NilsK

Moin, das mag ich so nicht stehen lassen. Eine PKI ordentlich aufzusetzen, ist durchaus problematisch, weil es einige Schritte beinhaltet, die sich überhaupt nicht erschließen, die man aber nicht weglassen sollte. Das ist auf eine Weise umständlich, die man heute einfach nicht mehr erwartet. Leider, und da hast du natürlich Recht, wird es nach dem Aufsetzen nicht besser, sondern noch schlimmer. Vereinzelt mag es solche Dienstleister geben, aber die meisten haben schon den Anspruch, ihren Kunden auch Know-how zu vermitteln, wenn die das wollen. Gruß, Nils

Moin, das Buch von Peter Kloep bei Rheinwerk ist empfehlenswert für das Thema. Zwar kommt da das PKI-Design etwas kurz, aber es ist sehr solide gemacht. Leider ist die ganze PKI-Technik in Windows nie wirklich schön entwickelt worden, sondern auf einem mühsamen 90er-Jahre-Stand verblieben. Daher kann man leider im Detail eine ganze Menge falsch machen. Und es gibt sehr viele Ebenen, auf denen etwas schief gehen kann - selbst in einer wunderschönen CA können einem z.B. Fehler in den Zertifikatsvorlagen (die ähnlich schlimm implementiert sind) sehr den Spaß verderben. Generell würde ich gerade bei solchen komplexen Sicherheitsthemen nie etwas Neues "in Produktion" testen, sondern nur im Labor. Gruß, Nils

Moin, Jehova, Jehova! Gruß, Nils

Moin, ich glaube, ihr redet aneinander vorbei. Zahnis Aussage bezog sich auf eine weitere Hürde, die für TLS-Zertifikate zu beachten ist. Diese muss man in der Zertifikatsvorlage bzw. beim Ausstellen des Zertifikats nehmen. Tut man das nicht, dann akzeptieren die Browser das Zertifikat auch dann nicht, wenn die Vertrauenskette an sich geschlossen ist. Gruß, Nils

Moin, nach der weiter oben zitierten Formulierung gibt es da nicht mehr viel abzuklären. Sehr wahrscheinlich ist es ausdrücklich nicht in Ordnung. Der zitierte "So geht es aber doch"-Link beschreibt, wie man Dateien einer Windows-Version in eine andere Windows-Version einbindet, zu der sie nicht gehören. Das war noch nie lizenzrechtlich in Ordnung. Lasst uns diesen Kram, der sich schon nicht mal mehr in einer Grauzone bewegt, doch bitte beenden. Danke und Gruß, Nils

Moin, dann brauchen wir nicht weiter zu forschen. Sehr wahrscheinlich ist das kein Fehler, sondern "by design". Gruß, Nils

Moin, kann man 2012 Foundation überhaupt als VM betreiben? Also, ich meine offiziell? Ich meine mich da an Einschränkungen zu erinnern, und dann wäre irgendwie klar, warum es da keine Integrationsdienste gibt. Gruß, Nils

Moin, wenn du bei "Bestimmte Personen" Mailadressen angibst, die nicht in eurem AAD vorhanden sind, dann versendet das System die Mails nicht. Du müsstest für solche Fälle dann auch eine Fehlermeldung in deiner Inbox erhalten. Gruß, Nils

Moin, auf was für eine Applikation greift ihr denn zu? ADFS und WAP sind ja erst mal nur Infrastruktur. Da kann es durchaus sein, dass euer Test gar nicht aussagekräftig ist. Normalerweise funktioniert das, aber dafür muss natürlich eine ganze Reihe von Dingen zusammenspielen. Das ist bei ADFS leider alles andere als übersichtlich. Zum Testen der Zugriffslogik habe ich immer gern hiermit gearbeitet: [Endlich: Claims X-Ray hilft bei ADFS-Troubleshooting | faq-o-matic.net] https://www.faq-o-matic.net/2017/10/18/endlich-claims-x-ray-hilft-bei-adfs-troubleshooting/ Gruß, Nils

Moin, Performance ist in aller Regel weder für einen DC noch für eine CA ein Thema. Es geht um Sicherheit für beide - weder auf einen DC noch auf eine CA gehört ein anderer Dienst. Beide sind angreifbar, das will man bei so kritischen Funktionen nicht noch kombinieren. Und einmal gemeinsam installiert, kann man weder das eine noch das andere hinterher entfernen. Eine CA lebt in der Regel deutlich länger als ein DC, da will man Abhängigkeiten tunlichst vermeiden. Weitere prinzipielle Erwägungen zu Design und Sicherheit einer CA lasse ich hier mal aus. Leider sieht man in der freien Wildbahn fast nur schlecht gemachte PKIs. Gruß, Nils

Moin, und warum machst du das nicht einfach übers GUI? Die CA-Installation ist ja nichts, was man fürs Massen-Rollout automatisiert. Ach, und: Wenn die neue CA sowieso noch nicht läuft, dann installier sie gleich auf einer separaten VM, nicht auf einem DC. Gruß, Nils

Moin, das ist schnell beantwortet mit den Boardregeln: Also lass das bitte. Danke. Gruß, Nils

Moin, da wäre ich mir nicht sicher. Wir sind weder Anwälte noch Lizenzberater, aber ich würde mich auf solche Argumentationen nicht verlassen. Microsoft überprüft auch kleinere Firmen, und Nachzahlungen können teuer werden. Auch sonst sehe ich hier neben den Sicherheitsfragen (die ich wie die Kollegen kritischer einschätzen würde) vor allem schwierige Haftungsfragen (auf beiden Seiten), die typischerweise dazu führen, dass man von solchen Konstrukten die Finger lässt. Gruß, Nils

Moin, ihr wisst, dass MSDN-Lizenzen (heute Visual Studio) nur für Test und Entwicklung genutzt werden dürfen, aber nicht produktiv? Gruß, Nils

Moin, Prima, danke für die Rückmeldung. Gruß, Nils

Moin, dem fehlerhaften Verhalten nach würde ich annehmen: nein. Diese Beschreibung zeigt auch, dass GOTO und die Labels sehr hakelig implementiert sind: https://ss64.com/nt/goto.html Ich würde also davon ausgehen, dass da dein Problem mit dem Abbruch liegt. Spätestens sobald du es mit "etwas" komplexerer Logik zu tun hast, würde ich dir von Batch abraten. Die PowerShell leistet da üblicherweise erheblich bessere Dienste- Gruß, Nils

Moin, die Sprungmarken, auf die du mit GOTO verzweigen willst, existieren nicht. Gruß, Nils

Moin, dazu müsstest du deine Fehlerbeschreibung konkreter fassen. "Bricht irgendwo ab" ist doch arg unscharf. Gruß, Nils

Moin, klingt für mich nach mäßig kreativem Lizenzverstoß. Sowas supporten wir hier nicht. Gruß, Nils

Moin, Ich werfe noch mal robocopy in den Ring, das kann genau sowas auch. Gruß, Nils

Moin, Abhängigkeiten von Namen loswerden. Ja, dafür sollte man einmal nachsehen. Das bezahlt der Kunde nicht, sondern macht es selbst und beschränkt sich dabei auf die wichtigen Systeme. Was dann auf die Nase fällt, war nicht so wichtig und wird halt im Nachgang korrigiert. Und sonst ist es ja nur die IP-Adresse, die die Abhängigkeit herstellt. Und das kriegt man ohne DC-Redundanzverlust aufgefangen, indem man taktisch rotiert. Zwei DNS-Server sind bei allen Geräten eingetragen, man sorgt halt dafür, dass eine immer erreichbar ist.* Nein, das ist kein One-size-fits-all und ja, man findet auch da Nachteile. Aber bei den Projekten, an denen ich an dieser Stelle beteiligt war, war das in deutlich mehr als deinen 1 Prozent machbar. Gruß, Nils * ruft da wer "Redundanzverlust"? Der läge hier beim Client, aber nicht beim AD. Nennt mich konservativ, aber ich gehe ungern das Risiko ein, ein AD aus dem Backup wiederherstellen zu müssen, nur weil ich vermeidbar eine Zeitlang nur einen DC hatte.

Moin, die Anforderung "ich muss aber Name und IP-Adresse beibehalten" habe ich aus diesem Thread nicht herausgelesen. Kann man drüber reden, auch wenn ich das Argument als solches immer noch mal herausfordern würde. Da aber auch andere diesen Thread lesen, wollte ich eine Formulierung "erst alle DCs bis auf einen entfernen und dann erst die neuen einführen" auf keinen Fall so stehen lassen. Ruckzuck gilt das als Best Practice, weil es in einem Thread mit so vielen Experten empfohlen wurde. Und eine generelle Empfehlung ist das beim besten Willen nicht, auch wenn es im Einzelfall mal passen mag. Gruß, Nils

Moin, nein, das ist nicht sinnvoll. Damit verzichtest du zeitweise auf Redundanz und erhöhst das Risiko, ohne dass du einen Nutzen davon hast. Vereinfacht: vorhanden sind 2 DCs mit OS-alt dazu installierst du einen neuen Server mit OS-neu und stufst ihn zum DC hoch du verschiebst die FSMO-Rollen auf den neuen DC du installierst einen oder mehrere weitere neue DCs mit OS-neu du deinstallierst die DCs mit OS-alt du stufst den Domänen- und Forest-Modus hoch Schritte 4 und 5 kannst du auch "mischen" bzw. parallel machen. Es gibt aber keinen Gund und erst recht keinen Vorteil, an irgendeiner Stelle auf DC-Redundanz zu verzichten. Gruß, Nils

Moin, nein, das ergibt keinen Sinn. Der regelmäßig empfohlene Weg, eine Domäne zu aktualisieren, besteht darin, neue DCs mit dem neuen Betriebssystem zu installieren, statt vorhandene mit einem Upgrade zu bearbeiten. Die alten DCs deinstalliert man danach. Gruß, Nils

Moin, ... was ja das ist, was er vorhat. Gruß, Nils