NilsK

Moin, als erstes korrigierst du die Zeitserver-Einstellungen: https://www.gruppenrichtlinien.de/de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ Dann etwas abwarten und den Report neu erzeugen. Dann weitersehen. Gruß, Nils

Moin, also hattest du zusätzlich zum 2003-DC einen 2008-DC installiert und den 2003 dann heruntergestuft? Danach hattest du zusätzlich zum 2008-DC einen 2016-DC installiert und dann den 2008 heruntergestuft? Hattest du vor den jeweiligen Herunterstufungen geprüft, dass beide DCs ordentlich miteinander kommunizieren und die Replikation lief? Wieviel Zeit lag zwischen den einzelnen Vorgängen? Waren zwischendurch die IP-Konfigurationen der Clients angepasst worden? Führe mal dcdiag /E > C:\Pfad\Datei.txt aus. Werden im Ergebnis Fehler oder Probleme gemeldet? Gruß, Nils

Moin, prüf dies: [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Vor allem ist wichtig, dass die Clients den richtigen DNS-Server fragen und keinen (!) anderen. Auch nicht als sekundären. Die Bereinigung der veralteten DNS-Einträge noch mal prüfen und ggf. fortführen. Falsche SPN-Einträge sind problematisch, dürften aber zu den hier geschilderten Phänomenen eher nicht beitragen. Wie ist denn der alte DC entfernt worden? Gruß, Nils

Moin, prima, danke für die Rückmeldung. Gruß, Nils

Moin, die einzig sinnvolle Idee besteht darin, auf SMTP-Zustellung umzuschalten und den POP-Connector in Rente zu schicken. Vermutlich nicht das, was du lesen willst, aber kaum von der Hand zu weisen. Gruß, Nils

Moin, naja, das kommt darauf an. Die Idee eines Forums besteht ja schon darin, dass alle auch von der Lösungsfindung profitieren. Gruß, Nils

Moin, naja, unbenutzbar ist der Stand ja nicht. Soweit mir der Fehler bekannt ist, kann man die Einstellungen per PowerShell vornehmen (SecureBoot abschalten), dann läuft es. Oder geht es bei dir um was anderes? Gruß, Nils

Moin, also, ohne den Anspruch, dass das jetzt ein tragfähiges Konzept wäre: Kann man so machen. Wechselseitige VM-Replikation ist so denkbar. Ob das alles insgesamt ein sinnvolles Konstrukt ergibt, ist auf dieser Ebene nicht zu bewerten. Zu deinen Anforderungen: Zwei Stunden Wiederanlaufzeit ist als Ziel schon eher Königsklasse. Unter sehr, sehr günstigen Bedingungen bekommt ihr das in eurer Umgebung hin - da muss man dann aber sofort auf einen Ausfall reagieren und es muss sofort die Entscheidung zum Recovery getroffen werden. Wirklich sinnvoll ist so ein Ziel in der Praxis nicht, denn sobald die Situation nur eine Idee komplexer ist, ist das Ziel Makulatur. Dass eine tolerierbare Ausfallzeit von 72 Stunden identifiziert wurde, ist hingegen positiv. Auf der Basis kann man weitermachen und quasi "von hinten her" die Maßnahmen identifizieren, die dafür nötig sind. Wichtig: Lass dich nicht von naiven Überlegungen leiten à la "System X haben wir in 30 Minuten wiederhergestellt" - in der Praxis passt das hinten und vorne nicht. In realen Ausfallsituationen dauert es normalerweise schon mehrere Stunden, bis die Entscheidung zum Recovery getroffen wird ... Gruß, Nils

Moin, bei so einer kleinen Umgebung würde ich für die Basisfunktionen Office 365 in Betracht ziehen und möglichst wenig lokal machen. Zu der Business-Applikation kann ich nichts sagen. Falls die nur lokal laufen kann, kann ein AD erforderlich werden, aber das würde ich schmal halten - bei drei Usern sehe ich die Grenze unterschritten, an der mehr als ein DC nötig wäre. Da sollte ein Recovery-Konzept ausreichen. In so einer kleinen Umgebung darf man durchaus auch Dienste auf demselben Server kombinieren, wenn man es planvoll tut. Zur Frage der Hochverfügbarkeit - die bei zwei separaten Hosts ja auch nicht gegeben wäre - müsste man zunächst die Anforderungen klären. Es ist selten, dass ein Drei-Leute-Unternehmen wirklich hohe Verfügbarkeit braucht. Und wenn doch, dann muss man die Parameter dafür definieren und auf der Basis eine Lösung entwickeln. Ohne detaillierte Anforderungen kein Konzept, das ist auch bei kleinen Umgebungen so. Gruß, Nils

Moin, kompletter Holzweg. Für nur drei Arbeitsplätze scheint mir das völlig überdimensioniert und auch technisch abwegig. Die Hosts müssen nicht zwingend in eine Domäne, es sei denn, man will clustern, und davon lese ich hier nichts. Und auch in dem Fall wären die Hosts im Produktions-AD am besten aufgehoben. Sollten die DC-VMs mal nicht laufen, arbeiten die Hosts weiter, und auch eine Anmeldung mit AD-Konten ist dann weiter möglich. Nein, wird es nicht. Es ist identisch mit dem Administratorkonto im AD. DCs haben keine lokale Benutzerdatenbank, sondern nur das AD. Gruß, Nils

Moin, der "Neue" hat Unrecht. Gruß, Nils

Moin, sorry, aber auch "revisionsfähige Konten" sagt nicht mehr aus. Du müsstest also herausfinden, was denn da gemeint ist. Das mit den Berechtigungen ist eine Vermutung, auf die ich dabei nicht gekommen wäre. Schon allein das Wort "revisionsfähig" ist Unsinn ... eine Revision ist am Ende nichts weiter als eine Überprüfung. "Revisionsfähig" dürfte also so ziemlich alles sein. Das Wort ist unüblich. Vielleicht ist "revisionssicher" gemeint, was zwar auch hochgradig interpretationsbedürftig ist, aber es wäre immerhin ein üblicher Begriff, mit dem meist gemeint ist, dass ein Gegenstand bei einer Überprüfung noch den ursprünglichen Zustand hat und eine Veränderung dokumentiert wäre. Eigentlich geht der ursprüngliche Fachbegriff noch weiter (https://de.wikipedia.org/wiki/Revisionssicherheit) - es ist halt so ein Kampfbegriff, der so oft unpassend verwendet wird, dass er kaum noch was bedeutet (ähnlich wie "nachhaltig"). Gruß, Nils

Moin, da wäre die Frage, was "Revisionssichere Benutzerkonten" sein könnten. Gruß, Nils

Moin, ich bin mir nicht so sicher, dass er das wirklich sucht ... die Anforderungen sind ja nun noch bei weitem nicht geschärft. Und Clientzertifikate für Webanwendungen will man nicht wirklich, wenn man es irgendwie vermeiden kann. Also, was sind die Anforderungen? Gruß, Nils

Moin, auch wenn es vordergründig kostengünstig aussieht, würde ich von so einem Konstrukt für eine Zwischenlösung abraten, die vielleicht nur drei oder vier Monate Bestand hat. Der Aufwand und die Fehlerquellen bei so einem Aufbau sind erheblich größer als bei einer lokalen Lösung. Zudem hättest du vorab diverse rechtliche Probleme zu lösen, die vielleicht am Jahresende dann wieder anders aussehen. Ich würde daher, wenn grundlegende Änderungen zum Jahresende erwartet werden, zunächst nur den lokalen Betrieb stabilisieren und dann eine passende Lösung bauen, wenn die Anforderungen klar sind. Gruß, Nils

Moin, ich tippe mal ins Blaue auf Treiberprobleme. Rein intuitiv dächte ich zuerst an den Grafik- und den Netzwerkkartentreiber. Gruß, Nils

Moin, guckstu: [Windows-PKI: Computerzertifikat manuell anfordern | faq-o-matic.net] https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/ Gruß, Nils

Moin, und was genau sollte aus deiner Vermutung folgen? Gruß, Nils

Moin, prima, danke für die Rückmeldung! Gruß, Nils

Moin, geht es bei dem Vorhaben um eine einzige Praxis mit mehreren Standorten? Oder sind die "Praxen", von denen die Rede ist, unterschiedliche Kunden? Ich würde für sowas auch nach kompletten Cloud-Angeboten suchen, wo man nicht die ganze Infrastruktur in einem fremden RZ aufbauen muss, sondern ggf. die einzelnen Komponenten als Dienste beziehen kann. Dazu müsste man allerdings die Anforderungen und Rahmenbedingungen noch schärfen. Gruß, Nils

Moin, Wenn das Herunterstufen fehlschlagen sollte, gibt es natürlich eine Fehlermeldung. Die DNS-Einträge für das AD entfernt der Vorgang auch, den A-Eintrag für den Server nicht. Den müsstest bei Bedarf selbst löschen. Eine Kontrolle, ob alles korrekt entfernt wurde, empfiehlt sich immer. Das sind im Wesentlichen drei Stellen: die Domäne, die Config-Partition und DNS. Wenn du einen neuen DC mit demselben Namen installieren willst, entfernst du erst den alten vollständig, wartest die Replikation ab und installierst dann den neuen. Gruß, Nils

Moin, näherungsweise kannst du dir das in etwa so vorstellen. Für die genauen Abläufe müsste ich jetzt erst mal länger bei Microsoft suchen, das bekommst du bei Bedarf sicher auch hin. Der KDC läuft normalerweise "immer" und prüft, wenn meine Erinnerung nicht trügt, alle 15 Minuten, ob der die Topologie neu berechnen muss. Gruß, Nils

Moin, wenn man schon dabei ist, würde ich auf der obersten Ebene auch noch eine eigene Dateiserver-Admin-Gruppe berechtigen. Das erspart Umstände mit der UAC beim administrativen Zugriff. [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net] https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß, Nils

Moin, falls sich jemand wundert: Ich kann dieses Jahr aus privaten Gründen nicht. Im Geiste bin ich aber immer bei euch. ;) Gruß, Nils

Moin, ohne jetzt näher eingestiegen zu sein, klingt das für mich erst mal nicht "kaputt", sondern nach einer Mischung aus Missverständnissen und technischer Komplexität. Allgemein sollte man bei Berechtigungen möglichst simpel bleiben, weil sich rein technisch zwar einiges machen und noch mehr vorstellen lässt, was aber in der Praxis oft an andere Grenzen stößt. So ist etwa das Vererbungssystem von NTFS-Berechtigungen an vielen Stellen nicht besonders gut implementiert, und auch die Aufteilung und Kombination einzelner NTFS-Berechtigungen ermöglicht faktisch viel weniger Freiheiten, als man zunächst denken mag. Ein wichtiger Punkt ist aber der Zusammenhang von Berechtigungen und Backups. Es ist ein Missverständnis, dass "der Administrator" Rechte auf Ordner haben müsse, damit er Datensicherungen ausführen kann. Es gibt in Windows ein Privileg "Backup" (SeBackupPrivilege), mit dem ein User (typischerweise: ein Service Account, mit dem die Backupsoftware läuft) Daten auch dann lesen kann, wenn er keine Rechte darauf hat. Der einfachste Weg, dieses Privileg zu nutzen, besteht darin, den Account in die Gruppe "Backup-Operatoren" des jeweiligen Rechners aufzunehmen und eine Software zu verwenden, die dieses Privileg auch einsetzt (zum Testen eignet sich Robocopy mit dem Schalter /B). Gruß, Nils