NilsK

Moin, das kommt ganz darauf an, wo der Account das Recht haben soll. Üblicherweise erteilt man so eine Berechtigung auf Ebene der OU, in der sich die Objekte befinden und setzt als Ziel die untergeordneten Benutzerobjekte. Wenn man das in reproduzier- und dokumentierbarer Form machen will, sollte man dafür dsacls nehmen, nicht das GUI. In diesem Artikel finden sich Hinweise dazu (Schritt 2): [AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net] https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/ Gruß, Nils

Moin, wie Norbert schon richtig sagt - der beste Weg, die VMs zu migrieren, ist die Shared-Nothing Live Migration. Dann geht es ohne Downtime. Deine Clusterfrage selbst kann man ohne Kenntnis von Konzept und Anforderungen nicht beantworten. Geht beides ... DC und SQL wäre für Replikation supported, aber ob es sinnvoll ist, ist eine andere Frage. Gruß, Nils

Moin, das ist kein Objekt, sondern ein Attribut, das es bei allen Userobjekten gibt. Vorsicht, das ist mehrwertig (multivalue), du musst also ggf. spezielle Methoden einsetzen, um Werte dorthin zu schreiben. Ach, und: englisch, es heißt also proxyAddresses, mit doppel-d. Gruß, Nils

Moin, du musst das Netzwerk der VM auf "NAT" oder auf "Bridged" setzen, um eine Verbindung nach außen zu bekommen. Da anscheinend dein "physisches" Netzwerk denselben IP-Range verwendet wie die VM, sollte "Bridged" richtig sein. Gruß, Nils

Moin, rein aus GPO-Sicht ist das korrekt so, ansonsten stimme ich meinen beiden Vorrednern zu. Gruß, Nils

Moin, Dynamic Quorum nützt nichts, wenn die Mindestzahl von Knoten nicht zur Verfügung steht. Es hilft nur, wenn man Knoten absichtlich hinzufügt oder entfernt. Das normale Verhalten des Clusters ist im EIngangspost richtig beschrieben worden. Und ja, natürlich gilt das unabhängig von der eingesetzten Applikation. Es handelt sich bei dem "Force Quorum" um ein Clusterfeature. Man braucht so etwas auch je nach Situation. Gruß, Nils

Moin, ja, aber bei dem Ansatz geht es aber um ein anderes Szenario: Datacenter-Host fällt aus. Man muss einzelne VMs schnell wieder bereitstellen, hat aber nur Standard-Hosts zur Verfügung. Dann darf man dort lizenzrechtlich keine Datacenter-VMs ausführen. Ja, ich finde das auch an den Haaren herbeigezogen, aber es gibt eine ganze Reihe von Leuten, die so argumentieren. Gruß, Nils

Moin, also: Es geht hier um die Lizenzen, nicht um die Aktivierung. Du hast eine Datacenter-Lizenz gekauft und darfst damit beliebig viele Windows-Server-VMs mit dieser Version und der Datacenter Edition betreiben. Ältere Windows-Server-Versionen sind dann zulässig, wenn deine Lizenz ein Downgrade-Recht enthält. Da Standard und Datacenter im Wesentlichen funktionsgleich sind (mit Ausnahme einiger Storage-Features in Datacenter), ist es für nahezu alle Anwendungen technisch egal, welche der Editionen du nutzt. Meist empfiehlt man daher, auch in den VMs die (bereits lizenzierte) Datacenter Edition zu nutzen. Rein lizenzrechtlich ist es m.W. auch zulässig, in den VMs die Standard Edition einzusetzen, wenn der Host mit Datacenter lizenziert ist. Das kann in speziellen Situationen ein Vorteil sein, wenn man etwa einen Host-Ausfall hat und eine VM auf einem Host bereistellen muss, der nur mit Standard lizenziert ist - läuft in der VM auch Standard, dann ist das konform. Ob man das so braucht, steht auf einem anderen Blatt. Ich empfehle meist, Datacenter in den VMs zu installieren, wenn man Datacenter lizenziert hat. Das auch deshalb, weil man meist ja gar keinen Standard-Key hat ... Früher gab es meiner Erinnerung nach mal eine Einschränkung, dass nur eine der VMs mit Standard laufen durfte, aber das gilt, glaube ich, nicht mehr. Habe in den Product Terms auf die Schnelle jedenfalls nix dazu gefunden. Gruß, Nils

Moin, und, das, mit, dem, Dump? Gruß, Nils

Moin, in solchen Fällen kann man (natürlich) den Start des Clusters erzwingen. https://docs.microsoft.com/de-de/sql/sql-server/failover-clusters/windows/force-a-wsfc-cluster-to-start-without-a-quorum Gruß, Nils

Moin, hach, endlich mal jemand außer mir, der darauf hinweist. :D Gruß, Nils

Moin, auf Microsofts Azure-Seiten wird das Produkt erklärt. Gruß, Nils

Moin, ach, kiek an, wieder was gelernt, danke! EDIT: Wie ich gerade sehe, gibt es das schon seit Windows 2003. Seltsam, dass mir das noch nicht untergekommen ist. Dieses Wissen scheint nicht allzu verbreitet zu sein, denn mit dem Operator dürften sich zahlreiche externe Implementierungen rekursiver Auflösungen erübrigen. Interessant, muss ich bei Gelegenheit mal probieren. Bleibt aber die Frage, warum der TO nicht einfach direkt die Userbasis abfragt. Gruß, Nils

Moin, ah, OK, das erklärt es. Wenn die SAMAccount-Namen verschieden sind und die Gruppen in verschiedenen OUs liegen, kann der Objektname tatsächlich gleich sein. Dann sind die DNs ja unterschiedlich. Gruß, Nils

Moin, die Frage beantwortet dir doch der vCenter Client? Gruß, Nils

Moin, um im ersten Schritt herauszufinden, welche Ordner zu Usern gehören, die es nicht mehr gibt oder die nicht aktiv sind, gibt es keine Standardfunktion. Da musst du dir selbst eine Logik überlegen und umsetzen. Sollte aber so schwer nicht sein. Die Berechtigungen dürften nicht helfen, denn die ändern sich nicht, wenn man einen User löscht oder deaktiviert. Denkbarer Ansatz wäre, alle Ordner auszulesen und anhand dieser Menge zu prüfen, ob der zugehörige User noch vorhanden bzw. aktiv ist. Wie die Ordner den Usern zuzuordnen sind, musst du selbst rausfinden. Hilfreich könnte dabei OldCmp sein, mit dem du eine Liste inaktiver User erzeugen kannst: http://joeware.net/freetools/tools/oldcmp/index.htm Gruß, Nils

Moin, nein, deine Frage ist eine ganz andere. Bitte keine Threads kapern. Hier im Board lesen die meisten ohnehin alle aktuellen Threads. Gruß, Nils

Moin, schön, danke für die Rückmeldung! So ganz kann ich dir allerdings nicht folgen ... zwei Gruppen mit denselben Namen? Wie sind die denn angelegt worden? Gruß, Nils

Moin, abgesehen von der technischen Frage stellt sich auch ein Lizenzproblem. Du darfst Client-Windows nicht einfach so als VM installieren. Dafür sind spezielle Lizenzen erforderlich (VDA oder Software Assurance). Ansonsten wäre Variante 1 sicher möglich. Gruß, Nils

Moin, rekursive Abfragen sind m.W. per LDAP nicht möglich, jedenfalls nicht mit einem einzelnen Suchstring. Warum fragst du nicht Domäne A ab, wenn da sowieso die User gepflegt werden sollen? Gruß, Nils

Moin, das ist aber auch ein anderes Produkt, das noch mal eine ganz andere Infrastruktur aufmacht. Vor allem hat es (zumindest derzeit) eine andere Zielrichtung als der TO. Und nein, es ist nicht das gleiche wie ein herkömmliches lokales AD. Gruß, Nils

Moin, das Problem bei ADFS ist, dass es sehr viel Infrastruktur braucht und es ca. 1000 Stellen gibt, an denen es haken kann. Daher kann man da keine sinnvollen "probier mal dies"-Hinweise geben. Du möchtest also Webzugriffe von extern testen? Was ist das Ziel - die Technik kennenlernen? Oder soll eine produktive Installation dabei rauskommen? Falls Letzteres, was sind die Anforderungen, und warum soll diese Standardaufgabe mit ADFS und WAP gelöst werden und nicht über einen Reverse Proxy? Nur mal ein Schuss ins Blaue: Deinen öffentlichen URL mit test.de können die beteiligten Systeme korrekt auflösen? Gruß, Nils

Moin, nein, so kann man das nicht. Erstens wäre das sehr komplex, zweitens ist nicht ganz klar, was du da eigentlich vorhast. Weder Exchange noch RDS brauchen ADFS, also wäre das schon mal zu klären. Beschreibe bitte noch mal, was genau dein Ziel ist und was du vorhast. Gruß, Nils

Moin, das sagt ungefähr so viel aus wie "bis auf Ihre Krankheit sind Sie kerngesund". Ein Bluescreen tritt nicht von selbst auf und ist auch keine Sache von irgendeiner Konfiguration. Auch Hyper-V "kann" solche Fehler nicht "verursachen", allenfalls könnte Hyper-V eine Treiberfunktion aufrufen, die selbst fehlerhaft ist oder die an einem Hardwarefehler scheitert. Du hast ganz oben angegeben, dass kein Dump geschrieben würde. Ist das System denn so konfiguriert, dass es Dumps schreiben sollte? Falls nein - einschalten. Dann hast du einen Dump, der durchaus oft wertvolle Hinweise geben kann. Gruß, Nils

Moin, was erscheint denn da für ein Fehler? Ich kann mir kaum vorstellen, dass bei diesen 15 Usern Berechtigungen fehlen, denn dann sollte der anfragende Client keine Fehler bekommen, sondern schlicht die Objekte nicht sehen. Wäre also vermutlich was anderes, vielleicht Attributwerte, mit denen die Applikation nicht klarkommt. Um die Berechtigungen der beteiligten Objekte und Container trotzdem zu prüfen, empfehle ich LIZA: http://ldapexplorer.com/en/liza.htm Gruß, Nils