NilsK

Moin, man korrigiere mich, wenn ich falsch liege, aber das mit den Berechtigungen müsste funktionieren. Haben sich die betreffenden User nach der Änderung der Gruppenmitgliedschaft neu angemeldet? Dass die Gruppen auch als Verteiler fungieren sollen, hattest du ursprünglich auch nicht gesagt. In dem Fall wäre es vermutlich am sinnvollsten, die bestehenden Gruppen umzuwandeln. Am allerbesten wäre es aber, zunächst mal konzeptionell festzuhalten, was passieren soll. Das testet man dann im Labor und setzt es um. Einfach loslegen ist in der Unternehmens-IT selten ein guter Ansatz. Gruß, Nils

Moin, du kannst doch Globale Gruppen in Universelle aufnehmen - oder überseh ich da was? Gruß, Nils

Moin, oder der Ansatz für Leute, die keine Scripting-Profis sind und daher etwas mehr Kontrolle brauchen, was denn da passiert: [Excel: Admins unbekannter Liebling | faq-o-matic.net] https://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/ Gruß, Nils

Moin, "korrupte Dateien wiederherstellen" - das sind welche? Die du wie identifizierst? Und wie wiederherstellst? Die Ereignisanzeige kann man auch remote aufrufen. Den Servermanager brauchst du zum Troubleshooting nicht. Bevor ich aufs Geratewohl irgendwelche Dateien überschriebe, versuchte ich zunächst, die Lage genauer einzuschätzen. Gruß, Nils

Moin, waz hazt du? Gruß, Nilz

Moin, weil da verdammt viel falsch verstanden wird in der Rezeption der BSI-Empfehlungen. Das ist nichts, was man direkt umsetzt oder umsetzen müsste, sondern es handelt sich um Bausteine, die man berücksichtigen kann. Viele davon sind durchaus mit Pro-und-Contra-Abwägungen versehen. Und manche sind auch einfach veraltet. https://verben.texttheater.net/Startseite Wobei "schreiben" interessanterweise fehlt. Aber das ist ja auch so schon ein starkes Verb. Gruß, Nils

Moin, Holzweg. "Kennwort läuft nie ab" heißt genau das und hat nichts mit Sperrungen zu tun. Kennwortrichtlinien kann man nicht auf OU-Ebene definieren. Drei Versuche sind viel zu wenig. Wenn man es schon macht, dann mindestens 20 Versuche. Ernsthaft. Siehe Jans Link. Besser als Sperren sind immer komplexe Kennwörter, mindestens für Admin- und Dienstkonten. Wenn überhaupt, dann mit Fine-Grained Password Policies, siehe Zahnis Link. Gruß, Nils

Moin, naja, müsste man sich mal ansehen. :D Gemäß üblichen Troubleshooting-Vorgehensweisen würde ich jetzt mal Eventlogs durchsehen. Dann würde ich mir die tatsächliche Konfiguration der CA mal ansehen. Auch würde ich schauen, ob denn überhaupt Zertifikatsvorlagen eingerichtet und passend berechtigt sind. Dass sie vorhanden sind, heißt ja noch nicht, dass sie auch bereitgestellt sind. Wenn ich so nicht weiterkäme, würde ich mir jemanden suchen, der sich mit der Windows-CA auskennt. Da sich die Komponente leider seit Windows 2000 kaum weiterentwickelt hat, ist sie nicht ganz selbsterklärend, man muss schon einiges dazu wissen. Und ernsthaft: Wenn man eine PKI einrichtet, ist das eine Sicherheitskomponente. Sowas würde ich nicht nur mit Forensupport machen. Gruß, Nils

Moin, was sagt dcdiag /E? Was sagen die Eventlogs der beteiligten Server? Ändert sich was, wenn du die beiden Server nacheinander mit Wartezeit neu startest? Namensauflösung prüft man nicht mit nslookup, sondern am einfachsten per ping. Gibt es dabei Auffälligkeiten? Prüfe noch mal ipconfig /all auf beiden Servern die tatsächliche Konfiguration. Hat einer der Server mehrere Netzwerkkarten? Ist evtl. die Netzwerkkarte nach der Erstinstallation getauscht worden? Handelt es sich um Hardware oder VMs? Ist einer der Server aus einem bestehenden Image geklont worden? Gruß, Nils

Moin, die Frage ist berechtigt. Das Thema solltet ihr mit dem Anbieter noch mal klären. Grundsätzlich ist es bei den meisten SaaS-Anbietern, die eine Authentifizierung per SAML (also ADFS) anbieten, durchaus so, dass der Anbieter lokal in seiner Applikation Konten benötigt, um die einzelnen User auseinanderzuhalten. Manchmal wird das auch anders gelöst (anhand der Daten im SAML-Token), aber das Verfahren mit lokalen Konten ist üblich. Was hingegen unüblich ist und was du zu Recht kritisierst, ist der direkte Zugriff auf das AD, um die Konten abzugleichen. Das ist, wenn es tatsächlich so gefordert wird, natürlich ein No-Go. Die meisten Anbieter arbeiten hier mit regelmäßigen Imports, die man z.B. per CSV regelmäßig zur Verfügung stellt. Varianten davon wären andere Importformate (etwa bei Azure/Office 365). In dem Fall benötigt der Anbieter aber natürlich nur wenige Rahmendaten zu den Usern (meist nur Name und Mailadresse, um die User eindeutig auseinanderzuhalten). Das funktioniert meist auch sehr gut, denn im Regelfall reicht es aus, neue User zügig übertragen zu haben. Ausgeschiedene User muss man nicht sofort beim Anbieter löschen, weil man die Anmeldung ja selbst über die ADFS-Regeln verhindern kann. Hier solltet ihr also auf jeden Fall noch mal mit dem Anbieter besprechen, welche Importmöglichkeiten er vorsieht. Gruß, Nils

Moin, ah, OK, danke für die Rückmeldung. Ja, bei solchen Systemen sorgen die Management-Komponenten schon mal für unangenehme Überraschungen. Denkt man nicht immer dran, sollte man aber immer als Verdächtigen im Blick haben. Gruß, Nils

Moin, "klappt nicht" heißt genau was? Um einzugrenzen, ob das Problem in der VM-Konfiguration oder im VM-Betriebssystem liegt, könntest du die virtuellen Platten (bei abgeschalteter VM) testhalber an eine andere Stelle kopieren und sie dann an eine neue VM anbinden. Wenn die Netzwerkkarten dann auch nicht funklionieren. liegt es sehr wars***einlich am VM-Betriebssystem. Dann wäre das Eventlog usw. zu konsultieren. Wenn es nichts hilt, ein VM-Backup wiederherstellen. Gruß, Nils

Moin, versuch mal, eine neue Netzwerkkarte hinzuzufügen und die vorhandene erst mal innerhalb der VM zu deaktivieren. Geht es damit? Gruß, Nils

Moin, dann lies noch mal, was ich geschrieben habe. :D Gruß, Nils

Moin, da wirst du die Domänenanbindung neu machen müssen. Da Macs keine Windows-Rechner sind, haben sie eine eigene Implementierung eines AD-Clients. Gruß, Nils

Moin, ja, okay, etwas simplifiziert. :D Was ich meine: Azure Stack ist nicht zum Testen gedacht wie eine Eval-Version von Exchange. Das missverstehen viele, wenn nicht die meisten. Und mir scheint, dass das auch hier das Missverständnis ist. Gruß, Nils

Moin, ah. OK, da kann man von außen lange suchen. ;) Ja, die Offline Folders sind ein steter Quell der Freude. Leider alles andere als zuverlässig. Danke für die Rückmeldung. Gruß, Nils

Moin, ja, natürlich. Wenn es um das Nutzen von Azure geht, ist das die nächstliegende und produktivste Variante. Azure Stack ist ja keine vollständige Implementierung - alle Services usw. müsstest du da selbst bauen. Das ist ein Produkt, das sich an Hoster richtet. Gruß, Nils

Moin, und was soll das Ganze? Warum nicht Azure-Testaccounts und direkt mit dem loslegen, worum es wirklich geht? Gruß, Nils

Moin, also, "schwere Kost" ist jetzt schon sehr zurückhaltend. Eine Azure-Stack-Implementierung braucht normalerweise eine ganze Palette an Hardware (und ich meine jetzt keine Tetrapack-Palette, sondern eher das Euroformat). Und entsprechend viel Zeit. Wenn du beides hast - okay. Aber für mich klingt das jetzt gerade nach Holzweg. Gruß, Nils

Moin, oh, da hast du dir ja was vorgenommen. Was ist denn das Ziel der Aktion? Gruß, Nils

Moin, gern. Gruß, Nils

Moin, ich würde mit dem Kunden über seine Anforderungen reden und ihn aus Sicht seiner Geschäftsprozesse (!) durch den Design-Prozess für ein Recovery-Konzept führen. Daraus würde ich dann die nötige Backup-Strategie ausarbeiten. Alles andere würde das Pferd von hinten aufzäumen. Die genannte Anforderung mag ein erster Anfang sein, reicht aber offenkundig nicht aus. Gruß, Nils

Moin, prüfe vor allem, ob VMQ abgeschaltet ist. Möglicherweise auf einem Host ja, auf dem anderen nicht. Wenn das der Fall ist, schalte es auf beiden Seiten mal ab und prüfe, ob das was ändert. Gruß, Nils

Moin, gut, um noch mal kurz bei diesem USB-Stick-Mythos zu bleiben: Es handelt sich um SATA-DOMs, wenn es supported sein soll. Technisch schon verwandt mit einem USB-Stick, aber eben doch anders. Und teurer. Und zwar so viel teurer als ein USB-Stick, dass ein kleines RAID-1 mit einem Onboard-Controller preislich nun wirklich keinen relevanten Unterschied macht. Und zur Installation: Ja, gut, vielleicht kann man einen ESXi in 15 Minuten installieren. Eine gut vorbereitete Hyper-V-Installation dauert eine Stunde, wobei der größte Zeitanteil das Kopieren von Dateien ist. Auch nicht ernsthaft ein Unterschied, der irgendwas ausmacht. Bulk-Installationen vorzubereiten, ist in beiden Welten ein vergleichbarer Aufwand. Es gab in der vSphere-Welt einige Kunden, die das ganz toll fanden, aber ich treffe sehr selten welche an, die das noch ein zweites Mal machen. Wir sind jetzt hier aber etwas vom Thema weg ... Gruß, Nils