Cryer

Ich bin gerade am überlegen, ob, bzw. wie ich eine neue Domäne aufbauen soll. Bislang habe ich immer firma.local genommen. Das soll ja heute nicht mehr ganz so üblich sein. Empfohlen wird ja sowas wie ad.firma.de. Meine Fragen hierzu sind: 1) Macht es sicherheitstechnisch irgend einen Unterschied? Ist das Netzwerk angreifbarer, wenn man ad.firma.de nimmt? 2) Muss ich bei unserem Webhoster eine Subdomain ad.firma.de anlegen oder ist das komplett unabhängig? Wie wäre mit der Subdomain zu verfahren? 3) Welche konkreten Vorteile habe ich, wenn ich anstatt firma.local zukünftig ad.firma.de nehme? Welche Nachteile ergeben sich daraus? 4) Was gibt es allgemein zu beachten? Wir verwenden keinen Exchange-Server. Die Remote Desktop Services sind nur via VPN erreichbar. Das soll auch so bleiben. Ich bitte um einfache Antworten, die ich als kleiner Admin auch verstehe.

Also Grund ist, dass ich ja mit dem Gedanken spiele eine ad.firma.de-Domäne zu nehmen, anstatt der vorhandenen *.local und selbst wenn ich die *.local behalten wollte, würde ich gerne einen peinlichen Fehler korrigieren. Bei der Einrichtung damals habe ich nämlich firma.locale geschrieben, anstatt firma.local. Technisch gesehen ist das natürlich egal, aber das Ego ist etwas angegriffen ;)

Wäre es eigentlich möglich einen komplett neuen DC mit neuer Domäne aufzusetzen, aber Benutzer- und Computerobjekte zu übernehmen?

Also die IP des DC im Nachhinein zu ändern soll wohl (auch im späteren Verlauf des Betriebs) zu Problemen führen, wenn man auch nur eine Stellschraube nicht richtig dreht oder im System irgendwo die alte IP noch quer sitzt.

Also die beiden Server sind natürlich virtualisiert. (ESXi 6.7U2) Den Druckserver auf eine extra VM zu packen halte ich wegen 2 physischen Druckern für übertrieben. Der Server ist in keiner Weise ausgelastet und wir reden hier über 22 Benutzer und 9 Rechner. Beim Upgrade der Domäne würde ich gerne die IP des DC beibehalten. Ist das irgendwie möglich? Ich bin auch am überlegen, ob ich die Domäne komplett neu aufsetze. Bislang habe ich eine blub.local-Domäne. Die neue wäre dann ad.blub.de Ich bin mir aber die Unterschiede und Konsequenzen noch nicht im Klaren. Franky hat dazu was geschrieben, ist aber eher nur angerissen das Thema. @Nils: Danke für deine Ausführungen. Gibt es dazu irgendwo eine vernünftige, möglichst deutschsprachige, Anleitung?

Ich habe im Netzwerk folgende Konstellation: Server 1: Server 2012 R2 Domäne Controller (Active Directory) DNS-Server DHCP-Server Druckserver Datei-/Speicherdienste Server 2: Server 2016 Remotedesktopdienste Webserver IIS Ich würde gerne den Server 2012R2 auf Server 2019 aktualisieren. Ich habe aber gelesen, dass das bei Domäne-Controllern nicht mal eben so gemacht werden kann wie bei Windows Clients. Daher meine Frage an euch, was ich beachten muss und wie man einen solchen Vorgang am besten durchführt.

Auch eine gute Idee. Sagst du mir bitte wie das geht?

Nachdem ich nun einen internen DNS-Namen für unsere Starface-Telefonanlage habe möchte ich im nächsten Schritt die Zertifikatswarnung im Firefox abschalten. (Ein offiziell zertifiziertes Zertifikat kommt nicht in Frage, da diese nur auf FQDNs ausgestellt werden.) Also "einfach" über die GPO das entsprechende zuweisen. Wie das funktioniert wird hier ganz gut beschrieben. Soweit ist das auch alles nachzuvollziehen, aber ich scheitere an folgendem Punkt: Wie kann ich das anstellen? Wie kann ich es zentral anstellen, dass das Zertifikat in die angegeben Pfade der Benutzer kopiert wird? Das einfachste wäre ein Login-Script mit einem "copy"-Befehl, aber irgendwie wirkt mir das gebastelt. Außerdem will ich den Vorgang ja nicht bei jedem Benutzerlogin durchführen. Wäre für entscheidende Hilfe dankbar.

Das Thema hat mir gestern keine Ruhe mehr gelassen und ich fand letztlich heute Nacht auch die Lösung (für Firefox). Also: Firefox speichert solche Eingaben in der about:config. Dort sucht man nach "fixup.dom" und bekommt eine Liste angezeigt mit Wörtern denen ein http voran gesetzt werden soll. (Sieh Bild). Dort kann man solche Einträge auch wieder löschen. Nun wollte ich das irgendwie in die GPO übertragen. Das funktioniert so aber nicht. Die Lösung ist dort die Einstellung "browser.fixup.dns_first for single words". Zu finden ist das unter Computerconfiguration -> Administrative Vorgaben -> Mozilla -> Firefox -> Einstellungen. Diese einfach aktivieren und die Gruppenrichtlinien auf dem Client aktualisieren. (ggf. Client noch neu starten) Wie der Name schon sagt guckt Firefox bei der Eingabe eines einzelnen Wortes in der Adresszeile erstmal, ob es eine passende DNS-Auflösung dafür gibt. Falls ja, wird ein http:// vorangestellt. Falls nicht wird die eingestellte Standardsuchmaschine befragt. Die Lösung funktioniert wie gesagt nur für den Firefox. Für den IE und Egde wird es vermutlich ähnliche Einstellungen geben. Da mich diese Browser aber dahingehend nicht weiter interessieren belasse ich es dabei. Das Thema ist damit erledigt. Edit: Der entscheidende Input kam von hier [/Edit]

Wie gesagt: Bei meinem zweiten Arbeitgeber wird das http, bzw. https automatisch ergänzt. Ich tippe "auskunft" in die Adresszeile und lande auf https://auslunft, der Plattform zur Personensuche oder ich tippe "intranet" ein und landet auf https://intranet. Kürzel dieser Art gibt es viele dort. Zurück zu meinem Fall: Es wird, nachdem ich im Firefox einmal bestätigt habe, dass ich http://starface meine sich diese Einstellung gemerkt und das selbst nachdem ich die gesamte Chronik gelöscht habe. Irgendwo wird also gespeichert, dass "starface" auf "http://starface" umgeleitet werden soll. Die Frage ist nur wo und wie ich das dann ggf. via Gruppenrichtlinie bekannt machen kann. (Die Starface selbst leitet http auf https um) Es muss also irgendwie funktionieren. Ich werde morgen mal gucken, ob ich zu einem der Admins durchkomme und ich Auskunft darüber erhalte, wie das gelöst wurde. Es interessiert mich schon technisch. Hier scheint das leider niemand zu wissen, bzw. es wird für unmöglich gehalten :-(

Du meinst wohl von "starface" auf "https://starface". Wenn ich wüsste wie das geht hätte ich das gemacht. Vielleicht kann mir hier jemand weiterhelfen? Wenn ich "http://starface" eingebe wird das "https://" automatisch aufgerufen.

Genau Dukel. Bei meinem zweiten Arbeitgeber funktioniert aber diese vereinfachte Eingabe. Dort gibt man beispielsweise schlichtweg "auskunft" im Browser ein und landet auf der Seite, wo man nach Personen / Telefonnummern suchen kann. Dort gibt es eine Vielzahl an solchen Kürzeln. Leider bin ich dort nur ein kleines Licht in einer der zahlreichen Ableitungen und nicht einer der großen Admins. Edit: Also bei meinem zweiten Arbeitgeber wird automatisch ein "https://" vorneweg gestellt. Das müsste man nun auch irgendwie hinbekommen. Ob das per Umleitung passiert oder wie das geregelt wurde weiß ich nicht. Ein Addon wurde dafür aber nicht installiert.

Tatsache funktioniert fast wie erwartet. Damit habe ich nicht gerechnet. Einen kleinen Schönheitsfehler gibt es aber dennoch: Beim ersten Aufruf im Firefox musste ich bestätigen, dass ich https://starface aufrufen möchte. Vorher wurde die Google-Suche aufgerufen. Kann man das noch irgendwie abschalten? Internet Explorer und Edge laden die Bing-Suche, ohne eine Möglichkeit der "Korrektur". Gut, der IE ist es jetzt das Maß der Dinge, zeigt mir aber, dass es noch nicht ganz so funktioniert, wie ich das erwarte. Chrome habe ich nicht installiert. Muss noch was bedacht werden? [Edit] Wenn ich https://starface eingebe funktioniert es. Ich will aber, dass es reicht nur "starface" einzugeben[/Edit] Erledigt, Danke

So einfach? Einfach manuell einen Eintrag machen?

Also der Server 2019 ist der DC, DNS, DHCP und Druckserver (Wegen zwei Drucker erstelle ich keine zusätzliche VM) und steht bei uns im Haus. Die Clients erstellen automatisch ihre Einträge in der Forward-Lookupzone und der Reverse-Lookupzone die natürlich eingerichtet wurden. In den Eigenschaften habe ich unter Weiterleitungen den Google-DNS (8.8.8.8) eingetragen. Bedingte Weiterleitungen gibt es nicht. Im DHCP sind die Option Router, DNS-Server aktiviert. (DNS ist einmal der DNS-Server selbst und einmal der Router (glaube das ist irgendwie widersprüchlich zur eingetragenen Weiterleitung im DNS ) eingetragen) Die Fritz-Box hat DHCP deaktiviert (logisch) und stellt die Verbindung ins Internet her, stellt die "Standleitung" via VPN ins Rechenzentrum zur Starface (FritzBox -> Internet -> Freigaben -> VPN) und ermöglicht mir den VPN-Zugriff von Zuhause aus ins Firmennetz. Mehr macht die Box nicht. Im Grunde ist das denke ich soweit Standard, deswegen habe ich das nicht extra erwähnt. Müsst ihr noch mehr wissen, um mir helfen zu können?

Das ich nicht weis, wie ich nun dafür sorgen tragen kann, dass das gewünschte Vorhaben klappt.

Ich habe einen DNS-Server im Netzwerk, basierend auf Windows Server 2019

Also natürlich hat die TK-Anlage einen Hostname, allerdings steht sie wie gesagt in einem Rechenzentrum und wird via VPN der Fritz-Box eingebunden. Der Hostname ist im lokalen Netzwerk nicht verfügbar. Bislang greifen wir über die IP 10.20.x.x auf die Anlage zu. Das lokale Netzwerk hat 192.168.x.x. Ich will also nun dafür sorgen, dass man im Browser "starface" eingibt und dann auf der Starface landet. Im Browser sollte dann auch "starface", bzw. https://starface stehen und nicht "10.20.x.x". Wegen der Zertifikate ist nochmal ein anderes Thema.

Wir haben eine Starface-Telefonanlage im Rechenzentrum und über die FritzBox quasi eine Standleitung via VPN dorthin. Läuft soweit auch. Doof nur, dass man immer die IP der Starface in den Browser eingeben muss um auf die Weboberfläche zu kommen, bzw. auch im dazugehörigen Clientprogramm. Gibt es eine Möglichkeit einen DNS-Namen einzurichten, der direkt auf die IP zeigt, so dass die Benutzer nur noch "starface" im Browser eintippen müssen? Entweder einzurichten an der FritzBox (7490 / 7590) oder über den DNS-Server von Windows Server 2019?

Also 32 Bit wurde schon zu Vista-Zeiten (was wir eh mehr oder weniger übersprungen haben) nur in Ausnahmefällen eingesetzt. Seit Windows 7 gar nicht mehr. Von daher erübrigt es sich 32 Bit Treiber zur Verfügung zu stellen.

Ich habe in der GPO die Ordnerumleitungen für AppData, Desktop, Dokumente, Bilder, Musik, Videos und Downloads aktiviert. Macht es Sinn trotzdem noch ein servergespeichertes Benutzerprofil anzugeben? Bislang habe ich da nichts gemacht. Was sind die Vor- und Nachteile, bzw. welche Auswirkungen hätte es jeweils?

Was hat der WSUS damit zu tun? Ich verwalte 10 Rechner und ~23 Mitarbeiter an dieser Dienststelle. Mit dem WSUS wollte ich eigentlich nichts machen. Sehe dafür keine Notwendigkeit.

Ich habe meinen Beitrag nochmal editiert. Vermutlich hat sich das überschritten. Das Layout lässt sich vom Benutzer teilweise ändern / erweitern, wenn man die XML etwas bearbeitet. (Anleitung hier, Abschnitt "Layout nur teilweise erzwingen") Mir geht es in diesem Thread aber darum, dass die Kacheln für "Dieser PC", der "Editor" und "TeamViewer" nicht angezeigt werden und mir unklar ist, warum das so ist.

Ich würde gerne ein Startlayout für die Benutzer vorgeben. So soll es aussehen: Das ist das Ergebnis. Die Schlösser sind normal, weil ich diese Gruppen fest vorgegeben habe und nicht vom Benutzer zu ändern sind. Ich habe euch die XML angehängt. Wäre toll, wenn jemand eine Idee hat. startlayout.xml

Na das bissel Software installiere ich selber, die Programme updaten sich selbst (oder ich spiele die von Hand ein) und Windows holt sich seine Updates ohnehin selber. Ich habe noch nie was mit Softwareverteilung gemacht. Dafür sind wir auch zu klein.