zahni

Du kannst mit Boardmitteln auch durchgängig IPSEC implementieren. Allerdings wirst Du es hassen. Port-Security ist übrigens auch nicht zu 100 Prozent sicher. Siehe den Abschnitt dazu https://de.wikipedia.org/wiki/IEEE_802.1X . Damit NPS sinnvoll funktioniert, muss man es im LAN auch mit 802.1x der Switche verheiraten.

Wie gesagt: Nur ein allgemeiner Hinweis. Ich halte nichts davon sich ein Macbook zu kaufen um dann darauf Windows via Bootcamp zu installieren. Hier gibt es genug gute Alternativen. Z.B. Dell XPS 13 9310, oder so. Besonders der Touchpad-Treiber bietet hier nicht den vollen Funktionsumfang bzgl. Multitouch-Gesten wie unter Mac-OS. Bei dem Macbook Pro, dass ich vorher hatte, hatte auch der WLAN-Treiber einen heftigen Bug: War in der Fritzbox PMF oder gar WPA3 aktiviert (erzwingt PMF), brauchen die Übertragungsraten massiv ein. Der native MacOS-Treiber hatte das Problem nicht. Teams würfelt offenbar auch anhand irgendwelcher Rahmenbedingen aus, ob man Hintergründe reinrechnen darf, oder nicht. Lt. Doku muss die CPU AVX2 können. Bestimmte Versionen von Videotreibern können aber auch stören.

Für Benutzer auf der Ebene der Freigabe nur das Recht "Ändern" erteilen. Wir hatten vor Jahren mal Hobby-Admins, die NTFS-Rechte verstellt haben. Das Rechte "Ändern" auf der Freigabe verhindert jegliche Änderung der NTFS-Rechte.

Die Treiber von Bootcamp sind oft suboptimal und werden von Apple nur sporadisch aktualisiert. Ich nutze privat im Moment ein Macbook Air M1. Da hat sich Bootcamp eh erledigt. Teams funktioniert mit Big Sur ohne Probleme. Nur die Verwendung von Hintergründen scheint im Moment von MS deaktiviert zu. Teams wurde auch noch nicht auf Apple Sillicon portiert, der Rest von Office dagegen schon.

Poste mal ipconfig /all vom DC und vom Client.

Ich kann hier nur den Rat geben, dass Du in dieser Art keine neuen Web-Anwendungen mehr entwickeln solltest. Ich kann mir gut vorstellen, dass CGI-Anwendungen mittlerweile auch in IIS so gekapselt werden, dass sie nicht mehr "Ausbrechen" können. Und somit können DLL im Kontext der CGI-Anwendung nicht auf Datenbanken zugreifen. Alternativen findest du hier: https://www.saotn.org/test-mysql-database-connectivity-aspnet-php-asp/

Cortana habe ich im Windows 10 LTSC auch noch nicht entdeckt. Und das ist gut so.

Ich kenne die Installationsanforderungen für den DPM nicht. Es ist aber eine gute Idee, den SQL mit einem Domain-Konto laufen zu lassen und die Kerberos-Konfig zu prüfen: https://www.microsoft.com/en-us/download/details.aspx?id=39046 Damit sich Computer-Konten anmelden können, muss selbige korrekt sein.

Nur aus Interesse: Was fehlt denn?

Der Umfang sollte identisch mit der Windows 10 LTSC-Version sein (Build 1809). Wir verwenden Windows 10 1809 LTSC und haben noch keine negativen Auswirkungen festgestellt, zumal der neue Edge-Browser nun auch auf 1809 verfügbar ist. Das der Store nicht verfügbar ist, werten wir als Vorteil

Bei Windows-Clients sollte das Problem überhaupt nicht auftreten. Lies Dir bitte nochmal den Artikel von MS durch. Probleme sind eher bei Nicht-Windows-Geräten zu erwarten (z.B. Drucker oder andere Sachen unter Unix/Linux etc.)

Ich wiederhole mich: Wenn irgendeins der Geräte zum Server das macht, findest Du die entsprechenden Events im Eventlog des modernen Servers, der den Patch installiert hat. Wenn da nicht steht machen die auch nichts. Du kannst in der Registry den Patch auf den DCs auch zwangsweise aktivieren (geht ohne Neustart). Wenn es nicht geht: Rolle rückwärts. Außerdem wird es Zeit...

Bei HTTP-Anfragen wertet der Reverse-Proxy den HTTP-Host-Header aus und kann die Anfragen dann an einen internen Server mit einem anderen Namen weiterleiten. Wichtig ist, dass die Web-Anwendung keine harten Links auf den internen Namen des Servers hat. Bei SSL endet der SSL Tunnel am Proxy. Soll mehr als ein interner Server bedient werden, muss das externe SSL-Zertifikat für beide externe Host-Namen ausgestellt sein und der Browser SNI unterstützen. Hier erfolgt die Weiterleitung auch über den Host-Header. Intern kann SSL mit einem internen Zertifikat gemacht werden, dem der Proxy vertraut.

Wenn die neusten Updates installiert sind, einfach die Eventlogs absuchen. Wo ist das Problem? Steht doch in der Anleitung von MS.

Ich meine trotzdem, dass man zum Erstellen einer Sub-Domain Enterprise-Admin sein muss (zu Deutsch: Mitglied in de Gruppe "Organisations-Admins"). Das ist man als schnöder Domain-Admin nämlich nicht.

Bist Du Enterprise-Admin? Im Zweifel ist es das Konto "Administrator". Ansonsten hoffe ich, dass Du das nur zu Schulungszwecken machst. Im realen Betrieb sollte man da unbedingt vermeiden.

Und es wäre schön, wenn AVM endlich mal IKEv2 unterstützen würde. Dann klappt es vielleicht auch mit dem Windows-VPN-Client. Man fragt sich, wo dort das Problem liegt.

Hat ja nicht weh getan. Einfach vorher die Eventlogs nach den beschriebenen Events absuchen. Bei uns ist das schon aktiv,

Sehe ich so wie Norbert. Im RZ haben wir zwei getrennte Stacks zur Ausfallsicherheit des Netzwerks. Da kann ich den DC nicht von ausnehmen. Die virtuellen DCs bekommen die Ausfallsicherheit über eine ähnliche Funktion im ESX. Dürfte technisch keinen großen Unterschied machen.

Microsoft ist sich da selber nicht ganz einig: http://techgenix.com/active-directory-insights-part6/ Das ist wohl ein Misch-Masch aus alten Windows-Versionen und als Windows noch kein Teaming konnte. Ich habe auf dem physikalischen DC hier mit Switch-Independent und Load-Balancing "Dynamic" noch keine Probleme festgestellt. Das spielt sich doch auf L2 ab??

Was war dein Problem? Die phys. NIC müssen im gleichen L2-Netz hängen. "Switch Independent" geht, wie der Name schon sagt, fast immer. Wenn Du mehr als ein L3-Netz hast, braucht Dein Router eine DHCP-Relay-Funktion.

Windows DHCP-Server müssen im AD autorisieret werden.

Die virtuelle Teaming-NIC bekommt nur eine IP-Adresse. Den anderen physikalischen NICs dürfen keine IP-Adressen zugewiesen werden.

Der Wichtig-Kasten: https://docs.microsoft.com/de-de/troubleshoot/windows-server/networking/dns-cname-alias-cannot-access-smb-file-server-share

Das soll Netdom wohl machen.