NilsK

Moin, genau für solche Kofigurationen legt man RDS-Server normalerweise in einer eigene OU ab. Dann kann man sich WMI-Filter und sowas sparen. Wenn du es so baust und das GPO auf diese OU wirken lässt, dann sollte es auch funktionieren. Wichtig: Nach dem OU-Wechsel des Server-Computerkontos den Server neu starten. Gruß, Nils

Moin, mit Remove-ClusterResource solltest du die VM-Ressource aus dem Cluster entfernen können. Gruß, Nils

Moin, korrekt. Der Sinn einer Zertifizierung ist, dass eine anerkannte und unabhängige Stelle den Umsetzungsstand der ISO 27001 bzw. des BSI-200 bestätigt. Selbst wenn du Auditor wärest, könnte dein Unternehmen keine Zertifizierung durchführen, auch nicht für Dritte. Denn dazu gehört eine Akkreditierung des Unternemens, die sich nur dann lohnt, wenn man da einen geschäftlichen Schwerpunkt hat. Als Auditor könntst du von so einem Unternehmen mit einem Audit beaftragt werden, das dann die Grundlage einer Zertifizierung bildet. Aber natürlich nicht für das eigene Unternehmen. Kurz gesagt, seid ihr noch etwas auf dem Holzweg. Eine Einführungsschulung ist sicher sinnvoll, der Rest nicht. Sucht euch einen Dienstleister, der euch begleitet. Schon deshalb, weil ein Externer erfahrungsgemäß bei sowas mehr Handlungsfreiheit hat als ein Interner. Was den zugrundeliegenden Standard angeht: Nehmt BSI-200. Der ist zur ISO 27001 kompatibel, aber viel praxisnäher (und damit in aller Regel "günstiger"). Eine Zertifizierung auf der Basis wäre automatisch eine ISO-27001-Zertifizierung. Gruß, Nils

Moin, es wäre nett, wenn du dir beim Formulieren etwas mehr Mühe gäbest. Was genau hast du deaktiviert? Die Auslagerungsdatei? Wenn ja: Warum macht man sowas? Damit verhindert man effektiv, dass Windows sein sehr ausgereiftes Memory Management anwenden kann. Der Prozess, der so viel Speicher belegt, ist der Defender. 160 MB ist eine Menge, wenn auch nicht beunruhigend viel. Dass ein SQL Server viel RAM belegt, liegt irgendwie auf der Hand. Ich vermute einen Anwender- oder Konfigurationsfehler. Gruß, Nils

Moin, es ist schon etwas seltsam, wenn ein IdM-Anbieter Zugriff auf das AD-Kennwort will. So jemand sollte wissen, dass das gar nicht geht. Um welches Produkt handelt es sich denn? Gruß, Nils

Moin, haben wir auch verstanden. In sofern noch mal ausdrücklich danke dafür. Ergänzend sei uns aber trotzdem der Hinweis erlaubt, dass man mit einer Windows-CA vermutlich nicht mehr Aufwand in der Testumgebung gehabt hätte. Wie immer bei Zertifikaten ist es eben wichtig, dass man die Abläufe und Hintergründe ausreichend versteht, dann hat man eine Chance, auch die Eigenheiten des jeweiligen Tools zu begreifen. Gruß, Nils

Moin, eine CA ist kein Mysterium. Die Frage, ob man sie noch braucht, kann man mit einem Blick auf die ausgestellten Zertifikate beantworten. Sind welche darunter ,die noch benötigt werden und die man nicht mit geringem Aufwand durch andere austauschen kann (selbstsigniert, Let's Encyrpt, neue CA ...)? Dann wären das Gründe, die CA weiter zu betreiben bzw. auf einen neuen Server zu migrieren. Sind hingegen alle Zertifikate ersetzbar, dann sollte man das tun und die CA dann außer Betrieb nehmen. Dabei ist die Reihenfolge wichtig: Erst die Zertifikate ersetzen (sofern es denn noch welche gibt, die von der CA ausgestellt wurden und gültig sind) und dann die CA abschalten. Sonst könnten Clients u.U. die Sperrliste nicht abfragen und die alten Zertifikate würden nicht mehr funktionieren. Gruß, Nils

Moin, wenn du makecert zum Testen verwenden willst, tu das. Nur musst du dann eben mit den Eigenheiten dieser (uralten) Software leben. Die Ergebnisse lassen sich dann halt nur eingeschränkt auf die Praxis übertragen. Gruß, Nils

Moin, danke für den Hinweis. Das war es nicht, aber daraufhin habe ich es noch mal genauer untersucht. Ergebnis: Es ist keine Option in Word, sondern die Formatvorlage in den Dokumenten, die ich bearbeitet hatte, war so eingestellt. Wählt man über die Formatvorlagenliste für eine Vorlage "Ändern" aus, so gibt es auf der ersten Registerkarte unten rechts das Kästchen "Automatisch aktualisieren". Wenn ich es richtig sehe, ist das normalerweise inaktiv. Bei den Dokumenten, die ich am Wickel hatte, war es aber angeschaltet (die Vorlage kommt von jemand anderem). Offenbar bewirkt diese Option das beobachtete Verhalten. Nach Abschalten verhält sich Word jedenfalls so, wie ich es möchte. Gruß, Nils

Moin, Word 2016 (bzw. die Fassung aus Office 365) verhält sich offenbar anders als die Vorgängerversionen. Wenn man die Formatierung eines einzelnen Absatzes ändern möchte, dann übernimmt Word diese Änderung in die Formatvorlage. Dadurch haben dann alle Absätze, die diese Vorlage nutzen, dasselbe Format. Wenn man direkt nach der Änderung Strg-Z (bzw. "Rückgängig") drückt, macht Word diese Automatik rückgängig, dann ist nur der eine Absatz anders formatiert. Da ich in solchen Fällen immer nur einen einzelnen Absatz ändern möchte (wenn ich die Formatvorlage ändern will, mache ich das über deren Menüs), würde ich diese "Für-alles-Übernehmen"-Automatik gern abschalten. Ich finde aber keine Option dafür. Gibt es eine? Gruß, Nils

Moin, du hast natürlich Recht. Ich verwechselte das. Liegt vermutlich daran, dass ich mich nie als "der" Administrator anmelden würde ... Gruß, Nils

Moin, wichtig ist vor allem, dass die anfragenden Clients dem Zertifikat vertrauen. Das Root-Zertifikat muss also an die Clients verteilt werden. Letztlich genau wie bei TLS-Verbindungen zu einem Webserver. Das kann man in so einem Fall per GPO erreichen. Eine (gut entworfene) Windows-PKI kann das deutlich erleichtern. Mit makecert würde ich wirklich nicht arbeiten. Gruß, Nils

Moin, korrekt - was Tektronix vermutlich meinte: Wenn man nur "Administrator" ohne Präfix angibt, dann versucht Windows, das lokale Konto dieses Namens aus der Domäne anzumelden. Meint man also den lokalen Domänen-Administrator, dann muss man den lokalen Computer oder den Punkt Domänennamen als Präfix davorsetzen. Das ist erst relevant, seit der Windows-Anmeldedialog kein Dropdown mehr für die Domäne hat. Vorher hat man genauer gesehen, wo man unterwegs ist. Gruß, Nils

Moin, wenn es nur die Nodes gibt und keinen Witness (siehe Ausgangsfrage: "kein Quorum"), dann hat jeder Node genau eine Stimme. Es gibt dann keine Instanz, die bei Ausfall von mehr als 50 Prozent der Nodes entscheiden kann, was zu tun ist. EIn verbleibender Node kann dann nicht feststellen, ob er wirklich der Letzte ist oder ob er nur den Kontakt zu den anderen verloren hat. Das nennt man "Split Brain". In dem Szenario muss der verbleibende Node sich abschalten, um Dateninkonsistenz zu vermeiden. Das Dynamic Quorum kann helfen, solche Situationen zu vermeiden, aber wenn man es ausschaltet (was mit der Ausgangsfrage zumindest angedeutet ist), dann kann es eben nicht helfen. Ebenso kann ein externer Witness nicht helfen, wenn er nicht läuft. Das ist sozusagen der Kern des Artikels, der oben verlinkt wurde. Ein Cluster hilft in vielen Situationen, aber längst nicht in allen. Und er kann vor allem nicht zaubern, auch wenn viele Kunden das erwarten. Gruß, Nils

Moin, das heißt konkret was? Auch wenn es mit den technischen Problem nichts zu tun hat: Dir ist bekannt, dass du spezielle Lizenzen brauchst, um Client-Windows als VM zu betreiben? Gruß, Nils

Moin, bei der UAC-Abfrage im OTS-Modus kann man "irgendeinen" User angeben, der über lokale Adminrechte verfügt. Das kann natürlich auch ein Dom-Admin sein - wenn das auch schlechtes Design der Umgebung wäre. Der TO sollte jedenfalls der Ursache auf den Grund gehen. Dazu wäre es hilfreich, stichprobenartig auf einer Reihe von Clients auszuwerten, welche Mitglieder die lokale Gruppe "Administratoren" denn hat. Es klingt fast so, als wären die Domänen-Admins dort nicht Mitglied. (BTW, war es nicht so, dass man beim rendom die Clients mehrfach neu starten muss? Ist das hier geschehen?) Gruß, Nils

Moin, oh, ich kenne Kunden, die geben sechsstellige Beträge aus, nur um den internen Domänennamen zu ändern. Daher wundert mich auf dem Gebiet nichts mehr. Ist ja auch nicht so, dass man als Dienstleister was dagegen hätte. Gruß, Nils

Moin, wenn kein Witness da ist, hat ein einzelner Clusterknoten keine Chance, ein Split-Brain zu vermeiden. In beiden Fällen würde der Node also seine Arbeit einstellen und die VMs offline nehmen (also beenden). Gruß, Nils

Moin, soweit korrekt, aber Replica ist auch für DCs zulässig. Würde ich trotzdem nicht machen. Bei Replikationsumgebungen muss immer ein passendes Design her. Gruß, Nils

Moin, nein, ernsthaft hast du zu den Anforderungen noch nichts geschrieben. Falls du jetzt nicht weißt, was ich meinen könnte, ist das ein Signal, dass ihr Beratung braucht. Auf der Ebene ist das nichts für ein Forum. Die Hochverfügbarkeitsmechanismen des SQL Server auf Applikationsebene werden beim Hersteller ausführlich vorgestellt. Neben einem "herkömmlichen" Cluster kommt da evtl. AlwaysOn mit Verfügbarkeitsgruppen in Betracht. Gruß, Nils

Moin, für mich klingt das, als solltet ihr erst mal eure Anforderungen definieren. Gleich auf der technischen Ebene loszulegen, ist bei sowas selten ein guter Weg. So kommen vielleicht ja auch andere HA-Mechanismen für SQL Server in Betracht. Gruß, Nils

Moin, ich denke auch ... wenn das schon ein Hammer wäre, welchen Ausdruck wollen wir dann für die wirklich heftigen Dinge verwenden? Gruß, Nils

Moin, nana, dich meinte ich doch gar nicht. Ich wollte das dem TO sagen. Gruß, Nils

Moin, "SA-Versionen" sind Enterprise-Versionen. Bei denen hat man mit der SA ohnehin die Upgrades bezahlt. Genau aus dem Grund waren die auch von dem kostenlosen Upgrade-Angebot ausgenommen. Gruß, Nils

Moin, ja, genau das ist auch der Grund. Das Tool selbst ist nicht zurückgezogen, man hat nur noch keine neue Ablage dafür identifiziert. Gruß, Nils