NilsK

Moin, in solchen Fällen ist ein Gespräch mit dem Vorgesetzten immer die beste Wahl. Solche Fragen bewegen sich schnell im Graubereich des Geregelten - da kann man zwar auf einer Rechtsgrundlage beharren, aber ob die wirklich zutrifft, ist am Ende von Laien nicht zu beurteilen. Eine beidseitige Absprache ist daher i.d.R. vorzuziehen. Gruß, Nils

Moin, wieso muss ein "Durchschnittsuser" Software installieren? Wenn so ein User Zugriff auf ein Adminkonto hat, kann man alles Weitere eigentlich auch vergessen. Gruß, Nils

Moin, ach so ... das war wirklich missverständlich formuliert. Ich hatte gedacht, es gehe um AD-Accounts pro System, die lokal berechtigt sind. Genau das wäre auch der Schlüssel zur Lösung: Erzeuge je System einen Admin-Account im AD, der lokaler Admin wird. Dann kannst du solche Berechtigungen gut verteilen. Die lokalen Konten entfernst du von den Systemen. Lokale Konten haben halt nur lokale Rechte und können im Netzwerk nichts. Gruß, Nils

Moin, eine Gruppe für diese Admin-Accounts? Gruß, Nils

Moin, um nicht zu sagen: Die Antwort auf deine Frage "Ist es möglich ..." lautet "Nein". Die Antwort auf die Frage nach den Konsequenzen lautet "Ja". Wozu brauchst du denn die Zuordnung? Gruß, Nils

Moin, ob das sinnvoll ist, kannst du nur selbst anhand deiner eigenen Zukunftspläne beurteilen. Vielleicht bietet sich ergänzend eine Studienberatung an. Ein Studium bewegt sich auf einer ganz anderen Ebene als eine Herstellerzertifizierung. Gruß, Nils

Moin, in einem Thread, den du selbst eröffnet hast, findest du in allen Beiträgen von anderen Leuten links neben dem Namen ein graues Häkchen-Feld. Damit kannst du den Beitrag markieren, der die Lösung erbracht hat. Gruß, Nils

don't feed the trolls

Moin, als erstes korrigierst du die Zeitserver-Einstellungen: https://www.gruppenrichtlinien.de/de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ Dann etwas abwarten und den Report neu erzeugen. Dann weitersehen. Gruß, Nils

Moin, also hattest du zusätzlich zum 2003-DC einen 2008-DC installiert und den 2003 dann heruntergestuft? Danach hattest du zusätzlich zum 2008-DC einen 2016-DC installiert und dann den 2008 heruntergestuft? Hattest du vor den jeweiligen Herunterstufungen geprüft, dass beide DCs ordentlich miteinander kommunizieren und die Replikation lief? Wieviel Zeit lag zwischen den einzelnen Vorgängen? Waren zwischendurch die IP-Konfigurationen der Clients angepasst worden? Führe mal dcdiag /E > C:\Pfad\Datei.txt aus. Werden im Ergebnis Fehler oder Probleme gemeldet? Gruß, Nils

Moin, prüf dies: [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Vor allem ist wichtig, dass die Clients den richtigen DNS-Server fragen und keinen (!) anderen. Auch nicht als sekundären. Die Bereinigung der veralteten DNS-Einträge noch mal prüfen und ggf. fortführen. Falsche SPN-Einträge sind problematisch, dürften aber zu den hier geschilderten Phänomenen eher nicht beitragen. Wie ist denn der alte DC entfernt worden? Gruß, Nils

Moin, prima, danke für die Rückmeldung. Gruß, Nils

Moin, die einzig sinnvolle Idee besteht darin, auf SMTP-Zustellung umzuschalten und den POP-Connector in Rente zu schicken. Vermutlich nicht das, was du lesen willst, aber kaum von der Hand zu weisen. Gruß, Nils

Moin, naja, das kommt darauf an. Die Idee eines Forums besteht ja schon darin, dass alle auch von der Lösungsfindung profitieren. Gruß, Nils

Moin, naja, unbenutzbar ist der Stand ja nicht. Soweit mir der Fehler bekannt ist, kann man die Einstellungen per PowerShell vornehmen (SecureBoot abschalten), dann läuft es. Oder geht es bei dir um was anderes? Gruß, Nils

Moin, also, ohne den Anspruch, dass das jetzt ein tragfähiges Konzept wäre: Kann man so machen. Wechselseitige VM-Replikation ist so denkbar. Ob das alles insgesamt ein sinnvolles Konstrukt ergibt, ist auf dieser Ebene nicht zu bewerten. Zu deinen Anforderungen: Zwei Stunden Wiederanlaufzeit ist als Ziel schon eher Königsklasse. Unter sehr, sehr günstigen Bedingungen bekommt ihr das in eurer Umgebung hin - da muss man dann aber sofort auf einen Ausfall reagieren und es muss sofort die Entscheidung zum Recovery getroffen werden. Wirklich sinnvoll ist so ein Ziel in der Praxis nicht, denn sobald die Situation nur eine Idee komplexer ist, ist das Ziel Makulatur. Dass eine tolerierbare Ausfallzeit von 72 Stunden identifiziert wurde, ist hingegen positiv. Auf der Basis kann man weitermachen und quasi "von hinten her" die Maßnahmen identifizieren, die dafür nötig sind. Wichtig: Lass dich nicht von naiven Überlegungen leiten à la "System X haben wir in 30 Minuten wiederhergestellt" - in der Praxis passt das hinten und vorne nicht. In realen Ausfallsituationen dauert es normalerweise schon mehrere Stunden, bis die Entscheidung zum Recovery getroffen wird ... Gruß, Nils

Moin, bei so einer kleinen Umgebung würde ich für die Basisfunktionen Office 365 in Betracht ziehen und möglichst wenig lokal machen. Zu der Business-Applikation kann ich nichts sagen. Falls die nur lokal laufen kann, kann ein AD erforderlich werden, aber das würde ich schmal halten - bei drei Usern sehe ich die Grenze unterschritten, an der mehr als ein DC nötig wäre. Da sollte ein Recovery-Konzept ausreichen. In so einer kleinen Umgebung darf man durchaus auch Dienste auf demselben Server kombinieren, wenn man es planvoll tut. Zur Frage der Hochverfügbarkeit - die bei zwei separaten Hosts ja auch nicht gegeben wäre - müsste man zunächst die Anforderungen klären. Es ist selten, dass ein Drei-Leute-Unternehmen wirklich hohe Verfügbarkeit braucht. Und wenn doch, dann muss man die Parameter dafür definieren und auf der Basis eine Lösung entwickeln. Ohne detaillierte Anforderungen kein Konzept, das ist auch bei kleinen Umgebungen so. Gruß, Nils

Moin, kompletter Holzweg. Für nur drei Arbeitsplätze scheint mir das völlig überdimensioniert und auch technisch abwegig. Die Hosts müssen nicht zwingend in eine Domäne, es sei denn, man will clustern, und davon lese ich hier nichts. Und auch in dem Fall wären die Hosts im Produktions-AD am besten aufgehoben. Sollten die DC-VMs mal nicht laufen, arbeiten die Hosts weiter, und auch eine Anmeldung mit AD-Konten ist dann weiter möglich. Nein, wird es nicht. Es ist identisch mit dem Administratorkonto im AD. DCs haben keine lokale Benutzerdatenbank, sondern nur das AD. Gruß, Nils

Moin, der "Neue" hat Unrecht. Gruß, Nils

Moin, sorry, aber auch "revisionsfähige Konten" sagt nicht mehr aus. Du müsstest also herausfinden, was denn da gemeint ist. Das mit den Berechtigungen ist eine Vermutung, auf die ich dabei nicht gekommen wäre. Schon allein das Wort "revisionsfähig" ist Unsinn ... eine Revision ist am Ende nichts weiter als eine Überprüfung. "Revisionsfähig" dürfte also so ziemlich alles sein. Das Wort ist unüblich. Vielleicht ist "revisionssicher" gemeint, was zwar auch hochgradig interpretationsbedürftig ist, aber es wäre immerhin ein üblicher Begriff, mit dem meist gemeint ist, dass ein Gegenstand bei einer Überprüfung noch den ursprünglichen Zustand hat und eine Veränderung dokumentiert wäre. Eigentlich geht der ursprüngliche Fachbegriff noch weiter (https://de.wikipedia.org/wiki/Revisionssicherheit) - es ist halt so ein Kampfbegriff, der so oft unpassend verwendet wird, dass er kaum noch was bedeutet (ähnlich wie "nachhaltig"). Gruß, Nils

Moin, da wäre die Frage, was "Revisionssichere Benutzerkonten" sein könnten. Gruß, Nils

Moin, ich bin mir nicht so sicher, dass er das wirklich sucht ... die Anforderungen sind ja nun noch bei weitem nicht geschärft. Und Clientzertifikate für Webanwendungen will man nicht wirklich, wenn man es irgendwie vermeiden kann. Also, was sind die Anforderungen? Gruß, Nils

Moin, auch wenn es vordergründig kostengünstig aussieht, würde ich von so einem Konstrukt für eine Zwischenlösung abraten, die vielleicht nur drei oder vier Monate Bestand hat. Der Aufwand und die Fehlerquellen bei so einem Aufbau sind erheblich größer als bei einer lokalen Lösung. Zudem hättest du vorab diverse rechtliche Probleme zu lösen, die vielleicht am Jahresende dann wieder anders aussehen. Ich würde daher, wenn grundlegende Änderungen zum Jahresende erwartet werden, zunächst nur den lokalen Betrieb stabilisieren und dann eine passende Lösung bauen, wenn die Anforderungen klar sind. Gruß, Nils

Moin, ich tippe mal ins Blaue auf Treiberprobleme. Rein intuitiv dächte ich zuerst an den Grafik- und den Netzwerkkartentreiber. Gruß, Nils

Moin, guckstu: [Windows-PKI: Computerzertifikat manuell anfordern | faq-o-matic.net] https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/ Gruß, Nils