NilsK

Moin, OK, dann definiere"zu hoch" für so eine Umgebung. Nichts gegen Monitoring. Es gibt an der Stelle aber viele, viele falsche Annahmen und Mythen über den Nutzen. Gruß, Nils

Moin, Ja, auf das Argument hab ich gewartet. :D Und, was für Störungen sind das, die man vor dem User bemerkt in so einer Umgebung? Kann man gern machen, aber bei so einem Netzwerk würde ich meine Energien anders einsetzen. Gruß, Nils

Moin, Und wenn der Hersteller den nächsten Fehler auf FC schiebt, was kauft ihr dann? Das Argument mit dem Fehler ist doch etwas sehr dünn ... Gruß, Nils

Moin, Neu installieren klappt immer. Recovery kann klappen. Dann kann es auch schneller sein. Den Rest kann man nur im Einzelfall klären. Gruß, Nils

Moin, Bei fünf Rechnern und drei Benutzern frage ich mich die ganze Zeit nach dem Bedarf für Monitoring. Die merken das dich als erstes, wenn was ausfällt, oder? Wo ist da der Mehrwert eines Monitoring? Gruß, Nils

Moin, zur Verfügung stellen kannst du die überhaupt nicht, das macht der DC schon selbst, wenn er ordentlich arbeitet. Anscheinend tut er das aber nicht. Es wird dazu sicher Meldungen in den Eventlogs der DCs geben. Außerdem kannst du eine Überprüfung ausführen mit: dcdiag /E>%userprofile%\dcdiag.txt && notepad %userprofile%\dcdiag.txt Gruß, Nils

Moin, Credential Guard ist im Server 2016 enthalten und dort natürlich genauso sinnvoll wie auf dem Client. Das Angriffsszenario ist übergreifend. Ob Credential Guard mit Virtualisierungsunterstützung auch funktioniert, wenn der Server eine VM unter vSphere ist (ich denke, dahin zielt die Frage eigentlich), lässt sich noch nicht sagen. Wahrscheinlich schon, denn vSphere beherrscht Nested Virtualization. Ob es ein supportetes Szenario ist, ist derzeit aber noch unbekannt. Gruß, Nils

Moin, nicht ausdrücklich, aber deine Frage war: Und wenn du "auf" einem Windows-Server einen Virtualisierer einsetzen willst, dann kann das nur ein Typ-2-Virtualisierer sein. Von VMware kommt dann nur noch Workstation in Betracht. Gruß, Nils

Moin, abgesehen davon, würdest du auf einem Server ja auch kaum VMware Workstation installieren, oder? Gruß, Nils

Moin, man kann sogar UPN-Suffixes pro OU vorgeben. Oder eben die User per Skript anlegen, dann ist man völlig frei. :D Gruß, Nils

Moin, da wären jetzt mal die Argumente interessant, mit denen da abgeraten wurde. Der userPrincipalName ist ein Namensfeld wie alle anderen auch, da kann man Beliebiges reinschreiben. Man kann auch von den konfigurierten Suffixen abweichen, die sind nur zur organisatorischen Vereinheitlichung gedacht. Technisch ist das völlig unproblematisch. UPNs funktionieren mit jedem Account und jedem (zulässigen) Namen. Man kann den Namen auch für das SAM-Format und den UPN unterschiedlich setzen, man sollte dann nur dafür sorgen, dass man den Überblick behält. Daher würde ich das in dem Fall mit den Kunden noch mal besprechen. Gruß, Nils

Moin, werden die wirklich heruntergefahren? Also findet danach ein Kaltstart statt? Findet sich etwas in den Ereignislogs der Gast-VMs? Ich hätte da auch zunächst die VMs im Verdacht, nicht den Host. Denkbar wäre allerdings auch, dass das Energiemanagement des Hosts in Client-Hyper-V eingreift (reine Spekulation, mit Client-Hyper-V habe ich kaum Erfahrungen). Welchen Energiesparplan hat denn das Notebook? Ändert sich das Verhalten, wenn du den testweise auf "Höchstleistung" umstellst? Gruß, Nils

Moin, das allein wäre kein Problem, solange es sich um ein Non-Authoritative Restore handelt. Gruß, Nils

Moin, hm ... ihr betreibt Antivirus auf Servern und kümmert euch nicht vorher um die Exclusions? Ja, eben. Ich rede vom Virenscanner auf dem Host. https://support.microsoft.com/en-us/kb/3105657 Gruß, Nils

Moin, dann prüf mal die Exclusions deines Virenscanners. Gruß, Nils

Moin, zumal das SP1 für 2008 R2 bekannt dafür ist, dass es schon mal "ewig" dauert. Vielleicht hätte etwas mehr Warten ausgereicht ... Gruß, Nils

Moin, die Kennwortabfrage deutet darauf hin, dass die Platte durch zusätzliche Software geschützt ist. Falls es sich um eine HP-Platte handelt (dort gibt es eine Schutzfunktion, die den Namen "Drivelock" verwendet), sollte dich eine Webrecherche zu Möglichkeiten führen, das Kennwort neu zu setzen. Gruß, Nils

Moin, ja, sowas hab ich mir schon gedacht. Kann man machen, würde ich aber nicht als Best Practice ansehen. So ein Henne-und-Ei-Setup birgt zusätzliche Risiken und verzögert die Zeit bis zum Erfolg. Ob du für den Zugriff wirklich die Netzwerkerkennung brauchst und die ganzen Dienste, die dazugehören - bezweifle ich auch mal. UPnP auf einem VM-Host?! Hätte es eine einfache Firewallregel im bestehenden Profil nicht getan? Gruß, Nils

Moin, nein, ohne Glaskugel kann man das nicht sagen. Hauptverdächtige: die VMs können gar nicht auf den Host zugreifen - lassen die vSwitch-Einstellungen und die IP-Konfigurationen das zu? die Windows-Firewall lässt den SMB-Zugriff nicht zu (eher unwahrscheinlich) der Zugriff erfolgt nicht mit einem Administratorkonto des Hosts Warum braucht Veeam Zugriff von einem Gast auf den Host? Ist der Veeam-Server eine VM? Wenn ja: Was machst du, wenn es mit dem Host mal ein Problem gibt? Gruß, Nils

Moin, prüf doch mal im Server-Manager unter "Rollen hinzufügen", ob die grafischen Tools dort ausgewählt sind. Vermutlich fehlen die. Dann nachinstallieren. Gruß, Nils

Moin, eine Verpflichtung dieser Art gibt es nicht. Und der Exclaimer kann versendete Mails im Postfach anpassen, sodass man zur Not die Mail mit Signatur ausdrucken könnte. Die versendete Mail im Postfach des Users kann sich aber immer noch von der unterscheiden, die tatsächlich rausgegangen ist, weil z.B. Virenscanner bisweilen auch noch Fragmente anhängen. In jedem Fall sind die Metadaten am Gateway andere als in der Mailbox. Gruß, Nils

Moin, um noch das Detail mit der Replikationslast zu beantworten: Kannst du vernachlässigen. Selbst wenn du täglich alle User neu anlegen würdest, wäre das vermutlich kaum zu bemerken. Trotzdem braucht ihr keine technische Detailberatung, sondern ein Design. Gruß, Nils

Moin, nein. Ein Reverse Proxy ist ein Reverse Proxy. URL-Filterung kann dort eine Zusatzfunktion sein. https://de.wikipedia.org/wiki/Reverse_Proxy Gruß, Nils

Moin, in kleineren Umgebungen wie der beschriebenen macht man das heute meist über die Reverse-Proxy-Funktion der Firewall. Die meisten Mittelklasse-Systeme können das. In dem Fall hat man zwar meist keine Vorauthentifizierung, aber immerhin die Trennung. Nur den Port freigeben würde ich nicht. Schönere Lösungen arbeiten mit einem höherwertigen Reverse Proxy. So machen wir das bei größeren Kunden gern mit NetScaler und dessen Authentifizierungsfunktion. Gruß, Nils

Moin, nein, das gibt es so nicht. Ab Windows 8 macht Windows sowas Ähnliches: Beim Herunterfahren beendet es die Usersession, belässt den Rest des Systems aber laufend und speichert den Zustand wie beim Hibernate. Das beschleunigt das Hochfahren enorm. Die Dokumente und Applikationen des Users werden dabei aber geschlossen. Was du suchst, ist eben der Ruhezustand. Lässt sich ja auch als Vorgabe einrichten. Gruß, Nils