Gulp

Er will doch gar kein Inplace machen, die 2016er sind neue 2 Maschinen, er will nur die 2003er Domäne migrieren ...... Da nimmt man den frisch installierten 2016, passt auf dem 2003er auf den Domain Functional Level auf, ob der passt und promoted ´den 2016er, fertig: Windows Server 2016 ist eine Windows Server 2003-Gesamtstrukturfunktionsebene erforderlich. Das heißt, bevor Sie einen Domänencontroller, der Windows Server 2016 zu einer vorhandenen Active Directory-Gesamtstruktur ausgeführt wird hinzufügen können, muss die Gesamtstrukturfunktionsebene auf WindowsServer 2003 oder höher sein. Enthält die Gesamtstruktur Domänencontroller unter Windows Server 2003 oder höher die Gesamtstrukturfunktionsebene jedoch Ebene ist immer noch Windows 2000, die Installation ebenfalls blockiert. https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers Sagt Grüsse Gulp

Mit diversen Änderungen im Domain Functional Level gehen durchaus auch diverse Änderungen im DNS einher, deswegen ist es keine gute Idee manche Dienste auf andere Systeme auszulagern. Ich möchte ja jetzt kein Bashing anfangen, aber wenn auf Linux auslagern, warum nicht dann auch konsequent die Domäne auf Samba aufziehen? Sonst wird es aus meiner Sicht ja auch dünn mit stichhaltigen Argumenten etwas auslagern zu wollen. Auch wenn Du nur ausführendes Organ bist, gehört es meiner Ansicht nach zum Job des Verantwortlichen für IT/Server auch dazu dem Chef fundiert klar zu machen warum das auslagern von DNS und aus meiner Sicht auch des DHCP echter unnötiger und aus meiner Sicht auch unsinniger Aufwand ist, wenn man eine Windows Domäne auf einem Windows Server OS betreibt. Ich will damit auch nicht sagen, dass sich eine Windows Domäne nicht auch mit einem BIND DNS und anderen DHCP Lösungen betreiben liesse, aber den Aufwand für ein aus meiner Sicht sehr überschaubares Stück Infrastruktur betreiben zu wollen halte ich entweder für fehlende Sachkenntnis oder eine schlichte ABM und nicht mehr. Und das meine ich wirklich nicht persönlich. Grüsse Gulp

Eine Windows Domäne benötigt spezielle DNS Einträge, wenn diese auf dem BIND fehlen oder nicht während der Erstellung des DC erstellt werden können, hast Du Dein Problem. https://support.microsoft.com/de-de/help/816587/how-to-verify-that-srv-dns-records-have-been-created-for-a-domain-cont https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ In Windows Domänen sollte man den ein oder anderen DC auch als DNS Server konfigurieren, damit solche Einträge auch automatisiert erstellt werden können. Mit externen DNS Servern kann das zwar auch funktionieren, erhöht aber den Wartungsaufwand und natürlich die möglichen Fehlerquellen. Grüsse Gulp

Das hört sich aber eher nach DNS Problemen an und warum willst Du einen schreibgeschützen DC erstellen? Edit: ...., aber eigentlich stehts ja auch da, schreibgeschützte DC's werden erst ab 2008 unterstützt. Einen schreibgeschützten DC brauchts Du in dem Szenario ja auch gar nicht erstellen, da solltest Du Dich besser noch etwas in das Thema vertiefen. Grüsse Gulp

Bei Neustarts denke ich immer gleich an NLA und abweichende Netzwerkprofile mit nicht passender Firewallkonfiguration ....... Grüsse Gulp

Lieber Peter, wlechen Nutzen soll die Beantwortung der Frage ob man Defender auf einem Server 2016 (egal ob Hyper-V oder DC) denn jemandem bringen, der hier nur den Endpoint betrachtet. Das ist wie nach dem Salzgehalt in einer völlig verpfefferten Suppe zu fragen. Deine Frage lässt sich imho nicht wirklich seriös beantworten ohne des Gesamtkonzept der vorhandenen sicherheitsrelavanten Umgebung des Fragestellers und des Antwortenden zu kennen. Je nach Konzept und Umgebung gibt es durchaus Szenarien wo auch an den Virenschutz des Endpoints bestimmt Anforderungen gestellt werden, die von Defender nicht abgedeckt werden können. Grüsse Gulp

Lassen die gleichen Leute Ihr Auto auch so reparieren? Dem Meister der Werkstatt irgendwas sagen und auf die Lösung hoffen? Mit denen würde ich nicht im Auto mitfahren wollen ....... Just my 2 cent. Grüsse Gulp

Click-to-Run erkennt man meist daran, dass die Updates nicht per Windows Update kommen sondern über Office direkt angestossen werden müssen (Unter Datei --> Office-Konto --> Button "Updateoptionen" bei Office Updates) ... Die ISO's sind in der Regel MSI Installationen. Grüsse Gulp

Das 2018-07 Culumative Update zerreisst gerne mal .NET, hatte ich gestern auch auf unserem WSUS, Ende vom Lied war, Server OS neu aufgesetzt und WSUS neu installiert. Kannst mal versuchen das 2018-07 zu deinstallieren, eventuell hilft es ja (hab ich nicht mehr probiert, weil ich davor zuviel andere "Tricks" versucht hatte). Grüsse Gulp

Das Zurückstellen von FeatureUpdates gilt aber nur für Pro, Business und Edu, bei der normalen Home geht das nicht, da hilft nur die getaktete Netzwerkverbindung. Grüsse Gulp

Wie gesagt, da die zweite HDD ein interner Speicherort ist, nutze ich die bei 2016 mitgelieferte Windows Server Sicherung, die wöchentliche Sicherung auf die externe Platte mache ich per geplantem Task und Skript, da habe ich nur die Nutzdaten mit dabei, also Bilder, Dokumente usw ..... Grüsse Gulp

Ich habe das bei mir in etwa so gemacht: 1 x AD + Fileserver: 16GB RAM, i7-3770, 128GB SSD für OS, 2 x 2 TB HDD, einmal 2 TB für Nutzdaten, einmal 2 TB für Backup - gesichert wird täglich das OS inkl. Systemstate von der SSD und der Nutzdaten (ausgewählter Ordner) von der einen HDD auf die zweite 2TB HDD - es laufen AD, DHCP, DNS - einmal pro Woche wird zusätzlich ein Backup auf eine externe Platte gemacht, für alle Fälle 1 x AD und WSUS Server 16GB RAM, i7-860, 128GBSSD für OS, 1 x 1 TB für WSUS Daten - keine Sicherung notwendig, wenn kaputt dann neu - es laufen AD, DNS Je nach Menge an Daten kann man da natürlich noch an den HDD Kapazitäten ausbauen, im Moment reicht mir der Platz, ich habe noch ca 45% Platz frei auf den 2TB. Ich weiß, eigentlich trennt man AD und Fileservice bzw AD und SQL/WSUS, aber ich finde 2 Server schon reichlich an Hardware, da trenne ich auf meiner "Spielwiese" nicht noch mehr auf. Fein ist die Arbeit mit GPO's für Frau, Kinder und natürlich mich, alle wissen wo man seine wichtigen Daten ablegt, wer was kaputt macht bekommt für eine Woche ne Eselsmütze als Pflicht-Kleidungsstück. Grüsse Gulp

Wenn überhaupt erstellt man das RAID nicht mit dem OS, sondern mit dem verbauten S-ATA Controller und genau da starten ja meine Bedenken, ist das Mainboard kaputt und der Controller ändert sich bzw kann wegen Sparmaßnahmen von Hersteller oder ähnlichem dann kein RAID 10 mehr, steht man b***d da. ReFS ist aus meiner Sicht erst dann sinnig, wenn man mit VM's in Hyper-V arbeitet, ansonsten bietet es aus meiner Sicht wenig Benefits für gerade den Heimgebrauch, aber das kann jeder für sich selbst entscheiden, man kann es nicht verschlüsseln und nicht davon booten, komprimieren geht auch nicht .... aber sieh selbst: https://www.windowspro.de/marcel-kueppers/refs-ntfs-vor-nachteile-dateisysteme-server-2016 Das sichern geht ganz normal mit der Windows Sicherung, bei Sicherung auf Netzlaufwerken (NAS) allerdings dann immer nur ein Fullbackup, will man mehr, muss man entweder das Fullbackup jedesmal per Skript verschieben oder 3rd Party Backupsoftware verwenden. Wie gesagt mir wäre der Aufwand nur dafür zu hoch, ich habe gut 10 Clients bei mir im Netz zuhause, selbst da bleibe ich weg von RAID und nutze "nur" ein gescheites Backup. Grüsse Gulp

Grundsätzlich ist es zwar keine schlechte Idee rumliegende Hardware weiter- oder wieder zu verwenden, ich halte Deinen Plan aber für nicht wirklich sinnvoll. Zum einen weil Consumer Hardware zu oft einen Pferdefuß bei, ich nenn es mal "Server-Sachen" hat und vor allem, weil Du eher mit Software RAID leibäugelst. Versteh mich nicht falsch, das ist alles teilweise brauchbar, auch Deine Gedanken zu Deinem Szenario, aber der Aufwand steht da in keinem Verhältnis zum Nutzen, insbesondere dann wenn das Mainboard abraucht und Du keinen passenden Ersatz mehr findest und Dein RAID sich nicht mehr einbinden lässt. Ich habe zuhause auch aus ein paar alten Workstations einen File- und einen Backupserver hingestellt mit AD, WSUS und noch ein paar Kleinigkeiten, ohne RAID, dafür mit regelmässigem und vor allem getestetem Backup. Geht einer der Server kaputt, kommt halt ein anderer hin, sind beide Maschinen kaputt mach ich im Zweifel halt das AD und OS neu und spiele mein Filebackup zurück, hat lediglich die OS Installation einen Schuss, mach ich bei einem betroffenen DC den einen DC neu, ist nur das AD defekt, spiele ich das AD Backup halt zurück. Das geht eus meiner Sicht entschieden schneller und unkomplizierter als mich mit den RAID Optionen verschiedenster Hardware auseinander zu setzen. Will ich richtiges RAID machen, nehme ich einen dedizierten RAID Controller mit zertifizierten Platten möglichst in einer Markenhardware mit Support. Grüsse Gulp

Was genau verstehst Du unter Datensicherheit in dem Kontext? Ein RAID liefert Dir ja nur Sicherheit gegen Hardwareausfälle, das würde mir zum Beispiel nicht ausreichen ...... Grüsse von der Mosel ins geBeat ;) Gulp

Eventuell Security Software mit Device Control an Bord? Grüsse Gulp

Das steht aber auch schon im Mai Update Artikel drin, dass man das 413226 vor dem Cumulativen installieren soll wenn man manuell installiert ..... .... schaden kann es sicherlich eher nicht. https://support.microsoft.com/de-de/help/4103720/windows-10-update-kb4103720 Grüsse Gulp

Ich würde jetzt mal auf die Schnelle sagen: "Windows 10 version 1607 and Windows Server 2016 users must install KB4132216 prior to installing the June 2018 cumulative security update. See 4132216 for more information." Braucht auch keinen Reboot das 4132216 ..... Grüsse Gulp

Ich kram mal in meinem Archiv, da müsste noch Novell NetWare 4.11 rumliegen ........ und die 5er mit der Java Server UI ...... baaaah Da steht wohl auch noch irgendwo ein Apple LC ii mit Motorola 16 MHz CPU und 8 MB Ram. Grüsse Gulp

Hmm also ich habe in meinem Testlab schon 12 Maschinen mit unterschidlichster Hardware völlig problemlos per WSUS von 1709 auf 1803 hochgezogen, nicht eine hat einen Rollback oder ein Problem verursacht. Es gab wie auch bei den Vorgängerupdates die ein oder andere (in meinem Szenario durchaus beabsichtigt installierte) ältere Software die dann während des Upgrades wegen bekannten Inkompabilitätsproblemen deaktiviert wurde. Ich hatte sogar den Eindruck, dass das Upgrade deutlich schneller und auch wesentlich problemfreier durchlief. Grüsse Gulp

Volumenlizenzen waren bei Clients schon immer nur als Upgrade erhältlich, da hat sich nichts geändert. Da stellt sich dann nur die Frage, warum Du die Pro auch als Open willst, die gäbe es ja auch als SB. Grüsse Gulp

@Tektronix: Das liegt aber meist nicht an dem Seitenverhältnis, sondern an dem Anschlusstyp also Analog (VGA) und Digital (DVI, DisplayPort oder HMDI) oder an verschiedenen Paneltypen der Monitore und eventuell auch noch an den eingestellten bzw kalibrierten Monitor Farbprofilen/-einstellungen. Grüsse Gulp

Nenn es jahrelange Erfahrung oder was auch immer, wenn ich was behaupte ........ musst mir ja auch nicht glauben. Wie bereits mehrfach erwähnt macht es der WSUS bei der eigenen Serverbereinigung genauso und der hat ja erst recht keine Ahnung von sich. Grüsse Gulp

Uh hups .... aber nur der mit den Zähnen ..... hihi und Norbert stimme ich da voll und ganz zu! Cheers Gulp

Wenn nun der Client die Updates nicht anfordert, dann erfüllt er entweder nicht die Vorraussetzungen für das Update oder aber es findet sich ein Problem in den WindowsUpdate Logs des Clients. Das dürfte aber aus meiner Sicht dann wenig bis gar nichts mit den ersetzenden Updates zu tun haben. Für bestimmte Updates, siehe nur die letzten Specte/Meltdown Updates, sind oftmals entweder verpflichtende Vorbedingungen, sei es ein Registry Kex, eine bestimmte Version einer Software oder oder notwendig, das muss man im Einzelfall ohnehin klären. Da aber auch Microsoft in der letzten Zeit schonmal das ein oder andere verbaselt hat, gibt es natürlich immer wieder auch hier Raum für Fehler, im Allgemeinen kann man aber dennoch sagen, wenn der WSUS ein Update ausweist, das ein anderes ersetzt, so braucht man immer nur das letzte also das ersetzende zu genehmigen und das oder die zu ersetzenden Updates kann man ruhigen Gewissens dann ablehnen. Wie schon mal gesagt, selbst die WSUS Serverbereinigung macht das so. Grüsse Gulp