Gulp

Sorry, das ist für mich der völlig falsche Ansatz, allerdings kenne ich diese Lebensphase auch ....... nur als Beispiel, fragst Du den Zahnarzt auch, wenn Dir der Bauch weh tut. Sind ja schliesslich beide Ärzte oder? Ich versichere Dir gerne, dass man durchaus eine Menge lernt, wenn man einem Spezialisten zuschauen kann und ggfs zur Hand geht und nicht alle Fehler selbst machen muss, das spart in der Regel Zeit, Geld und Nerven und sorgt für Lebensqualität. Aber jeder wie er will, allerdings wird diese Einstellung des einsamen Ritters der alle Drachen bekämpft oft von Leuten gewählt, die sich einerseits nicht gerne etwas sagen lassen wollen (oder können) und nicht oder nur sehr eingeschränkt kritikfähig sind. Damit kommt man hier im Foum (aus meiner bescheidenen Sicht aber Gott sei Dank) nicht weit. Grüsse Gulp

Das Grundproblem ist immer das Gleiche, wir wissen schlicht nicht vollumfänglich wie es vor Ort bei Dir aussieht. Eine Lösung die auf meine Umgebung perfekt passt und die gleichen Ziele wie Deine Wunschvorstellung hat, mag für Dich völlig unpassend sein. Gerade Du als Informatiker solltest das hier deutlich aus den Antworten herauslesen können, weil man ohne Grundlagen und grundlegende Informationen auch keine Software oder einen passenden Arbeiotsplatz zusammenbauen kann. Um so etwas umfassend und kompetent beraten zu können, kann (und will) ein Forum nicht die beste Lösung sein. Bei einem spezifischen Problem mit einem Teilsaspekt Deines Projektes, zB der Frage ob das von Dir gewünschte Konstukt überhaupt auf dem gehosteten Server legal ist und warum, können wir hier ohne eine große In-Augenscheinnahme bewerten. Alles andere wäre, mit Verlaub, nur wenig besser als Kaffeesatzleserei, weil wir Deine Umgebung nicht kennen. Es wird natürlich auch Ansätze geben, die Dir vordergründig oder gar auch langfristig, weiterhelfen können und werden, aber ob das letztlich das ist was Du wirklich willst kann hier im Augenblick keiner sagen. Ich finde den Hinweis auf externe Hilfe zum einen fair und zum anderen ehrlich, weil die Kollegen durchaus wissen was sie tun, auch wenn es Dir nicht direkt schlüssig wird und ja das könnte man durchaus öfter besser begründen. Wir können Dir helfen Lösungen für Deine Anforderungen zu finden, wenn Du uns die Anforderungen möglichst detailliert mitteilst und bereit bist auch eigene Ideen kritisch auf den Prüfstand zu stellen. Grüsse Gulp

Die Sprache kann gar nicht entfernt werden, wenn ursprünglich eine chinesische Sprachversion installiert wurde. Da kann man nur zusätzliche Sprachen installieren/verwenden. Wenn das nicht reichen sollte, wie man nach Deiner Formulierung annehmen darf, hilft nur eine deutsche/englische Sprachversion zu installieren. Grüsse Gulp

Auch die Intel Management Engine kann Geräte wecken ........ Grüsse Gulp

/OffTopic: Wenn die Fehlermeldungen immer vernünftig und schön aussagekräftig wären, hätten wir ja fast nix mehr zu tun, dann könnte sich ja jeder selbst helfen ......... Grüsse Gulp

Hä? Ausfallzeit? Wo denn, wenn ich dem NAS beibringe die Kennwörter der User auf dem Small Business Server zu erfragen, also LDAP konfiguriere? Grüsse Gulp

Ja wenn das NAS doch LDAP kann, warum nicht nutzen und mit Skripten herumbasteln? Grüsse Gulp

Wieso soll da kein LDAP eingerichtet sein, hast Du nicht Small Business Server 2011 erwähnt? Da ist LDAP ........ bekanntermaßen ist Active Directory seit Windows Server 2000 basierend auf LDAP! Grüsse Gulp

Ein NAS ohne LDAP Anbindung ist eben im Domänenbetrieb mit Einschränkungen verbunden, dies ist eine davon. Ein User der eine Freigabe öffnet tut das zunächst mit den Credentials des angemeldeten Users, deswegen stimmen Passwort und User auf dem NAS bei einem Kennwortwechsel auch nicht mehr überein. Die hinterlegten Anmeldedaten spielen da auch erstmal keine Rolle mehr, da würde nur helfen mit anderen Usernamen und festen Passwörtern zu arbeiten, was ebenfalls wieder mehr Aufwand erzeugt. Wenn das NAS kein LDAP kann oder nicht dauerhaft in der Domäne bleibt, hat man wohl nicht das beste Gerät für die Umgebung ausgewählt. Da sollte man die Anforderungen definieren die eine Netzfreigabe erfüllen soll, die Sicherheit mit bedenken und dann wird man schauen müssen, ob das NAS den Anforderungen genügt oder nicht. Grüsse Gulp

Wie gesagt, ob 300 oder 1000 Euro (es geht nicht um den speziellen Betrag, wobei man den schon bei der Anschaffung des Windows Servers mit einkalkuliert) ändert nichts an der Tatsache, dass Du oder Dein Chef jetzt wieder den Mehraufwand vergisst, den eine zweigleisige Strategie erfordert. Das nenne ich nun wirklich nicht Weitsicht, zumal Du mit Deiner "Weiterblidung" im Augenblick einen sehr begrenzten Spezialfall betrachtest, der Dir im "normalen" Business keinen Mehrnutzen bringt, weil man das üblicherweise eben anders löst. Ganz einfach ohne doppelte Server-Administration, Netz physikalisch trennen, Router für 100-200 Euro kaufen, kleine DSL Leitung extra, Gäste zufrieden .... geht auch ohne Windows oder LInux. Grüsse Gulp

Wenn ihr keine CAL's nutzen wollt, müsst ihr alles auf Linux migrieren, wie ich bereits zu Beginn des Threads erwähnt hatte .......... wird irgendein Windows Serverdients genutzt, also auch zB auch das AD, wird immer eine CAL fällig. Aber mal ehrlich, wenn jemandem schon 300 Euro für 10 User CAL's zu teuer sind, dann wäre mir der MItarbeiter, der da stundenlang irgendwas rumprobiert um die paar Kröten zu sparen erst recht zu teuer! Solche Argumente bei CAL's Kosten zu sparen sind gelinde gesagt Schwachsinn und zeugen nicht von unternehmerischem Weitsinn und vernünftiger Kostenkalkulation. Grüsse Gulp

Ich meine schon das Board hier, hier gibt es einen Haufen Member deren Dienste außerhalb des Boords nicht billig sind und die das hier alles kostenlos machen. Spenden und/oder zB eine Premium MItgliedschaft (Werbefreies Forum und zB Mailadressen mit deinname@mcseboard.de) kann man bei den Moderatoren erfragen, zB bei Lian oder Dr.Melzer ...... Grüsse Gulp

Sag ich ja die ganze Zeit .......... Du magst ja billig sein, aber auch wir kosten normalerweise Geld, das musst Du eigentlich auch bedenken. Grüsse Gulp

Du musst Dich nicht entschuldigen, wir sprechen ja noch über das Thema und Du siehst, es ist weit komplexer als es zu Beginn den Anschein hatte und nimmt nicht wenig Zeit in Anspruch. Ich will damit auch nicht sagen, dass Deine Migration am Ende nicht klappt, nach den ganzen Hinweisen in diesem Thread würde ich meinen Du wärest auf die meisten Stolperfallen antsprechend hingewiesen worden und hast entsprechende Maßnahmen soweit ergriffen. Man könnte jetzt an der ein oder anderen Stelle noch etwas penibel stochern aber das wäre ja auch nicht zielführend. Wenn man die Kosten Deiner bisherigen Zeit und Arbeit nun gegen den Einsatz eines entsprechend erfahrenen Dienstleisters entgegenstellt, wieviel habt Ihr denn letztlich gespart? (OK, ein bisschen Ketzerei darf ja wohl sein ..... ) Bei Images sollte man sich bei DC's eben entsprechend in der Materie Active Directory und Imagesoftware mehr als gut auskennen, wie gesagt bei den VM's würde ich mir eine Kopie der Maschine auf die Seite legen, da muss an den Kram nicht denken. Was die nicht auflösbaren SID Einträge beim Fileserver angeht, was für ein User ist dort angemeldet und ist der Server überhupt noch in der Domäne? Da spricht viel dafür, dass es entweder a: ein lokaler User ist der die SID mangels Browsing Rechten im LDAP schlicht nicht auflösen kann oder b: die fehlende Domänenmitgliedschaft, die dann automatisch zu a: führt. Grüsse Gulp

Dir sagt der Begriff "relationale Datenbank" etwas? Das Active Directory ist eine ...... Kurz gesagt, wenn die Datenbank zur Hälfte gesichert ist und die Datenbank in die bereits gesicherte Hälfte Daten eintütet, weil dort eine freie Zeile in der Datei ist, hast Du im Endergebnis eine inkonsistente Datensicherung bei einem Image. Man kann maximal darüber nachdenken, ein Offline Image zu machen, also von einem Sicherungsdatenträger booten und damit ein Image machen. Das scheitert vielfach an mangelnder Treiberunterstützung für entsprechende RAID Controller und auch daher wird eben ein Image nicht als die Methode der Wahl angesehen. Bei einem einzigen DC kann man das USN Rollback Szenario durchaus vernachlässigen, hier gibt es ja keine Replikation. Darauf spezialisierte Backup Mechanismen, wie beispielsweise das Sichern des Systemstate in der Windows Sicherung halten die Datenbank beim Backup über ein API an, damit eben das nicht passiert. Und das bringt mich wieder an den Punkt, warum sollte ich mir einen Kopf um Images machen, wenn ich ja sicherlich bei so wichtigen Systemen eine entsprechende Backup Strategie habe, die ich auf Funktion und Wiederherstellbarkeit getestet habe, zumindest im Produktivbereich. In der Testumgebung ist das aus meiner Sicht unnötiger Aufwand, da habe ich ja meinen Ausgangspunkt, davon lege ich bei allen VM's eine Offline Kopie zur Seite und nehme die zum Testen. Klappt da was nicht, werfe ich den Kram weg und mache mir eine neue Offline Kopie, da muss ich erst recht nicht mit Images oder Snapshots herumhampeln. Grüsse Gulp

Laufende System sind laufende System, was gibt es da nicht zu verstehen? Wenn der DC läuft ...... no image! Da macht man ein anständiges Backup mit einem Systemstate dazu, das hat man ja ohnehin in seiner Umgebung, wenn man von den IT Systemen abhängt und muss ich sich nicht solche Gedankenspiele mit Images machen. Grüsse Gulp

Jo, meine Rede. Ein einbinden eines 2016er DC's in eine 2003er Domäne geht jedenfalls in normalen Umgebungen, aber der Chef vom TO will ja mehr auf Linux setzen. Sieht man wo es wieder hinführt, wenn man sowas einfach mal eben so umsetzt ohne entsprechendes Know-How über alle Konsequenzen. Mit Bildern: https://techencyclopedia.wordpress.com/2017/02/02/windows-server-migration-2003-to-2016/ Ich würde es ja auch testen, wenn mir nicht meine Zeit zu schade dafür wäre ........ zudem wäre das auch nur ein Test unter Idealbedingungen und nicht in solchen Umgebungen wie der TO da vorliegen hat. Grüsse Gulp

Er will doch gar kein Inplace machen, die 2016er sind neue 2 Maschinen, er will nur die 2003er Domäne migrieren ...... Da nimmt man den frisch installierten 2016, passt auf dem 2003er auf den Domain Functional Level auf, ob der passt und promoted ´den 2016er, fertig: Windows Server 2016 ist eine Windows Server 2003-Gesamtstrukturfunktionsebene erforderlich. Das heißt, bevor Sie einen Domänencontroller, der Windows Server 2016 zu einer vorhandenen Active Directory-Gesamtstruktur ausgeführt wird hinzufügen können, muss die Gesamtstrukturfunktionsebene auf WindowsServer 2003 oder höher sein. Enthält die Gesamtstruktur Domänencontroller unter Windows Server 2003 oder höher die Gesamtstrukturfunktionsebene jedoch Ebene ist immer noch Windows 2000, die Installation ebenfalls blockiert. https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers Sagt Grüsse Gulp

Mit diversen Änderungen im Domain Functional Level gehen durchaus auch diverse Änderungen im DNS einher, deswegen ist es keine gute Idee manche Dienste auf andere Systeme auszulagern. Ich möchte ja jetzt kein Bashing anfangen, aber wenn auf Linux auslagern, warum nicht dann auch konsequent die Domäne auf Samba aufziehen? Sonst wird es aus meiner Sicht ja auch dünn mit stichhaltigen Argumenten etwas auslagern zu wollen. Auch wenn Du nur ausführendes Organ bist, gehört es meiner Ansicht nach zum Job des Verantwortlichen für IT/Server auch dazu dem Chef fundiert klar zu machen warum das auslagern von DNS und aus meiner Sicht auch des DHCP echter unnötiger und aus meiner Sicht auch unsinniger Aufwand ist, wenn man eine Windows Domäne auf einem Windows Server OS betreibt. Ich will damit auch nicht sagen, dass sich eine Windows Domäne nicht auch mit einem BIND DNS und anderen DHCP Lösungen betreiben liesse, aber den Aufwand für ein aus meiner Sicht sehr überschaubares Stück Infrastruktur betreiben zu wollen halte ich entweder für fehlende Sachkenntnis oder eine schlichte ABM und nicht mehr. Und das meine ich wirklich nicht persönlich. Grüsse Gulp

Eine Windows Domäne benötigt spezielle DNS Einträge, wenn diese auf dem BIND fehlen oder nicht während der Erstellung des DC erstellt werden können, hast Du Dein Problem. https://support.microsoft.com/de-de/help/816587/how-to-verify-that-srv-dns-records-have-been-created-for-a-domain-cont https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ In Windows Domänen sollte man den ein oder anderen DC auch als DNS Server konfigurieren, damit solche Einträge auch automatisiert erstellt werden können. Mit externen DNS Servern kann das zwar auch funktionieren, erhöht aber den Wartungsaufwand und natürlich die möglichen Fehlerquellen. Grüsse Gulp

Das hört sich aber eher nach DNS Problemen an und warum willst Du einen schreibgeschützen DC erstellen? Edit: ...., aber eigentlich stehts ja auch da, schreibgeschützte DC's werden erst ab 2008 unterstützt. Einen schreibgeschützten DC brauchts Du in dem Szenario ja auch gar nicht erstellen, da solltest Du Dich besser noch etwas in das Thema vertiefen. Grüsse Gulp

Bei Neustarts denke ich immer gleich an NLA und abweichende Netzwerkprofile mit nicht passender Firewallkonfiguration ....... Grüsse Gulp

Lieber Peter, wlechen Nutzen soll die Beantwortung der Frage ob man Defender auf einem Server 2016 (egal ob Hyper-V oder DC) denn jemandem bringen, der hier nur den Endpoint betrachtet. Das ist wie nach dem Salzgehalt in einer völlig verpfefferten Suppe zu fragen. Deine Frage lässt sich imho nicht wirklich seriös beantworten ohne des Gesamtkonzept der vorhandenen sicherheitsrelavanten Umgebung des Fragestellers und des Antwortenden zu kennen. Je nach Konzept und Umgebung gibt es durchaus Szenarien wo auch an den Virenschutz des Endpoints bestimmt Anforderungen gestellt werden, die von Defender nicht abgedeckt werden können. Grüsse Gulp

Lassen die gleichen Leute Ihr Auto auch so reparieren? Dem Meister der Werkstatt irgendwas sagen und auf die Lösung hoffen? Mit denen würde ich nicht im Auto mitfahren wollen ....... Just my 2 cent. Grüsse Gulp

Click-to-Run erkennt man meist daran, dass die Updates nicht per Windows Update kommen sondern über Office direkt angestossen werden müssen (Unter Datei --> Office-Konto --> Button "Updateoptionen" bei Office Updates) ... Die ISO's sind in der Regel MSI Installationen. Grüsse Gulp