NilsK

Moin, das wenige, was man auf dem Bild erkennen kann, passt zu der Aussage, dass die Taskleiste nur eine Zeile hoch ist. Darüber ist es auf dem Bild schwarz, während die Taskleiste dunkelgrau ist. Für mich klingt das nach einem Treiberproblem. Insbesondere angesichts der im Eingangspost genannten Workarounds. Gruß, Nils

Moin, weil Franky schon ein Guter ist, aber es ja noch viele andere Gute gibt. Gruß, Nils

Moin, dass ein gelöschter User als SID in einem Berechtigungseintrag auftaucht, ist durchaus normal. Das Löschen eines Users bezieht sich immer nur auf das AD-Objekt, nicht auf nachgeordnete Systeme. Das eigentliche Problem, das du beschreibst, hat mit der Tatsache der Löschung sehr wahrscheinlich nichts zu tun. Hier scheinen Einträge in den ACLs nicht ganz korrekt zu sein. Das sieht man leider immer mal wieder. Es liegt wahrscheinlich daran, dass die ganze Vererbungs-Mechanik sozusagen nachträglich an NTFS angeflanscht wurde und je nach Situation nicht ganz korrekt funktioniert. Dazu kommt noch, dass der Explorer für sowas nicht eben das beste Werkzeug ist. Du könntest mal schauen, ob du dem Problem mit SetACL oder SetACL Studio abhelfen kannst. https://helgeklein.com/setacl/ https://helgeklein.com/setacl-studio/ Gruß, Nils

Moin, was immer "die Firewall" da macht, ich würde sie in den Kreis der Verdächtigen aufnehmen. Warum trägst du nicht die DNS-Server des Providers direkt als Forwarder in deine Windows-VMs ein? Dein Screenshot zeigt nur, dass "die Firewall" einen DNS-Client hat. Dass dort ein DNS-Server laufe, ist dem Bild nicht zu entnehmen. Gruß, Nils

Moin, ich nehme an, dass dein Setup schon korrekt ist. Deine Formulierung ist nicht völlig eindeutig, aber es sollte passen: Interner DNS-Server hat den externen DNS-Server als Forwarder eingetragen. Die Clients nutzen den internen DNS-Server. (Dabei sind die DNS-Server selbst auch DNS-Clients und müssen in ihrer IP-Konfiguration sich selbst bzw. sich gegenseitig fragen.) Fungiert die Firewall tatsächlich selbst als DNS-Server? Dann kann man deren IP-Adresse als Forwarder nehmen. Man spart sich aber einen Hop, wenn man als Forwarder gleich die Server des Providers einträgt. Die Fehler, die du im Eventlog siehst, können verschiedene Ursachen haben. Die genannten IP-Adressen scheinen zu einem Cloud-Service zu gehören. In vergleichbaren Situationen scheint sich eine Fehlkonfiguration der DNS-Forwarder als Ursache herausgestellt zu haben: http://eventid.net/display-eventid-5504-source-DNS-eventno-642-phase-1.htm Gruß, Nils

Moin, danke für die Rückmeldung. Gruß, Nils

Moin, das Risiko ist gering, aber durchaus vorhanden. An dieser Stelle kann es durchaus sinnvoll sein, dir professionelle Unterstützung zu holen. Das wird kein riesiger Umfang sein. Gruß, Nils

Moin, ja, das verstehe ich schon. Solche durchaus legitimen Fragen führen aber leider oftmals zu Braindump-Empfehlungen, die wir hier nicht wollen. Es gibt durchaus auch seriöse Anbieter von Testprüfungen, die genau das von dir genannte Ziel verfolgen. Früher hat Microsoft auch mal welche empfohlen und sogar Trial-Versionen auf CD in den damaligen MS-Press-Büchern mitgeliefert. Die waren brauchbar, aber eben auch absichtlich keine 100-Prozent-Nachbildung der echten Prüfungen. Eine Webrecherche sollte dich da weiterbringen. Gruß, Nils

Moin, gemäß Boardregeln (Regel 5) sollen solche Links bzw. Hinweise hier nicht verbreitet werden. Der Grat zwischen Testprüfung und Braindump ist i.d.R. sehr schmal, Gruß, Nils

Moin, für sowas ist NAT an der Stelle nicht gedacht. Das ist eher eine Notlösung für bestimmte, sehr eingeschränkte Szenarien. Mach es lieber richtig, sonst wirst du mit dem Setup nur Ärger haben. Gruß, Nils

Moin, zu dem Thema findest du hier im Board zahlreiche Diskussionen. Eine Suche wird dir einiges aufzeigen. Generell und kurz: Der AD-Funktionsmodus betrifft nur die Domänencontroller und in manchen Situationen die Exchange-Server. Clients und andere Serverdienste sind davon nicht betroffen. Sofern die eingesetzte Exchange-Version keine Einschränkungen erfordert, kannst du den Level also problemlos auf die höchste verfügbare Einstellung anheben. Die Voraussetzungen für bestimmte Exchange-Versionen findest du mit einer Websuche nach "exchange server prerequisites". Gruß, Nils

Moin, genau für solche Zwecke ist der Haken gedacht. Gruß, Nils

Moin, mehr als empfehlen kann ich es nicht. Wenn man eine PKI nicht ordentlich macht, sollte man es besser ganz bleiben lassen. Das ist ein zentrales Sicherheitssystem. Eine Firewall würde man heute ja auch nicht mehr "irgendwie" einrichten. Gruß, Nils

Moin, ich glaube nicht, dass wir so weiterkommen. Vielleicht sollte der TO mal genau beschreiben, was der Server vor dem Upgrade genau gemacht hat (also: was war installiert und wie und wofür wurde das genutzt), wie das Upgrade durchgeführt wurde und was dabei passiert ist, was der Server künftig tun soll und was genau nicht funktioniert. Der Name "Schulserver" deutet darauf hin, dass hier noch andere Spezialsoftware im Spiel ist. Gruß, Nils

Moin, gerade erhalte ich den Hinweis, dass im Hotel Looken Inn einige Zimmer wieder frei geworden sind. Falls jemand wechseln möchte oder noch nicht versorgt ist ... Gruß, Nils

Moin, der eigentliche Vorteil von E-Mail-Signaturen besteht darin, dass man einen Ende-zu-Ende-Nachweis erbringen kann - oder im Fall der Verschlüsselung eine Ende-zu-Ende-Verschlüsselung. Also vom Absender (Person) zum Empfänger (Person). Alle Gateway-Lösungen mit "Pauschalzertifikat" können das nicht leisten, sie können prinzipbedingt nur Gateway-zu-Gateway. Und da stellt sich dann die Frage nach dem Sinn, denn diese Sorte Verschlüsselung ist heute i.d.R. schon durch die TLS-Transportverschlüsselung erledigt. Einziger Vorteil wäre dann eben die Signatur, die nachweisen kann, dass eine Mail aus dem Hoheitsbereich einer Organisation kommt (aber nicht, dass sie wirklich von Frau Müller kommt und nicht von Herrn Meyer). Gruß, Nils

Moin, gut, das sind alles Dinge, die der Transportverschlüsselung dienen. Damit werden keine Daten dauerhaft verschlüsselt und abgelegt. In dem Fall würde ich mir die Migration sparen und eine neue PKI erzeugen. Neue PKI entwerfen (ein- oder zweistufig); Details der Implementierung festlegen Neue PKI auf separatem Server bzw. separaten Servern einrichten, nicht auf einem DC Zertifikatsvorlagen auf der neuen Issuing CA bereitstellen Zertifikatsvorlagen auf der alten CA deaktivieren, sodass von dort keine neuen Zertifikate ausgestellt werden Zertifikate von der neuen CA neu anfordern und ausstellen lassen, die alten Zertifikate entfernen Wenn keine Zertifikate von der alten CA mehr in Benutzung sind, alte CA geordnet deinstallieren Genau. Das würde ich rückgängig machen. Da du anscheinend die so erzeugte CA falsch angelegt hast, wirst du sie ohnehin nicht verwenden wollen. Und, wie gesagt, nach deiner Beschreibung braucht es überhaupt keine Migration. Gruß, Nils

Moin, ich habe das Thema mit den fehlenden Bestätigungsmails an die Orga eskaliert. Von dort kam die Rückmeldung, dass zwischen 90 und 95 Prozent der Mails korrekt angekommen sind. Bei den fehlenden gab es Bounces, weil die Adressen anscheinend nicht korrekt waren. Dort, wo es offensichtlich ist, versucht man, die richtige Adresse zu raten und dorthin zu bestätigen. Wer also immer noch keine Bestätigung bekommen hat, möge einfach noch mal nachhaken. Oder sich schlicht erneut anmelden - Empfehlung von dort. Gruß, Nils

Moin, wozu wird die CA denn genutzt? In den meisten "kleineren" Umgebungen ist es gar nicht nötig, die CA aufwändig zu migrieren. Das hängt davon ab, was für Zertifikate sie denn ausstellt. Den angefangenen Migrationsschritt solltest du vermutlich wieder rückgängig machen - so richtig habe ich aber nicht verstanden, was du da gemacht hast. Gruß, Nils

Moin, Okay, danke für die Rückmeldung. Gruß, Nils

Moin, das Problem dürfte sein, dass die Fritzbox IPv6-Adressen nach "innen" verteilt. Dadurch zeigt der IPv6-DNS-Eintrag (vermutlich) auf die Fritzbox. Und die kennt natürlich deine Domäne nicht. Ich habe selbst kein solches Setup, kann also keine konkreten Tipps dazu geben. Hier im Board bzw. im Web solltest du aber was dazu finden. Gruß, Nils

Moin, was sagt denn ipconfig /all bei dem Server? Gruß, Nils PS. bei Videos, Büchern oder Artikeln von dem genannten Autor sollte man immer vorsichtig sein. Nicht alles ist da so sorgfältig, wie man es sich wünscht.

Moin, ohne dich nerven zu wollen: Ich glaube nicht, dass du damit die Anforderungen sinnvoll und umfassend beschrieben hast. Deine Antwort ist typisch für einen Admin, der eine lästige Aufgabe vom Tisch haben will, sich aber mit den organisatorischen Hintergründen nicht befasst. Du führst nahezu nichts auf, was die Inventarisierung selbst betrifft. Wozu soll sie überhaupt dienen? Wer braucht die Ergebnisse wozu? Was ist der Business Need dahinter? Dann die nächste Ebene, immer noch funktional: Welche Eigenschaften folgen daraus, die der Inventarisierungsprozess haben muss? Welche Eigenschaften davon kann/soll eine Software umsetzen, welche müssen organisatorisch erfolgen? Was folgt daraus für die funktionalen Details, die eine Software haben muss (z.B. bestimmte Exportformate, Abstraktionen, Verarbeitungen ...)? Die ganzen technischen Details, die du aufführst, kommen erst weit danach. Um es an Beispielen festzumachen: "Erfassung von Hardware/Software" ist ein weites Feld. "Lizenzmanagement" ist noch ein weiteres Feld. Ich kann dir Batch-Dreizeiler bauen, die sowas dem Begriff nach machen - aber ob die wirklich leisten, was euer Unternehmen braucht? Gruß, Nils

Moin, die Frage ist, wie ein hochprivilegierter Dienst abgesichert ist und wie die Handhabung im Alltag läuft. Wenn die Anforderungen es hergeben, kann man auch bei solchen Aufgaben mit hohen Privilegien arbeiten, solange das Konstrukt ausreichend sicher ist. (Ein Dienst als "System" hat höchste Rechte, ist aber prinzipiell weniger leicht angreifbar als ein Dienst mit einem AD-Konto, das lokaler Admin ist - es sei denn, der Dienst ist schlecht implementiert, der Installationsprozess ist schlecht oder was auch immer.) Und damit sind wir bei den Anforderungen. Wir diskutieren hier ein Detail am falschen Ende des Auswahlprozesses. Legt fest, was ihr wirklich funktional braucht. Dann könnt ihr prüfen, welche Rechte eine Software dafür braucht. Danach lässt sich schauen, welche Software das wie gut macht. Nicht umgekehrt. Gruß, Nils

Moin, für eine "Inventarisierung" braucht man keine lokalen Adminrechte. Mag sein, dass der eine oder andere Anbieter auch Software installieren kann (dann ist es aber keine Inventarisierung) oder dass er Magie einsetzen will (die dann zu teuer erkauft ist) oder dass er seinen Agenten auf die Weise aktuell halten will (dann Finger weg, er hat das Prinzip nicht verstanden). Aber zum Auslesen relevanter Hard- und Softwaredaten braucht es nicht mehr als User-Rechte. Domänen-Admin erst recht nicht. Ein Domänen-Admin verwaltet die Domäne, nicht die Clients. Gruß, Nils