NilsK

Moin, und was genau sollte aus deiner Vermutung folgen? Gruß, Nils

Moin, prima, danke für die Rückmeldung! Gruß, Nils

Moin, geht es bei dem Vorhaben um eine einzige Praxis mit mehreren Standorten? Oder sind die "Praxen", von denen die Rede ist, unterschiedliche Kunden? Ich würde für sowas auch nach kompletten Cloud-Angeboten suchen, wo man nicht die ganze Infrastruktur in einem fremden RZ aufbauen muss, sondern ggf. die einzelnen Komponenten als Dienste beziehen kann. Dazu müsste man allerdings die Anforderungen und Rahmenbedingungen noch schärfen. Gruß, Nils

Moin, Wenn das Herunterstufen fehlschlagen sollte, gibt es natürlich eine Fehlermeldung. Die DNS-Einträge für das AD entfernt der Vorgang auch, den A-Eintrag für den Server nicht. Den müsstest bei Bedarf selbst löschen. Eine Kontrolle, ob alles korrekt entfernt wurde, empfiehlt sich immer. Das sind im Wesentlichen drei Stellen: die Domäne, die Config-Partition und DNS. Wenn du einen neuen DC mit demselben Namen installieren willst, entfernst du erst den alten vollständig, wartest die Replikation ab und installierst dann den neuen. Gruß, Nils

Moin, näherungsweise kannst du dir das in etwa so vorstellen. Für die genauen Abläufe müsste ich jetzt erst mal länger bei Microsoft suchen, das bekommst du bei Bedarf sicher auch hin. Der KDC läuft normalerweise "immer" und prüft, wenn meine Erinnerung nicht trügt, alle 15 Minuten, ob der die Topologie neu berechnen muss. Gruß, Nils

Moin, wenn man schon dabei ist, würde ich auf der obersten Ebene auch noch eine eigene Dateiserver-Admin-Gruppe berechtigen. Das erspart Umstände mit der UAC beim administrativen Zugriff. [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net] https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß, Nils

Moin, falls sich jemand wundert: Ich kann dieses Jahr aus privaten Gründen nicht. Im Geiste bin ich aber immer bei euch. ;) Gruß, Nils

Moin, ohne jetzt näher eingestiegen zu sein, klingt das für mich erst mal nicht "kaputt", sondern nach einer Mischung aus Missverständnissen und technischer Komplexität. Allgemein sollte man bei Berechtigungen möglichst simpel bleiben, weil sich rein technisch zwar einiges machen und noch mehr vorstellen lässt, was aber in der Praxis oft an andere Grenzen stößt. So ist etwa das Vererbungssystem von NTFS-Berechtigungen an vielen Stellen nicht besonders gut implementiert, und auch die Aufteilung und Kombination einzelner NTFS-Berechtigungen ermöglicht faktisch viel weniger Freiheiten, als man zunächst denken mag. Ein wichtiger Punkt ist aber der Zusammenhang von Berechtigungen und Backups. Es ist ein Missverständnis, dass "der Administrator" Rechte auf Ordner haben müsse, damit er Datensicherungen ausführen kann. Es gibt in Windows ein Privileg "Backup" (SeBackupPrivilege), mit dem ein User (typischerweise: ein Service Account, mit dem die Backupsoftware läuft) Daten auch dann lesen kann, wenn er keine Rechte darauf hat. Der einfachste Weg, dieses Privileg zu nutzen, besteht darin, den Account in die Gruppe "Backup-Operatoren" des jeweiligen Rechners aufzunehmen und eine Software zu verwenden, die dieses Privileg auch einsetzt (zum Testen eignet sich Robocopy mit dem Schalter /B). Gruß, Nils

Moin, der Ransomware-Schutz macht ja schon was anderes. Die Idee ist auch nicht schlecht. Vor allem ist die Marketing-Aussage ja, dass die Funktion mit sinnvollen Vorgabewerten arbeite. Das scheint so aber nicht zu stimmen. Gruß, Nils

Moin, OK, danke. Dann schalt ich das erst mal wieder aus. Gruß, Nils

Moin, ah, gut zu wissen. Danke für die Info. Bleiben also "nur" die anderen Anmerkungen. ;) Gruß, Nils

Moin, leider bist du insgesamt auf dem Holzweg ... erst mal in Kürze: Das OS des Host-Systems hat mit den darin laufenden VMs erst mal nichts zu tun. Die kannst du weitgehend unabhängig voneinander betrachten. Exchange 2010 ist mit DCs unter Windows Server 2016 nicht supported. Wenn du 2016-DCs nutzen willst, musst du zuerst das Exchange aktualisieren. Eine AD-Domäne kannst du nicht umbenennen, wenn Exchange dort läuft. In aller Regel ist das aber auch nicht nötig. Eine Umstellung der Hyper-V-Hosts von 2008 R2 auf 2016 ist nur durch Ex- und Import der VMs möglich, richtig. Insgesamt würde ich dir empfehlen, so eine Umstellung nicht nur mit Foren-Support zu machen, sondern einen erfahrenen Dienstleister dazuzuholen. Das ist auch kein Riesenaufwand, aber man kann eben gravierende Fehler machen. Gruß, Nils

Moin, aufgrund der Empfehlung in der letzten c't habe ich mal den Ransomware-Schutz des Windows Defender eingeschaltet. In dem Artikel hieß es, dass das praktikabel sei. Nun habe ich allerdings festgestellt, dass der Ransomware-Schutz offenbar gerade keine praktikablen Voreinstellungen hat. Er hindert praktisch alle Prozesse daran, etwa im Userprofil Änderungen vorzunehmen - darunter auch der Explorer, weswegen nach einem Neustart plötzlich meine Taskleiste leer war. Erst nach expliziter Freigabe der Applikationen funktioniert das. Es scheint mir aber nicht zielführend, jetzt -zig Ausnahmen für den Explorer, Office und alles Weitere vorzunehmen. Eigentlich bin ich deshalb kurz davor, das wieder abzuschalten. Hat da jemand schon nähere Erfahrungen? Gruß, Nils

Moin, bei früheren Windows-Versionen habe ich ab und an beobachtet, dass die Modifikator-Tasten - vor allem Alt und AltGr, aber bisweilen auch Strg - aktiv bleiben, wenn man sie losgelassen hat. Eine Lösung habe ich dafür leider nicht. Mit Windows 10 ist mir das noch nicht passiert. Gruß, Nils

Moin, nein, das wird nicht funktionieren. Es wäre eine separate Domäne, die trotz gleichen Namens mit der ursprünglichen nichts zu tun hätte und andere SIDs verwendete. Vor weiterem technischen Gebastel wäre jetzt notwendig die Frage zu klären, was denn genau in welcher Qualität archiviert werden muss. Das ist ggf. mit einem IT-Fachanwalt zu klären, "Forenwissen" reicht dazu nicht aus. Gruß, Nils

Moin, meines Wissens kann Hyper-V das, denn genau dafür wurde das entwickelt. Konkret umgesetzt habe ich es noch nicht. Um sicher zu gehen, solltest du die Frage also mit Citrix klären, denn die müssten das am Ende ja supporten. (Und ja, auch sowas klärt man vor der Beschaffung in einer frühen Designphase.) Gruß, Nils

Moin, aus meiner Sicht ist jetzt der Zeitpunkt gekommen, an dem du zwei Sorten von Fachleuten hinzuziehen solltest: jemanden, der mit dir bzw. der Geschäftsleitung genau herausarbeitet, was denn da genau archiviert werden muss jemanden, der dir die technischen Hintergründe einer AD-Domäne erläutert und dich dann ggf. dabei unterstützt, den Server wieder in den richtigen Zustand zu bringen Einstweilen ein paar Hinweise: Nur weil du dich an dem Server nicht anmelden kannst, heißt das noch lange nicht, dass man an die Daten nicht herankommt. Auf einem 2003-Server ist mit allergrößter Sicherheit keine Verschlüsselung eingerichtet. Die Festplatte lässt sich also mit ebenso großer Sicherheit auf einem anderen Rechner (bzw. durch Booten von CD oder so) lesen. Deiner Beschreibung nach war der Server evtl. früher ein Domänencontroller. Je nachdem, wie er dann heruntergestuft wurde, ist er nun evtl. nicht mehr Mitglied der Domäne, also kann man sich mit Domänenkonten auch nicht anmelden. Da ein DC überhaupt keine lokalen Anmeldekonten hat, gibt es nun vermutlich nur das lokale Administrator-Konto, dessen Kennwort sich wahrscheinlich von dem des Domänen-Admins unterscheidet. Wenn die Software, um die es geht, Domänenkonten braucht, wird sie nun also auch ohne Weiteres nicht starten. Wahrscheinlich lässt sich das aber umkonfigurieren. Gruß, Nils

Moin, DDA ist dafür ziemlich sicher der falsche Weg, denn darüber weist du die Hardware exklusiv der Kontrolle durch eine VM zu. So ziemlich das Gegenteil von dem, was du willst. Wie Dukel schon sagt, geht es hier um vGPUs innerhalb von RemoteFX: https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-remotefx-vgpu Und auch mit seinem Hinweis hat Dukel Recht, das ist im Detail nicht trivial. Man sollte für sowas die Hardware immer erst nach dem Nachweis der Funktion beschaffen. Gruß, Nils

Moin, wenn es wichtig ist und nicht nur eine Testumgebung oder eine Kleinst-Domäne, mach einen Case bei Microsoft auf. Der Fehler ist exotisch und vermutlich "nur mit Internet" nicht mit ausreichender Erfolgsaussicht zu lösen. Gleichzeitig kann er für eine Produktionsumgebung kritisch sein. Gruß, Nils

Moin, mir scheint das ganze auch eher auf Hörensagen und Vermutungen zu beruhen. Warum etwa glaubst du, dedizierte Terminalserver zu brauchen? Vielleicht wäre hier etwas Beratung beim Design der Umgebung sinnvoll, wir sehen es allzu oft, dass aus Basis falscher Annahmen Beschaffungen durchgeführt werden. Gruß, Nils

Moin, wenn du den kostenlosen Hypervisor einsetzt, ist der ja kostenlos. Nähmest du die "Vollversion", so benötigtest du 2016-er Lizenzen in ausreichender Zahl. Die VMs selbst haben keine Lizenzen, lizenziert wird immer der Host (auch im Fall von VMware, KVM usw.). Auch in deinem Szenario lizenzierst du aber nicht die VMs, sondern musst die Windows-Lizenzen dem Host zuweisen. Hier also die 2008-Lizenzen. Ob die schon das Kumulieren von Lizenzen zulassen, weiß ich aus dem Kopf nicht mehr. Was soll denn das werden, eine Produktionsumgebung? Gruß, Nils

Moin, hier geht es anscheinend um Benutzerkonten, nicht um Profile. In der Tat gibt es die Auswahl nur für lokale Konten, wobei das weniger Sicherheitsgründe hat, sondern hauptsächlich darauf zurückzuführen ist, dass es in einer Domäne ja eine Vielzahl von Konten geben kann. Was ist denn die Anforderung hinter der Frage? Gruß, Nils

Moin, im Wesentlichen immer noch aktuell: [Hyper-V und Netzwerke | faq-o-matic.net] https://www.faq-o-matic.net/2012/04/23/hyper-v-und-netzwerke/ Gruß, Nils

Moin, da fehlen doch von vorn bis hinten die Anforderungen. Was sollen denn "seine Daten" sein? In den wenigsten Situationen sind darunter Daten zu verstehen, die in einem Benutzerprofil liegen. Dann ist völlig unklar, warum von verschiedenen Standorten auf "die" Daten zugegriffen werden soll. Ebenso fehlen Aussagen, ob mit "den" Daten dann immer nur ein User arbeitet oder verschiedene - und wo diese sich dann befinden. Das musst du hier jetzt nicht alles offenbaren, aber genau solche Fragen musst du beantworten, wenn du ein passendes Konzept entwickeln willst. Zuerst ist dabei nämlich zu klären, wozu es denn passen soll. Gruß, Nils

Moin, dass "Firmen" pauschal an bestimmten Zertifikaten interessiert seien, ist ein Mythos. Wenn überhaupt, ergibt sich das evtl. aus dem Profil einer bestimmten Stelle, die zu besetzen ist (selten). Oder bei IT-Dienstleistern aus den Anforderungen von Microsofts Partnerprogramm (auch selten). Es gibt aber praktisch nie den Fall, dass jemand "nur" oder "vor allem" wegen bestimmter Zertifikate eingestellt wird. Relevant sind immer Praxiskenntnisse und Persönlichkeit, und über die sagen die Zertifikate nichts aus. Aus meinem Nähkästchen: Den Teil mit den Zertifikaten schaue ich mir bei der Sichtung von Bewerbungen zunächst überhaupt nicht an, das kommt frühestens dann, wenn ich jemanden zum Gespräch einlade. In deinem Fall wäre es also sinnvoll, dass du dich an deinen eigenen Interessen sowie an den Erfordernissen deines Jobs orientierst. Gruß, Nils