NilsK

Moin, gemäß Boardregeln (Regel 5) sollen solche Links bzw. Hinweise hier nicht verbreitet werden. Der Grat zwischen Testprüfung und Braindump ist i.d.R. sehr schmal, Gruß, Nils

Moin, für sowas ist NAT an der Stelle nicht gedacht. Das ist eher eine Notlösung für bestimmte, sehr eingeschränkte Szenarien. Mach es lieber richtig, sonst wirst du mit dem Setup nur Ärger haben. Gruß, Nils

Moin, zu dem Thema findest du hier im Board zahlreiche Diskussionen. Eine Suche wird dir einiges aufzeigen. Generell und kurz: Der AD-Funktionsmodus betrifft nur die Domänencontroller und in manchen Situationen die Exchange-Server. Clients und andere Serverdienste sind davon nicht betroffen. Sofern die eingesetzte Exchange-Version keine Einschränkungen erfordert, kannst du den Level also problemlos auf die höchste verfügbare Einstellung anheben. Die Voraussetzungen für bestimmte Exchange-Versionen findest du mit einer Websuche nach "exchange server prerequisites". Gruß, Nils

Moin, genau für solche Zwecke ist der Haken gedacht. Gruß, Nils

Moin, mehr als empfehlen kann ich es nicht. Wenn man eine PKI nicht ordentlich macht, sollte man es besser ganz bleiben lassen. Das ist ein zentrales Sicherheitssystem. Eine Firewall würde man heute ja auch nicht mehr "irgendwie" einrichten. Gruß, Nils

Moin, ich glaube nicht, dass wir so weiterkommen. Vielleicht sollte der TO mal genau beschreiben, was der Server vor dem Upgrade genau gemacht hat (also: was war installiert und wie und wofür wurde das genutzt), wie das Upgrade durchgeführt wurde und was dabei passiert ist, was der Server künftig tun soll und was genau nicht funktioniert. Der Name "Schulserver" deutet darauf hin, dass hier noch andere Spezialsoftware im Spiel ist. Gruß, Nils

Moin, gerade erhalte ich den Hinweis, dass im Hotel Looken Inn einige Zimmer wieder frei geworden sind. Falls jemand wechseln möchte oder noch nicht versorgt ist ... Gruß, Nils

Moin, der eigentliche Vorteil von E-Mail-Signaturen besteht darin, dass man einen Ende-zu-Ende-Nachweis erbringen kann - oder im Fall der Verschlüsselung eine Ende-zu-Ende-Verschlüsselung. Also vom Absender (Person) zum Empfänger (Person). Alle Gateway-Lösungen mit "Pauschalzertifikat" können das nicht leisten, sie können prinzipbedingt nur Gateway-zu-Gateway. Und da stellt sich dann die Frage nach dem Sinn, denn diese Sorte Verschlüsselung ist heute i.d.R. schon durch die TLS-Transportverschlüsselung erledigt. Einziger Vorteil wäre dann eben die Signatur, die nachweisen kann, dass eine Mail aus dem Hoheitsbereich einer Organisation kommt (aber nicht, dass sie wirklich von Frau Müller kommt und nicht von Herrn Meyer). Gruß, Nils

Moin, gut, das sind alles Dinge, die der Transportverschlüsselung dienen. Damit werden keine Daten dauerhaft verschlüsselt und abgelegt. In dem Fall würde ich mir die Migration sparen und eine neue PKI erzeugen. Neue PKI entwerfen (ein- oder zweistufig); Details der Implementierung festlegen Neue PKI auf separatem Server bzw. separaten Servern einrichten, nicht auf einem DC Zertifikatsvorlagen auf der neuen Issuing CA bereitstellen Zertifikatsvorlagen auf der alten CA deaktivieren, sodass von dort keine neuen Zertifikate ausgestellt werden Zertifikate von der neuen CA neu anfordern und ausstellen lassen, die alten Zertifikate entfernen Wenn keine Zertifikate von der alten CA mehr in Benutzung sind, alte CA geordnet deinstallieren Genau. Das würde ich rückgängig machen. Da du anscheinend die so erzeugte CA falsch angelegt hast, wirst du sie ohnehin nicht verwenden wollen. Und, wie gesagt, nach deiner Beschreibung braucht es überhaupt keine Migration. Gruß, Nils

Moin, ich habe das Thema mit den fehlenden Bestätigungsmails an die Orga eskaliert. Von dort kam die Rückmeldung, dass zwischen 90 und 95 Prozent der Mails korrekt angekommen sind. Bei den fehlenden gab es Bounces, weil die Adressen anscheinend nicht korrekt waren. Dort, wo es offensichtlich ist, versucht man, die richtige Adresse zu raten und dorthin zu bestätigen. Wer also immer noch keine Bestätigung bekommen hat, möge einfach noch mal nachhaken. Oder sich schlicht erneut anmelden - Empfehlung von dort. Gruß, Nils

Moin, wozu wird die CA denn genutzt? In den meisten "kleineren" Umgebungen ist es gar nicht nötig, die CA aufwändig zu migrieren. Das hängt davon ab, was für Zertifikate sie denn ausstellt. Den angefangenen Migrationsschritt solltest du vermutlich wieder rückgängig machen - so richtig habe ich aber nicht verstanden, was du da gemacht hast. Gruß, Nils

Moin, Okay, danke für die Rückmeldung. Gruß, Nils

Moin, das Problem dürfte sein, dass die Fritzbox IPv6-Adressen nach "innen" verteilt. Dadurch zeigt der IPv6-DNS-Eintrag (vermutlich) auf die Fritzbox. Und die kennt natürlich deine Domäne nicht. Ich habe selbst kein solches Setup, kann also keine konkreten Tipps dazu geben. Hier im Board bzw. im Web solltest du aber was dazu finden. Gruß, Nils

Moin, was sagt denn ipconfig /all bei dem Server? Gruß, Nils PS. bei Videos, Büchern oder Artikeln von dem genannten Autor sollte man immer vorsichtig sein. Nicht alles ist da so sorgfältig, wie man es sich wünscht.

Moin, ohne dich nerven zu wollen: Ich glaube nicht, dass du damit die Anforderungen sinnvoll und umfassend beschrieben hast. Deine Antwort ist typisch für einen Admin, der eine lästige Aufgabe vom Tisch haben will, sich aber mit den organisatorischen Hintergründen nicht befasst. Du führst nahezu nichts auf, was die Inventarisierung selbst betrifft. Wozu soll sie überhaupt dienen? Wer braucht die Ergebnisse wozu? Was ist der Business Need dahinter? Dann die nächste Ebene, immer noch funktional: Welche Eigenschaften folgen daraus, die der Inventarisierungsprozess haben muss? Welche Eigenschaften davon kann/soll eine Software umsetzen, welche müssen organisatorisch erfolgen? Was folgt daraus für die funktionalen Details, die eine Software haben muss (z.B. bestimmte Exportformate, Abstraktionen, Verarbeitungen ...)? Die ganzen technischen Details, die du aufführst, kommen erst weit danach. Um es an Beispielen festzumachen: "Erfassung von Hardware/Software" ist ein weites Feld. "Lizenzmanagement" ist noch ein weiteres Feld. Ich kann dir Batch-Dreizeiler bauen, die sowas dem Begriff nach machen - aber ob die wirklich leisten, was euer Unternehmen braucht? Gruß, Nils

Moin, die Frage ist, wie ein hochprivilegierter Dienst abgesichert ist und wie die Handhabung im Alltag läuft. Wenn die Anforderungen es hergeben, kann man auch bei solchen Aufgaben mit hohen Privilegien arbeiten, solange das Konstrukt ausreichend sicher ist. (Ein Dienst als "System" hat höchste Rechte, ist aber prinzipiell weniger leicht angreifbar als ein Dienst mit einem AD-Konto, das lokaler Admin ist - es sei denn, der Dienst ist schlecht implementiert, der Installationsprozess ist schlecht oder was auch immer.) Und damit sind wir bei den Anforderungen. Wir diskutieren hier ein Detail am falschen Ende des Auswahlprozesses. Legt fest, was ihr wirklich funktional braucht. Dann könnt ihr prüfen, welche Rechte eine Software dafür braucht. Danach lässt sich schauen, welche Software das wie gut macht. Nicht umgekehrt. Gruß, Nils

Moin, für eine "Inventarisierung" braucht man keine lokalen Adminrechte. Mag sein, dass der eine oder andere Anbieter auch Software installieren kann (dann ist es aber keine Inventarisierung) oder dass er Magie einsetzen will (die dann zu teuer erkauft ist) oder dass er seinen Agenten auf die Weise aktuell halten will (dann Finger weg, er hat das Prinzip nicht verstanden). Aber zum Auslesen relevanter Hard- und Softwaredaten braucht es nicht mehr als User-Rechte. Domänen-Admin erst recht nicht. Ein Domänen-Admin verwaltet die Domäne, nicht die Clients. Gruß, Nils

Moin, dann fragt nach. Geht erst mal davon aus, dass nicht ausverkauft ist und dass ihr einen Platz bekommt. Die No-Show-Rate ist wie bei jeder "kostenlosen" Veranstaltung auch in Lingen sehr hoch. Wäre schade, wenn wir vor leeren Rängen unsere Rock-Hits spielen. Nervt die Orga ruhig ein wenig mit Nachfragen. Das ist zwar alles "kostenlos", aber eine gewisse Professionalität müssen die trotzdem an den Tag legen. Gruß, Nils

Moin, eine standardmäßige Gruppe gibt es für sowas nicht. Welche Rechte so ein Account braucht, hängt von der jeweiligen Software ab. Für reine Inventarisierung braucht es keine Admin-Rechte. Eine Software, die mit einem zentralen Account arbeitet, der überall Adminrechte braucht, würde ich auch nicht einsetzen wollen. Nach sowas schaut jeder Angreifer als erstes. Ich würde das Thema aber auch von vorn angehen, nicht von hinten: Definiert, welche Anforderungen ihr habt. Erzeugt anhand dessen eine Marktübersicht und geht dann bei den interessantesten Kandidaten ins Detail. Sicherheitsfragen wie diese sind relevant, können aber nicht vor der funktionalen Auswahl stehen. Gruß, Nils

Moin, ich würde ein IHK-Zertifikat als wesentlich höherwertig einstufen, insbesondere wenn so eine umfangreiche Fortbildung dahintersteht. Gruß, Nils

Moin, gern, aber was ist deine Frage? Gruß, Nils

Moin, Nein, es gibt keine synchrone Replikation. Das wäre dann ja eine Spiegelung. Replikation ist immer ein "Point in time". Gruß, Nils

Moin, naja, "gefährlich" ist jetzt auch sehr hoch gegriffen. Da die Replikation aber immer asynchron ist, hat sie natürlich prinzipielle Nachteile. Und sie greift in die Konsistenz einer Applikation ein, wenn diese hinreichend komplex ist - daher der Supportausschluss für manche Applikationen. Shared-Nothing Live Migration ist die sinnvollste Methode für diese Sorte Migration. Und wirklich aufwändig ist das auch nicht. Vorteile u.a.: Keine Downtime, praktisch kein Risiko ... [Hyper-V von älteren Versionen nach Windows Server 2016 migrieren | faq-o-matic.net] https://www.faq-o-matic.net/2016/12/19/hyper-v-von-lteren-versionen-nach-windows-server-2016-migrieren/ Gruß, Nils

Moin, nein, das waren Warner-Cartoons. Gruß, Nils

Moin, solche Anbindungen laufen typischerweise über einen Reverse Proxy. Der stellt nach außen die Verbindung über einen externen Namen bereit und leitet die Verbindung dann nach innen um. Dadurch können die Namen sich unterscheiden. Gruß, Nils