NilsK

Moin, in der Parameterliste sehe ich etwas von "recursion" und "no", vielleicht hilft das. Aufgrund der kruden Syntax kann ich das leider zeitlich nicht prüfen. Gruß, Nils

Moin, ja, momentan sieht es leider so aus, als sei Windows Server 2016 quasi das Exchange 2013 der Serverbetriebssysteme. Derzeit würde ich auch eher pauschal davon abraten und noch abwarten. Gruß, Nils

Moin, nimm SetACL oder SetACL Studio. Gruß, Nils

Moin, es ist unkritisch, die Zertifikate da zu löschen. Das Feld ist nur für einen Zweck gedacht: Wenn man innerhalb eines Unternehmens mit (Mail-) Verschlüsselung arbeitet, braucht man den Public Key des Empfängers. Daher kann man den im AD bei dem Useraccount ablegen, damit er dort einfach zur Verfügung steht. Nutzt man sowas nicht, dann braucht man auch die Funktion nicht. Da der Administrator in deinem Beispiel jetzt Zertifikate von (vermutlich) 1000 anderen Usern hat, aber niemand den Administrator danach fragen wird, können die Werte weg. Markieren, löschen, fertig. Es sind auch nur Public Keys, es kann also kein Private Key verloren gehen. Und solange man kein Zertifikat hat, das genau für den obigen Zweck benötigt wird, schaltet man das betreffende Häkchen in der Zertifikatsvorlage auch nie an. Gruß, Nils

Moin, immer gerne. ;) Gruß, Nils

Moin, klingt nach großem Kino. Ich kann das nicht direkt beantworten, aber soweit ich den Prozess verstehe, dürfte das Abschalten des Audit Mode beim nächsten Systemstart zur Ersteinrichtung führen. Ich würde mal davon ausgehen, dass mindestens Exchange das übel nehmen würde. Ich vermutete also ein hohes Risiko, hielte ein Problem für wahrscheinlich. Wäre es mein Kunde, betreute ich ihn, öffnete ich wohl einen Supportcall bei Microsoft? Gruß, Nils

Moin, ich verstehe die Frage nicht recht. Falls du meinst: Funktioniert dieses Verfahren auch, um von 2008 R2 nach 2016 zu kommen (statt nach 2012 R2) - dann denke ich, dass es gehen sollte. Ist aber ebenso ungetestet. Gruß, Nils

Moin, ;) Gruß, Nils

Moin, du solltest auf jeden Fall die ganzen Zertifikate aus dem Attribut userCertificates bei dem Account schnell löschen. Es kann sonst passieren, dass das AD dieses Objekt nicht mehr repliziert, weil es zu groß ist. Da der Account diese Einträge auch nicht braucht (es ist ja eine Fehlkonfiguration in der Zertifikatsvorlage), ist das auch kein Verlust. Gruß, Nils

Moin, doch, ich. :D Gruß, Nils

Moin, interessante Diskussion, aber mir fällt dazu nur ein: "Wenn du kein Nein hören willst, dann frag nicht." Übrigens ein Satz, den ich regelmäßig von Microsoft-Mitarbeitern höre. Gruß, Nils

Moin, <ot>Stegreif. Das kommt von "Steigbügel" (der Bote verkündet die Botschaft in Eile, ohne vom Pferd abzusteigen), nicht von "Stehen und Greifen".</ot> Gruß, Nils

Moin, für ein Versionsupgrade ist die SA dann wenig interessant, das ergäbe nur Sinn, wenn die CALs auch mit SA sind. Für die VM-Portabilität ist die SA für den Server aber nötig, daher kann so ein Szenario erforderlich sein. Wie Norbert meine ich auch, dass das lizenzrechtlich zulässig ist. Wie immer bei sowas natürlich ohne Gewähr. Gruß, Nils

Moin, relevant sind zunächst zwei Größen: Gesamtanzahl der VMs, die der Verbund betreibt Anzahl der Hosts Ihr habt 20 VMs und 3 Hosts. Auf jedem der Hosts müssen die 20 VMs laufen können, also müssen auf jedem Host zu jeder Zeit 20 VM-Lizenzen vorliegen. Einfache Faustregel: ab ca. 12 VMs im Verbund ist die Datacenter-Lizenzierung günstiger als eine Sammlung von Standard-Lizenzen. Also: Jeden Host mit Datacenter lizenzieren. Nun kommt noch Windows Server 2016 ins Spiel: Es sind mindestens 2 CPUs à 8 Cores zu lizenzieren. Praktischerweise also genau das, was die Hosts haben sollen. Lizenzen werden in 2-Core-Paketen verkauft. Pro Host also 8 Pakete. Macht zusammen: 24 Pakete Datacenter. Gruß, Nils

Moin, oh, Diverses: Tastatur-Shortcuts für Desktop-Icons gehen nicht Vorschaufensterchen auf der Taskleiste klappen kurz auf und sofort wieder ein (sodass man keins auswählen kann) Trackpad-Gesten gehen nicht Drag & Drop geht nicht deine beiden Sachen je nach Laune auch noch anderes Bananaware. Gruß, Nils

Moin, bei mir geht's. Aktueller Build, aktuell gepatcht. Ich habe bei Windows 10 aber oft den Effekt, dass irgendein Desktop-Feature plötzlich nicht mehr geht. Dann hilft immer ein Neustart. Gruß, Nils PS. Danke übrigens für den Tipp, den hatte ich gar nicht präsent.

Moin, okay, danke. Ohne jetzt eine juristische Laiendiskussion vom Zaun brechen zu wollen: Ganz so einfach ist es auch weiterhin nicht. Bestimmte Verfahren werden auch weiter nicht vorgeschrieben. Man beachte etwa den Passus, dass eine Mail, die nur einen Dokumentanhang transportiert, selbst nicht aufbewahrt werden muss, wenn man das eigentliche Dokument aufbewahrt. Richtig war und bleibt: Man sollte sich beraten lassen und etwas tun. Und richtig war und bleibt auch: Ein fertiges Archivierungssystem kann ein effizienter Weg sein. Ausgemacht ist das aber nicht. Und auch weiterhin sollte man nicht der Angst-Argumentation zahlreicher Hersteller aufsitzen. Lieber ein paar hundert Euro in kompetente Beratung investieren, statt aufgrund von Missverständnissen viel zu hohe Ausgaben zu tätigen (was ich bei Kunden immer wieder sehe - manche machen etwa ihre Vollbackups auf WORM-Medien ...). Aber das nur am Rande, weil es hier gerade aufkam. Gruß, Nils

Moin, aha. Welche? Gruß, Nils

Moin, du solltest dich von dem Gedanken verabschieden, beliebig komplexe Anforderungen mit NTFS-Berechtigungen abzubilden. Das System stößt sehr schnell an seine Grenzen, sei es bei der technischen Machbarkeit oder bei der Praktikabilität in der Benutzung. Halte es einfach und berücksichtige rechtzeitige Konzepte, um Fehler - die sich nie ganz ausschließen lassen - zu beheben. Und arbeite bei Dateiberechtigungen nicht mit den vordefinierten "Administratoren", denn dann kommst du schnell mit Bordmitteln nicht mehr weiter. [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net] http://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net] http://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/ Gruß, Nils

Moin, seufz. Nimm es uns nicht übel, aber wer gegen Geld Exchange-Troubleshooting macht, sollte schon gewisse Grundlagen für Exchange und Active Directory haben. Und: Es hat schon einen Grund, wenn wir hier fragen und Hinweise geben. Fürs nächste Mal dann. Gruß, Nils

Moin, dass das mit den FSMO-Rollen nichts zu tun hat, hatte ich ja schon gesagt. Du hast also per Zufall einen Exchange 2003 in deiner Umgebung entdeckt? Entschuldige, aber: Respekt. Wie kann man das übersehen? Worauf du jetzt - angesichts der vergurkt klingenden Umgebung - "achten" musst, lässt sich ohne nähere Analyse nicht sagen. Zum ursprünglichen Problem: Hast du geprüft, ob der DC an Standort B den Global Catalog aktiviert hat? Hast du mal mit dcdiag /E die AD-Umgebung geprüft? Das Routing über das VPN ist auch überprüft? Gruß, Nils

Moin, gehören die Sites evtl. noch zum Default IP Sitelink? Gruß, Nils

Moin, naja, es geht ja auch um Angriffe innerhalb eines Unternehmens. Da ist Abschalten von SMB schlicht nicht möglich ... Gruß, Nils

Moin, nein, die Abfrage von $env:USERNAME führt hier nicht zum Ziel. Die gibt den Namen des Users zurück, der das Skript ausführt. Damit lässt sich aber nicht prüfen, ob jemand angemeldet ist. Die Frage, ob jemand lokal (oder überhaupt) angemeldet ist, ist nicht trivial. Die Abfrage per "query session" wurde schon genannt, aber auch das hat seine Tücken: [spaß mit der Konsolen-Session | faq-o-matic.net] http://www.faq-o-matic.net/2013/03/25/spa-mit-der-konsolen-session/ [Monitoring: Ist der Admin an die Konsole angemeldet? | faq-o-matic.net] http://www.faq-o-matic.net/2012/04/30/monitoring-ist-der-admin-an-die-konsole-angemeldet/ Gruß, Nils

Moin, naja, da hast du doch den Fehler. Wenn du dem AD sagst, dass die Außenstellen direkt miteinander verbunden sind, dann nutzt es das auch. Dass dies gar nicht zutrifft, kann das AD ja nicht wissen. Nimm also die Verbindung zwischen den Außenstellen raus, wenn die gar nicht existiert. Gruß, Nils