NilsK

Moin, du meinst sicher einen Registry-Keks, oder? *SCNR* Gruß, Nils

Moin, dann sehe ich keinen Weg. Gruß, Nils

Moin, das sind halt zwei verschiedene Attribute. Du kannst ja mal in einer Auflistung des Schemas nachsehen, das AD kennt noch zahlreiche weitere Namensattribute. Dummerweise nehmen die Standard-AD-Tools den CN als Anzeigenamen, während Outlook und Exchange dafür den displayName nutzen. Gruß, Nils

Moin, wer nutzt denn Öffentliche Ordner als Speicher für Mail-Archivierung? 100 GB sind nicht ohne Grund eine Grenze. Öffentliche Ordner waren für solche Volumina nie gedacht. Sowohl Mailboxen als auch Öffentliche Ordner dieser Größenordnung führen erfahrungsgemäß auch zu Instabilitäten des gesamten Systems. Selbst wenn das nicht so wäre - glaubst du wirklich, dass man bei einem Mail-Archiv mit "Tricks" arbeiten wollen würde, um eine Speicherbegrenzung zu umgehen? Der einzige sinnvolle Weg ist ein Redesign. Gruß, Nils

Moin, wie soll man das beantworten, ohne eure Organisation zu kennen? Als allgemeine Aussage dazu vielleicht: Bei den meisten Unternehmen ist so viel Personal vorhanden, dass das übliche Geschäft geleistet werden kann. Für ein größeres Projekt fehlen dann oft Ressourcen, weswegen man sich für sowas extern verstärkt. Ein ISMS-Projekt mit dem Ziel der Zertifizierung hat schnell höhere zweistellige externe Beratertage. Die internen Aufwände, die ein Externer nicht machen kann, kommen noch dazu, die können durchaus noch höher sein. Wenn man dann auch noch selbst den Aufwand leisten muss, das nötige Know-how für eine zertifizierbare ISMS-Implementierung aufzubauen, kann das unwirtschaftlich werden. Betrieb und Weiterentwicklung erfordern natürlich auch Kenntnisse in der Systematik, aber die Grundlagenkenntnisse zum Erstaufbau würdet ihr danach nicht wieder brauchen, wenn ihr kein eigenes Geschäft daraus macht. Gruß, Nils

Moin, wenn das genau das ist, was du eingegeben hast, dann ist da vor "Exchange" ein Anführungszeichen zu viel. Versuch mal, die Ressource, die auf "OnlinePending" steht, ausdrücklich offline zu setzen. Dann könntest du versuchen, dir mit einem Get-Befehl nur die Ressourcen ausgeben zu lassen, die "EXCHANGE" im Namen haben. Wenn genau diese vier zurückkommen, pipe den Befehl an Remove-ClusterResource. Dass da grundsätzlich was kaputt sei, glaube ich nicht. Gruß, Nils

Moin, *seufz* ... Na, aber gut, dass es jetzt gelöst ist. Gruß, Nils

Moin, genau für solche Kofigurationen legt man RDS-Server normalerweise in einer eigene OU ab. Dann kann man sich WMI-Filter und sowas sparen. Wenn du es so baust und das GPO auf diese OU wirken lässt, dann sollte es auch funktionieren. Wichtig: Nach dem OU-Wechsel des Server-Computerkontos den Server neu starten. Gruß, Nils

Moin, mit Remove-ClusterResource solltest du die VM-Ressource aus dem Cluster entfernen können. Gruß, Nils

Moin, korrekt. Der Sinn einer Zertifizierung ist, dass eine anerkannte und unabhängige Stelle den Umsetzungsstand der ISO 27001 bzw. des BSI-200 bestätigt. Selbst wenn du Auditor wärest, könnte dein Unternehmen keine Zertifizierung durchführen, auch nicht für Dritte. Denn dazu gehört eine Akkreditierung des Unternemens, die sich nur dann lohnt, wenn man da einen geschäftlichen Schwerpunkt hat. Als Auditor könntst du von so einem Unternehmen mit einem Audit beaftragt werden, das dann die Grundlage einer Zertifizierung bildet. Aber natürlich nicht für das eigene Unternehmen. Kurz gesagt, seid ihr noch etwas auf dem Holzweg. Eine Einführungsschulung ist sicher sinnvoll, der Rest nicht. Sucht euch einen Dienstleister, der euch begleitet. Schon deshalb, weil ein Externer erfahrungsgemäß bei sowas mehr Handlungsfreiheit hat als ein Interner. Was den zugrundeliegenden Standard angeht: Nehmt BSI-200. Der ist zur ISO 27001 kompatibel, aber viel praxisnäher (und damit in aller Regel "günstiger"). Eine Zertifizierung auf der Basis wäre automatisch eine ISO-27001-Zertifizierung. Gruß, Nils

Moin, es wäre nett, wenn du dir beim Formulieren etwas mehr Mühe gäbest. Was genau hast du deaktiviert? Die Auslagerungsdatei? Wenn ja: Warum macht man sowas? Damit verhindert man effektiv, dass Windows sein sehr ausgereiftes Memory Management anwenden kann. Der Prozess, der so viel Speicher belegt, ist der Defender. 160 MB ist eine Menge, wenn auch nicht beunruhigend viel. Dass ein SQL Server viel RAM belegt, liegt irgendwie auf der Hand. Ich vermute einen Anwender- oder Konfigurationsfehler. Gruß, Nils

Moin, es ist schon etwas seltsam, wenn ein IdM-Anbieter Zugriff auf das AD-Kennwort will. So jemand sollte wissen, dass das gar nicht geht. Um welches Produkt handelt es sich denn? Gruß, Nils

Moin, haben wir auch verstanden. In sofern noch mal ausdrücklich danke dafür. Ergänzend sei uns aber trotzdem der Hinweis erlaubt, dass man mit einer Windows-CA vermutlich nicht mehr Aufwand in der Testumgebung gehabt hätte. Wie immer bei Zertifikaten ist es eben wichtig, dass man die Abläufe und Hintergründe ausreichend versteht, dann hat man eine Chance, auch die Eigenheiten des jeweiligen Tools zu begreifen. Gruß, Nils

Moin, eine CA ist kein Mysterium. Die Frage, ob man sie noch braucht, kann man mit einem Blick auf die ausgestellten Zertifikate beantworten. Sind welche darunter ,die noch benötigt werden und die man nicht mit geringem Aufwand durch andere austauschen kann (selbstsigniert, Let's Encyrpt, neue CA ...)? Dann wären das Gründe, die CA weiter zu betreiben bzw. auf einen neuen Server zu migrieren. Sind hingegen alle Zertifikate ersetzbar, dann sollte man das tun und die CA dann außer Betrieb nehmen. Dabei ist die Reihenfolge wichtig: Erst die Zertifikate ersetzen (sofern es denn noch welche gibt, die von der CA ausgestellt wurden und gültig sind) und dann die CA abschalten. Sonst könnten Clients u.U. die Sperrliste nicht abfragen und die alten Zertifikate würden nicht mehr funktionieren. Gruß, Nils

Moin, wenn du makecert zum Testen verwenden willst, tu das. Nur musst du dann eben mit den Eigenheiten dieser (uralten) Software leben. Die Ergebnisse lassen sich dann halt nur eingeschränkt auf die Praxis übertragen. Gruß, Nils

Moin, danke für den Hinweis. Das war es nicht, aber daraufhin habe ich es noch mal genauer untersucht. Ergebnis: Es ist keine Option in Word, sondern die Formatvorlage in den Dokumenten, die ich bearbeitet hatte, war so eingestellt. Wählt man über die Formatvorlagenliste für eine Vorlage "Ändern" aus, so gibt es auf der ersten Registerkarte unten rechts das Kästchen "Automatisch aktualisieren". Wenn ich es richtig sehe, ist das normalerweise inaktiv. Bei den Dokumenten, die ich am Wickel hatte, war es aber angeschaltet (die Vorlage kommt von jemand anderem). Offenbar bewirkt diese Option das beobachtete Verhalten. Nach Abschalten verhält sich Word jedenfalls so, wie ich es möchte. Gruß, Nils

Moin, Word 2016 (bzw. die Fassung aus Office 365) verhält sich offenbar anders als die Vorgängerversionen. Wenn man die Formatierung eines einzelnen Absatzes ändern möchte, dann übernimmt Word diese Änderung in die Formatvorlage. Dadurch haben dann alle Absätze, die diese Vorlage nutzen, dasselbe Format. Wenn man direkt nach der Änderung Strg-Z (bzw. "Rückgängig") drückt, macht Word diese Automatik rückgängig, dann ist nur der eine Absatz anders formatiert. Da ich in solchen Fällen immer nur einen einzelnen Absatz ändern möchte (wenn ich die Formatvorlage ändern will, mache ich das über deren Menüs), würde ich diese "Für-alles-Übernehmen"-Automatik gern abschalten. Ich finde aber keine Option dafür. Gibt es eine? Gruß, Nils

Moin, du hast natürlich Recht. Ich verwechselte das. Liegt vermutlich daran, dass ich mich nie als "der" Administrator anmelden würde ... Gruß, Nils

Moin, wichtig ist vor allem, dass die anfragenden Clients dem Zertifikat vertrauen. Das Root-Zertifikat muss also an die Clients verteilt werden. Letztlich genau wie bei TLS-Verbindungen zu einem Webserver. Das kann man in so einem Fall per GPO erreichen. Eine (gut entworfene) Windows-PKI kann das deutlich erleichtern. Mit makecert würde ich wirklich nicht arbeiten. Gruß, Nils

Moin, korrekt - was Tektronix vermutlich meinte: Wenn man nur "Administrator" ohne Präfix angibt, dann versucht Windows, das lokale Konto dieses Namens aus der Domäne anzumelden. Meint man also den lokalen Domänen-Administrator, dann muss man den lokalen Computer oder den Punkt Domänennamen als Präfix davorsetzen. Das ist erst relevant, seit der Windows-Anmeldedialog kein Dropdown mehr für die Domäne hat. Vorher hat man genauer gesehen, wo man unterwegs ist. Gruß, Nils

Moin, wenn es nur die Nodes gibt und keinen Witness (siehe Ausgangsfrage: "kein Quorum"), dann hat jeder Node genau eine Stimme. Es gibt dann keine Instanz, die bei Ausfall von mehr als 50 Prozent der Nodes entscheiden kann, was zu tun ist. EIn verbleibender Node kann dann nicht feststellen, ob er wirklich der Letzte ist oder ob er nur den Kontakt zu den anderen verloren hat. Das nennt man "Split Brain". In dem Szenario muss der verbleibende Node sich abschalten, um Dateninkonsistenz zu vermeiden. Das Dynamic Quorum kann helfen, solche Situationen zu vermeiden, aber wenn man es ausschaltet (was mit der Ausgangsfrage zumindest angedeutet ist), dann kann es eben nicht helfen. Ebenso kann ein externer Witness nicht helfen, wenn er nicht läuft. Das ist sozusagen der Kern des Artikels, der oben verlinkt wurde. Ein Cluster hilft in vielen Situationen, aber längst nicht in allen. Und er kann vor allem nicht zaubern, auch wenn viele Kunden das erwarten. Gruß, Nils

Moin, das heißt konkret was? Auch wenn es mit den technischen Problem nichts zu tun hat: Dir ist bekannt, dass du spezielle Lizenzen brauchst, um Client-Windows als VM zu betreiben? Gruß, Nils

Moin, bei der UAC-Abfrage im OTS-Modus kann man "irgendeinen" User angeben, der über lokale Adminrechte verfügt. Das kann natürlich auch ein Dom-Admin sein - wenn das auch schlechtes Design der Umgebung wäre. Der TO sollte jedenfalls der Ursache auf den Grund gehen. Dazu wäre es hilfreich, stichprobenartig auf einer Reihe von Clients auszuwerten, welche Mitglieder die lokale Gruppe "Administratoren" denn hat. Es klingt fast so, als wären die Domänen-Admins dort nicht Mitglied. (BTW, war es nicht so, dass man beim rendom die Clients mehrfach neu starten muss? Ist das hier geschehen?) Gruß, Nils

Moin, oh, ich kenne Kunden, die geben sechsstellige Beträge aus, nur um den internen Domänennamen zu ändern. Daher wundert mich auf dem Gebiet nichts mehr. Ist ja auch nicht so, dass man als Dienstleister was dagegen hätte. Gruß, Nils

Moin, wenn kein Witness da ist, hat ein einzelner Clusterknoten keine Chance, ein Split-Brain zu vermeiden. In beiden Fällen würde der Node also seine Arbeit einstellen und die VMs offline nehmen (also beenden). Gruß, Nils