NilsK

Moin, ich glaube, die vCPUs sind ungünstig zugeordnet. Das kann dann durchaus dazu führen, dass der (mutmaßlich) überlastete Exchange den Rest des Systems bremst. Deine Host-CPU hat zwar 8 Threads, aber eben nur 4 Cores. Bei deiner Konfiguration, in der alle VMs mindestens 4 vCPUs haben, gibt es also enorme Konkurrenz um die wenigen Ressourcen. Es geht ja nicht nur um die VMs, sondern der Host braucht zur Koordination und für das gesamte I/O ebenfalls CPU-Ressourcen. Sobald es also eng wird, stehen sich alle im Weg rum. Ich würde Folgendes einstellen und das dann beobachten: DC: 1 vCPU, 4 GB RAM Fileserver: 2 vCPU, 8 GB RAM Datenbankserver: 2 vCPU, 12 GB RAM Exchange: 2 vCPU, 32 GB RAM Und da du dafür ohnehin neu starten musst, aktualisiere bei der Gelegenheit die Treiber, die Betriebssysteme und die Anwendungssoftware. Gruß, Nils

Moin, nur bei grober Fehlkonfiguration. Wie sind denn die CPU-Ressourcen an die VMs verteilt? Gruß, Nils

Moin, 20 Euro für einen kleinen Switch ausgeben? Gruß, Nils

Moin, und wo ich grad noch mal drüberschaue: Eigentlich ist der Hauptverdächtige der Virenscanner. Gruß, Nils

Moin, Der Firewall sagen, dass sie die VMs nicht rauslassen soll. Gruß, Nils

Moin, Der Energiemodus wäre auch mein erster Kandidat. Vielleicht im BIOS was umgestellt? Sagt das Eventlog was? Den Speicherausbau finde ich so pauschal nicht zu gering. Es sind ja auch noch 12 bis 15 GB frei. Warum hat der DC 12 GB? In mittleren Umgebungen reichen meist schon 2 GB aus. Gruß, Nils

Moin, jaja, eine von diesen vielen im Detail lustigen Implementierungen im AD, deren Details man fast nie kennen muss, außer wenn ... oder wenn man halt drüber stolpert. Was mir dabei einfällt: Wie ist es mit UPN-Suffixes, die man auf OUs definiert? Taugen die fürs Suffix Routing? Gruß, Nils

Moin, Was macht der Server denn? Wie stellst du fest, wenn er von außen nicht erreichbar ist? Ist er in der Zeit im LAN erreichbar? Gruß, Nils

Moin, Ja, aber mit dsa.msc eben nur drei. Gruß, Nils

Moin, Damit könnte man ja auch nur drei der fünf Rollen übertragen. Gruß, Nils

Moin, Das wollte ich kürzlich bestellen, aber die Webseite sagte, das könne ich aus meinem Land nicht. Gruß, Nils

Moin, Da steht immer in beiden Feldern der alte Server, wenn du das Tool aufrufst. Du musst dann eine Verbindung zum Ziel-Server herstellen, danach kannst du dann übertragen. Also sieht es eher so aus, aus würde das GUI auch tun, was es soll. Gruß, Nils

Moin, wieso, was passiert denn dann? Falls es tatsächlich nicht gehen sollte, kannst du bei so einer kleinen Umgebung aber auch den alten DC abschalten und die Rollen dann offline übertragen (seize). Danach das alte DC-Konto aus dem AD und dem DNS löschen, dann bist du (im wesentlichen) fertig. Gruß, Nils

Moin, die Policy gibt es, weil es Kunden gab, die die formale Anforderung erfüllen mussten. Die Anforderung selbst erzeugt praktisch keinen Sicherheitseffekt. Es gibt ja eine ganze Reihe von Vorgaben, die überholt sind oder sich als effektarm herausgestellt haben. Manche regulierten Unternehmen müssen sie trotzdem umsetzen, weil sie eben reguliert sind. Gruß, Nils

Moin, Genau, und auf dem Bildschirm ist dann immer der HTML-Quellcode einer Webseite. (Vermutlich wäre Homepage hier der passendere Ausdruck.) Gruß, Nils

Moin, am Ende bleibt es eine Abwägungssache. Es gibt Argumente für und gegen das Deaktivieren. Wichtig ist vor allem, dass man den Account nicht ungeschützt lässt, im Normalbetrieb nicht verwendet und ihm vor allem keine Exchange-Mailbox gibt. Wir waren grad in einem Breach Assessment, wo Letzteres der Angriffsweg war. Gruß, Nils

Moin, Viele Elemente skalieren auch heute noch nicht gut. Ein Beispiel sind die Kalender in Outlook, wenn man mehr als einen anzeigt und die Anzeige skaliert hat. Interessanterweise schlägt das Phänomen meist erst nach ein paar Wochen zu, warum auch immer. Der jeweils "letzte" Kalender hängt dann auf halb acht. Meist hilft es, ihn weg- und wieder zuzuschalten. Und spätestens, wenn Monitore mit unterschiedlichen Auflösungen anzusteuern sind, wird es nervig. Da passt bei vielen Fenstern gar nichts mehr, egal ob alte oder neue Applikation. Das war vor einigen Jahren zwar noch schlimmer, ist aber immer noch nicht weg. Gruß, Nils

Moin, Mich nervt bei sehr hohen Auflösungen vor allem, dass Windows damit immer noch nicht gut umgehen kann. Gruß, Nils

Moin, Nur weil das Tool behauptet, dass der Zugriff verweigert wurde, muss das ja nicht stimmen. Vielleicht versucht es den Zugriff auch nur auf einem Weg, der nicht funktioniert, fängt diesen Fehler aber nicht adäquat ab. Gruß, Nils

Moin, Keine Ahnung, damit kenne ich mich nicht aus. Ich habe nur jahrelang Azubis betreut, die diesen Vorteil mitgenommen haben. Denen war immer wieder bestätigt worden, dass die Prüfungen und Zertifikate identisch zu denen in kommerziellen Centern seien. Gruß, Nils

Moin, das ist ja das, was ich bislang erfolglos aus dem TO rauszukriegen versuche. Ob er sowas machen möchte, hat er bislang ja noch nicht gesagt. In dem Fall wäre es aber eher üblich, mit dem selbstsignierten Zertifikat zu arbeiten, als eine CA einzuspannen. Gruß, Nils

Moin, was für Eigenschaften dein Zertifikat haben muss, sollte dir die Doku der Proxy-Software sagen. Wir könnten da jetzt nur raten. Ich habe keine Vorstellung, was du damit meinen könntest. Gruß, Nils

Moin, warum sollte er das brauchen? Er will doch gar keine untergeordnete CA einrichten, sondern einen Proxyserver. Oder überseh ich da was? Nein, die Angabe ist doch schon richtig, es soll ja ein ServerAuth-Zertifikat sein. Gruß, Nils

Moin, das ist jetzt alles etwas verworren ... aber leider ist die ganze Zertifikatsklamotte ja auch oft unübersichtlich. Lass uns mal ordnen: Du möchtest ein TLS-Zertifikat für deinen Proxyserver unter Linux, richtig? Du hast eine zweistufige Windows-PKI, die untergeordnete CA kann Zertifikate ausstellen. Um einen CSR für deinen Proxy zu erzeugen, müsstest du das zweckmäßigerweise von diesem Proxy aus tun. Der braucht ja schließlich den privaten Schlüssel. Also ist eine MMC nicht das richtige Werkzeug, denn die läuft ja auf einem Windows-Rechner. Wie du auf deiner Linux-Disto einen CSR erzeugst, musst du in deren Doku nachsehen. Den CSR kopierst du dann (im einfachsten Fall) als Datei auf die CA und erzeugst dafür ein Zertifikat. Das exportierst du in eine Datei und kopierst diese auf deinen Proxy. Wie du sie dort so hinterlegst, dass die Proxy-Software sie auch findet, musst du in der Doku der Software nachsehen. Ob du die Zeritifkatskette auch hinterlegen musst, sollte ebenfalls aus der Proxy-Doku hervorgehen. Meist ist das aber nicht nötig und der Client muss das dann prüfen. Gruß, Nils

Moin, das ist gleichwertig. Gruß, Nils