NilsK

Moin, Bei fünf Rechnern und drei Benutzern frage ich mich die ganze Zeit nach dem Bedarf für Monitoring. Die merken das dich als erstes, wenn was ausfällt, oder? Wo ist da der Mehrwert eines Monitoring? Gruß, Nils

Moin, zur Verfügung stellen kannst du die überhaupt nicht, das macht der DC schon selbst, wenn er ordentlich arbeitet. Anscheinend tut er das aber nicht. Es wird dazu sicher Meldungen in den Eventlogs der DCs geben. Außerdem kannst du eine Überprüfung ausführen mit: dcdiag /E>%userprofile%\dcdiag.txt && notepad %userprofile%\dcdiag.txt Gruß, Nils

Moin, Credential Guard ist im Server 2016 enthalten und dort natürlich genauso sinnvoll wie auf dem Client. Das Angriffsszenario ist übergreifend. Ob Credential Guard mit Virtualisierungsunterstützung auch funktioniert, wenn der Server eine VM unter vSphere ist (ich denke, dahin zielt die Frage eigentlich), lässt sich noch nicht sagen. Wahrscheinlich schon, denn vSphere beherrscht Nested Virtualization. Ob es ein supportetes Szenario ist, ist derzeit aber noch unbekannt. Gruß, Nils

Moin, nicht ausdrücklich, aber deine Frage war: Und wenn du "auf" einem Windows-Server einen Virtualisierer einsetzen willst, dann kann das nur ein Typ-2-Virtualisierer sein. Von VMware kommt dann nur noch Workstation in Betracht. Gruß, Nils

Moin, abgesehen davon, würdest du auf einem Server ja auch kaum VMware Workstation installieren, oder? Gruß, Nils

Moin, man kann sogar UPN-Suffixes pro OU vorgeben. Oder eben die User per Skript anlegen, dann ist man völlig frei. :D Gruß, Nils

Moin, da wären jetzt mal die Argumente interessant, mit denen da abgeraten wurde. Der userPrincipalName ist ein Namensfeld wie alle anderen auch, da kann man Beliebiges reinschreiben. Man kann auch von den konfigurierten Suffixen abweichen, die sind nur zur organisatorischen Vereinheitlichung gedacht. Technisch ist das völlig unproblematisch. UPNs funktionieren mit jedem Account und jedem (zulässigen) Namen. Man kann den Namen auch für das SAM-Format und den UPN unterschiedlich setzen, man sollte dann nur dafür sorgen, dass man den Überblick behält. Daher würde ich das in dem Fall mit den Kunden noch mal besprechen. Gruß, Nils

Moin, werden die wirklich heruntergefahren? Also findet danach ein Kaltstart statt? Findet sich etwas in den Ereignislogs der Gast-VMs? Ich hätte da auch zunächst die VMs im Verdacht, nicht den Host. Denkbar wäre allerdings auch, dass das Energiemanagement des Hosts in Client-Hyper-V eingreift (reine Spekulation, mit Client-Hyper-V habe ich kaum Erfahrungen). Welchen Energiesparplan hat denn das Notebook? Ändert sich das Verhalten, wenn du den testweise auf "Höchstleistung" umstellst? Gruß, Nils

Moin, das allein wäre kein Problem, solange es sich um ein Non-Authoritative Restore handelt. Gruß, Nils

Moin, hm ... ihr betreibt Antivirus auf Servern und kümmert euch nicht vorher um die Exclusions? Ja, eben. Ich rede vom Virenscanner auf dem Host. https://support.microsoft.com/en-us/kb/3105657 Gruß, Nils

Moin, dann prüf mal die Exclusions deines Virenscanners. Gruß, Nils

Moin, zumal das SP1 für 2008 R2 bekannt dafür ist, dass es schon mal "ewig" dauert. Vielleicht hätte etwas mehr Warten ausgereicht ... Gruß, Nils

Moin, die Kennwortabfrage deutet darauf hin, dass die Platte durch zusätzliche Software geschützt ist. Falls es sich um eine HP-Platte handelt (dort gibt es eine Schutzfunktion, die den Namen "Drivelock" verwendet), sollte dich eine Webrecherche zu Möglichkeiten führen, das Kennwort neu zu setzen. Gruß, Nils

Moin, ja, sowas hab ich mir schon gedacht. Kann man machen, würde ich aber nicht als Best Practice ansehen. So ein Henne-und-Ei-Setup birgt zusätzliche Risiken und verzögert die Zeit bis zum Erfolg. Ob du für den Zugriff wirklich die Netzwerkerkennung brauchst und die ganzen Dienste, die dazugehören - bezweifle ich auch mal. UPnP auf einem VM-Host?! Hätte es eine einfache Firewallregel im bestehenden Profil nicht getan? Gruß, Nils

Moin, nein, ohne Glaskugel kann man das nicht sagen. Hauptverdächtige: die VMs können gar nicht auf den Host zugreifen - lassen die vSwitch-Einstellungen und die IP-Konfigurationen das zu? die Windows-Firewall lässt den SMB-Zugriff nicht zu (eher unwahrscheinlich) der Zugriff erfolgt nicht mit einem Administratorkonto des Hosts Warum braucht Veeam Zugriff von einem Gast auf den Host? Ist der Veeam-Server eine VM? Wenn ja: Was machst du, wenn es mit dem Host mal ein Problem gibt? Gruß, Nils

Moin, prüf doch mal im Server-Manager unter "Rollen hinzufügen", ob die grafischen Tools dort ausgewählt sind. Vermutlich fehlen die. Dann nachinstallieren. Gruß, Nils

Moin, eine Verpflichtung dieser Art gibt es nicht. Und der Exclaimer kann versendete Mails im Postfach anpassen, sodass man zur Not die Mail mit Signatur ausdrucken könnte. Die versendete Mail im Postfach des Users kann sich aber immer noch von der unterscheiden, die tatsächlich rausgegangen ist, weil z.B. Virenscanner bisweilen auch noch Fragmente anhängen. In jedem Fall sind die Metadaten am Gateway andere als in der Mailbox. Gruß, Nils

Moin, um noch das Detail mit der Replikationslast zu beantworten: Kannst du vernachlässigen. Selbst wenn du täglich alle User neu anlegen würdest, wäre das vermutlich kaum zu bemerken. Trotzdem braucht ihr keine technische Detailberatung, sondern ein Design. Gruß, Nils

Moin, nein. Ein Reverse Proxy ist ein Reverse Proxy. URL-Filterung kann dort eine Zusatzfunktion sein. https://de.wikipedia.org/wiki/Reverse_Proxy Gruß, Nils

Moin, in kleineren Umgebungen wie der beschriebenen macht man das heute meist über die Reverse-Proxy-Funktion der Firewall. Die meisten Mittelklasse-Systeme können das. In dem Fall hat man zwar meist keine Vorauthentifizierung, aber immerhin die Trennung. Nur den Port freigeben würde ich nicht. Schönere Lösungen arbeiten mit einem höherwertigen Reverse Proxy. So machen wir das bei größeren Kunden gern mit NetScaler und dessen Authentifizierungsfunktion. Gruß, Nils

Moin, nein, das gibt es so nicht. Ab Windows 8 macht Windows sowas Ähnliches: Beim Herunterfahren beendet es die Usersession, belässt den Rest des Systems aber laufend und speichert den Zustand wie beim Hibernate. Das beschleunigt das Hochfahren enorm. Die Dokumente und Applikationen des Users werden dabei aber geschlossen. Was du suchst, ist eben der Ruhezustand. Lässt sich ja auch als Vorgabe einrichten. Gruß, Nils

Moin, womit wir wieder bei den Anforderungen wären - und die sind offenbar ungeklärt. Lasst uns also keine weiteren Systemvorschläge in die Runde werfen, es kann niemand beurteilen, ob die geeignet sind. Gruß, Nils

Moin, ja, genau solche Überlegungen meine ich. Man muss hier unterscheiden zwischen "es wird unbequem" und "das Unternehmen steht vor dem Ruin". Gruß, Nils

Moin, naja, wenn dev eine Unterzone zu eurer Domain ist, dann muss das ja auch. :) Gruß, Nils

Moin, ja, so eine Antwort habe ich erwartet. Die klingt für mich nach "aus dem Bauch beantwortet, aber nicht erarbeitet und geprüft". Solche Spontanantworten höre ich ständig von Kunden. Einer Überprüfung halten sie fast nie stand. Nach 30 Minuten steht euer Unternehmen vor dem Abgrund? Dann wäre Norberts Frage zu klären, wie ihr bislang hingekommen seid. Und: Eine Lösung, die euch die 30 Minuten garantiert, würde in Budgetgrößen spielen, die vermutlich eurem Controlling die Tränen in die Augen treiben. Damit meine ich beileibe nicht nur die Infrastruktur, sondern auch die Personalkosten, die das bedeuten würde. Meine Empfehlung: Lasst euch eine Woche mehr Zeit und macht einen moderierten Workshop, um die tatsächlichen Anforderungen herauszufinden. Danach habt ihr dann eine Grundlage, um Lösungen zu entwerfen und das Budget festzulegen. Gruß, Nils