Cryer

Am 1.10.2020 um 17:32 schrieb Cryer:

Zum Thema Upgrade habe ich dieses Video von Haiko Hertes gefunden. Was meint ihr? Das Thema FRS auf DFS kann ich wohl überspringen, weil ja der DC bereits auf Server 2012 R2 basiert und der Befehl "dfsrmig /getglobalstate" bereits "Aktueller globaler DFSR-Status: "Entfernt"" ausgibt.

Mithilfe des Videos habe ich das "Upgrade" problemlos hinbekommen und es funktioniert scheinbar alles bestens. Zumindest was ich aus der Ferne alles testen konnte. Näheres erfahre ich wohl ab Montag. Den Printserver habe ich auf eine eigene VM ausgelagert. Den Fileserver aber nicht.

Ich habe im Netzwerk folgende Server:

Windows Server 2019 als DC und Fileserver

Windows Server 2016 als RDS

Windows Server 2019 als Printserver

Windows Server 2019 als "Datenbankserver" (Es kommt SQL Express im Rahmen von SFirm 4 drauf)

Auf welchen Servern ist ein AV-Programm notwendig? Ist heutzutage überhaupt noch ein AV-Programm notwendig oder reicht der Defender? Welches AV-Programm würdet ihr empfehlen? Auf dem alten DC nutzten wir Eset File Server Security.

Ja, ich bin mir in gewissen Dingen unsicher, deswegen frage ich hier um Rat. Natürlich könnte ich das Ganze auch an eine IT-Fachfirma geben, aber dagegen spricht, dass ich eigentlich der Admin im Haus bin. Außerdem wäre der Lerneffekt gleich Null, wenn ich das jemand anderen machen lasse.

Ich bin in der glücklichen Lage mich ausprobieren zu können und das will ich auch entsprechend nutzen.

Nochmal zurück zu meinen letzten Fragen. Die sind glaub etwas untergegangen. Könnt ihr Bitte darauf nochmal eingehen? Wozu LTSC? Was spricht gegen die "normalen" Versionen, bzw. welche Probleme sind zu erwarten? Was haltet ihr diesem Video von Haiko Hertes? Lohnt ein eigener Printserver wegen nur zwei physikalischen Druckern?

Nur den Profilordner zu löschen reicht seit Windows 7 (vielleicht auch schon seit Vista) nicht mehr. Du musst dann manuell in der Registry noch den entsprechenden Benutzereintrag entfernen. Möglich das Windows darüber stolpert.

Zitat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Den Benutzer findest du im Schlüssel

Zitat

ProfileImagePath

Oder halt den Benutzer gleich über die Systemsteuerung entfernen.

Doch

Zum Thema Upgrade habe ich dieses Video von Haiko Hertes gefunden. Was meint ihr? Das Thema FRS auf DFS kann ich wohl überspringen, weil ja der DC bereits auf Server 2012 R2 basiert und der Befehl "dfsrmig /getglobalstate" bereits "Aktueller globaler DFSR-Status: "Entfernt"" ausgibt.

Des Weiteren überlege ich, ob ich bei der Gelegenheit den Printserver auf eine eigene VM auslagere wie ihr es mir ja immer wieder empfehlt, aber mal ganz ehrlich: Wegen 2 physikalischen Druckern? Andererseits beziehen wir als gemeinnützige Einrichtung unsere Lizenzen bei Stifter-Helfen. Auf eine VM mehr oder weniger kommt es da nicht an. Trotzdem möchte ich auch nicht überdrehen.

Zitat

EDIT: würde mit der Aktualisierung aber eh grad auf den nächsten LTSC Build von Windows Server 2019 warten. Dürfte nächstes Jahr soweit sein. Dann sind auch die neuen beschleunigten ReFs-Features vorhanden. Solange kannst eigentlich gut auf 2012R2 bleiben, wird nicht viel bringen. Nur Printer würde ich rausziehen.

Ist es ein Problem die jetzige Build (im VLSC gibt es eine vom September 2020) zu verwenden und dann regelmäßig das Feature-Upgrade zu machen?

Ich habe an den Standorten unterschiedliche IP-Adressbereiche.

Was bei gleichen Rechner-/Servernamen passiert ist klar, aber ob der Domänename gleich sein muss, damit es ggf. mal verbunden werden kann ist die Frage.

Danke schonmal für die Antwort.

Wir haben ja 13 Dienststellen, die komplett unabhängig voneinander agieren. Zwei davon sind etwas größer und haben jeweils DC-Server, sind aber nicht miteinander verbunden.

Man weis aber nie was in Zukunft einmal sein wird. Macht es daher Sinn vorausschauend Domänen wie ad1.firma.de, ad2.firma.de zu nehmen oder reicht schlichtweg ad.firma.de, das ich immer verwende?

Ich bin gerade am überlegen, ob, bzw. wie ich eine neue Domäne aufbauen soll. Bislang habe ich immer firma.local genommen. Das soll ja heute nicht mehr ganz so üblich sein. Empfohlen wird ja sowas wie ad.firma.de.

Meine Fragen hierzu sind:

1) Macht es sicherheitstechnisch irgend einen Unterschied? Ist das Netzwerk angreifbarer, wenn man ad.firma.de nimmt?

2) Muss ich bei unserem Webhoster eine Subdomain ad.firma.de anlegen oder ist das komplett unabhängig? Wie wäre mit der Subdomain zu verfahren?

3) Welche konkreten Vorteile habe ich, wenn ich anstatt firma.local zukünftig ad.firma.de nehme? Welche Nachteile ergeben sich daraus?

4) Was gibt es allgemein zu beachten?

Wir verwenden keinen Exchange-Server. Die Remote Desktop Services sind nur via VPN erreichbar. Das soll auch so bleiben.

Ich bitte um einfache Antworten, die ich als kleiner Admin auch verstehe.

Also Grund ist, dass ich ja mit dem Gedanken spiele eine ad.firma.de-Domäne zu nehmen, anstatt der vorhandenen *.local und selbst wenn ich die *.local behalten wollte, würde ich gerne einen peinlichen Fehler korrigieren. Bei der Einrichtung damals habe ich nämlich firma.locale geschrieben, anstatt firma.local. Technisch gesehen ist das natürlich egal, aber das Ego ist etwas angegriffen ;)

Wäre es eigentlich möglich einen komplett neuen DC mit neuer Domäne aufzusetzen, aber Benutzer- und Computerobjekte zu übernehmen?

Also die IP des DC im Nachhinein zu ändern soll wohl (auch im späteren Verlauf des Betriebs) zu Problemen führen, wenn man auch nur eine Stellschraube nicht richtig dreht oder im System irgendwo die alte IP noch quer sitzt.

Also die beiden Server sind natürlich virtualisiert. (ESXi 6.7U2)

Den Druckserver auf eine extra VM zu packen halte ich wegen 2 physischen Druckern für übertrieben. Der Server ist in keiner Weise ausgelastet und wir reden hier über 22 Benutzer und 9 Rechner.

Beim Upgrade der Domäne würde ich gerne die IP des DC beibehalten. Ist das irgendwie möglich?

Ich bin auch am überlegen, ob ich die Domäne komplett neu aufsetze. Bislang habe ich eine blub.local-Domäne. Die neue wäre dann ad.blub.de

Ich bin mir aber die Unterschiede und Konsequenzen noch nicht im Klaren. Franky hat dazu was geschrieben, ist aber eher nur angerissen das Thema.

@Nils: Danke für deine Ausführungen. Gibt es dazu irgendwo eine vernünftige, möglichst deutschsprachige, Anleitung?

Ich habe im Netzwerk folgende Konstellation:

Server 1:

Server 2012 R2

Domäne Controller (Active Directory)

DNS-Server

DHCP-Server

Druckserver

Datei-/Speicherdienste

Server 2:

Server 2016

Remotedesktopdienste

Webserver IIS

Ich würde gerne den Server 2012R2 auf Server 2019 aktualisieren. Ich habe aber gelesen, dass das bei Domäne-Controllern nicht mal eben so gemacht werden kann wie bei Windows Clients.

Daher meine Frage an euch, was ich beachten muss und wie man einen solchen Vorgang am besten durchführt.

Auch eine gute Idee. Sagst du mir bitte wie das geht?

Nachdem ich nun einen internen DNS-Namen für unsere Starface-Telefonanlage habe möchte ich im nächsten Schritt die Zertifikatswarnung im Firefox abschalten. (Ein offiziell zertifiziertes Zertifikat kommt nicht in Frage, da diese nur auf FQDNs ausgestellt werden.) Also "einfach" über die GPO das entsprechende zuweisen. Wie das funktioniert wird hier ganz gut beschrieben.

Soweit ist das auch alles nachzuvollziehen, aber ich scheitere an folgendem Punkt:

Zitat

Das Zertifikat SecurityAppliance_SSL_CA.pem muss in folgende zwei Verzeichnisse kopiert werden:

%USERPROFILE%\AppData\Local\Mozilla\Certificates

%USERPROFILE%\AppData\Roaming\Mozilla\Certificates

Wie kann ich das anstellen? Wie kann ich es zentral anstellen, dass das Zertifikat in die angegeben Pfade der Benutzer kopiert wird?

Das einfachste wäre ein Login-Script mit einem "copy"-Befehl, aber irgendwie wirkt mir das gebastelt. Außerdem will ich den Vorgang ja nicht bei jedem Benutzerlogin durchführen.

Wäre für entscheidende Hilfe dankbar.

Das Thema hat mir gestern keine Ruhe mehr gelassen und ich fand letztlich heute Nacht auch die Lösung (für Firefox).

Also: Firefox speichert solche Eingaben in der about:config. Dort sucht man nach "fixup.dom" und bekommt eine Liste angezeigt mit Wörtern denen ein http voran gesetzt werden soll. (Sieh Bild). Dort kann man solche Einträge auch wieder löschen.

Nun wollte ich das irgendwie in die GPO übertragen. Das funktioniert so aber nicht. Die Lösung ist dort die Einstellung "browser.fixup.dns_first for single words". Zu finden ist das unter Computerconfiguration -> Administrative Vorgaben -> Mozilla -> Firefox -> Einstellungen. Diese einfach aktivieren und die Gruppenrichtlinien auf dem Client aktualisieren. (ggf. Client noch neu starten)

Wie der Name schon sagt guckt Firefox bei der Eingabe eines einzelnen Wortes in der Adresszeile erstmal, ob es eine passende DNS-Auflösung dafür gibt. Falls ja, wird ein http:// vorangestellt. Falls nicht wird die eingestellte Standardsuchmaschine befragt.

Die Lösung funktioniert wie gesagt nur für den Firefox. Für den IE und Egde wird es vermutlich ähnliche Einstellungen geben. Da mich diese Browser aber dahingehend nicht weiter interessieren belasse ich es dabei.

Das Thema ist damit erledigt.

Edit: Der entscheidende Input kam von hier [/Edit]

Wie gesagt: Bei meinem zweiten Arbeitgeber wird das http, bzw. https automatisch ergänzt. Ich tippe "auskunft" in die Adresszeile und lande auf https://auslunft, der Plattform zur Personensuche oder ich tippe "intranet" ein und landet auf https://intranet. Kürzel dieser Art gibt es viele dort.

Zurück zu meinem Fall: Es wird, nachdem ich im Firefox einmal bestätigt habe, dass ich http://starface meine sich diese Einstellung gemerkt und das selbst nachdem ich die gesamte Chronik gelöscht habe. Irgendwo wird also gespeichert, dass "starface" auf "http://starface" umgeleitet werden soll. Die Frage ist nur wo und wie ich das dann ggf. via Gruppenrichtlinie bekannt machen kann. (Die Starface selbst leitet http auf https um)

Es muss also irgendwie funktionieren. Ich werde morgen mal gucken, ob ich zu einem der Admins durchkomme und ich Auskunft darüber erhalte, wie das gelöst wurde. Es interessiert mich schon technisch. Hier scheint das leider niemand zu wissen, bzw. es wird für unmöglich gehalten :-(

Du meinst wohl von "starface" auf "https://starface". Wenn ich wüsste wie das geht hätte ich das gemacht. Vielleicht kann mir hier jemand weiterhelfen?

Wenn ich "http://starface" eingebe wird das "https://" automatisch aufgerufen.

Genau Dukel. Bei meinem zweiten Arbeitgeber funktioniert aber diese vereinfachte Eingabe. Dort gibt man beispielsweise schlichtweg "auskunft" im Browser ein und landet auf der Seite, wo man nach Personen / Telefonnummern suchen kann. Dort gibt es eine Vielzahl an solchen Kürzeln. Leider bin ich dort nur ein kleines Licht in einer der zahlreichen Ableitungen und nicht einer der großen Admins.

Edit: Also bei meinem zweiten Arbeitgeber wird automatisch ein "https://" vorneweg gestellt. Das müsste man nun auch irgendwie hinbekommen. Ob das per Umleitung passiert oder wie das geregelt wurde weiß ich nicht. Ein Addon wurde dafür aber nicht installiert.

Tatsache funktioniert fast wie erwartet. Damit habe ich nicht gerechnet.

Einen kleinen Schönheitsfehler gibt es aber dennoch: Beim ersten Aufruf  im Firefox musste ich bestätigen, dass ich https://starface aufrufen möchte. Vorher wurde die Google-Suche aufgerufen. Kann man das noch irgendwie abschalten?

Internet Explorer und Edge laden die Bing-Suche, ohne eine Möglichkeit der "Korrektur". Gut, der IE ist es jetzt das Maß der Dinge, zeigt mir aber, dass es noch nicht ganz so funktioniert, wie ich das erwarte. Chrome habe ich nicht installiert. Muss noch was bedacht werden?

[Edit] Wenn ich https://starface eingebe funktioniert es. Ich will aber, dass es reicht nur "starface" einzugeben[/Edit]

vor 13 Minuten schrieb testperson:

das solltest du direkt korrigieren und nur den (bzw. im Optimalfall die) DNS der Domäne, also den DC in deinem Fall, eintragen.

Erledigt, Danke

So einfach? Einfach manuell einen Eintrag machen?

Also der Server 2019 ist der DC, DNS, DHCP und Druckserver (Wegen zwei Drucker erstelle ich keine zusätzliche VM) und steht bei uns im Haus.

Die Clients erstellen automatisch ihre Einträge in der Forward-Lookupzone und der Reverse-Lookupzone die natürlich eingerichtet wurden.

In den Eigenschaften habe ich unter Weiterleitungen den Google-DNS (8.8.8.8) eingetragen. Bedingte Weiterleitungen gibt es nicht.

Im DHCP sind die Option Router, DNS-Server aktiviert. (DNS ist einmal der DNS-Server selbst und einmal der Router (glaube das ist irgendwie widersprüchlich zur eingetragenen Weiterleitung im DNS ) eingetragen)

Die Fritz-Box hat DHCP deaktiviert (logisch) und stellt die Verbindung ins Internet her, stellt die "Standleitung" via VPN ins Rechenzentrum zur Starface (FritzBox -> Internet -> Freigaben -> VPN) und ermöglicht mir den VPN-Zugriff von Zuhause aus ins Firmennetz. Mehr macht die Box nicht.

Im Grunde ist das denke ich soweit Standard, deswegen habe ich das nicht extra erwähnt. Müsst ihr noch mehr wissen, um mir helfen zu können?

Das ich nicht weis, wie ich nun dafür sorgen tragen kann, dass das gewünschte Vorhaben klappt.