NilsK

Moin, Verstehe. Zu dem 500 kann ich auf der Ferne leider wenig sagen. Hast du schon die verschieden logging-Methoden eingesetzt? Gruß, Nils

Moin, also nur Zertifikate, kein MFA? In dem Fall würde ich prüfen, ob sich das per Smartcard oder auf andere Weise lösen lässt. Clientzertifikate auf dem Rechner haben eine Reihe von Einschränkungen und Nachteilen: Die Zertifikate müssen erst einmal beim User oder auf dem Device landen. Hat der User mehr als ein Zertifikat, dann muss er jedes Mal auswählen, welches er denn zücken will. Das kann ein typischer User aber kaum unterscheiden. Automatisch verteilte Zertifikate haben immer nur einen Indizienwert, keinen Nachweiswert: Der User könnte sein Zertifikat exportieren und auf ein anderes Device bringen (oder jemand anderem als Kopie geben). (Ja, das geht auch, wenn die Zertifikatsvorlage keinen Export zulässt.) Je nach Browser kann es passieren, dass der Browser das Zertifikat jeder Webseite übermittelt, die danach fragt - was eine prima Möglichkeit ist, an Daten des Users zu gelangen. ... Wie ist denn die Anforderung genau definiert? Reicht ein "seamless SSO" nicht vielleicht schon aus, sodass man sich nur um die Windows Integrated Authentication kümmern müsste? Gruß, Nils

Moin, mag sein, aber du hast meine Frage auch noch nicht beantwortet, warum es denn Clientzertifikate sein sollen. Gruß, Nils

Moin, Schau an, gut zu wissen. Es bleibt aber dabei, dass Client-Zertifikate für Webseiten großer M*st sind. Gruß, Nils

Moin, ADFS und Zertifikate ist ... nicht eben toll. Spätestens wenn du von einem Hotel oder so kommst, wo der extra benötigte TCP-Port 49443, den ADFS für Zertifikatsanmeldung braucht, nicht frei ist, wirst du das merken. Vielleicht ist das auch hier schon der Grund. Was ist denn der Grund für die Einbindung von Zertifikaten? Die haben ja schon prinzipiell eine Reihe von Nachteilen. Gruß, Nils

Moin, nein, das Management von IPv6 funktioniert vollständig anders als das von IPv4. Versuche nicht, die bekannten Mechanismen zu übertragen, das wird nicht gehen. Zum Thema Speedport und IPv6 findest du hier im Board schon einiges. Kurze Erläuterungen zu IPv6 sind nicht zielführend. Ich finde das Buch "Practical IPv6 for Windows Administrators" von Edward Horley sehr nützlich. Muss man sich aber Zeit für nehmen, und da rede ich nicht von ein paar Stunden. Gruß, Nils

Moin, ja, das ist ein Bug, der kurz vor RTM ins System kam. Anscheinend ist der noch nicht behoben worden. Gruß, Nils

Moin, sagen wir so: Die Namensauflösung für die eine Zone ist das aller-, aller-, allergeringste Problem, das du in dem Projekt haben wirst. Unterschätz das nicht. Du darfst nicht bei solchen Details anfangen, sondern du brauchst einen Gesamtplan für diese Komplettmigration. Hol dir im Zweifel jemanden ins Haus, der sich damit auskennt. Gruß, Nils

Moin, mir ist nicht ganz klar, wozu du die ganzen Listen und Variablen überhaupt erzeugst. Reicht es nicht aus, alle Dateien zu löschen, die älter sind als 14 Tage? Das bekämst du dann auch mit robocopy hin. Gruß, Nils

Moin, gut, aber wir haben dir doch in beiden Threads bereits empfohlen, deswegen keine große Aktion zu machen. Was ist jetzt also das Problem, wegen dessen du meinst, eine Komplettmigration vornehmen zu müssen? Gruß, Nils

Moin, bevor wir uns über den Ablauf unterhalten, wäre vielleicht zu klären, warum ihr meint, zum Ändern des Domänennamen gezwungen zu sein. Ich bespreche sowas immer mal wieder mit Kunden, und es gibt fast nie einen Grund, der den Aufwand wirklich rechtfertigt. Gruß, Nils

Moin, nein, Mischen geht nicht. Gruß, Nils

Moin, das AD ist weit weniger komplex als Hyper-V. Dort ist der Grund, RDP nicht auf demselben Server zu hosten, auch weniger Stabilität als vielmehr Sicherheit. Bei Hyper-V geht es primär um die Stabilität des Systems. Sieh es so: Auf einem ESXi würde auch niemand Applikationen oder Dienste installieren. Der Rest steht in meinem zitierten Artikel. ;) nein, das geht nicht. Es ist nicht erlaubt, verschiedene Lizenzen auf demselben Host zu mischen. Da der Host mit 2016 lizenziert wäre, darf man keine 2012-Lizenzen hinzufügen. Nota bene: Die Lizenzen gehören immer zum Host und nie zu den VMs. Gruß, Nils

Moin, möglicherweise liegt da ein Missverständnis vor. User Class IDs und Vendor Class IDs sind dazu gedacht, dass bestimmte DHCP-Clients separate DHCP-Konfigurationen erhalten. Beispielsweise könnte man allen Rechnern vom Typ "Spezialnotebook" DHCP-Optionen zuweisen, die vom Standard abweichen. Dazu muss der DHCP-Client die entsprechende Option in seinem Anfragepaket senden, und der DHCP-Server muss darauf reagieren. Windows beherrscht das grundsätzlich, aber anders, als du vermutlich annimmst. Beide ID-Typen müssen auf den jeweiligen Clients ausdrücklich eingerichtet werden. Bei User Classes kann das ein Admin machen (über ipconfig /setclassid), Vendor Classes sind durch den Hardwarehersteller vorgegeben - wenn dieser das tut, und da scheint dein Missverständnis zu liegen. Normalerweise gibt es solche Konfigurationen nämlich nicht, weil die Hersteller eben keine IDs dieser Art setzen. http://windowsitpro.com/networking/dhcp-user-class-and-vendor-class-options https://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_client_vendor_identification Was willst du denn erreichen? Vielleicht gibt es andere Wege zum Ziel. Gruß, Nils

Moin, von Fragen hat bei der Automatik auch niemand was gesagt. Wenn du es steuern willst, mach es halt vorher. Oder hinterher. Es geht ja gerade mal um fünf Minuten Aufwand. Gruß, Nils

Moin, ein Wechsel der PKI hat grundsätzlich keine anderen Auswirkungen als jeder andere Zertifikatswechsel. Relevant ist eher, an welcher Stelle du die Zertifikate denn einsetzen willst. Grundsätzlich gilt als Faustregel: Manche modernen Produkte setzen an bestimmten "absichtlich" Self-signed-Zertifikate ein. Das ist etwa bei ADFS so, bei Exchange meine ich auch, dass es solche Stellen gibt, dafür bin ich in dem Detail nicht tief genug drin. Wenn solche Konstrukte vorliegen, ist die Empfehlung i.d.R. dass man auch dabei bleibt. (Das lässt sich dann aus der Produktdokumentation ablesen.) Für die Kommunikation mit "außen" sind i.d.R. weder Self-signed noch eigene Zertifikate geeignet, sondern nur solche einer "offiziellen" CA. Damit erspart man sich für bestimmte Kommunikationstypen das Rollout der Root- und Intermediate-Zertifikate. Eine eigene PKI ist meist nur für interne Zwecke geeignet. Gruß, Nils

Moin, vor 15 Monaten hat Microsoft die Anwendungslogik geändert. https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Gruß, Nils

Moin, Wenn der Drucker eine APIPA-Adresse bekommt, ist er wahrscheinlich nicht in richtigen Netzwerksegment. Sonst bekäme er ja eine vom DHCP. Gruß, Nils

Moin, Vermutlich schreibt das Office eine neue Datei und löscht die alte. Machen viele Office-Programme so. Gruß, Nils

Moin, Cool, danke! Gruß, Nils

Moin, eine Änderung am Router wird nicht viel bringen. Du müsstest an dem Drucker prüfen, warum er keine Adresse per DHCP von dem Router bezieht. Vielleicht ist dort einfach eine statische IP-Adresse eingetragen, dann kommt der Drucker gar nicht auf die Idee, den DHCP zu fragen. Gruß, Nils

Moin, hat mal jemand geprüft, ob das auch Applikationen wie AD mitteilt, dass eine Sicherung stattfindet? Der Haken ist ja erst mal nur die Integration mit VSS, was das Gast-OS damit macht, steht ja noch mal auf einem anderen Blatt. Gruß, Nils

Moin, Windows schaut hier auf das Backup-API des Systemstate. Wenn dort keine aktuelle Sicherung verzeichnet ist, kommt diese Meldung. Ob man Veeam so konfigurieren kann, dass es das API passend bedient, weiß ich nicht. Die Frage wäre im Zweifel an Veeam zu stellen. Allgemein empfehle ich, das AD aufgrund seiner Bedeutung stets auf mindestens zwei Arten zu sichern: Einmal mit dem Systemstate und einmal mit dem "sonst" eingesetzten Tool. So gibt es im Zweifel immer eine Sicherung, die auch von Microsoft von vorn bis hinten unterstützt wird. Gruß, Nils

Moin, theoretisch könntest du das auch mit Windows hinbekommen, indem du den Share mit subst mappst und dann das so entstehende Laufwerk freigibst. Falls du mit dem Linux nicht weiterkommst, könnte das einen Versuch wert sein. Gruß, Nils

Moin, und warum hängt ihr dann keinen Windows-Rechner als Puffer dazwischen, wenn ihr den besser beherrscht? Gruß, Nils