NilsK

Moin, Gibt es zwei Replikate und beide sind zugänglich, dann lassen sich beide gleichzeitig bearbeiten. Es gewinnt die Version, die als letzte gespeichert wird. Ungünstig, wenn die zwei Seiten, die der Praktikant speichert, die 100 Seiten der Geschäftsführerin überschreiben. Welche Lösung besser geeignet ist, hängt davon ab, was denn das Problem ist, das gelōst werden soll. Schon wenn man darüber nachdenkt, merken viele, dass ihr Konstrukt die Anforderungen überhaupt nicht erfüllen würde. Mag auch sein, dass DFS-R für euch passt, aber meine Erfahrung ist, dass es für die meisten, die sich das noch mal genauer ansehen, eben nicht passt. Und da habe ich mit den technischen Problemen noch nicht mal begonnen. Gruß, Nils

Moin, Das hab ich befürchtet. Genau bei dem Einsatzzweck höre ich zu oft von Problemen, um das für eine gute Lösung zu halten. Nur um das größte Problem anzusprechen: der Last-Writer-Wins-Algorithmus ist euch bekannt? Gruß, Nils

Moin, ich stelle dazu mal meine Standardfrage: Wozu wird das DFS-R denn benötigt? In der freien Wildbahn sehe ich immer wieder Konstrukte, bei denen Fehlerhäufigkeit und Nutzen nicht in sinnvollem Verhältnis stehen. Daher könnte dies ein Anlass sein, das für die gegebene Umgebung mal zu prüfen. Gruß, Nils

Moin, Nana, deshalb musst du dir ja nicht den Kopf zerbrechen. Gets, Nils

Moin, gar keiner, sag ich doch. Weil das kein Prozess ist, der mit dem Zertifikat zu tun hat. Der Vorgang findet beim Signieren des Codes statt, ist also typischerweise eine Leistung des IDEs oder eines separaten Tools. Die CA hat damit so wenig zu tun wie das Zertifikat. Ein Vorteil durch ein kommerzielles Zertifikat entsteht aus meiner Sicht vor allem dadurch, dass das Zertifikat dann auch außerhalb anerkannt wird und dass, falls der Timestamp eine kostenpflichtige Leistung ist, dann ggf. schon eine Vertragsbeziehung zu dem Anbieter besteht. Es kann aber auch sein, dass der Timestamp gar nichts kostet - ich hab das selbst nur ein einziges Mal vor vielen Jahren gemacht, und da hatte ich ein Digicert-Zertifikat, war dort also ohnehin Kunde. Gruß, Nils

Moin, nicht ganz. Einen Timestamp muss man ohnehin von extern einbinden. Grundsätzlich geht das auch mit einem selbsterzeugten Zertifikat, sofern man Zugriff auf einen akzeptierten Timestamp-Server hat. Ob es da allerdings welche gibt, die das kostenlos zulassen, weiß ich nicht. In sofern ist ein kommerzielles Zertifikat schon eine gute Wahl, sobald das einigermaßen Bestand haben soll. [Best Practices for Timestamping | DigiCert.com] https://www.digicert.com/blog/best-practices-timestamping [Code Signing Certificate FAQs] https://knowledge.digicert.com/generalinformation/INFO1119.html Keiner. Das hat mit dem Zertifikat und mit der CA nichts zu tun. Das ist ein Vorgang beim Signieren des Codes. Zum Testen braucht man weder ein kommerzielles Zertifikat noch ein Timestamping. Da geht es dann ja eher darum, die generellen Abläufe kennenzulernen. Das ist auch sehr empfehlenswert, denn wie immer bei dem Thema entsteht das Problem durch die Handhabung der Zertifikate, nicht durch die Zertifikate selbst. Gruß, Nils

Moin, Nur damit ich das verstehe - du postest in einem Forum, das du dir nicht einmal genügend angesehen hast, um festzustellen, dass es deutschsprachig ist? Gruß, Nils

Moin, Und warum verhandelt ihr das nicht auf Deutsch? Gruß, Nils

Moin, ich bin mir nicht sicher, ob das in die richtige Richtung führt. Das Pflegen einzelner Datenfelder ist Kategorie Kleinkram, deshalb würde man sich keine IdM-Plattform ins Haus holen. Solche Plattformen kosten schnell vier- bis sechsstellig, und das hat auch seinen Grund, weil die nämlich was viel Größeres lösen sollen. Der übliche Weg für das, was wir hier besprechen, ist der, den mein Beispiel zeigt: Gezielt Berechtigungen setzen und denen, die es pflegen sollen, eine einfache Oberfläche dafür bieten. Gruß, Nils

Moin, also wollt ihr nur die Adressdaten innerhalb des AD bearbeiten lassen? OK, dann nenn das aber besser nicht "Identity Management", das meint typischerweise was viel Größeres. Weil es nicht "fertig" ist und im Detail veraltete Technik nutzt. Darüber hinaus ging ich aber davon aus, dass sich hinter deinem Ansinnen noch was Größeres verbirgt, und dann ist eine reine Berechtigungs-Delegation und eine simple Bearbeitungsmaske schnell nicht mehr geeignet. EDIT: Doch, das Skript als solches funktioniert durchaus noch. Die Fehlermeldung, die du bekommst, gab es schon immer, und auf die musste man auch schon immer reagieren. Das Beispiel ist als HTA implementiert, läuft also im Browser - nämlich im IE. Daher ordnest du das schon richtig ein. Und das meinte ich mit "veraltet" und "keine Lösung". Gruß, Nils

Moin, das hängt entscheidend davon ab, was "dafür" bedeutet. Ohne nähere Anforderungen lässt sich deine Frage nicht beantworten. Da irgendwer dies nennen wird, mache ich es mal selbst - weise aber darauf hin, dass es keine "Lösung" ist: [AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net] https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/ Gruß, Nils

Moin, life. SCNR, Nils

Moin, Wenn die Funktion, die ein Anwender nutzt, von einem Windows-Server bereitgestellt wird, ist dieser Zugriff lizenzpflichtig. In deinem Fall ist die Sache aber noch komplizierter, weil die Anwender anscheinend nicht zur selben Firma gehören. Lass dich beraten. Gruß, Nils

Moin, Du bist uns zu den Lizenzen auch keine Rechenschaft schuldig. Da in solchen Konstrukten aber sehr oft die richtigen Lizenzen vergessen werden, solltest du dich in eigenem Interesse um das Thema kümmern. Gruß, Nils

Moin, Und die passenden Lizenzen für den Zugriff auf den Server habt ihr? Gruß, Nils

Moin, Hm ... Ihr richtet eine Sicherung ein, wisst aber nicht, wie das Recovery funktioniert? Dann solltet ihr noch mal nachdenken. Aus meiner Sicht ist eine VM-Sicherung eines DCs kein Backup des AD. Aber im Wesentlichen ist das, was du skizzierst, vermutlich das Verfahren. Da ich weder das Konzept gemacht noch die Sicherung eingerichtet habe, kann ich dazu nichts Genaueres sagen. Da das Risiko des Scheiterns besteht und die Möglichkeit zum Testen existiert, könntest du dein Verfahren erst mal im Labor ausprobieren. Aber richte dich darauf ein, dass Nacharbeiten erforderlich sind. Gruß, Nils

Moin, erster Verdächtiger ist DNS. Sicher, dass die Clients ihre IP-Konfiguration vom DC bekommen? Gruß, Nils

Moin, nein, so wird der Zusammenhang ganz sicher nicht sein. Warum nicht? Die einfachste und beste Lösung wäre, die Fehler auf dem virtuellen DC zu beheben, ihm die Master-Rollen zu übertragen, dann einen zweiten DC hinzu installieren und die "Reste" des ausgefallenen DCs aus dem AD und dem DNS zu entfernen. Die zweitbeste Lösung wäre, den zweiten DC auch abzuschalten und die aktuelle Datensicherung des ADs wiederherzustellen, die du ja hast. Die drittbeste Lösung ist, alles neu zu machen. Auch wenn es nur zehn User sind, ist der Aufwand dafür typischerweise höher, als man zunächst denkt. Gruß, Nils

Moin, unbenommen. In der aktuellen Situation nutzt euch so eine grundsätzliche Betrachtung ja ohnehin nicht. Akut ist mein Punkt: Hol dir kompetente Unterstützung, bevor der Schaden noch größer wird. Sowas kostet Geld, aber der Schaden vermutlich auch. Gruß, Nils

Moin, um mal fachlich zu antworten: Eine Transaktionsreplikation lässt beim SQL Server logisch sehr komplexe Konstrukte zu. Das lässt sich ohne genaue Analyse nicht ändern oder reparieren. Wir können das aus einem Forum daher nicht sinnvoll supporten. Insgesamt ist das ganze Replikationsthema eher eins der Jahrtausendwende. Heute versucht man sowas durch Zentralisierung der Ressourcen zu vermeiden. Den Grund dafür siehst du gerade: Replikation wird schnell komplex, hakelig und instabil und kann zu Datenverlusten führen. Daher findest du auch kaum aktuelle Literatur dazu, das ist einfach aus der Mode geraten. (Zu Recht.) Gruß, Nils

Moin, Welche Treiber hast du geändert? Die von der Grafikkarte? Falls nein, wäre das noch einen Versuch wert (neuer, älter oder einfach noch mal installieren). Gruß, Nils

Moin, okay, das lässt immer noch mehrere Schlüsse zu. Versuch es bitte noch mal mit "ping -4 ...". Und öffne bitte dnsmgmt.msc und schau nach, ob der Domänenname dort als DNS-Eintrag hinterlegt ist. Was steht dort dabei? Da du sagst, dass deine Domäne anstandslos funktioniert (so habe ich die Aussagen oben verstanden), kannst du auch erst mal so arbeiten, wahrscheinlich wird auch weiter alles gehen. Windows sucht sich seinen Weg, das ist in einer so kleinen Umgebung oft völlig ausreichend. Gruß, Nils

Moin, Vor allem: Fummel nicht einfach an IPv6 rum. In einem typischen Heimnetz weil man IPv6 in der Regel haben. Für Firmennetze sieht man das differenzierter. Da du ein Heimnetz hat, würde ich IPv6 zumindest nicht mal eben abschalten, ohne zu wissen, was ich tue. Dann: nslookup ist nicht das, wofür du es vermutlich hältst. Ob die Namensauflösung funktioniert, sagt dir das Programm nicht. Dafür ist ein simples ping viel besser. Können deine Clients den DC per ping erreichen? Was ist die Antwort, wenn du auf den Namen deiner AD-Domäne pingst? Gruß, Nils

Moin, gerade am Internet-Router eines Privatanschlusses würde ich IPv6 nicht einfach abschalten. Es ist nicht unwahrscheinlich, dass auf kurze oder längere Sicht dann Dinge nicht mehr gehen, die man haben will. Gruß, Nils

Moin, doch, genau das sagt die Ausgabe: Der Standardserver ist "localhost", also der Rechner, auf dem du die Abfrage ausführst. Und :::1 ist die IPv6-Loopback-Adresse. Dass dort "localhost" steht und nicht der DNS-Name, liegt daran, dass die Reverse-Lookup-Zone nicht gepflegt ist. Das ist in einer so kleinen Umgebung aber nur ein kosmetisches Problem, das du ignorieren kannst. Wichtig ist, dass der Windows-DNS-Server einen Forwarder "ins Internet" hat, also auf einen DNS-Server, der externe Adressen auflösen kann. Und ebenso wichtig ist, dass alle Rechner, die Mitglied des AD sein sollen, ausschließlich den Windows-DNS-Server als DNS-Server verwenden. Ob du IPv4 höher priorisierst, ist in so einer kleinen Umgebung auch eher Kosmetik. Windows probiert im Zweifel beides aus, die Verzögerung wird sich nicht ernsthaft bemerkbar machen. Gruß, Nils