NilsK

Moin, sagen wir so: Die Namensauflösung für die eine Zone ist das aller-, aller-, allergeringste Problem, das du in dem Projekt haben wirst. Unterschätz das nicht. Du darfst nicht bei solchen Details anfangen, sondern du brauchst einen Gesamtplan für diese Komplettmigration. Hol dir im Zweifel jemanden ins Haus, der sich damit auskennt. Gruß, Nils

Moin, mir ist nicht ganz klar, wozu du die ganzen Listen und Variablen überhaupt erzeugst. Reicht es nicht aus, alle Dateien zu löschen, die älter sind als 14 Tage? Das bekämst du dann auch mit robocopy hin. Gruß, Nils

Moin, gut, aber wir haben dir doch in beiden Threads bereits empfohlen, deswegen keine große Aktion zu machen. Was ist jetzt also das Problem, wegen dessen du meinst, eine Komplettmigration vornehmen zu müssen? Gruß, Nils

Moin, bevor wir uns über den Ablauf unterhalten, wäre vielleicht zu klären, warum ihr meint, zum Ändern des Domänennamen gezwungen zu sein. Ich bespreche sowas immer mal wieder mit Kunden, und es gibt fast nie einen Grund, der den Aufwand wirklich rechtfertigt. Gruß, Nils

Moin, nein, Mischen geht nicht. Gruß, Nils

Moin, das AD ist weit weniger komplex als Hyper-V. Dort ist der Grund, RDP nicht auf demselben Server zu hosten, auch weniger Stabilität als vielmehr Sicherheit. Bei Hyper-V geht es primär um die Stabilität des Systems. Sieh es so: Auf einem ESXi würde auch niemand Applikationen oder Dienste installieren. Der Rest steht in meinem zitierten Artikel. ;) nein, das geht nicht. Es ist nicht erlaubt, verschiedene Lizenzen auf demselben Host zu mischen. Da der Host mit 2016 lizenziert wäre, darf man keine 2012-Lizenzen hinzufügen. Nota bene: Die Lizenzen gehören immer zum Host und nie zu den VMs. Gruß, Nils

Moin, möglicherweise liegt da ein Missverständnis vor. User Class IDs und Vendor Class IDs sind dazu gedacht, dass bestimmte DHCP-Clients separate DHCP-Konfigurationen erhalten. Beispielsweise könnte man allen Rechnern vom Typ "Spezialnotebook" DHCP-Optionen zuweisen, die vom Standard abweichen. Dazu muss der DHCP-Client die entsprechende Option in seinem Anfragepaket senden, und der DHCP-Server muss darauf reagieren. Windows beherrscht das grundsätzlich, aber anders, als du vermutlich annimmst. Beide ID-Typen müssen auf den jeweiligen Clients ausdrücklich eingerichtet werden. Bei User Classes kann das ein Admin machen (über ipconfig /setclassid), Vendor Classes sind durch den Hardwarehersteller vorgegeben - wenn dieser das tut, und da scheint dein Missverständnis zu liegen. Normalerweise gibt es solche Konfigurationen nämlich nicht, weil die Hersteller eben keine IDs dieser Art setzen. http://windowsitpro.com/networking/dhcp-user-class-and-vendor-class-options https://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_client_vendor_identification Was willst du denn erreichen? Vielleicht gibt es andere Wege zum Ziel. Gruß, Nils

Moin, von Fragen hat bei der Automatik auch niemand was gesagt. Wenn du es steuern willst, mach es halt vorher. Oder hinterher. Es geht ja gerade mal um fünf Minuten Aufwand. Gruß, Nils

Moin, ein Wechsel der PKI hat grundsätzlich keine anderen Auswirkungen als jeder andere Zertifikatswechsel. Relevant ist eher, an welcher Stelle du die Zertifikate denn einsetzen willst. Grundsätzlich gilt als Faustregel: Manche modernen Produkte setzen an bestimmten "absichtlich" Self-signed-Zertifikate ein. Das ist etwa bei ADFS so, bei Exchange meine ich auch, dass es solche Stellen gibt, dafür bin ich in dem Detail nicht tief genug drin. Wenn solche Konstrukte vorliegen, ist die Empfehlung i.d.R. dass man auch dabei bleibt. (Das lässt sich dann aus der Produktdokumentation ablesen.) Für die Kommunikation mit "außen" sind i.d.R. weder Self-signed noch eigene Zertifikate geeignet, sondern nur solche einer "offiziellen" CA. Damit erspart man sich für bestimmte Kommunikationstypen das Rollout der Root- und Intermediate-Zertifikate. Eine eigene PKI ist meist nur für interne Zwecke geeignet. Gruß, Nils

Moin, vor 15 Monaten hat Microsoft die Anwendungslogik geändert. https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Gruß, Nils

Moin, Wenn der Drucker eine APIPA-Adresse bekommt, ist er wahrscheinlich nicht in richtigen Netzwerksegment. Sonst bekäme er ja eine vom DHCP. Gruß, Nils

Moin, Vermutlich schreibt das Office eine neue Datei und löscht die alte. Machen viele Office-Programme so. Gruß, Nils

Moin, Cool, danke! Gruß, Nils

Moin, eine Änderung am Router wird nicht viel bringen. Du müsstest an dem Drucker prüfen, warum er keine Adresse per DHCP von dem Router bezieht. Vielleicht ist dort einfach eine statische IP-Adresse eingetragen, dann kommt der Drucker gar nicht auf die Idee, den DHCP zu fragen. Gruß, Nils

Moin, hat mal jemand geprüft, ob das auch Applikationen wie AD mitteilt, dass eine Sicherung stattfindet? Der Haken ist ja erst mal nur die Integration mit VSS, was das Gast-OS damit macht, steht ja noch mal auf einem anderen Blatt. Gruß, Nils

Moin, Windows schaut hier auf das Backup-API des Systemstate. Wenn dort keine aktuelle Sicherung verzeichnet ist, kommt diese Meldung. Ob man Veeam so konfigurieren kann, dass es das API passend bedient, weiß ich nicht. Die Frage wäre im Zweifel an Veeam zu stellen. Allgemein empfehle ich, das AD aufgrund seiner Bedeutung stets auf mindestens zwei Arten zu sichern: Einmal mit dem Systemstate und einmal mit dem "sonst" eingesetzten Tool. So gibt es im Zweifel immer eine Sicherung, die auch von Microsoft von vorn bis hinten unterstützt wird. Gruß, Nils

Moin, theoretisch könntest du das auch mit Windows hinbekommen, indem du den Share mit subst mappst und dann das so entstehende Laufwerk freigibst. Falls du mit dem Linux nicht weiterkommst, könnte das einen Versuch wert sein. Gruß, Nils

Moin, und warum hängt ihr dann keinen Windows-Rechner als Puffer dazwischen, wenn ihr den besser beherrscht? Gruß, Nils

Moin, dann verdienen 8MAN oder tenfold einen Blick. Nicht ganz billig, aber sehr leistungsfähig. Gruß, Nils

Moin, ein wesentlicher Unterschied ist, dass NT noch kein SMB Signing konnte. Vielleicht spielt das hier mit rein. Kann man das auf dem Ubuntu abschalten? Gruß, Nils

Moin, leider nicht, aber bitte wenigstens auf den Crosspost hinweisen: https://forum.ubuntuusers.de/topic/windows-nt-freigabe-mount/2/#post-8883180 Das bist doch du, oder? Funktioniert es, wenn du das Gleiche testhalber auf einem neueren Windows als Ziel ausführst, wo der Share genauso definiert ist? Gruß, Nils

Moin, was genau funktioniert denn nicht? Wir helfen dir gern, aber ein bisschen mehr Information brauchen wir schon. Prinzipiell würde ich nicht mit zwei Schleifen arbeiten, sondern mit einer. Dort könnte für jede Datei ein Kopierbefehl stehen, der die Datei mit dem "falschen" Namen unter "richtigem" Namen am Ziel ablegt. Ein zweiter Schritt in derselben Schleife löscht dann das Original. Außerdem würde ich Ausgaben erst dann unterdrücken (>nul), wenn alles läuft. Bis dahin sind Fehlermeldungen ja vielleicht ganz hilfreich. Und schließlich wäre es besser, wenn dein Skript gleich mit dem passenden User ausgeführt wird. Damit musst du dann das Kennwort nicht im Klartext im Batchcode hinterlegen, wo es nicht hingehört. Gruß, Nils

Moin, nein, wäre es nicht. Wenn deine PHP-Applikation geknackt wird, hat der Angreifer vollen Durchgriff auf die Anmeldedaten aller Anwender. Die Firewall-Beschränkung auf den Webserver bringt exakt überhaupt nichts, weil der Webserver das erste ist, was angegriffen wird. Und SSL ist kein Schutz vor Angriffen auf die Applikation. Gruß, Nils

Moin, he, Jungs, PowerShell auf Linux ist aber auch schon ein alter Hut. https://blogs.msdn.microsoft.com/powershell/2016/08/18/powershell-on-linux-and-open-source-2/ (Nicht, dass es mit der Frage hier was zu tun hätte, aber wenn ihr schon so anfangt ...) Gruß, Nils

Moin, zumindest ist alles, was ich von zuhause aus mache, komplett atomstromfrei. Und meine Blogs auch. :D Gruß, Nills