NilsK

Moin, hm. Warum? Was ist das Ziel, was sind die Anforderungen? Allgemein werden die Vorteile von SMB 3.x oft über-, dafür die Voraussetzungen unterschätzt. In mittelständischen Umgebungen spricht m.E. nur selten etwas für SMB 3.x. Was ist denn das "geeignete Storage"? Kann das wirklich SMB 3.x? Bietet es in dem Betrieb irgendwelche Vorteile gegenüber iSCSI oder FC? Beherrscht es auch die Funktionen, die SMB 3.x interessant machen? Das tun die meisten Nicht-Windows-Storages m.W. nämlich nicht. Das ist jetzt arg rudimentär. Ohne Details über den physischen Netzwerkaufbau, die VLANs und das Teaming zu wissen, kann man dazu wenig Sinnvolles sagen. Spontan würde ich mal sagen, dass sich SMB Multichannel und Teaming eher widersprechen. Außerdem finde ich zweimal 1 Gbit für VM-Storage arg wenig. Zunächst wären aber wohl die obigen Grundsatzfragen zu klären. Gruß, Nils

Moin, ja, die Anforderung ist da beschrieben, aber anders als daraus zu entnehmen war, geht es - technisch - ja offenbar doch mit einem Wildcard-Zertifikat. Ich würde aber davon ausgehen, dass das nicht supported ist, weil der KB-Artikel eben ausdrücklich den DC-Namen anfordert. (Vielleicht meintest du das in der Art.) Ich denke, jetzt haben wir den TO endgültig verwirrt. :D Gruß, Nils

Moin, nach zwei Bearbeitungen kann ich jetzt leider nicht mehr ganz auseinanderdröseln, worauf du dich beziehst ... ;) Gruß, Nils

Moin, ah, OK, gut zu wissen. Dann ist - technisch betrachtet - der KB-Artikel, den ich gefunden habe, wohl einfach nicht mehr aktuell. Er bezog sich ursprünglich wohl auf Windows 2000, da war Windows mit dem Zertifikatshandling noch nicht so weit. Was aber nichts an dem Umstand ändert, zu dem wir einig sind: Für LDAPS ist das nicht sinnvoll. EDIT 2: Natürlich funktioniert das mit einem Alias-Namen in keinem Fall. Ein Zertifikat soll ja gerade sicherstellen, dass man mit dem richtigen Server verbunden ist ... EDIT 1: Ich sehe gerade noch eine Bemerkung: Ich würde mal behaupten, dass LDAPS in der eigenen Domäne mit Office 365 überhaupt nichts zu tun hat. Gruß, Nils

Moin, ich würde den beiden Quellen auch nicht trauen - die behaupten das zwar, aber der eine hat es offensichtlich gar nicht getestet, und der andere gibt gleichzeitig an, dass er sich auf einen Webserver bezieht und nicht auf einen DC ... das ordne ich als "Amazon-Antwort" ein ("kann ich nicht beantworten, weil ich das Produkt nicht gekauft habe, aber in folgender völlig anderer Situation ist es so-und-so"). Ich halte es auch für ausgesprochen abwegig, für den Zweck "LDAPS im AD" ein Wildcard-Zertifikat zu nehmen. Gerade bei DCs möchte man das ja schon genau kontrollieren, da sind Single-Server-Zertifikate der gewünschte Weg. Wenn man keine PKI hat und keine Self-Signed-Zertifikate ausstellen will, hat man mit OpenSSL in einer Stunde die nötigen Zertifikate erzeugt (inkl. Einlesen in OpenSSL). Gruß, Nils

Moin, das wird mit einem Wildcard-Zertifikat nicht gehen. https://support.microsoft.com/en-us/kb/321051 Du kannst aber auch ein selbstsigniertes oder internes Zertifikat nehmen, das lässt sich ja per GPO einfach an die Clients verteilen. Gruß, Nils

Moin, genau das war bislang ja der Kern der Argumentation ... und doch, man kann da schon einiges kaputtmachen, wenn man auf der Ebene aufs Geratewohl herummacht. Daher bleibe ich dabei, von solchen Tipps à la "geht doch ganz einfach" entschieden abzuraten - insbesondere wenn der TO nicht mal bereit ist, zu lesen, was man ihm empfiehlt, und eine Testumgebung einzurichten, die ja nun wirklich keinen großen Aufwand erzeugen würde. Für mich ist dann hier Schluss, ich kann das nicht verantworten. Gruß, Nils

Moin, wovon sprichst du? :confused: Wo im AD stellt man "im User" einen Realm ein? Du weißt, was ein Realm in Kerberos ist? Das AD kennt sowas gar nicht, aber die nächste Entsprechung wäre die Domäne. Ich nehme an, dass du das UPN-Suffix meinst, aber das ist kein "Realm". Meine Vermutung ist, dass Netscaler sich von dem UPN-Suffix dazu verleiten lässt, nach einer Domäne (für ihn eben der "Realm") "test.de" zu suchen, die es ja nicht gibt. Es wird sicher eine Möglichkeit geben, das in den Policies dort zu konfigurieren. Wie gesagt, ich bin kein Netscaler-Experte. Ich habe Kollegen, die sowas rauf und runter können, aber die sind hier leider nicht aktiv. Gruß, Nils

Moin, dazu hat Norbert alles gesagt, was man sagen kann: Kommt drauf an. Ihr wollt euch erst mal hinsetzen und eure Anforderungen definieren. Dann wollt ihr jemanden dazuholen, der sich mit Dateiserver-Designs auskennt. Das muss kein Riesenprojekt werden, aber ein wenig Planung ist auch in der IT hilfreich. Gruß, Nils

Moin, in Windows Server 2016 gibt es keine separate Installation der Integrationsdienste mehr. Die werden über Windows Update aktuell gehalten. Windows Server 2003 ist nicht mehr supported, daher gibt es dafür auch keine Updates. Da musst du mit dem letzten Stand leben, um die VM so schnell wie möglich durch eine mit aktuellem OS abzulösen. Sofern die Updates in einer älteren VM nicht von selbst eingespielt werden, kann ein einmaliges manuelles Update erforderlich sein, siehe hier: https://technet.microsoft.com/windows-server-docs/compute/hyper-v/manage/manage-Hyper-V-integration-services Gruß, Nils

Moin, das meiste davon sind Design-Themen, die man in einem Forum nicht sinnvoll diskutieren kann. Holt euch jemanden mit Erfahrung ins Haus, der euch beratend durch den Planungsprozess führt. Gruß, Nils

Moin, ergänzend dazu: Leg eine Planungsphase für die Volumes ein. Ein 2-TB-Volume willst du nicht haben - bei dem Umfang gibt es diverse Schwierigkeiten, nicht zuletzt Backup und Restore. Gruß, Nils

Moin, ich würde auf den Citrix-Support tippen. Oder auf einen Partner, der NetScaler in der Tiefe supporten kann. Gruß, Nils

Moin, aus deiner Frage entnehme ich, dass dir die Grundlagen der Technik noch nicht vertraut sind. Das ist auch verständlich, weil das Thema recht unübersichtlich ist. "Docker" ist keine Infrastruktur, sondern im Grunde ein Verwaltungswerkzeug für Container. Die Container selbst haben mit Docker nichts zu tun, sondern sie laufen auf einem Container-Host - das wiederum ist ein "normaler" Server (oder auch eine VM), den man üblicherweise selbst betreibt. Im Fall von Windows-Containern ist das also ein Windows-Server. Docker läuft dort in einer portierten Version als Verwaltungswerkzeug. Die Docker-Repositories sind ebenfalls eine optionale Sache, die es erleichtern soll, Container-Images zu verwalten und auszutauschen. Gruß, Nils

Moin, die Antworten hängen relativ stark davon ab, was du denn da eigentlich eingerichtet hast ... Möglichkeiten gibt es in Azure einige. Gruß, Nils

Moin, ohne es genau sagen zu können (weil ich es bisher nicht recherchieren musste): Das halte ich für höchst unwahrscheinlich. Der UPN ist gleichwertig zum herkömmlichen Anmeldenamen (sAMAccountName) und sollte diesen ursprünglich in kurzer Zeit* ablösen. Ich würde eher vermuten, dass der NetScaler nicht richtig fragt. Aber das ist Spekulation. Gruß, Nils * das war zu der Zeit, als man auch noch dachte, WINS hätte sich bald erledigt. :D

Moin, hm, okay, war so ein Verdacht. Im ADUC kann man in der Tat nur dann ein anderes UPN-Suffix auswählen, wenn es im AD definiert ist (Forest- oder OU-Ebene). Legt man User per Skript an, dann kann man beliebige Suffizes nutzen, auch wenn sie nicht zentral vorgegeben sind. Dann scheint hier aber kein Zusammenhang zu bestehen. Ich bin momentan überfragt, vielleicht hat noch jemand eine Idee. Auf meine Netscaler-Kollegen habe ich wg. Urlaubs :) gerade keinen Zugriff, ich weiß, dass die auf der Ebene recht viel unterwegs sind. Gruß, Nils

Moin, wenn ich nicht ganz irre, ist "Delete subfolders and files" die Nachbildung eines POSIX-Löschrechts. Damit kann ein User in einem Ordner, auf dem er dieses Recht hat, auch Dateien löschen, auf die er eigentlich keine Rechte hat. Praktischen Nutzen habe ich darin noch nie gesehen, aber durchaus einige "Fallen", weil das Verhalten unerwartet ist. EDIT: Kiek, ich meinte doch, dass ich schon mal was dazu geschrieben hatte. [Warum kann ein Benutzer Dateien ändern, für die er keine Rechte hat? | faq-o-matic.net] http://www.faq-o-matic.net/2005/01/03/warum-kann-ein-benutzer-dateien-aendern-fuer-die-er-keine-rechte-hat/ Gruß, Nils

Moin, ist der UPN Suffix im AD als solcher definiert? Möglicherweise ist dieses Szenario ein Fall, in dem das erforderlich ist. Gruß, Nils

Moin, gern geschehen. :D Dir sind mehrere Lösungsvorschläge für dein Anliegen genannt worden. Du weist sie zurück, ohne dass es einen sachlichen Grund gibt. Es wird dir hier niemand nachweisen können oder wollen, dass der Task Scheduler das, was du willst, nicht kann - das muss auch niemand. Es ist allerdings sehr wahrscheinlich, dass das so ist. Ein Problem ist das ja auch nicht, weil es, wie dir mehrfach beschrieben wurde, Wege gibt, das Gewünschte zu erreichen. Dass es auf dem Markt Software gibt, die sowas beherrscht, ist ganz normal - ein Betriebssystem deckt mit seinen Möglichkeite die Grundlagen ab, nicht jeden Spezialfall. In sofern erinnert, sorry, dein Verhalten nun mal sehr an das Kind an der Supermarktkasse. Support per PN ist in keinem Forum gern gesehen, weil es dem Sinn des Forums widerspricht. Gruß, Nils

Moin, ich werde das Gefühl nicht los, dass wir es hier mit einem Fall von "<aufstampf /> ich will aber!" zu tun haben. Meiner Erfahrung nach bringt es nichts, sich darauf einzulassen. Man könnte auch sagen: Akuter Trollverdacht ... Gruß, Nils

Moin, so ohne Weiteres stimmt das nicht. Das wird zwar oft generalisierend so gesagt, aber bei näherer Betrachtung kann bzw. darf man das nicht einfach so anwenden. Betrachte etwa mein - bewusst simpel gehaltenes - DOS für Arme: Das setzt genau an dem Punkt an. Die Sperrung greift für die ganze Domäne, also auch für die wichtigen Konten. Man kann in fast allen Netzwerken ohne erhöhte Rechte sehr simpel erheblichen Schaden anrichten. Kontensperrung soll schwache Kennwörter beherrschbar machen. Besser ist es also, keine schwachen Kennwörter zu nutzen, zumindest bei Diensten und hochprivilegierten Konten. Die werden in aller Regel von Leuten genutzt, denen man starke Kennwörter sehr wohl zumuten kann. Ist ein Kennwort stark, dann sind Brute-Force-Angriffe aussichtslos, und man kann sich das Sperren sparen. Wenn überhaupt, dann sollte man Sperrungen nur in Kombination mit Fine-Grained Password Policies einsetzen. In dem Fall kann man für verschiedene Kontenklassen unterschiedliche Richtlinien innerhalb einer Domäne verwenden. Wenn man nach meiner Argumentation vorgeht, dann unterschreitet man die Standards nicht, sondern man übertrifft sie. Und ja, genau das muss man unter Umständen bewusst tun, wenn Standards ihre Aufgaben nicht erfüllen. Ein Standard, der Kontensperrungen nach (vielleicht auch noch wenigen) Fehleingaben pauschal vorschreibt, erfüllt seine Aufgabe nicht. Gruß, Nils

Moin, ... oder es richtig machen - einen Weg dazu habe ich oben beschrieben. Und was die "Schutz-Mechanismen" gegen den Angriff aus meinem Artikel angeht: Es gibt genau einen, der sinnvoll ist, und das ist der Verzicht auf automatische Kontensperrung. Gruß, Nils

Moin, "einfach" nicht unbedingt, wie der von dir verlinkte Artikel ja auch sagt. Und für Express schon gleich gar nicht. Gruß, Nils

Moin, wozu brauchst du denn diese Information? Was ist die Anforderung, die du lösen bzw. erfüllen willst? Gruß, Nils