NilsK

Moin, ja, das ist das Problem, wenn die Leute immer nur nach genau dem Detail fragen, mit dem sie gerade beschäftigt sind, aber den Zusammenhang weglassen. Ich mutmaße mal: vielleicht gibt es pro "Produkt" etwas, z.B. eine HTML-Seite, das auf die Bilddatei verweist. Ändert man das nun bei einem Produkt und dasselbe Bild wird auch noch von anderen Produkten verwendet, dann ist bei diesen anderen Produkten der Pfad ungültig. Aber bevor wir hier weiter rumraten, sollte der TO endlich mal beschreiben, was denn nun Sache ist. Immerhin versucht er im urprünglich geposteten Code ja, dieselbe Datei mehrfach umzubenennen, was ja nicht funktionieren kann. Da wird was dahinterstecken. Gruß, Nils

Moin, das könnte der Fehler sein. Siehe: https://social.technet.microsoft.com/Forums/windowsserver/en-US/b17c798c-c4b2-4624-926c-4d2676e68279/dns-record-ownership-and-the-dnsupdateproxy-group Abgesehen davon: Bitte hänge dich nicht an andere Fragen an. Auch wenn scheinbar "exakt das gleiche" vorliegt, ist es bei näherem Hinsehen praktisch nie so. Eröffne bitte einen eigenen Thread, wenn du eine Frage stellst. Danke- Gruß, Nils

Moin, ergänzend zu Norberts Hinweis: Die Registry ist nichts Magisches, sondern nur eine Datenbank, in der Einstellungen stehen. Änderungen an der Registry verursachen von selbst erst mal nichts, sondern Programme können darauf reagieren. In den allermeisten Fällen ist es unkritisch, dort Werte zu ändern. Das ist technisch betrachtet nichts anderes, als wenn man in einem Programm z.B. ein Häkchen ein- oder ausschaltet. So ist das auch in diesem Fall - die Besonderheit ist hier, dass es für die betreffende Einstellung kein Häkchen gibt, weil der Entwickler der Software die Einstellung nicht für so bedeutend hält, dass er dafür eine Einstellungsseite mit Häkchen vorsieht. Grundsätzlich ist es schon sinnvoll, in der Registry nicht einfach drauflos zu ändern. Aber Magie ist es nicht, insbesondere, wenn es nicht um Kernkomponenten des Betriebssystems geht. Gruß, Nils

Moin, deine Stichworte unter "Zielsetzung" illustrieren sehr schön, wie Admins oft an so ein Thema herangehen - und gleichzeitig, warum ich immer wieder betone, dass solche Bruchstücke eben nicht ausreichen. Weder hast du (anscheinend) ein Konzept von "maximaler Sicherheit" noch eins von "User dürfen nicht so eingeschränkt werden, dass ...". Ohne diese Begrenzungen wirst du aber kein passendes Konzept aufbauen können. Hinweis dazu: Meiner Erfahrung nach wirst du nicht eine Definition davon haben bzw. brauchen, sondern mehrere, weil auch in eurem Unternehmen die Anwender sicher unterschiedliche Arbeitsbereiche haben. Wie schon mehrfach gesagt: Ein lokales Konto wird kein Problem lösen, dafür viele neue schaffen. Und ein VPN ist nicht per se "sicher", sondern kann bei ungünstigem Einsatz ein Einfallstor für Angreifer sein. Da du immer das heimische WLAN der Anwender erwähnst: An dem wird ja kein Weg vorbei gehen. Irgendwie müssen die Notebooks ja an das VPN rankommen. Und ja, natürlich kann das problematisch sein. Geh davon aus, dass ein Endgerät in den Händen des Anwenders grundsätzlich nicht als vertrauenswürdig gelten kann. Das Schutzkonzept muss also natürlich auch das Endgerät umfassen, vor allem müssen aber die Assets im Unternehmensnetzwerk geschützt sein. Meiner Erfahrung nach wird das auch heute noch aggressiv ignoriert. Gruß, Nils

Moin, vielleicht erklärt ihr dem TO das noch mal so, dass er auch weiß, was er tun soll bzw. was davon für ihn überhaupt relevant ist? Ich mein ja nur ... Gruß, Nils

Moin, Ich halte das nicht für eine gute Idee. Du bist nach meiner Einschätzung gerade dabei, ein hochgradig unsicheres System zu bauen. Wäre es nicht klüger, die VMs gleich als solche bei einem Hoster einzurichten, der eine solche Host-Umgebung professionell betreiben kann? Gruß Nils

Moin, was soll denn das eigentlich werden, wenn es fertig ist? Wozu richtest du dir einen Hyper-V-Server auf einem Cloud-Server ein? Gruß, Nils

Moin, ich weiß ja nicht, wie du suchst, aber ich fund auf Anhieb dies: https://docs.microsoft.com/en-us/sql/database-engine/install-windows/supported-version-and-edition-upgrades-version-15?view=sql-server-ver15#-edition-upgrade Gruß, Nils Zertifizierter Such-Experte

Moin, auch im Bereich der IT-Security solltest du die Anforderungen definieren, bevor du Maßnahmen evaluierst oder umsetzt. Vieles von dem, was du anführst, kann man durchaus machen (abgesehen von dem lokalen User). Kommt halt drauf an, warum man das macht und wie es in ein Gesamtkonzept eingebunden ist. Dass man zuhause "direkt im Internet sei", ist in aller Regel schon lang nicht mehr so. Auch Heimrouter haben einen okayen Firewallschutz, dazu kommt das, was Windows mitbringt. Wir sind nicht mehr im Jahr 2000. Und gegen moderne Bedrohungen für Clients hilft eine Unternehmensfirewall oft auch nicht viel, weil sowas eben heute völlig anders funktioniert. Am Ende eine Sache der Abwägung - man kann Maßnahmen aus meiner Sicht nicht bewerten, ohne das Szenario zu kennen. Gruß, Nils

Moin, vom Prinzip her relativ einfach: Du willst ja gar nicht wissen, ob die Tests bestanden sind, sondern nur die Fehler finden. Du könntest also nach den Zeichenketten suchen, mit denen in der Textdatei ein Fehler angezeigt wird (in Notepad suche ich immer nach "nicht" bzw. nach "failed", je nach Sprache). Edit: ja, Jan, du warst schneller. Wobei ich "passed" für uninteressant halte. ;) Noch ein Edit: Du kannst es auch noch einfacher haben und dcdiag gleich nur die Fehler ausgeben lassen ... Ist allerdings die Frage, ob das für eine automatisierte Auswertung ein sinnvoller Weg ist. Das AD gibt in aller Regel ganz gut über die Eventlogs Bescheid, wenn was nicht passt. Für ein Alerting ist das meist viel praktischer. Gruß, Nils

Moin, "von - bis". Ein lokaler User statt eines Domänenusers löst jedenfalls kein einziges Problem, schafft dafür aber viele neue. Warum würdest du das erwägen? Ein Notebook ist ein Mobilrechner, der ist ja dafür da, dass man ihn an verschiedenen Stellen betreibt, also auch in verschiedenen Netzwerken. "Einfangen" kann man sich beim "Rumsurfen" überall was. Moderne Malware kann im gesicherten Firmen-LAN genauso zuschlagen wie im Heim-WLAN. Die Risiken unterscheiden sich heute nicht mehr wesentlich. Wichtig ist, dass die wichtigen Assets eben auch gut geschützt sind. Da bin ich aber nicht der erste, der darauf hinweist. Ein "VPN-Zwang" wird das Risiko typischerweise nicht verringern, sondern erhöhen. Über ein VPN ist der Client an das Unternehmensnetzwerk angeschlossen, als wäre er direkt in der Firma. Hätte er sich also "was eingefangen", dann wäre es direkt im Firmennetz. "VPN" ist keine Sicherheitsmaßnahme, sondern nur ein Werkzeug für ganz bestimmte, eingegrenzte Szenarien. Um jetzt nicht ganz ohne Vorschlag dazustehen: Manche Firmen nutzen Notebooks im Home Office nur als "dumme Terminals", die Anwender greifen also per RDP/Citrix/... auf die Applikationen zu, die im Unternehmen laufen. Das ist schon vom Grundprinzip her i.d.R. deutlich "sicherer" als ein direkter Durchgriff. In dieser Allgemeinheit hat das jetzt das Potenzial, ein ausufernder Mega-Thread zu werden, der nichts Neues enthält. Wie wäre es, wenn du dich erst mal allgemein informierst und dann mit konkreten Fragen kommst? Gruß, Nils

Moin, Wenn du es nicht willst, dann lass es halt. Aber wenn du uns fragst, sagen wir eben unsere Meinung. Gruß, Nils

Moin, man könnte bzw. sollte in der Situation auch prüfen, ob eine Migration überhaupt sinnvoll ist oder ob man die bestehende CA auslaufen lässt und durch eine neue ersetzt. Je nachdem, wie "gut" das derzeitige Konstrukt entworfen, eingerichtet und gepflegt ist, kann der Neuaufbau durchaus sinnvoller sein. Das hängt allerdings von einer Reihe von Faktoren ab, die man in einem Forum nicht behandeln will. Wenn es tatsächlich nur um eine Migration "von Server zu Server" geht, ist das eigentlich ein simpler Vorgang, der bei Microsoft auch gut dokumentiert ist. Gruß, Nils

Moin, müssen wir am Ende technisch nicht diskutieren, ich weise nur aus organisatorischer Sicht auf meinen Kenntnisstand hin. Soweit ich weiß, ist es immer noch so, dass im Supportfall Microsoft als eine der ersten Maßnahmen anfordern würde, das Teaming abzuschalten. Und da das AD hervorragende Methoden für die Ausfallsicherheit hat, braucht man da ja die "generischen" Mittel gar nicht erst einzusetzen. Gruß, Nils

Moin, für Domänencontroller ist Teaming nicht empfohlen. Soweit ich weiß, gibt es sogar Supportausschlüsse, wenn es kein reines Failover-Teaming ist. Jedenfalls rät man allgemein davon auf DCs ab, weil man dort die Ausfallsicherheit eher über Server-Redundanz herstellt (also "mehr" DCs). Gruß, Nils

Moin, bestenfalls als Workaround. Aber eigentlich: das ist gar nicht gut. Selbst wenn du es zum Laufen bekommst (ich hab es lange nicht mehr probiert, kann durchaus sein, dass das nicht mehr oder nicht ohne Weiteres geht), verschiebst du das Problem ja nur in die Zukunft. In drei Jahren kommt der nächste Name dazu, dann noch einer ... das ist nicht nur organisatorisch ein Alptraum. Gruß, Nils

Moin, Ich wage zu bezweifeln, dass man mit solchen Mitteln was Stabiles hinbekommt. Weder Differencing Disks noch rsync sind für so ein Szenario gedacht. Gruß, Nils

Moin, Anscheinend aber nicht zu vergleichen mit dem Kram vom letzten Jahr. Gruß, Nils

Moin, sagen wir es mal so: Ich bin kein ausgewiesener Security-Spezialist, wurde aber im letzten Jahr zu mehreren Major-Incidents gerufen, bei denen es um eine vollständige Domänenübernahme ging. Darunter eine Uni und ein Glücksspielanbieter, nicht nur kleine Butzen. in *allen* Fällen war das Einfallstor bei schlecht gesicherten RDP-Servern gefunden worden. Gruß, Nils

Moin, möglicherweise bist du in einem Developer-Board besser mit deiner Frage aufgehoben. Hier sind hauptsächlich "Admins" unterwegs. Es gibt zwar auch Devs hier und Leute, die sich mit Softwareentwicklung auskennen, aber es ist eben kein Dev-Board. Gruß, Nils

Moin, keine Ahnung. Funktioniert es denn? Das wäre beim Scripting das entscheidende Kriterium. Wenn du das selbst zusammengebastelt hast, was willst du dann jetzt von uns dazu wissen? Gruß, Nils

Moin, doch. ADUC macht das, wenn man einen Homepfad bei einem neuen User einträgt, der erreichbar ist. Dort sind die ACLs dann aber vorgegeben, vermutlich hart codiert in ADUC. Gruß, Nils

Moin, habe ich es richtig verstanden, dass die Domäne "intern" heißt, also einen einteiligen DNS-Namen hat? Dann müsstest du doch öfter mal über Probleme dieser Art stolpern, oder? So eine Konfiguration ist zwar supported, aber nur "gerade noch so eben" ("commercially reasonable"). Die Empfehlung lautet, von einer solchen Konfiguration in eine korrekt benannte Umgebung zu migrieren. Es ist bekannt, dass es viele Produkte und Komponenten gibt, die mit einer Single-Label-Domäne nicht klarkommen. Das dürfte ja auch hier der Fall sein (ADAC nutzt eine andere Schnittstelle als ADUC). [Microsoft support for Single Label Domains - Windows Server | Microsoft Docs] https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/single-label-domains-support-policy Edit: Vielleicht habe ich den Screenshot auch falsch interpretiert. Du hast selbst ja "intern.xxxx.de" genannt, das wäre korrekt. In dem Fall bitte dies hier ignorieren. Gruß, Nils

Moin, man muss den Dienst SQL Server vor einem Neustart nicht separat beenden. Und wenn man es täte, würde dasselbe geschehen. Das sog. "Recovery" führt der SQL Server beim Start immer aus, weil er ja nicht weiß, ob der letzte Neustart koordiniert erfolgt ist oder nicht. Ich habe das hier ausführlich beschrieben: https://www.faq-o-matic.net/2011/01/03/sql-server-wie-datenablage-backup-und-recovery-funktionieren/ Es hätte also sehr wahrscheinlich ausgereicht, wenn du noch etwas gewartet hättest. Gruß, Nils

Moin, O weia. Ich rate entschieden davon ab, das so nachzubauen. Gruß, Nils