NilsK

Moin, der Kennwort-Sync ist eine Krücke, die aus Sicherheitssicht möglichst schnell überwunden gehört. Viel sinnvoller ist ein Federation-Konzept, bei dem nur im internen Netz des Kunden die Kennwörter liegen und auch nur dort die Authentisierung gemacht wird. Insofern ist dein Hinweis auf andere Produkte unpassend (oder auch einfach falsch). Gruß, Nils

Moin, im übrigen gibt es bei Software natürlich weder "Neuware" noch "Gebrauchtware". Diese Analogien taugen nichts. Das sind ganz andere Wirtschaftsgüter und ganz andere Vertragsformen. Und darüber hinaus bringen Diskussionen darüber in einem Forum wie diesem genau gar nichts. Tatsächlich würde nicht mal eine Diskussion mit einem versierten Anwalt irgendwas nützen. Wenn Microsoft der Meinung ist, dass der Kunde nicht richtig lizenziert hat, dann hat der Kunde ein Problem und in jedem Fall erhebliche Kosten. Da hilft auch ein Gericht nicht, das steigert nur das Kostenrisiko. Gruß, Nils

Moin, dann ist dein Verteiler nur von intern erreichbar. Er nimmt nur Mails von authentifizierten Absendern an. Wenn du das ändern willst, findest du das Häkchen dafür in den Eigenschaften des Verteilers. Gruß, Nils

Moin, sorry, euch das sagen zu müssen - aber ihr seid heftig auf dem Holzweg. Der Default Switch in Client Hyper-V (also unter Windows 10) ist nicht "Grütze", sondern sinnvoll. Es handelt sich um einen NAT-Switch, mit dem man VMs sehr einfach "ins Internet" bekommt, auch bei wechselnder Anbindung des Hosts (ein Notebook etwa ist ja manchmal über LAN und manchmal über WLAN verbunden). Den zu löschen, ist eine ganz, ganz blöde Idee. Zu dem eigentlich gewünschten Szenario kann ich mangels eigener Erfahrung mit so einem Setup nichts sagen. Aber ihr seid falsch abgebogen. Wenn man den Default Switch nicht nutzen will, dann nutzt man ihn halt nicht. Hat man den mal entfernt oder manipuliert, bekommt man ihn kaum noch repariert. Gruß, Nils

Moin, tatsächlich kommen zwei heiße Kandidaten in der lokalen Suche, wenn man ins Suchfeld einfach "maus" eintippt. Gruß, Nils

Moin, jo, versteh ich. Schön sind dabei auch Kunden, die mal schnell mehrere Lösungen parallel eingeführt haben und sich darin nun verheddern. Gruß, Nils

Moin, "wenn man Teams richtig nutzen möchte", sollte man sowieso viel mehr als nur ein paar technische Details betrachten. Eine Teams-Einführung ist ein Organisationsprojekt, kein technisches. Gruß, Nils

Moin, wozu werden die Zertifikate verwendet? Wozu sollen die Werte da drinstehen? Gruß

Moin, in "einem Buch" zum Thema auf Seite 483. Dort habe ich dann vorgeschlagen: Und der Vollständigkeit halber hier noch der "Algorithmus" für den Pool. Da gibt es keine "Abstimmung". Gruß, Nils

Moin, damit sehe ich, dass ein bestimmter Computer anfragt. Ich habe aber keinen Hinweis, ob die Applikation dort "gut" konfiguriert ist oder "schlecht". Das muss ich auf dem System prüfen. Wenn das schon die gewünschte Erleichterung ist - prima. Mehr wird man aber nicht erreichen können. Gruß, Nils

Moin, dann haben wir bislang nicht aneinander vorbeigeredet. Es scheint mir eher so, als würden dir die Antworten nicht passen - was verständlich ist, weil es eben leider nicht so einfach ist, wie du dir das denkst. In deinem Beispiel könntest du testen, ob du dort einfach den DNS-Namen der Domäne eintragen kannst und nicht den Namen oder die IP-Adresse eines DCs. Meist funktioniert das. Der DNS-Server gibt dann die Adresse eines der vorhandenen DCs zurück (vereinfacht gesagt nach Round Robin). Wenn dein AD also ordentlich gepflegt ist, machst du dich damit unabhängig von konkreten Servern. Wo und wie du die Applikationen findest, wirst du selbst herausfinden müssen. Ob das Eventlog oder die Firewall dabei wirklich helfen, wage ich zu bezweifeln. Am Ende bleibt es so, wie ich oben geschrieben habe: Diese Stellen sehen nur, dass eine Verbindung stattfindet. Was dahintersteckt, können sie nicht unterscheiden. Abschließend rate ich noch von dem Load-Balancer-Konstrukt entschieden ab. Gruß, Nils

Moin, dann ist mir das Problem nicht klar, das du lösen willst. Beschreibe bitte noch mal. Und bitte nie-, nie-, niemals bei DCs mit Alias-Namen arbeiten. Das ist aus gutem Grund nicht supportet. Gruß, Nils

Moin, hm ... klingt alles nicht plausibel. Wenn der Hersteller VMs in Hyper-V unterstützt und keine Erfahrung mit Hyper-V-Clustern hat, aber Live Migrations zulässig sind - warum sollte er seine Software dann ausdrücklich den Regkey prüfen lassen? Jans Hinweis dürfte die betreffende Schnittstelle abschalten, aber ich glaube nicht, dass es das ist. Ergänzung: Falls die VM nach der Live Migration neu gestartet wird und keine Vorkehrungen getroffen wurden, hat sie nach dem Reboot eine neue MAC-Adresse auf jeder Netzwerkkarte. Die dynamischen MACs werden vom Host verwaltet und beim Starten einer VM zugewiesen. Abhilfe wäre dann, eine MAC statisch zuzuweisen. Gruß, Nils

Moin, mag sein, aber das hilft dir ja nicht. Du siehst dann, dass Computer X eine Abfrage gestellt hat. Ob Die Applikation auf Computer X aber auf einen festen Servernamen zugreift (und dann fehlschlägt, wenn es den Namen nicht mehr gibt) oder ob die Applikation den Namen aktuell aufgelöst hat, siehst du auf die Weise nicht, Du wirst dir also die Applikationen auf den Endgeräten ansehen müssen. Da normalerweise eine Applikation X immer auf dieselbe Weise konfiguriert ist, auch wenn sie auf 2000 Clients eingerichtet wurde, ist der Prüf-Aufwand typischerweise nicht so groß. Der Aufwand zum Ändern kann aber schon beträchtlich sein. Man könnte auch dem neuen DC einfach den Namen und die IP-Adresse des alten geben, sobald dieser entfernt wurde. Das ist aber keine Lösung des Problems, sondern verschiebt es nur in die Zukunft. Gruß, Nils

Moin, okay, danke für die Rückmeldung. Das Konstrukt spricht jetzt wirklich nicht für die Software. Aber gut, wenn es dem Kunden das wert ist ... immerhin muss er sich keinen Mainframe hinstellen, auch wenn es nah dran ist. Gruß, Nils

Moin, und in csvde.exe ist das der Schalter -p, die Werte sind Base, OneLevel oder SubTree. csvde /? CSV-Verzeichnisaustausch Allgemeine Parameter ==================== -i Aktiviert den Importmodus (Standard: Export) -f Dateiname Dateiname für die Ein- bzw. Ausgabe -s Servername Server, zu dem gebunden wird (Standard: Domänencontroller der Domäne des Computers) -v Aktiviert den ausführlichen Modus -c VonDN ZuDN Ersetzt Vorkommnisse von "VonDN" mit "ZuDN" -j Pfad Pfad zur Protokolldatei -t Port Portnummer (Standard: 389) -u Verwendet das Unicodeformat -h Aktiviert SASL-Signaturen und die SASL-Verschlüsselung -? Hilfe Exportspezifische Optionen ========================== -d Stamm-DN Stamm der LDAP-Suche (Standard: Namenskontext) -r Filter LDAP-Suchfilter (Standard: "(objectClass=*)") -p Suchbereich Suchbereich (Basis/Eine Ebene/Untergeordnete Struktur) -l Liste Liste der Attribute (durch Kommas getrennt), nach denen bei der LDAP-Suche gesucht wird -o Liste Liste der Attribute (durch Kommas getrennt), die bei der Eingabe ausgelassen werden -g Deaktiviert die seitenweise Suche -m Aktiviert die SAM-Logik beim Export -n Exportiert keine Binärwerte Import ====== -k Ignoriert beim Import weiterhin die Fehler "Beschränkungsverletzung" und "Objekt ist bereits vorhanden" Anmeldeinformationen ==================== Wenn keine Anmeldeinformationen angegeben werden, wird die Bindung von CSVDE als aktuell angemeldeter Benutzer über SSPI ausgeführt. -a BenutzerDN [Kennwort | *] Einfache Authentifizierung -b Benutzername Domäne [Kennwort | *] SSPI-Bindungsmethode Beispiel: einfacher Import der aktuellen Domäne csvde -i -f EINGABE.CSV Beispiel: einfacher Export der aktuellen Domäne csvde -f AUSGABE.CSV Beispiel: Export einer bestimmten Domäne mit Anmeldeinformationen csvde -m -f AUSGABE.CSV -b BENUTZERNAME DOMÄNENNAME * -s SERVERNAME -d "cn=Benutzer,DC=DOMÄNENNAME,DC=Microsoft,DC=Com" -r "(objectClass=Benutzer)" Gruß, Nils

Moin, auf dem Weg, der dir vorschwebt, wird das nicht funktionieren. Der DC, bei dem die Verbindungsanfragen eingehen, weiß ja nicht, woher der Client die Information hat. Du wirst im Zweifel also die Applikationen prüfen müssen, die das AD abfragen. Dort sollte dann weder der Name noch die IP-Adresse eines konkreten Servers stehen, sondern idealerweise der DNS-Name der Domäne. Gruß, Nils

Moin, also ... ich predige das seit mindestens fünzehn Jahren, eher zwanzig. So richtig "revolutionär" ist das daher nicht. Gruß, Nils

Moin, ich verstehe gerade nicht, wie dieses Thema hier reinpasst ...? Gruß, Nils

Moin, nimm csvde.exe. Da ist eindeutig erkennbar, welches Feld du exportierst. Gruß, Nils

Moin, irgendwo wird es ja eine Zuordnung geben, welcher Ordnername zu welchem Windows-Konto gehört. Wenn du die hast, baust du dir damit ein Skript, das die Rechte zuweist. Dafür würde ich dann SetACL von Helge Klein empfehlen. Das eigentliche Skript muss nicht besonders kompliziert sein, du kannst es dir, wenn du die Namen mit der Zuordnung hast, wahrscheinlich mit Excel zusammenbauen: [Excel: Admins unbekannter Liebling | faq-o-matic.net] https://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/ Gruß, Nils

Moin, ganz so ist es nicht. Die Empfehlung bezieht sich darauf, dass historisch viele Add-ons nicht mit der 64-Bit-Version klarkamen, weil sie selbst nur als 32-Bit-Fassungen vorlagen. Es ist aber nicht so, dass die 64-Bit-Versionen selbst irgendwie fehlerhaft oder nicht vertrauenswürdig wären. Gruß, Nils

Moin, man behalte im Auge, dass Active Directory über 20 Jahre alt ist und eine ganze Reihe weiterer Einschränkungen nie losgeworden ist, die teils noch deutlich gravierender sind. Seit mindestens zehn Jahren muss man das AD als "Legacy"-Technik ansehen, die eben da ist, an der sich aber auch nichts Großes mehr ändern wird. Kunden, die ernsthaft Bedarf an Spezialitäten haben, haben längst ihre Workarounds gefunden, sodass ein neuer großer Wurf vielleicht überhaupt nicht genutzt würde. Und am Ende - ja, ich verstehe das Abwägen, von dem Jan spricht. Aber eine zusätzliche VM ist dann eben auch nur eine zusätzliche VM, die nur sehr überschaubare Kosten verursacht. Rechnet man das spitz, wird man den Multi-Mandanten-Ansatz kaum jemals ernsthaft verfolgen wollen. Gruß, Nils

Moin, Radio Eriwan: Im Prinzip schon ... Ich rate von solchen Konstrukten entschieden ab. Wenn du wirklich eine einigermaßen saubere Trennung der Mandanten erreichen willst - Kunde A sieht nichts (überhaupt nichts!) von Kunde B - dann wirst du sehr tief in die Berechtigungen des AD eingreifen müssen. Das ist richtig Arbeit. Und du verlierst faktisch den Support durch Microsoft für das AD. Lustig wird es dann, wenn noch Exchange dazukommt, weil sich das seit 2013 nicht mehr an die AD-Berechtigungen hält. Da darf man alles dann noch mal dicht machen. Die meisten Hosting-Umgebungen arbeiten daher auch für Kleinkunden mit separaten Forests pro Mandant. Gruß, Nils

Moin, du hast trotzdem die wesentliche Frage von Norbert nicht beantwortet: Was genau willst du denn trennen? Falls es darauf hinausläuft, dass du die Server von den Clients trennen willst - dann wäre neben der Sinnfrage (wozu soll das gut sein?) anzumerken, dass dein Telekom-Lancom-Router dafür natürlich nicht geeignet ist, wie Norbert schon richtig anmerkt. Der Router soll Clients mit dem Internet verbinden, da reicht geringe Geschwindigkeit also aus. Der ist nicht dafür gedacht, den LAN-Verkehr abzuwickeln. Ernst gemeinter Rat: Hol dir jemanden ins Haus, mit dem du das planst und der dir auch die passende Ausrüstung empfehlen kannst. Gruß, Nils