaamiseen niin mene pilveen, eli Azure AD, MDM, Powershell. Jos sulla on joku nakki kiska, eli alle 100 konetta, niin voit hoitaa kaiken AD:lle, myös softat. SCCM mainittu, mutta se on alusta isompiin ympäristöihin ja sen opiskelu on pitkä tie.

Voidaan toki neuvoa täälläkin GPO:n best practiset, mutta kannattaa ensin harkita, mitä haluat...

 

[dataaja95]

NPS on deprikoitu, älä koske siihen. Olet muutenkin aika myöhään liikenteessä, AD ja GPO:t ovat olleet 15v maisemissa ja noi siirtyy pilveen, eli jos panostat osaamiseen niin mene pilveen, eli Azure AD, MDM, Powershell. Jos sulla on joku nakki kiska, eli alle 100 konetta, niin voit hoitaa kaiken AD:lle, myös softat. SCCM mainittu, mutta se on alusta isompiin ympäristöihin ja sen opiskelu on pitkä tie.

Voidaan toki neuvoa täälläkin GPO:n best practiset, mutta kannattaa ensin harkita, mitä haluat...

Hyvä tietää. lueskelen sun vanhoja active directory säätötopikkeja murosta hyvää juttua siellä on. Ei muuta kuin konffaamaan.

 

[dataaja95]

Mikä olisi paras tapa asentaa etänä softaa koneille. Mikäli olen oikein ymmärtänyt pakettien asennus grouppolicyjen kautta tukee vain MSI paketteja ja kaikista softista ei msi pakettia ole. Pitääkö ruveta jollain softalla konvertoimaan exe msi paketiksi.

 

[Obi-Lan]

0e ratkaisu voisi olla ajaa niitä .exe tiedostoja esim. startti skripteillä. Toki .exe olisi hyvä tukea /silent vipuja, mutta kaikista ei tälläistä löydy. Aina välillä tulee softaa vastaan missä kehittäjä ei ole ajatellut mitään keskitettyä jakoa ollenkaan ja se softa on pakko asentaa käyttäen GUI kliksuttelua.

Sitten vähän hifimpi pienellä raha investoinnilla voisi olla NinitePro tai PDQ Deploy.

Sitten isolla rahalla saa SCCM lisäksi myös 3rd party ratkaisuja, Kaseya, Labtech, N-Able tms mutta nämä menevät enemmän jo palveluntuottaja kategoriaan.

Ja käsittääkseni NPS ei ole deprikoitu, löytyy vielä Server 2016 enkä ole korvaajasta kuullut?

 

[yannara]

Mikä olisi paras tapa asentaa etänä softaa koneille. Mikäli olen oikein ymmärtänyt pakettien asennus grouppolicyjen kautta tukee vain MSI paketteja ja kaikista softista ei msi pakettia ole. Pitääkö ruveta jollain softalla konvertoimaan exe msi paketiksi.

Kun oot nyt AD ja GPO osaaja jo, niin testaile Group Policy Preferenceilla Task Schedulereita, jolla voisit softan asennus skriptin potkaista käyntiin. Setupeiden älyistä saattaa löytyä myös lokitus-optio, voisit kirjoittaa ne log tiedostot verkkojakoon niin saisit tietää, miten asennukset etenee. Halvin tapa paketoida sovellus MSI:ksi on Appdeploy.

Nyt kysymyksenä sulle, että treenaatko sä kotona labrassa näitä, vai teetkö ihan työksesi? Jos työksesi, niin minkä kokoisessa firmassa, paljonko on koneita? SCCM:ää kannattaa harkita kun nuppiluku kasvaa 300-> ja sen isoin hyöty tällä hetkellä on koneasennukset, joita pilvi ei vielä tarjoa kunnolla.

 

[yannara]

Ja käsittääkseni NPS ei ole deprikoitu, löytyy vielä Server 2016 enkä ole korvaajasta kuullut?

Kyllähän googlella löytyy tietoa, että jo 2012 R2ssa sitä ei enää tarjottu ja aika kuollut tekniikka se on...

 

[dataaja95]

Kun oot nyt AD ja GPO osaaja jo, niin testaile Group Policy Preferenceilla Task Schedulereita, jolla voisit softan asennus skriptin potkaista käyntiin. Setupeiden älyistä saattaa löytyä myös lokitus-optio, voisit kirjoittaa ne log tiedostot verkkojakoon niin saisit tietää, miten asennukset etenee. Halvin tapa paketoida sovellus MSI:ksi on Appdeploy.

Nyt kysymyksenä sulle, että treenaatko sä kotona labrassa näitä, vai teetkö ihan työksesi? Jos työksesi, niin minkä kokoisessa firmassa, paljonko on koneita? SCCM:ää kannattaa harkita kun nuppiluku kasvaa 300-> ja sen isoin hyöty tällä hetkellä on koneasennukset, joita pilvi ei vielä tarjoa kunnolla.

Ihan kotona labrassa treenailen serverit pyörii virtuaalisena proxmoxissa. Voisi ensiviikolla pistää toisen DC:n pystyyn niin saisi kivasti konffattua vikasietoisuuden siinä samalla. WSUS:n konffailin viimeyönä ja toimii oikein jees.

 

[yannara]

Ihan kotona labrassa treenailen serverit pyörii virtuaalisena proxmoxissa. Voisi ensiviikolla pistää toisen DC:n pystyyn niin saisi kivasti konffattua vikasietoisuuden siinä samalla. WSUS:n konffailin viimeyönä ja toimii oikein jees.

Njooh, kuten aikaisemmin totesin, että olet vähän myöhässä noiden onpremise ratkaisujen kanssa. Näiden perus AD ja serverijamppojen työt ovat ensimmäisenä siirtyneet pilveen tai offshoreen. Jos haluat oikeasti hyötyä tuosta labraamisesta, niin tee AD+Azure AD hybrid tai sitten alat harjoitella Cloud Only skennaarioita. Nää perus AD ja GPO säädöt osaa jo jokainen, eli pelkästään sillä osaamisella et tule menestymään työmarkkinoilla. SCCM on ihan jees, mutta siinäkin pilvi hämmöttää.

 

[dataaja95]

Njooh, kuten aikaisemmin totesin, että olet vähän myöhässä noiden onpremise ratkaisujen kanssa. Näiden perus AD ja serverijamppojen työt ovat ensimmäisenä siirtyneet pilveen tai offshoreen. Jos haluat oikeasti hyötyä tuosta labraamisesta, niin tee AD+Azure AD hybrid tai sitten alat harjoitella Cloud Only skennaarioita. Nää perus AD ja GPO säädöt osaa jo jokainen, eli pelkästään sillä osaamisella et tule menestymään työmarkkinoilla. SCCM on ihan jees, mutta siinäkin pilvi hämmöttää.

Tarkoitus on juuri kehittää omaa osaamista. Kiitos vinkistä täytyy tuohon AD+Azure systeemiin perehtyä. Ensin kuitenkin säädetään WDS ja muut systeemit kuntoon.

 

[celeron]

Auttakaas miestä mäessä. Puuhastelen tässä uutta wsus-palvelinta server 2016:een. Nyt pitäisi replikoida data vanhasta 2008r2:n wsusista uuteen. Ongelmana on vaan ao. virhe kun yritän yhdistää.
Koneet ovat tottakai domainissa ja pingit menevät läpi puolin ja toisin. Googlekaan ei osannut kertoa mikä tuossa mättää.

EDIT:
Veikkaan että liittyy jotenkin IIS:iin. Mulla on vaan aika kehno tietämys tuosta palikasta.

---------------------------
Synchronization Error Details
---------------------------
WebException: The request failed with HTTP status 400: Bad Request.

at System.Web.Services.Protocols.SoapHttpClientProtocol.ReadResponse(SoapClientMessage message, WebResponse response, Stream responseStream, Boolean asyncCall)
   at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
   at Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig()
   at Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper)
   at Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper)
   at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS()
   at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)

 

[yannara]

Puhuin muuten paskaa aikaisemmin, NPS on yhä maisemissa ja tarpeellinen esim. VPN ja WLAN yhteyksien autentikointiin, NAP on se joka deprikoitiin.

 

[yannara]

Auttakaas miestä mäessä. Puuhastelen tässä uutta wsus-palvelinta server 2016:een. Nyt pitäisi replikoida data vanhasta 2008r2:n wsusista uuteen. Ongelmana on vaan ao. virhe kun yritän yhdistää.
Koneet ovat tottakai domainissa ja pingit menevät läpi puolin ja toisin. Googlekaan ei osannut kertoa mikä tuossa mättää.

IIS error code 400:lla ymmärrät enemmän mikä mättää, mutta siis mitä pitää tarkalleen replikoida? Onko sulla WID vai SQL kanta käytössä ja mitä tarkalleen olet tekemässä?

Oisko helpompi vaihtoehto vaan laittaa uusi wsus rinnalle ilman mitään replikointia ja ohjata kaikki koneet keskustelemaan sen kanssa GPO:lla?

 

[celeron]

Joo, siis urpo minä. Piti laittaa uuten wsusiin portti 80 ni sitten lähti rokkaamaan. Yritin ensin oletusporttia 3850.

 

[Tege]

Eiköhän tämä ketju ole hyvä paikka jatkaa AD ongelmista ja kyssäreistä.

Windows 10 Pro (1809) mikä on liitetty AD:n. GPO:lla sallittu, että saa käyttää sormenjälkeä ja pin-koodia. Pin-koodi unohtunut, jotenka luulin resetoinnin olevan helppoa. Näin se ei kuitenkaan ollut.
- Asetuksissa PIN-koodia ei saa poistettua eli tämä remove-nappi puuttuu
- Lisäksi jos PIN-koodia koittaa vaihtaa siellä ei ole tätä I forgot PIN -linkkiä
- Tämä I forgot PIN -linkki kyllä löytyy loginissa mutta kun tämän kautta koittaa resetoida PIN-koodia, niin tämä sanoo, että kone ei ole liitetty domainiin

Onko mitään ideoita miten edetä? Löysin kyllä ohjeen jonkun NCG-kansion poistoon mutta kai tälle jokin oikea tapa on?

 

[yannara]

Eiköhän tämä ketju ole hyvä paikka jatkaa AD ongelmista ja kyssäreistä.

Windows 10 Pro (1809) mikä on liitetty AD:n. GPO:lla sallittu, että saa käyttää sormenjälkeä ja pin-koodia. Pin-koodi unohtunut, jotenka luulin resetoinnin olevan helppoa. Näin se ei kuitenkaan ollut.
- Asetuksissa PIN-koodia ei saa poistettua eli tämä remove-nappi puuttuu
- Lisäksi jos PIN-koodia koittaa vaihtaa siellä ei ole tätä I forgot PIN -linkkiä
- Tämä I forgot PIN -linkki kyllä löytyy loginissa mutta kun tämän kautta koittaa resetoida PIN-koodia, niin tämä sanoo, että kone ei ole liitetty domainiin

Onko mitään ideoita miten edetä? Löysin kyllä ohjeen jonkun NCG-kansion poistoon mutta kai tälle jokin oikea tapa on?

1809 ei ole vielä business ready, eli mikä tahansa bugi on vielä mahdollinen. 1803 ja 1809 kun tulivat ulos, niin ne oli aluksi ihan hirveetä skeidaa.

Käytän itse sormenjälkitunnistinta ja minulla on konfattu se Convenience PIN GPO päälle. Aikaisemmissa buildeissa sen joutui tekee rekkaripuukolla. Tässä triidissä tätä asiaa käytiin läpi aika pitkään ja siinä keskustellaan myös uusimmista buildeista kuin 1607: PIN and Fingerprint Sign-in options unavailable (greyed out) in Windows 10 1607 Enterprise

Ei oo tuota unohtamiskokemusta mulla joten en pysty auttaa suoraan, mutta jos sulla on mahdollisuus niin kokeile miten 1803:lla toi homma toimii?

 

[Obi-Lan]

Convience PIN vai Hello for Business käytössä?

 

[Tege]

Convience PIN käytössä. Voiko 1809 alaspäivittää edelliseen versioon? 1803 kokeilu ei ole ongelma kun sen voi vaikka laittaa VM pyörii.

Ainut mitä olen tuosta PIN resetoinnista löytänyt on, että Intunella ja AAD hoidetaan resetointi.

Voihan se olla, että 1809 joskus olisi business ready. Eikös Enterprise ole sama vaiko muuta puuta?

Sen muistan kun alunperin tappelin tuon pinin ja sormenjälkilukijan kanssa, niin silloin piti vain unohtaa tuo Hello for Business ja tehdä juurikin convience pinin kautta asiat. Samalla sitten sai sormenjäljen jne. toimimaan.

 

[Obi-Lan]

Hello for Business vaatii alle toimivan serti infran sekä tarpeeksi uuden AD infran (2016), jotta avainten pyöritys onnistuu pilven kautta (tai käyttäjäsertien pyörityksen oman serti-inran kautta). Siinä PIN/bio-kirjautuminen lähettää verkkoon salasanan sijaan sertin.

Convierge PIN tallentaa käyttäjän passun jonnekin ja käyttää sitä verkossa kun syöttää PIN tai biometrisen.

Microsoft rukkaili noiden asetuksia ees taas josssain buildissa ja tuntuu että toi convierge pin on nyt jotenkin vähän unohdettu juttu.

 

[yannara]

Voihan se olla, että 1809 joskus olisi business ready. Eikös Enterprise ole sama vaiko muuta puuta?

1809 tulee olemaan business ready tammikuussa tai helmikuussa, näin teoreettisesti. Ei ole väliä, onko pro tai enterprice. Semi-Annual nimitys-muutosten jälkeen Mikkis ei enää huuda yleisölle, että nyt on buildi business ready, mutta itse näen selkeästi eron SCCM:n Win10 servicing tarjoaman puolella.

 

[Tege]

Pitää seurailla siis miten tilanne tässä kehittyy.

 

[pettma]

Osaako joku sanoa, jos on käytössä SCCM ja sieltä määritetty windows update käytännöt, niin miten nämä saa pois päältä niin että työasemat hakisivat päivityskäytännöt default domain policystä eikä tuolta SCCM:n policystä (jota en siis tunnu löytävän missä sitä asetusta muutetaan)?

 

[yannara]

Osaako joku sanoa, jos on käytössä SCCM ja sieltä määritetty windows update käytännöt, niin miten nämä saa pois päältä niin että työasemat hakisivat päivityskäytännöt default domain policystä eikä tuolta SCCM:n policystä (jota en siis tunnu löytävän missä sitä asetusta muutetaan)?

- Kun SCCM client policeissa on Software Updates määritelty, niin se kirjoittaa työasemien local policyyn tarvittavat määritteet, jotka ei saa olla risti riidassa GPO:den kanssa. Näet local policyt rsopilla.
- Jos sinulla on SCCM, niin suosittelen käyttämään sen Software Update Pointtia, eikä wsusia.
- Älä hyvä mies kirjoita Default Domain Policyyn tuollaisia asioita vaan tee oma GPO tälle asialle, jos et halua käyttää SCCM:ää päivityksiin.

 

[pettma]

- Kun SCCM client policeissa on Software Updates määritelty, niin se kirjoittaa työasemien local policyyn tarvittavat määritteet, jotka ei saa olla risti riidassa GPO:den kanssa. Näet local policyt rsopilla.
- Jos sinulla on SCCM, niin suosittelen käyttämään sen Software Update Pointtia, eikä wsusia.
- Älä hyvä mies kirjoita Default Domain Policyyn tuollaisia asioita vaan tee oma GPO tälle asialle, jos et halua käyttää SCCM:ää päivityksiin.

Kiitos, hyviä vinkkejä ja pointteja, mutta yksikään ei oikeastaan vastaa kysymykseen joka oli: Missä SCCM:ssä määritellään mistä työasemat hakevat päivitykset? Missä määritetään mitä sinne local policyyn kirjoitetaan?

Kyse on testiympäristöstä (vaikki tietenkin sinnekin pitäisi tehdä asiat myös best practices tavalla) joten siksi tuo default domain policy, tuotantoympäristössä tekisin päivityksille toki oman policyn.

 

[yannara]

Kiitos, hyviä vinkkejä ja pointteja, mutta yksikään ei oikeastaan vastaa kysymykseen joka oli: Missä SCCM:ssä määritellään mistä työasemat hakevat päivitykset? Missä määritetään mitä sinne local policyyn kirjoitetaan?

Kyse on testiympäristöstä (vaikki tietenkin sinnekin pitäisi tehdä asiat myös best practices tavalla) joten siksi tuo default domain policy, tuotantoympäristössä tekisin päivityksille toki oman policyn.

Client Policy. Ja sitä lähdettä ei määritellä mitenkään erikseen kuten Gpoissa tehdään.

 

[teralt]

Mikä on paras keino opiskella näitä serverijuttuja, AD, sccm yms? Kiinnostaisi ainakin w10-asennusten automatisointi, kympin versiopäivitysten jakelut, softapaketointi/jakelu yms. Kokemusta lähinnä työasemista, mutta nyt olisi aikaa värkkäillä ja opiskella. Suosituksia esim. nettisivuista mitä kannattaa lukea? Suomenkielisyydestä plussaa..

 

[yannara]

Mikä on paras keino opiskella näitä serverijuttuja, AD, sccm yms? Kiinnostaisi ainakin w10-asennusten automatisointi, kympin versiopäivitysten jakelut, softapaketointi/jakelu yms. Kokemusta lähinnä työasemista, mutta nyt olisi aikaa värkkäillä ja opiskella. Suosituksia esim. nettisivuista mitä kannattaa lukea? Suomenkielisyydestä plussaa..

Kannattaa miettiä, kannattaako sinne on-prem puolelle enää tunkea. Hommaa Azure tenantti ja harjoittele Intunea ja Autopilotilla. SCCMssä on tosi pitkä oppimistie ja sitä osaa aika moni jo. Kattoisin kyl pilven puolelle.