NilsK

Moin, das kann OldCMP, das ich oben empfohlen habe, ebenfalls. Es ist viel schneller als die PowerShell, hat einen Schutzmechanismus vor "versehentlichem" Ausführen, eine Reporting-Funktion und bietet auch noch eine Reihe anderer Vorteile. Muss man natürlich nicht nutzen, ist aber sowas wie das Ei des Kolumbus für diese Sorte Aufgaben. ;) Gruß, Nils

Moin, ich verstehe die Bedenken, aber auf dem Weg werdet ihr nicht weit kommen. Die Ansicht lokaler Konten lässt sich nicht sperren. Höchstens die Remote-Abfrage, aber gerade in deinem Szenario bringt das auch nicht viel. Der wesentlich bessere Weg ist, die kritischen Konten, die du ansprichst, ordentlich abzusichern und ggf. Angriffsversuche (fehlgeschlagene Logins) zu überwachen. Zudem solltet ihr die Mitgliedschaft in lokalen Administratorgruppen nicht für Useraccounts vorsehen, sondern nur für Gruppen - eine oder zwei reichen normalerweise aus. Das ist nicht nur weniger leicht auszuforschen (eine AD-Gruppe beispielsweise lässt sich per Berechtigungen vor neugierigen Blicken schützen), sondern auch leichter zu verwalten. Ich werf dann aber noch mal dies in den Raum: [DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net] http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Gruß, Nils

Moin, in der lokalen Accountverwaltung kann man keine granularen Rechte setzen. User können die lokalen Konten (lesend) abfragen, das ist gewünscht, weil sie nur so ja z.B. Berechtigungen setzen können. Die Frage wäre eher, warum es bei euch lokale Accounts gibt und - wie Norbert schon fragt - warum es kritisch ist, dass man die sieht. Wenn es um die Remote-Abfrage geht, dafür gibt es Ansätze. https://gallery.technet.microsoft.com/SAMRi10-Hardening-Remote-48d94b5b Gruß, Nils

Moin, also ... Du liest Norberts Artikel noch mal in Ruhe. Du prüfst, ob deine Firewall wirklich das bestgeeignete Gerät ist, um die Zeitquelle für alle zu sein. Du richtest die beiden Gruppenrichtlinien nach Norberts Artikel ein. Damit erreichst du, dass der PDC-Emulator auch nach einem Rollenwechsel korrekt konfiguriert ist. Außerdem korrigiert die Lösung auch Fehlkonfigurationen bei den Clients. Du stellst für alle Domänenmitglieder (DCs, Server, Clients) die Zeitsynchronisation mit dem VM-Host ab. Nur einen DC zu haben, ist grob fahrlässig, wenn es mehr als fünf oder zehn Unser gibt. (In dem Fall können wir uns aber auch den Aufwand hier sparen.) Wenn alle DCs virtuell sind, hat man eine ungünstige Abhängigkeit von der VM-Umgebung. Die Nachteile für den Zeitdienst sind dann eher sekundär. Und die von dir zitierten Aussagen widersprechen sich nicht. Du willst vielleicht noch mal über die Bedeutung des Worts "oder" nachdenken. Gruß, Nils

Moin, prima, danke für die Rückmeldung! Gruß, Nils

Moin, und woher bekommt der Host seine Zeit, wenn er AD-Mitglied ist? :rolleyes: Warum postet man dir hier Links, wenn du sie ignorierst? Der Artikel von Norbert auf Gruppenrichtlinien.de stellt den State of the Art dar. So macht man das, nicht anders. Zu dem Thema "Zeitabgleich mit dem VM-Host" hier noch ein Link zum Ignorieren: [Zeitsynchronisation in virtuellen Umgebungen | faq-o-matic.net] http://www.faq-o-matic.net/2012/05/16/zeitsynchronisation-in-virtuellen-umgebungen/ Meine Empfehlung dazu lautet, für alle DCs und alle AD-Mitglieder die Zeitsynchronisation mit dem Host abzuschalten. Gruß, Nils

Moin, okay, sollte klappen. Ich habe selbst noch nichts mit Nested Virtualization in Hyper-V gemacht, weil die verschiedenen Beschränkungen während der Preview-Phase mich davon abgehalten haben. Prinzipiell sollte das aber so einsetzbar sein. ESXi als VM einzurichten, könnte allerdings etwas aufwändiger sein: [Nested Virtualization: ESXi als VM in Hyper-V | faq-o-matic.net] http://www.faq-o-matic.net/2016/05/25/nested-virtualization-esxi-als-vm-in-hyper-v/ Gruß, Nils

Moin, ältere WordPress-Versionen binden Google Fonts ein, richtig. Die jüngsten Versionen tun das nicht mehr, glaube ich. Wenn ihr keinen Weg ins Internet habt bzw. wenn der interne DNS keine externe Namensauflösung macht, kann es da natürlich zu Verzögerungen durch Timeouts kommen. Gruß, Nils

Moin, wozu willst du denn die Nested Virtualization nutzen? Außerhalb von Laborsystemen gibt es nur sehr wenige sinnvolle Einsatzgebiete dafür. Gruß, Nils

Moin, okay, dann dürfte die Namensauflösung gar nicht das Problem sein. Also eher der Browser, darauf deutet auch der Umstand hin, dass die Verzögerung bei jeder Seite kommt und nihct nur bei der ersten. Könnten Proxy-Einstellungen dazwischenfunken? Gruß, Nils

Moin, du sprichst von Hyper-V? Die Voraussetzungen sind so dokumentiert: https://msdn.microsoft.com/en-us/virtualization/hyperv_on_windows/user_guide/nesting A Hyper-V host running Windows Server 2016 or Windows 10 Anniversary Update. A Hyper-V VM running Windows Server 2016 or Windows 10 Anniversary Update. A Hyper-V VM with configuration version 8.0 or greater. An Intel processor with VT-x and EPT technology. Das dürften die allermeisten Intel-Prozessoren der letzten Jahre unterstützen, die von dir genannten auch. Sogar einige Celerons wären geeignet. Gruß, Nils

Moin, naja, die geposteten Fehler sind normal, wenn kein DNS-Server eingetragen ist. Test 1: Wenn du auf einem der "langsam auflösenden" Clients mal in einem CMD-Fenster den DNS-Cache löschst (ipconfig /flushdns) und dann einen ping auf den vollen Namen eines der Server ausführst, dauert es dann auch mehrere Sekunden, bis der Name aufgelöst ist? Test 2: Nochmal den DNS-Cache löschen und dann die IP-Adresse anpingen nach folgendem Muster: ping -a 172.30.254.101 - Verzögerung oder nicht? Gruß, Nils

Moin, wichtig wäre auch zu wissen, was die "Auswertung" denn überhaupt macht. Typische Kandidaten für schlechte Performance sind fehlende Indizes (oder fehlende Indexpflege, siehe den Beitrag von MDD) oder schlechte Abfragen, die sich gegenseitig blockieren. Gruß, Nils

Moin, welches OS läuft auf den Clients? Was du prüfen könntest: Öffne auf einem Client mal die Netzwerkverbindungen. Dann mit der Alt-Taste das Menü einblenden und Erweitert/Erweiterte Einstellungen. Wie ist die Bindungsreihenfolge der Netzwerkanbieter? Finden sich Einträge in den Eventlogs der Clients? Im DNS-Eventlog des Servers? Gruß, Nils

Moin, früher hat man jemandem die X11-Sourcecodes geschickt, um ihn zu ärgern. :jau: Gruß, Nils

Moin, welche DNS-Server-Einträge haben die Clients? Dauert die Namensauflösung auch so lange, wenn du nicht den Kurznamen des Servers verwendest, sondern den vollständigen DNS-Namen? Gruß, Nils

Moin, deine beiden Begriffe laufen auf dasselbe hinaus, weil sich die GAL ja aus dem AD speist. Ich bin kein Freund davon, externe Kontakte in der GAL zu hinterlegen, weil die dadurch sehr unübersichtlich wird und User es selten unterscheiden können, wer zur Firma gehört und wer nicht. Zudem stellt sich dann ein administratives Problem, denn um die Kontakte zu importieren oder zu bearbeiten, braucht man erhöhte Rechte im AD. Der Ansatz über Sharepoint dürfte schon passen, weil Outlook, wenn ich mich richtig erinnere, Sharepoint-Kontakte auch direkt einbinden kann. Ich wage mal zu behaupten, dass man sowas mit einem CSV-Export und etwas PowerShell-Code bestimmt auch selbst hinbekommt. Gruß, Nils

Moin, leider ist das tatsächlich auch in der "echten" Prüfung nicht immer zu ersehen, was denn nun gemeint ist. Das hängt immer davon ab, wie sorgfältig der jeweilige Autor gearbeitet hat. Generell kannst du davon ausgehen, dass PowerShell "eher" die gewünschte Variante ist - aber ohne Gewähr. PowerShell wird deshalb als "weniger aufwändig" angesehen, weil man es so auch automatisieren kann. Gruß, Nils

Moin, wenn es um Sharepoint geht, befolge unbedingt die Anweisungen zum Migrieren einer Sharepoint-Datenbank. Eigene Verschiebeversuche führen schnell ins Abseits. Das Web sollte ausreichend Ressourcen bieten. Gruß, Nils

Moin, ... und ... ... erzeugt: Hm. Oder? Nicht, dass wir nicht darauf hingewiesen hätten, dass es zu Problemen kommen kann. Wenn ich Admin in eurem Unternehmen wäre, würde ich mir jetzt einen kompetenten Dienstleister suchen. Für ein Forum ist das nix - es sei denn, Exchange spielt im Unternehmen keine Rolle. Gruß, Nils

Moin, wie auch im Board schon diskutiert, ist das auch keine Migration, sondern eine einfache Aktualisierung. Das Video finde ich übrigens nicht besonders. Es benutzt falsche Begriffe, und wer seiner Demoumgebung IP-Adressen aus dem 1.x.y.z-Netz gibt, hat irgendwie den Schuss nicht gehört. Außerdem hilft die AD-Replikation natürlich nicht dabei, die Latenzen der FRS-Replikation zu umgehen ... Gruß, Nils

Moin, hier noch die Übersicht über Migrationsmethoden für Hyper-V. [Hyper-V von älteren Versionen nach Windows Server 2016 migrieren | faq-o-matic.net] http://www.faq-o-matic.net/2016/12/19/hyper-v-von-lteren-versionen-nach-windows-server-2016-migrieren/ Gruß, Nils

Moin, naja, wenn wir auf einer so pauschalen Ebene sind, rate ich auch davon ab. :p Man kann da eine Menge machen, aber man kommt schnell an eine Stelle, ab der es sehr aufwändig wird. Und man bewegt sich schnell aus einer vom Hersteller supporteten Konfiguration hinaus. Kommt dann noch Exchange ins Spiel, wird es sogar unbeherrschbar. Aber vielleicht sollten wir, bevor wir solche Dinge überhaupt in den Raum werfen, dann doch noch mal über die Anforderungen sprechen ... Gruß, Nils

Moin, mutig. Dann hoffen wir mal, dass auch das noch läuft, was man nicht auf den ersten Blick sieht. Gruß, Nils

Moin, da er die ADDS ja anscheinend vor dem Exchange installiert hat, würde ich zumindest vermuten, dass man ihm bei MS einen Weg weist. Das Deinstallieren hingegen wäre sehr wahrscheinlich ein Supportausschluss. Tatsächlich ist der Hinweis in den Installationsvoraussetzungen durchaus missverständlich für jemanden, der das nicht ständig macht. Ich wäre von selbst nicht drauf gekommen, aber angesichts des Threads hier denke ich schon, dass das Missverständnis naheliegt. Ärgerlich für den TO. Gruß, Nils