NilsK

Moin, die Frage, ob man mehr als einen DC haben sollte, ist recht identisch mit der Frage, ob es mehr als ca. 10 User in der Domäne gibt. (Es erstaunt mich immer wieder, dass man das heute noch diskutieren muss ...) Gruß, Nils

Moin, *lol* - ich stimme Norbert völlig zu. Gruß, Nils

Moin, eine gute Beratung hätte euch in dem Zusammenhang sicher auch über die üblichen Verfahren beim Code-Signing informiert ... aber geschenkt. Ihr müsst die PKI ja jetzt nicht einstampfen, das Verfahren mit dem Timestamp-Server ist nicht Windows-spezifisch. Ihr müsst halt eure Prozesse für das Code-Signing ändern. Das würde ich tun, bevor ich die bestehenden Probleme weiter bearbeite, weil die ja offenkundig auf den alten, ungünstigen Prozessen beruhen. Ich ergänze trotzdem einen Schuss ins Blaue: Ist auf dem Rechner, von dem aus du den Code signieren willst, der Private Key für das Zertifikat denn vorhanden und für den Useraccount zugänglich? Gruß, Nils PS. für eine Windows-PKI hätte ich dir jetzt ein gutes Buch empfohlen ... ob du für euer Produkt eins findest, weiß ich nicht.

Moin, eigentlich solltet ihr euch zuerst überlegen, was ihr haben wollt und dann eine Lösung dafür suchen. Ob 1, 2 oder 3 für euch geeignet sind, können wir ja gar nicht beurteilen. Am Ende ist ein "Home" ein Ordner wie jeder andere auch, Es liegen bestimmte Berechtigungen drauf, und im Fall eines Homes ist er normalerweise für den betreffenden User gemappt. Ob das Mapping direkt bei der Anmeldung über das AD-Attribut erfolgt oder separat per Skript oder GPO, ist meist egal. Der Vorteil des AD-Attributs ist, dass bei der Anmeldung auch gleich eine Systemvariable gesetzt wird, aber die wertet heute kaum noch jemand aus. Bleiben also die Berechtigungen. In der Praxis stellen viele fest, dass die Berechtigungen, die per ADUC (also über das GUI) automatisch gesetzt werden, so toll doch nicht sind. Es spricht also meist einiges dafür, die Ordner per Skript anzulegen und dabei genau die Berechtigungen zu setzen, die man haben will. Dafür leistet z.B. SetACL von Helge Klein gute Dienste. Gruß, Nils

Moin, so in etwa. Beim Server unterscheidet Microsoft mittlerweile auch zwei Linien, die "herkömmliche" mit einem Vollprodukt alle paar Jahre (aktueller Name dafür ist LTSC) und eine weitere mit Aktualisierung zweimal jährlich. Letztere erfordert die Software Assurance und ist ausdrücklich kein Vollprodukt, sondern in erster Linie als Basis für Container gedacht. Gruß, Nils

Moin, irgendwie scheint mir immer noch die wesentliche Frage ungeklärt: Was sind denn eigentlich die Anforderungen? Ohne diese Information kann man schlicht keine Abwägung treffen. Gruß, Nils

Moin, damit man Code nicht jedes Mal beim Erneuern des Zertifikats neu signieren muss, setzt man beim Code Signing üblicherweise Timestamp-Server ein. Der Timestamp ist dann Teil der Signatur, damit ist bewiesen, dass die Signatur zum Zeitpunkt des Signierens gültig war, auch wenn das Zertifikat längst abgelaufen ist. Statt also über den Problemen eures (unvollständigen) Ansatzes weiter zu brüten, würde ich die Infrastruktur nach diesem Prinzip neu machen. Warum nutzt du nicht die in Windows integrierte CA? Gruß, Nils

Moin, der Fehlermeldung nach vermute ich, dass du den Verschiebevorgang von 2016 nach 2012 R2 von dem 2016-Server aus versuchst? Dann kann es sein, dass dessen Hyper-V-Manager den 2012 R2 nicht korrekt ansprechen kann. Geht es, wenn du den Vorgang von dem 2012 R2 aus anstößt? Ich bin mir gar nicht sicher, ob ich das mal selbst probiert habe. Grundsätzlich sollte es aber gehen. Weitere Möglichkeiten wären per PowerShell von der einen oder der anderen Seite. Gruß, Nils

Moin, wenn du von einem PC aus einen Hyper-V-Host verwalten willst, der auf einem anderen Rechner läuft, dann brauchst du auf dem PC dazu die RSAT. Die lädst du separat herunter. Deiner Beschreibung nach hast du den PC als Hyper-V-Host eingerichtet. Vielleicht ist es das, was du wolltest, vielleicht aber auch nicht. Gruß, Nils

Moin, bei Microsoft gibt es unabhängig vom Produkt mehrere Supportmöglichkeiten. Im Wesentlichen ist das Per-incident Support, d.h. du öffnest bei Bedarf einen Case zum Pauschalpreis, der einzeln abgerechnet wird. Oder du schließt einen Support Contract, den es auch in mehreren Ausprägungen gibt. https://support.microsoft.com/de-de/gp/contactus81?forceorigin=esmc&Audience=Commercial Gruß, Nils

Moin, ich stimme zu, diese Sorte Anforderungen ist das Paradebeispiel für horizontale Skalierung und eine Stärke von Cloud-Applikationen. Das erfordert allerdings i.d.R. Anpassungen an der Applikation, weil deren Design das Verfahren unterstützen muss. Gruß, Nils

Moin, bei der hosts-Datei hat dir evtl. UAC einen Streich gespielt (Dateisystemvirtualisierung). Das mit dem Browsercache kommt noch erschwerend hinzu, da hat mwiederkehr Recht. Browser übernehmen mittlerweile verschiedene Dinge aus dem Netzwerkstack selbst, weil die Hersteller momentan mit einigen Dingen experimentieren. Gruß, Nils

Moin, hm, in dem Fall könnten Mandatory Profiles ein simples Mittel sein, um das grundsätzlich zu erreichen. Dafür müssen die Konten der Schulungsteilnehmer ein servergespeichertes Profil haben und sich einmal an- und abmelden. Danach ändert man auf dem Dateiserver im dort hinterlegten Profil jeweils die Datei ntuser.dat in ntuser.man. Ob das mit aktuellem Windows noch geht, weiß ich nicht, vermutlich schon. In einer Produktionsumgebung würde ich das nie machen, weil Datenverluste unumgänglich sind. Im Schulungsszenario ist das evtl. kein Thema. Aber: Die ganze Technik rund um servergespeicherte Profile ist sehr fehlerträchtig. Vielleicht wäre eine andere Lösung sinnvoller, z.B. mit einem Skript, das delprof2 verwendet (https://helgeklein.com/free-tools/delprof2-user-profile-deletion-tool/). Gruß, Nils

Moin, unter Windows (meines Wissens aber sinngemäß genauso in anderen Betriebssystemen) läuft es so: der DNS-Client prüft, ob der angefragte Name der eigene Hostname ist wenn nicht, prüft der Client, ob der Name im lokalen DNS-Cache steht wenn nicht, prüft der Client die hosts-Datei ist dies erfolglos, fragt der Client den ersten konfigurierten DNS-Server nur wenn dieser gar nicht antwortet, versucht der Clients ggf. die anderen konfigurierten DNS-Server bekommt er da auch keine Antwort, versucht der Client, den Namen mit einem lokalen Broadcast aufzulösen Das ist alles dieselbe Abfrage, nicht sechs verschiedene. Als erstes wird also immer der lokale DNS-Cache geprüft. Beim Start des DNS-Clients lädt dieser alle Einträge aus der hosts-Datei in den Cache, sodass ein Datei-Lookup ggf. entfallen kann. (So ist es dokumentiert. Zumindest unter Windows 10 scheint der DNS-Cache die Einträge aus hosts aber auch dann zu laden, wenn man die Datei bearbeitet hat; möglicherweise prüft der Cache auch direkt die Datei.) Ist der Name nicht im Cache, dann kommt als nächstes die hosts-Datei - sie hat also höhere Priorität als die konfigurierten DNS-Server. Das kann man für verschiedene Dinge nutzen, was Malware oft versucht. Bei den DNS-Servern lauern Stolperfallen: Der sekundäre DNS-Server wird nur gefragt, wenn der primäre gar nicht antwortet. Gibt der primäre DNS-Server zurück, dass er den Namen nicht kennt, dann ist das eine gültige Antwort und der Client fragt keine der anderen DNS-Server. Antwortet der erste nicht, aber der zweite, dann wird der DNS-Client ab da immer den zweiten zuerst fragen - aus dem Grund sollte man niemals DNS-Server mit unterschiedlichen Datenbeständen als primären und sekundären Eintrag nutzen. Dein Versuchsergebnis passt nicht dazu. Das liegt meist daran, dass du die hosts-Datei nicht richtig bearbeitet hast: Du brauchst dazu Adminrechte und musst die richtige Fassung bearbeiten. Gerade getestet (und damit nachgewiesen): hosts-Datei als Admin geöffnet eingetragen: 193.104.220.6 www.bild.de im Browser www.bild.de geöffnet: es öffnet sich tatsächlich www.taz.de (wegen der IP-Adresse) in der hosts-Datei den Eintrag auskommentiert erneut www.bild.de geöffnet - es öffnet sich wieder www.taz,de, weil der Eintrag noch im DNS-Cache steht DNS-Cache gelöscht (ipconfig /flushdns als Admin) www.bild.de öffnet die Seite der unappetitlichen Boulevardzeitung Generell sollte man die hosts-Datei nicht verwenden. Da sie höher priorisiert ist als die DNS-Server, führt das schnell zu Fehlersituationen, die nur schwer aufzuklären sind. Gruß, Nils

Moin, gut, das ist die Beschreibung eines Mandatory Profiles. Und was ist die Anforderung dahinter? Warum soll das zurückgesetzt werden? Grund der Rückfrage: Nur wenn man weiß, was denn eigentlich erreicht werden soll, kann man nach Lösungen suchen. Sonst bearbeitet man die Probleme der Lösung, aber nicht die Lösung des Problems. Gruß, Nils

Moin, was ist denn die Idee dahinter? Grundsätzlich können Objekte anderer Domänen nur in Domänenlokale Gruppen aufgenommen werden (im selben Forest auch in Universale Gruppen), aber nicht in Globale. Der Witz einer Globalen Gruppe ist, dass sie nur Objekte aus derselben Domäne enthält. Gruß, Nils

Moin, Mandatory Profiles sind eine Technik von Mitte der Neunziger. Das will man heute nicht mehr verwenden. Unter anderem, weil Datenverluste drohen. Was ist denn die Anforderung dahinter? Die Technik beruht darauf, bei einzelnen servergespeicherten Benutzerprofilen eine Datei umzubenennen. Das ist also ohnehin nur auf einzelne User bezogen, nicht auf alle. Gruß, Nils

Moin, ja, eben. Deshalb wirst du vermutlich keine brauchen. Richte die Sitelinks ein, die "in der Physik" auch wirklich funktionieren. Gruß, Nils

Moin, die Bridges brauchst du nur, wenn du nicht alle Site Links einzeln erstellen willst. In dem letzten Bild des von mir verlinkten Artikels wird das deutlich: Es gibt die Links A-B und B-C. Tatsächlich ist zwischen A und C auch Traffic möglich, daher erlaubt die Bridge, dass der KCC auch zwischen A und C eine Verbindung herstellt. Man hätte in dem Szenario auch noch einen Link A-C definieren können, das wäre im Effekt wirkungsgleich. In so kleinen Umgebungen ist das egal, die Bridges sind bei großen Netzwerken aber u.U. hilfreich. Der Artikel von Robert Pieroth scheint mir bei näherem Hinsehen nicht ganz korrekt zu sein. Den nehm ich mal offline. Gruß, Nils

Moin, grundsätzlich sollte man in die KCC-Verbindungen nicht manuell eingreifen, sondern dem KCC Hinweise geben, wie man es haben will. Heißt: Im Normalfall keine manuellen Replikationsverbindungen. Sobald man diese baut, ist man dafür verantwortlich und schränkt die Mittel des KCC zur Korrektur bei Änderungen an der Infrastruktur ein. Wenn es zwischen DC3 und DC4 keine Verbindung gibt, musst du die Standortverknüpfungen entsprechend definieren und das Auto-Sitelink-Bridging abschalten. http://www.active-directory-faq.de/2012/12/active-directory-sites-and-services-–-bridge-all-site-links/ Gruß, Nils

Moin, starte erst den einen neu, dann nach etwas Wartezeit den anderen. Ändert sich dadurch was? Führe dann bitte mal dcdiag /E aus. Welche Zeilen im Log weisen auf Fehler hin? Gruß, Nils

Moin, SDC war mal die deutsche Übersetzung "Sicherungs-Domänencontroller" für BDC. Gruß, Nils

Moin, ja, der Haken führt zu einer Bereinigung der Metadaten. Sollte das nicht klappen, dann musst du den steinigen Weg über ntdsutil gehen. Gruß, Nils

Moin, deine DCs haben ein Zeitproblem und evtl. ein DNS-Problem. Das musst du prüfen und korrigieren. Wenn die Zeit stark abweicht, wird Windows das nicht mehr automatisch korrigieren, dann musst du manuell die Zeit setzen. Danach solltest du dann die Automatik (wieder-) herstellen, Hinweise dazu gibt https://www.gruppenrichtlinien.de/de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ Der DNS-Fehler könnte ein Folgefehler sein, aber grundsätzlich gelten diese Empfehlungen: [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Abschließend sei noch erwähnt, dass es im Active Directory keinen PDC und SDC/BDC gibt. Das gab es nur in NT4 und vorher. Gruß, Nils

Moin, aber dann hätte doch auch ein einmaliges "gpupdate" gereicht? Gruß, Nils