NorbertFe

Das eine sind "Serveroptionen" die mußt du halt für JEDEN Server konfigurieren, aber sie gelten dann für alle DHCP-Bereiche und das was du konfiguriert hast sind Bereichsoptionen, die mußt du per Bereich definieren, kannst dann aber von den Serveroptionen abweichen. Das hat genau nix mit Failover zu tun. ;)

Das steht üblicherweise drin, wer dafür verantwortlich ist. Wie gesagt, das reicht nicht. Du brauchst entweder den namen autodiscover für domain B auch im Zertifikat oder du mußt eine andere IP und http redirect verwenden. im lokalen DNS sollte das eigentlich nur notwendig sein, wenn du dort nicht mit Windows Domainmembern hantierst bspw. Handy oder private Geräte. Sinnvollerweise konfiguriert man es aber trotzdem für alle. Alternativ holt man sich jemanden, der sich damit auskennt. :) Bye Norbert

Dann mußt du auch für korrektes Autodiscover sorgen. Entweder indem du die Zertifikate mit der neuen Domain zusätzlich versiehst (autodiscover.domainB.tld) oder indem du http redirect konfigurierst. Und wer erstellt diese Nachricht? Sieht nicht nach Exchange aus. Habt ihr noch ein Antispamgateway?

Domänen-Admins haben keine Rechte zu auf nicht DCs zu haben. Das ist schon lange ein schlechtes Design. Es gibt auch keine Probleme, wenn man entsprechende Vorsorge trifft, dass man eben auf diese Systeme mit anderen Admins (notfalls sogar mit dem lokalen) rankommt.

Dann gib den Usern halt ein entsprechend sicheres Kennwort, welches Sie innerhalb der Session ändern können. ;)

Das is der falsche Weg. Definiere einfach ein gegenteiliges gpo für diesen pc.

Ok das ist dann scheinbar neu. :)

Das dürfte nicht Windows Server 2019 sein.

Mit der entsprechenden Anzahl Core Lizenzen. ;)

Würde ich nicht freiwillig machen. Hat man irgendwann zig aliase mit der selben Begründung. ;)

Nee aber ne Schachtelung. ;)

Welche denn?

Du musst nur die Windows vms lizenzieren (über den Host). Linux vms kannst du auch 126 Stück ohne Lizenzen betreiben, solange dein Host (Anzahl der cpu Cores) korrekt lizenziert ist (und da darfst dann 126 Linux vms plus 2 Windows vms betreiben. Willst du mehr Windows vms brauchst du mehr Windows Lizenzen für den Host. bye norbert ps: das heißt Lizenzieren!

So regeln wir das auch, dass wir das während der Betriebszeit tun. Oder gegen Aufpreis gern auch zu einer Zeit außerhalb der normalen Arbeitszeiten.

Macht ihr keine Vorgaben für sowas? Mal davon abgesehen empfehle ich, überall smb1 zu deinstallieren/deaktivieren, dann wäre die Situation vermutlich sogar egal, denn niemand kann dann smb1 sprechen. https://www.faq-o-matic.net/2017/08/21/smbv1-netzwerkweit-deaktivieren/ schon wieder 3 Jahre alt der Artikel.

Smb1 ist auf einem Windows 2019 per default doch deaktiviert.

Hat er doch. Der Tag hat 24h und die Nacht nochmal 12h und nachmittags sind auch noch 6h genau wie vormittags. ;)

Und das bedeutet was für deine Umgebung? ;)

Schwer möglich beim built-in Admin.

Wie dir gesagt wurde, haben domänenadmins auf einem pc genau nichts verloren!

Du kannst keine getrennten Domänen "verbinden" und wenn die auch noch gleichlautend benannt sind, kannst du nicht mal einen Trust einrichten. Jetzt klarer? Ansonsten sehe ich das wie Jan.

Sagt wer? Dein Wissensstand ist da nicht ganz korrekt. Ich würde an deiner Stelle da einfach "nichts" machen.

Ohne Deinstallation gehts auch: https://www.borncity.com/blog/2020/09/22/windows-server-2016-workaround-fr-gpo-mmc-wsecedit-dll-fehler/ Dort in den Kommentaren!

Was sagt denn deine Erfahrung zu dieser Frage? ;)