NilsK

Moin, ich komm grad nicht ganz hinterher ... in deiner Frage mit den vielen Screenshots hast du aber einen Fehler gemacht. Die NICs für die VMs erzeugst du natürlich nicht auf dem Host, was soll der damit? Die gehören natürlich nur in die VMs und konnektieren auf den gemeinsamen vSwitch. Wichtig: Sobald du mit komplexen vSwitch-Aufbauten arbeitest, geht das nur noch per PowerShell. Das GUI dann nicht mehr anfassen und auf keinen Fall dort etwas ändern. Das GUI ist nur für simple Aufbauten gedacht und kommt mit den erweiterten Optionen oder mit mehreren Host-vNICs nicht klar. Gruß, Nils

Moin, was soll man dazu sagen? Gemessen woran könntest du etwas "falsch" gemacht haben? Es bleibt unklar, was du wovor schützen willst. Und für mich bleibt unklar, wozu du so einen User brauchen könntest und warum der gewählte Weg in dem Szenario sinnvoll sein könnte. Kann sein, kann nicht sein, das ist so nicht zu entscheiden. Ein Punkt springt weiter ins Auge: Dein User ist lokaler Admin. Er kann also sämtliche Einschränkungen abschalten. Vielleicht mit etwas Aufwand, aber bei den gegebenen Privilegien nicht verhinderbar. Sorry, aber mehr kann ich dazu nicht beitragen. Gruß, Nils

Moin, der Sinn ist mir auch nicht klar. Aber lösen könnte man sowas nur über Gruppen, nicht über OUs. Die Gruppe "CompZert 3 Jahre" erhält Autoenroll-Berechtigung auf die Vorlage 3 Jahre, die Gruppe "CompZert 1 Jahr" erhält sie für die Vorlage mit 1 Jahr. Wobei 3 Jahre Laufzeit für ein Computerzertifikat viel zu lang ist, gerade bei Autoenroll, Da würde ich nicht mehr als 6 Monate setzen. Gruß, Nils

Moin, also ... mir kommt das gerade nicht wie ein verantwortungsvoller Umgang mit dem System vor. Du hast eine VM, deren Backup nicht funktioniert bzw. nicht aktuell ist. Hältst du es wirklich für eine gute Idee, an den Spezifikationen des Systems vorbei deren produktive virtuelle Disk mal eben parallel zu mounten, um alte Daten rauszuholen? Mach, was du willst, ist dein System. Aber jammer hinterher nicht ... Gruß, Nils

Moin, wenn ich nicht ganz falsch liege, kannst du in Windows 2012 den Snapshot auch exportieren. Dadurch entsteht eine separate VHDX-Datei, die du dann öffnen kannst, um die Daten rauszufischen. Gell, und vorher kümmerst du dich darum, dass das Backup funktioniert. Snapshots ersetzen kein Backup, sondern sind ganz im Gegenteil ein erhebliches Risiko für Stabilität und Performance. Gruß, Nils

Moin, zwei typische Ursachen: Der Pfad ist für den Client, der das Zertifikat prüft, eben doch nicht erreichbar - Namensauflösung, Firewall, Berechtigungen. Die Sperrliste ist abgelaufen. Ist es der zweite Punkt, dann fehlt ein Prozess, der die jeweils aktuelle Sperrliste an den Veröffentlichungspunkt kopiert. Die Sperrlisten sollte man allerdings auch nur noch per http bereitstellen (auf einem Server, der intern und extern unter demselben URL erreichbar ist), nicht per Dateizugriff, weil das spätestens mit externen Clients (Home Office usw.) nicht funktioniert. Ich empfehle das Rheinwerk-Buch zum Thema. Bei PKI kann man sehr viel falsch machen, Weiter-Weiter-Fertigstellen reicht praktisch nie aus. Gruß, Nils

Moin, was sagt das Eventlog? Auch in den Dienstprotokollen schauen, da gibt es extra welche für den Cluster und für Hyper-V. Gruß, Nils

Moin, deine technische Frage habe ich nicht verstanden. Was willst du genau wissen? Lizenzrechtlich bist du auf dem Holzweg. Die Windows-Server-Lizenzen werden immer dem Host zugewiesen und niemals den VMs. Für 6 VMs benötigst du auf dem Hosts drei Standard-Lizenzen, weil du mit jeder Standard-Lizenz zwei WIndows-Server-VMs betreiben darfst. Wenn dein Host unter 2012 R2 laufen soll, kannst du die 2008- und 2012-(ohne-R2)-Lizenzen nicht dafür einsetzen, du brauchst dann drei 2012-R2-Lizenzen. Da du die neu nicht mehr kaufen kannst, läuft das auf drei 2016-Lizenzen (bzw. Lizenz-Sets) hinaus. https://youtu.be/6tH3QGSRP00 Gruß, Nils

Moin, musst du ja auch gar nicht. Du sollst dort angeben, welches Feld als Alternate Login ID verwendet werden soll. In dem Feld müssen dann die passenden Anmeldedaten stehen, die der Anwender nutzen soll. https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configuring-alternate-login-id Ob das dein organisatorisches Problem löst, lässt sich von außen nicht einschätzen. Gruß, Nils

Moin, diese Google-Abfrage sollte einige passende Treffer enthalten zu Grundlagen und Grenzen: https://www.google.de/search?q=office+365+alternate+login+id Gruß, Nils

Moin, na und? Dann forderst du für den anderen Host eben manuell ein Zertifikat bei der CA an. Gruß, Nils

Moin, ich verstehe auch nicht recht, wo jetzt das Problem ist. Wir haben ja nun einiges zu der Frage gesagt. Also noch mal ausdrücklich: Man kann ein AD problemlos mit einem Nicht-AD-DNS-Server betreiben, sogar mit einem BIND unter Unix. Es ist halt an einigen Stellen aufwändiger, aber es geht. Das ist ja aber, wenn ich das Szenario richtig verstehe, eigentlich auch nicht der Punkt, weil es hier ja nur um einen Secondary ginge. Der muss halt ausreichend aktuell sein, wozu man den Zonentransfer passend einrichten muss. Wenn jetzt noch was offen ist, bitte konkret fragen. Gruß, Nils

Moin, lass das Skript ein Protokoll schreiben, damit du siehst, was dort evtl. falsch läuft. Warum rufst du robocopy per PowerShell auf? Das macht einen Task nur unnötig kompliziert, daher würde ich an der Stelle ein Batch vorziehen. Gruß, Nils

Moin, das Zertifikat musst du dann in den Zertifikatsspeicher des Computerkontos einbinden. Da die Replikation im Zweifel ja eine beidseitige Angelegenheit ist, müssen beide Hosts je ein Zertifikat haben. Gruß, Nils

Moin, wenn ich es richtig sehe, beschreibt der folgende Artikel die Methoden zum Drucken. In VBScript sollte man dieselben Objekte und Methoden verwenden können. Bei .PrintOut kann man den Drucker ausdrücklich vorgeben. https://powerspreadsheets.com/excel-vba-print/ Gruß, Nils

Moin, das geht erst, wenn man die 2003-DCs aus der Domäne nimmt und den Domänenmodus hochsetzt. [Mehrere Kennwortrichtlinien in einer Domäne | faq-o-matic.net] https://www.faq-o-matic.net/2007/05/21/mehrere-kennwortrichtlinien-in-einer-domaene/ Seit Windows Server 2012 kann man diese Richtlinien dann mit GUI bearbeiten. Der Weg mit dem "Kennwort läuft nie ab" ist weder sinnvoll noch äquivalent, denn die Richtline umfasst auch die automatische Kontensperrung usw. Gruß, Nils

Moin, ah, OK. Danke für die Rückmeldung! Gruß, Nils ... what a difference a T makes ...

Moin, ja, die Vermutung ist zumindest nicht abwegig. Gruß, Nils

Moin, wenn du genau dieses INSERT-Kommando im SQL Studio ausführst, kommt dann auch der Fehler? Gruß, Nils

Moin, funktioniert es, wenn du den User aus der Admingruppe nimmst und neu anmeldest? Es gibt vereinzelt Berichte, dass Apps als Admin nicht starten. Möglicherweise hilft auch sowas: http://home.bt.com/tech-gadgets/computing/windows-10/has-your-windows-10-start-menu-stopped-working-here-are-four-ways-to-fix-it-11364000314532 Gruß, Nils

Moin, was genau ist jetzt das Problem? Geht es um die Millisekunden? Laut https://docs.microsoft.com/en-us/sql/t-sql/data-types/datetime-transact-sql?view=sql-server-2017 sollte als Trenner auch der Doppelpunkt akzeptiert werden, geht das von deinem VS-Code aus? Gruß, Nils

Moin, Client-Installationen erledigt man nicht als Domänen-Admin. Der ist zum Administrieren des AD da, für nichts sonst. User bekommen keine lokalen Adminrechte. Dafür gibt es separate Konten. Sind User lokale Admins, ist das gesamte Netzwerk aktiv gefährdet. Was genau passiert, wenn der User Apps zu starten versucht? Kann der User "normale" Programme starten? Gibt es sonst Auffälligkeiten? Gruß, Nils

Moin, auch das gehört zu den Grundproblemen der Mailverschlüsselung, die eine Verbreitung der Technik effektiv verhindern. Wie mwiederkehr schon sagt, kann man grundsätzlich das bestehende Zertifikat mit dem bestehenden Private Key verlängern - dann nutzt man dieses Zertifikat auch, um auf die "alten" Mails zuzugreifen. Es kann aber sein, dass man diese Form der Verlängerung nicht nutzen kann, weil z.B. die CA das nicht zulässt. In dem Fall muss man den privaten Schlüssel selbst archivieren, um ihn bei Bedarf zu nutzen. Dass das Zertifikat irgendwann abgelaufen ist, ist in dem Szenario nicht von Relevanz. Den privaten Schlüssel zu archivieren, ist ohnehin notwendig, denn der kann ja vom System verloren gehen (Profil gelöscht, Rechner kaputt ...) - lösen muss man das Problem also ohnehin. Sobald man Ende-zu-Ende verschlüsselt, wird es kompliziert und aufwändig. Das lässt sich nicht ändern. Daher prüfe man genau, ob man das wirklich braucht und baue vorher (!) die zugehörigen Prozesse auf. Bei der Gateway-Verschlüsselung darf man übrigens berechtigt die Frage stellen, welchen Vorteil man gegenüber der reinen Transportverschlüsselung hat. Das hängt vom Szenario ab, aber auch hier sollte man den Bedarf prüfen. Gruß, Nils

Moin, typischerweise führt eine Betrachtung, die das lokal Vorhandene 1:1 in die Cloud überträgt, in die Irre. Einerseits hat man meist lokal viel mehr "Dampf", als man tatsächlich braucht (was in der Cloud praktisch nie nötig ist), andererseits ist der Witz an der Cloud, dass man dort (fertige) Dienste beziehen kann und nicht alles auf Basis von VMs selbst machen muss. Auf der anderen Seite muss man, wenn man tatsächlich etwas wie Terminalserver in der Cloud bereitstellen will, auch die Infrastruktur als Dienst berücksichtigen (etwa die AD-Anbindung). Eine einfache Antwort wird man dir also nicht recht geben können - nur dass eben diese 1:1-Betrachtung aus Kostensicht meist sehr ernüchternd ist, weil "die Cloud" dann sehr teuer aussieht. Lass dich in Ruhe von jemandem beraten, der dir auch konzeptionelle Wege aufzeigen kann, dann bekommst du ein realistischeres Bild. Gruß, Nils

Moin, wer führt hier wen aufs Glatteis? Microsoft sagt an vielen Stellen sehr deutlich, dass Pass-through Disks nicht empfohlen sind. Den Support dafür einzustellen, hieße aber, dass Kunden, die das nutzen, auf einen Schlag ein Problem haben - kaum angemessen. Zumal die Technik ja nicht irgendwie fehlerhaft ist, sondern die Einschränkungen prinzipieller Natur sind. Genau wie mit RDMs bei VMware. Zu deiner anderen Frage lässt sich auf diesem Abstraktionsgrad nicht mehr sagen als "kann sein, muss aber nicht". Gruß, Nils