NilsK

Moin, es müssten die hier sein: https://social.technet.microsoft.com/Forums/windows/en-US/e3daed0a-0cf0-48ff-97d1-8735155a9931/how-to-delegate-control-move-computer-objects-from-one-ou-to-another Gruß, Nils

Moin, du hast ntdsutil falsch verwendet. Am der Stelle gibst du den Ziel-DC nicht im Befehl per Namen an, sondern du musst in einem mehrschrittigen Verfahren erst eine Verbindung zu dem Objekt herstellen und kannst es dann mit dem Kommando (ohne Namen) löschen. Aber wie ist denn jetzt der Stand? Alles hinbekommen oder wie? Gruß, Nils

Moin, SYSTEM kannst du nicht berechtigen. In solchen Fällen berechtigt man das Computerkonto, das sollte funktionieren. Ohne zu wissen, was du da machst, warne ich aber davor. Es birgt hohe Risiken, Skripte als SYSTEM laufen zu lassen. Die dürfen immerhin alles. Gruß, Nils

Moin, wieso "aber"? Wenn du dringend irgendwohin musst, fährst du dann auch einfach in irgendeine Richtung? Siehst du, da geht es ja schon los. Aber muss jeder selbst wissen. Ich werde trotzdem nicht müde, darauf hinzuweisen. Gruß, Nils

Moin, ein löbliches Ansinnen - aber wenn es einen Sinn ergeben wollt, dann geht auch den nächsten Schritt und erarbeitet ein Recovery-Konzept, das zu eurem Unternehmen passt. Das ist deutlich mehr als die - entschuldige den Ausdruck - naive Ansicht, man müsse nur technisch was tun und Daten kopieren. Gruß, Nils

Moin, ob die Syntax dann so passt, kann ich jetzt nicht sagen, aber das Pipe-Zeichen steht für "oder". Du gibst also entweder den Port an, auf dem die jeweilige Instanz lauscht, oder deren Instanznamen. Gruß, Nils

Moin, im ersten Zitat (November) ist von Exchange Online die Rede, im zweiten )April) von "User". Zumindest aus der Sicht würde die Einschränkung auf Outlook ja passen. Dann würde ich aber (auch) vermuten, dass die anderen Produktbestandteile an anderer Stelle erwähnt sind. Office 365 ist ja mehr als Exchange Online. Gruß, Nils

Moin, ich ergänze mal: [Benutzerprofile an neue Benutzer übertragen | faq-o-matic.net] https://www.faq-o-matic.net/2010/02/07/benutzerprofile-an-neue-benutzer-bertragen/ Und keine Servergespeicherten Profile, da hat Jan völlig Recht. Gruß, Nils

Moin, und genau deswegen ist sie ja nicht "sinnfrei", sondern kann sehr sinnvoll sein. Sie passt nur eben längst nicht auf jedes Szenario, sondern deckt nur ganz bestimmte Risiken ab. Daher muss man immer die Anforderungen klären, was in der IT allgemein ausgesprochen unbeliebt ist. Gruß, Nils

Moin, die krumme Banane sieht mir doch verdächtig nach genau diesem Problem aus: [Wenn (und warum) nslookup unerwartete Ergebnisse zeigt | faq-o-matic.net] https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/ Ich vermute also mal: Die AD-Domäne nutzt einen DNS-Namen, der im Internet erreichbar ist. Gruß, Nils

Moin, von welcher Anzahl sprechen wir denn? Man berücksichtige, dass der Raspi immer eine Bastellösung ist. Als Proof of Concept sicher spannend, für sehr kleine Stückzahlen mag es auch gehen. Aber schon bei 20 oder 30 Arbeitsplätzen wäre ich skeptisch, ob das kaufmännisch wirklich aufgeht. Man müsste die Dinger ja noch in Gehäuse friemeln, passende Netzteile finden (ein Handy-simpel-Netzteil wird kaum ausreichend zuverlässig sein), und am Ende ist das Software-Deployment per SD-Karte sicher keine Freude. Gruß, Nils

Moin, na gut, dann aktualisiere ich die Speicherzelle mal. Gruß, Nils

Moin, umso besser. (Wobei ich für zwei oder drei Jahre diese Größenordnung im Kopf habe - du meinst pro Jahr, oder?) Hauptsächlich meine ich auch: Das bisschen Geld, das man sparen könnte, wiegt die Umstände nicht auf. Gruß, Nils

Moin, gib 300 Euro für ein TLS-Zertifikat aus. Gruß, Nils

Moin, soweit ich weiß, hat sich an der Situation nichts geändert: Microsoft empfiehlt minimal 128 GB, das ist aber keine Supportgrenze. Bis zu welcher RAM-Untergrenze Microsoft Support leistet, scheint immer noch undefiniert zu sein. Hat Exchange 2019 weniger als 128 GB RAM zur Verfügung, dann deaktiviert es einige Optimierungen, weil diese nur mit viel RAM Sinn ergeben. Diese Optimierungen sind nach meiner Kenntnis (habe die Details nicht im Kopf) aber welche, die man ohnehin nur in sehr großen Umgebungen braucht. Nach allem, was man hört, läuft Exchange 2019 genauso gut wie Exchange 2016 mit identischer Ausstattung. Gruß, Nils

Moin, die Datacenter Edition umfasst Lizenzen für beliebig viele VMs mit Windows Server, die auf der Hardware laufen. Sofern die Hardware also korrekt lizenziert ist, müssen die VMs oder ihre Cores nicht noch mal separat lizenziert werden, CALs, egal ob Device CAL oder User CAL, braucht man nur einmalig, sie decken den Zugriff auf alle Windows-Server des Unternehmens ab (selbe Version oder ältere Version). Bei 200 Geräten also 200 CALs, unabhängig von der Serverzahl. Gruß, Nils PS. In Foren bekommst du immer nur unverbindliche "Laien"-Antworten. Wenn du es "eindeutig" haben willst, musst du den Lizenzgeber fragen, keine Dritten,

Moin, in dem Fall könnte sowas wie Bitlocker interessant sein. Wie gesagt, es kommt auf das Szenario an. Gruß. Nils

Moin, wenn man sich ansieht, wie das funktioniert, ist das nicht erstaunlich. Der ganze Ansatz ist von vorn bis hinten krank. Selbst wenn man bereit ist, den ganzen Aufwand mitzumachen, hat man am Ende nur die Hoffnung, dass man der anderen Seite vertrauen kann. Und selbst wenn man das tut, hat man hinterher das Problem, dass der eigene Datenbestand gefährdet ist, weil man vielleicht den einen Schlüssel verliert, mit dem man wieder rankommt. Und selbst ... ach ja. Gruß, Nils

Moin, die Frage ist durchaus knifflig und lässt sich nur beantworten, wenn man sich Gedanken um die Anforderungen und den leistbaren Aufwand macht. In dem Szenario, dass jemand die ganze Anlage klaut, werden dir sowohl die hostbasierte als auch die VM-basierte Festplattenverschlüsselung vor allem dann etwas bringen, wenn sie den Host bzw. die VM ohne Authentisierung am Starten hindern. Anderenfalls könnte ein Anlagendieb die Anlage einfach starten, alles liefe, und dann könnte er die laufenden Systeme angreifen, die dann ja entschlüsselt sind. Die Sicherheit hinge dann nur noch an den Kennwörtern und am Patchlevel (vereinfacht gesagt). Durch so eine Verschlüsselung (mit "Pre-boot Authentication") wird der Betrieb aber sehr umständlich: Bei jedem Reboot müsste ein Admin eingreifen, der den Startprozess freischalten kann. Das führt in kleinen Umgebungen dazu, dass man es schnell wieder abschaltet oder dass man sich Vereinfachungen schafft (z.B. indem man den Key auf einem Stick speichert, den man gesteckt lässt). Letzteres will man nicht, weil man damit die Sicherheit aushebelt. Vielleicht ist "Diebstahl der ganzen Anlage" aber auch gar kein relevantes Szenario. Das muss man prüfen. Wie bei jeder Risikobetrachtung steht die Frage im Mittelpunkt, welches Risiko denn zu behandeln ist. Gruß, Nils

Moin, prima, danke für die Rückmeldung. Gruß, Nils

Moin, für mich sieht es spontan so aus, als gebe es bei eurem VPN Zugriffsprobleme. Gruß, Nils

Moin, zunächst wäre die AD-Umgebung zu prüfen, ob Fehler gemeldet werden. Die Ausgabe von dcdiag /E > C:\pfad\dcdiag.txt ist da hilfreich. Typischerweise liegen Fehler bzw. Phänomene dieser Art an inkorrekten oder unvollständigen Site- und Subnetkonfigurationen. Ob etwa Subnets fehlen, lässt sich in den Eventlogs der DCs an Warnmeldungen sehen, zu denen eine Text-Logdatei gehört (ist in den Events benannt). Eine Auswertung der Site-Konfiguration kannst du z.B. hiermit machen: [Borg: AD-Standorte dokumentieren | faq-o-matic.net] https://www.faq-o-matic.net/2007/04/28/borg-ad-standorte-dokumentieren/ Die FSMO-Rollen haben nicht damit zu tun. Möglich (wenn auch wenig wahrscheinlich) wäre aber, dass dem DC an Standort B die Rolle "Global Catalog Server" fehlt. Zudem wäre die DNS-Konfiguration der Clients zu prüfen, die primär den DC des eigenen und sekundär den des anderen Standorts ansprechen sollten. Gruß, Nils

Moin, prima, danke für die Rückmeldung. Gruß, Nils

Moin, sieht so aus, als sei im DNS deiner Fritzbox die IP-Adresse mit der .14 für den Namen "nas5" eingetragen. Gruß, Nils

Moin, entweder man braucht die Domäne nicht. Dann weg damit, bevor noch Fehler in anderen Teilen der Umgebung entstehen. Oder man braucht sie - dann würde ich 300 Euro für einen MS-Call ausgeben, statt abzuwarten und in Foren zu stochern. Nur meine 0,02 EUR, Nils