NilsK

Moin,

vor 6 Stunden schrieb NRG2121:

Was spricht denn gegen domain.intern bei den meisten Kundendomänen?

das ist ja in dem ganz oben zitierten Artikel recht ausführlich diskutiert. Rein technisch spricht überhaupt nichts dagegen. Organisatorisch schon - das ist ein Fazit, das man nach über 20 Jahren AD sehr eindeutig ziehen kann.

Am Ende muss sich das jede*r selbst überlegen. Empfehlungen sind nur Empfehlungen. Man kann es auch so machen wie die c't, die 20 Jahre Erfahrung und Diskussionen mit hunderten Kunden, die Millionen Euro unnötig vergeudet haben, um ungünstige Namenswahlen zu überwinden, als "Glaubensfrage" abtut (sie kommt dabei aber zum selben Ergebnis). Da bin ich dann raus, es sind ja nicht meine Netzwerke. Eher profitiere ich davon, weil einige -zigtausend von den Millionen Euro an mich als Dienstleister gegangen sind, damit ich dabei helfe, solche vermeidbaren Probleme zu überwinden.

Gruß, Nils

Moin,

ich tippe mal kühn auf das RAM im Host.

Gruß, Nils

Moin,

Azure AD ist kein AD. Das ist ein separater Dienst, der in seinem Namen zwar auf AD Bezug nimmt, technisch aber wenig damit zu tun hat. Dein Failover-Szenario ist keins, weil es so nicht funktioniert.

Azure AD ist die Benutzerdatenbank für einen Azure-Tenant. Es ist funktional nicht vergleichbar mit dem AD. Nicht einmal Azure AD Domain Services würde das tun, was du vermutest.

Eigentlich trifft keiner der von dir vermuteten Vorteile zu.

Gruß, Nils

Moin,

es gibt dort jetzt einen Link mit dem jeweils aktuellen Stand der Agenda. Bislang noch ohne Zeiten und unvollständig, aber immerhin.

https://cim-lingen.de/#Agenda

Gruß, Nils

Moin,

Geschieht das immer zur selben Uhrzeit?

Gruß, Nils

Moin,

das Dokument, das ihr da bekommen habt, ist nicht der Partnervertrag. Es ist nur das MPN Agreement, das einem bestehenden Microsoft-Partner Rechte für den Zugriff auf das Microsoft Partner Network einräumt. 

Also, wenn euch das als Partnervertrag vorgelegt wurde, der angeblich belege, dass dieses halbseidene Angebot rechtens sei, dann reden wir hier schon ernsthaft über Betrug. Arnds Vorschlag mit Hof und Wüste ist da noch zurückhaltend ...

Gruß, Nils

Moin,

Nobby, bitte nicht immer nach Franz rufen. Schon gar nicht, wenn du nicht mal die Frage gelesen hast.

Was dir, @ottersberg, da angeboten wurde, ist selbstverständlich nicht vorgesehen. So, wie du es schilderst, fällt es durchaus in die Kategorie Betrug. Das Partnermodell ist für Handelspartner von Microsoft da, die die Voraussetzungen dafür natürlich auch selbst erfüllen müssen.

Gruß, Nils

Moin,

Das ist simpel. LastLogonTimestamp ist genau dafür da. Nimm dir OldCmp von joeware.net, damit kriegst du die Auswertung über alle Accounts. Davon filterst du dann die ohne Mail-Adresse raus.

Edit: OldCmp enthält nicht das Feld Mail. Das könnte man durch einen zweiten Export in Excel dazubasteln. Oder man nimmt noch AdFind vom selben Hersteller dazu, füttert es mit dem Filter, den OldCmp erzeugt hat und fügt dort noch "!(mail=*)" hinzu - also den Ausdruck für "Feld mail enthält keinen Wert".

Beispiel: 

• OldCmp  hat mir gerade den Filter erzeugt "(&(samaccounttype=805306368)(|(lastLogonTimestamp<=132655412548630000)(!(lastLogonTimestamp=*))))" - 
• den zeigt es netterweise im HTML-Report an, dort also kopieren
• ergänzen um Mail, also:  "(&(samaccounttype=805306368)(|(lastLogonTimestamp<=132655412548630000)(!(lastLogonTimestamp=*)))!(mail=*))"
• Diesen Filter an AdFind verfüttern, fertig
• Ist jetzt ungetestet, sollte aber so gehen; vielleicht noch etwas rumspielen, kann sein, dass die Syntax noch nicht ganz passt

Wichtig: Nicht den Filter aus diesem Beispiel kopieren, der bezieht sich auf den Timestamp von gerade eben.

Gruß, Nils

Moin,

für mich klingt das jetzt auch sehr doppelt. Wenn der Hosteintrag auf die Ziel-IP verweist, braucht es ja keinen gleichnamigen Alias mehr. Oder verstehe ich da was miss?

Weitergehend könnte man jetzt auch mal klären, was das Ganze überhaupt soll. Welches Problem soll durch das Konstrukt gelöst werden? Warum greift man nicht einfach direkt auf die Zieladresse zu?

Gruß, Nils

Moin,

gut. Wenn du jetzt noch Fragen hast, dann bitte konkret fragen.

Gruß, Nils

Moin,

gut, dann ist deine Frage also, wie man auf dem internen DNS einen CNAME einträgt? Dann müssten wir jetzt noch wissen, was denn das für ein DNS-Server ist.

Ferner ist es untypisch, dass ein Hostname "Kundenportal-qat-local.de" lautet - das ist erstmal ein Domänenname. Geht, wäre aber ungewöhnlich. Üblich wäre eher "testportal.kunde.de". Solltest du also noch mal prüfen.

Ist es ein Windows-Server? Dann brauchst du dort eine DNS-Zone "Kundenportal-qat-local.de" und eine DNS-Zone "Produktivportal-local.de". In jeder dieser Zonen legst du dann einen neuen CNAME-Eintrag ohne Namen an, der auf den gewünschten Host verweist. (Dies wäre der untypische Fall. Im Normalfall "testportal.kunde.de" würde man in der DNS-Zone "kunde.de" den CNAME "testportal" anlegen, der auf den eigentlichen Hostnamen verweist.)

Gruß, Nils

Moin,

<ot>oh Mann. Und das alles für Druckdienste, die schon Ende der Neunziger nicht konkurrenzfähig waren und sich seitdem (auch funktional) praktisch nicht weiterentwickelt haben.</ot>

Gruß, Nils

Moin,

nein, es gibt noch keine Agenda. Es gibt einen internen Entwurf, der aber noch nicht final ist. Die Speaker wurden erst am Wochenende benachrichtigt und müssen sich noch zurückmelden.

Die ganze cim-Wiederbelebung ist sehr kurzfristig anberaumt worden, daher sind die zeitlichen Vorläufe noch knapper, als sie ohnehin bei der cim schon immer waren. Ich fand das auch schon immer ärgerlich, konnte mich mit meinen Hinweisen aber leider nicht durchsetzen. Daher würde ich nicht vor Anfang September mit einer aussagekräftigen Agenda rechnen.

Gruß, Nils

Moin,

ganz simpel gefragt: Ist die Datei, um die es geht, vielleicht eine im alten Format? Bringt es Änderungen, wenn der User mal den Dateityp umschaltet?

Gruß, Nils

Moin,

gut, das ist nachvollziehbar. Was hier gerade geschehen ist: Du @KlausKleber hast gezeigt, dass es für eine sinnvolle Antwort auf deine Frage sehr hilfreich gewesen wäre, die Informationen zum Hintergrund gleich mitzuliefern statt erst hinterher. Vor dem Hintergrund der nun gelieferten Informationen kann man recht eindeutig sagen: Nimm das günstigere.

Technisch unterscheiden "Zertifikate" sich nur sehr gering. Die Unterschiede liegen im Drumrum. So gibt es etwa Domain-Validated-Zertifikate (wie hier oder wie Let's Encrypt), die nur technisch prüfen, ob der Antragsteller wirklich die Domain kontrolliert und daher "plausibel" ein Zertifikat dafür beschaffen darf. Reicht für die meisten Zwecke aus - es sei denn, man will mit der Webseite nachvollziehbar machen, dass man nicht nur die Domain blabla.tld besitzt, sondern dass man wirklich die Firma blabla ist (etwa weil man eine Bank ist und die Seite von Kunden verwendet wird). Dann sind Extended-Validation-Zertifikate sinnvoll, die viel mehr organisatorischen Aufwand für den Nachweis erfordern - sich technisch aber nicht von anderen unterscheiden.

Gruß, Nils

Moin,

Ah, okay, dann wird ein Schuh draus. Dann werden dir aber allgemeine Anleitungen nichts nützen.

Was aus meiner Sicht jetzt ansteht, ist eine genaue Analyse und Dokumentation der bestehenden Berechtigungen, damit man dann ein Verfahren entwerfen kann, wie man die nachbaut oder umsetzt. Aus Erfahrung: analysiert das vollständig, es ist nicht damit zu rechnen, dass alles nach demselben Prinzip berechtigt ist.

Wenn ohnehin neue Objekte im AD erzeugt werden und wenn ohnehin die WORM-Daten neu gemacht werden, dann sollte man auch die Gelegenheit nutzen, die Berechtigungen richtig strukturiert und zukunftssicher neu zu entwerfen. Technisch gehört dazu, auf lokale Gruppen zu setzen, wie hier schon angemerkt wurde.

Gruß, Nils

Moin,

Ich versteh trotzdem nicht, was ihr da macht. Wozu eine neue Domäne, wenn dort keine Objekte übernommen werden? Oder ist die Domäne schon vollständig und es ging nur noch um den einen Schritt, diesen Filer zu übernehmen?

Gruß, Nils

Moin,

Das kann man anhand dieser Übersicht nicht sagen.

Gruß, Nils

Moin,

Versteh ich auch gerade nicht. Entweder sind hier große Missverständnisse im Spiel oder sehr großer Beratungsbedarf.

Gruß, Nils

Moin,

Spannend ist jetzt die Frage, was denn da migriert werden soll. Das mit dem Storage hab ich nicht verstanden (offenbar NetApp, niemand sonst redet heute noch von cifs).

Was für Applikationen sind da zu migrieren? Das ist die Frage, die über die Komplexität entscheidet.

Gruß, Nils

Moin,

Ich habe die Orga mal gebeten, sich dazu zu äußern.

Gruß, Nils

Moin,

da du die VMs vor dem Tausch herunterfährst, werden sie beim nächsten Start sich auf die neue CPU einstellen. Das ist genau wie bei einer Live Migration (bzw. vMotion, wie es in dieser Welt heißt) - eine laufende VM darf nicht plötzlich eine ganz andere CPU vor sich haben. Eine neu gestartete VM kommt mit recht großen Veränderungen klar.

Trotzdem ist so eine Aufrüstung eher unüblich, daher solltest du einen Plan B bereitliegen haben.

Gruß, Nils

Moin,

Ich verstehe nur Bahnhof. Wer ist "wir"? Was hat "wir" in dem Konstrukt für eine Aufgabe?

Falls "wir" dort irgendwas administrieren soll, warum wird "wir" nicht ordentlich dafür ausgebildet? Warum lässt "wir" sich von den Admins mit patzigen Antworten abspeisen? Warum meinen die Admins, dass sie erst am Freitag vernünftig antworten können?

Wozu dient diese Testumgebung, wenn sie offensichtlich anders konfiguriert ist als die echte?

Hier wäre jetzt mal ein wenig Hintergrund angebracht, sonst kann man dazu überhaupt nix sagen.

Gruß, Nils

Moin,

Doch, es gibt spezialisierte Rechtsberater, die genau zu sowas beraten. Und natürlich gibt es auch Lösungen für sowas - es kann aber gut sein, dass die Lösung von Unternehmen A nicht zu den Anforderungen von Unternehmen B passt. 

Ob man einen Ansatz umsetzen kann, ist immer erst die zweite Frage. Als erstes muss der Ansatz rechtlich passen. Wenn er nur vielleicht passt, passt er nicht und man kann sich den Aufwand auch gleich sparen.

Gruß, Nils

Moin,

Der Veranstalter ist in kommunaler Trägerschaft und möchte die Verantwortung nicht tragen, falls doch etwas passiert. Ich finde das auch sehr schade, aber so ist die Situation.

Gruß, Nils