NilsK

Moin, das ist korrekt, aber für das, was der TO vorhat, würde es ausreichen. Tatsächlich ist das ja auch genau das, was DNS macht: Eine zentrale Datenbank für die Zuordnung von Namen zu IP-Adressen bereitstellen. Da ist auch kein Protokoll und kein Port angegeben, das macht dann der Browser. Einen Redirect sucht der TO ja auch nicht, sondern er möchte eine Namensauflösung sicherstellen. Gruß, Nils

Moin, siehste, das meine ich mit "sich besser auskennen als ich". Das mit dem Timestamp hatte ich mir auch schon gedacht, aber wenn ich das Verfahren richtig verstehe, nutzt es gar kein Code-Signing-Zertifikat. Das wäre dann vielleicht eine Alternative für die Zukunft, denn denselben Effekt müsste man ja auch per Code Signing erzielen können. Gruß, Nils PS. "lösen lösen" ist sehr schön.

Moin, theoretisch würde das gehen, aber glaub mir: Du willst keine hosts-Dateimanipulation. Das macht nur Ärger. Um wie viele Clients geht es denn und was gibt es sonst noch im lokalen Netzwerk? Einen DNS-Server mit Split-DNS und Forwarding einzurichten, ist ja nun kein Hexenwerk. Gruß, Nils

Moin, wer auch immer "das RDX" ist ... aber ja, das geht problemlos. Hyper-V kann eine VM importieren, ohne dass man diese vorher ausdrücklich exportiert hat. Einfach die Ordnerstruktur mit allen Daten der VM an die gewünschte Stelle kopieren, dann im Hyper-V-Manager "Importieren" auswählen. Für nicht laufende VMs ist das die einfachste Methode. Wie die Partition (bzw. das Volume) dann heißt, ist egal. Falls der Pfad hinterher derselbe ist wie vorher, kannst du dir evtl. auch das Importieren sparen, aber das macht vielleicht zwei Minuten Unterschied. Gruß, Nils

Moin, ah, OK. Wie man vielleicht merkt , habe ich mit RDS nicht so viel zu tun. Daher die Nachfrage, ich wollte schauen, ob da nicht was missverstanden ist. Ist es anscheinend nicht, passt. Also, vorbehaltlich einer Äußerung von jemandem, der die RDS-Dinge besser kennt als ich, bin ich (weil ich mich hier ja schon eingemischt habe) der Meinung, dass ein abgelaufenes Zertifikat vom System sicher nicht akzeptiert wird. Daher wird man die RDP-Datei mit dem neuen Zertifikat neu signieren müssen. Gruß, Nils

Moin, was genau soll das heißen? Wie signiert man ein Icon? Gruß, Nils

Moin, wer Bedenken hat, kann ja auch mit separaten Rechnern arbeiten. So abwegig ist das nun auch wieder nicht. Und unbequem - ja, meine Güte, sicher. Das relativiert sich spontan, wenn man sich mal die Umstände ansieht, die an wirklich regulierten Bereichen gelten (Krankenhaus, Pharma, Kraftwerke ...). Wir reden hier ja nicht von den Normalanwendern, sondern von den Admins. Gruß, Nils

Moin, Wobei der Anspruch auch nicht passt. Die Idee hinter Azure ist nicht, dass man damit etwas baut, was eine physische Hardware schlägt. Genauso wenig bei AWS, Google oder wem auch immer. Willst du es "billig" oder möglichst schnell, dann nimm nicht die Cloud. Mit einem eigenen Auto bist du auch günstiger und flexibler als wenn du zu Sixt gehst. Und trotzdem hat eine Autovermietung ihren Sinn. Und die Kosten sehen auch schon anders aus, wenn du Car Sharing mit in den Blick nimmst. So ist das auch mit der Cloud. Gruß, Nils

Moin, Wie manche anderen Sprachen akzeptiert die Powershell sowohl einfache als auch doppelte Anführungszeichen - unter anderem deshalb, weil man bei einer Skriptsprache oft genau solche Bedingungen hat wie du. Ganz so einfach ist es in Detail dann wieder nicht, weil man nur mit doppelten Zeichen eine einfache Ersetzung von Variablen hinbekommt. Das tut der Verwendung wir hier aber selten einen Abbruch. Gruß, Nils

Moin, Das scheint mir ein pragmatischer Weg zu sein, weil man nur dann etwas ändert, wenn es akut nötig ist. Gruß, Nils

Moin, Ist nur eine Einschätzung, die sich auf nichts Belastbares stützt. Rein nach dem Ton des Artikels würde ich aber eher keinen teuren Case dafür eröffnen, wenn ich keinen echten Schmerz damit hätte. Gruß, Nils

Moin, Dann seh ich gerade nicht, welches Problem du gerade lösen willst. Ein "Reparaturversuch" durch Umstellen auf eine einzelne IP-Adresse würde jedenfalls die Fehlerwahrscheinlichkeit erhöhen und nicht senken. Für mich klingt deine letzte Beschreibung, als würde alles genau so laufen, wie es soll. Ansonsten schließe ich mich Dukels Frage an. Gruß, Nils

Moin, irgendwie ist hier viel Vermutung im Spiel und wenig Klarheit. Es wäre sinnvoll, das vermutete Fehlerbild noch mal genauer zu untersuchen, sonst kann man keine passenden Rückschlüsse ziehen. Wenn die Applikation aktuell einen DNS-Namen akzeptiert und auflösen kann, wäre es auf jeden Fall ein Rückschritt, das in eine IP-Adresse zu ändern. Gruß, Nils

Moin, exotische Frage - aber der Beschreibung in dem Artikel nach zu urteilen gehe ich davon aus, dass das immer noch so ist und sich auch nicht ändern wird. Dieses Detail dürfte kaum einen Major-Kunden dazu bringen, dass er Microsoft zur Korrektur auffordert, und wenn es kein solcher Kunde verlangt, wird da bei MS niemand drangehen. Gruß, Nils

Moin, okay - dann hast du jetzt hoffentlich gelernt, dass man bei so einem System genauer hinsehen sollte. Deine bisherigen Aussagen zur Nutzung waren dann ja nicht ganz korrekt. Ich empfehle daher, dass du dir jemanden ins Haus holst, der sich mit der Thematik auskennt, und mit dem ein Vorgehen entwickelst. Das ist kein Hexenwerk, erfordert aber mehr Detailarbeit, als es in einem Forum sinnvoll ist. (Gerechnet in wenigen Tagen, nur damit du eine Größenordnung hast.) Gruß, Nils PS. 11 DCs? Wie groß ist denn die Umgebung? Falls sie wirklich so groß ist, dass ihr 11 DCs braucht, dann ziehe ich meine Ersteinschätzung ausdrücklich zurück und rate entschieden dazu, dass ihr euch Know-how ins Haus holt.

Moin, nicht ohne Weiteres, nein. Das müsstest du dir auf den Rechnern ansehen, an denen die drei User arbeiten. Wenn ihr EFS nicht nutzt, solltet ihr es ausdrücklich abschalten, sonst erzeugt ihr damit Probleme. Ad hoc würde es aber auch ausreichen, dass die drei User, um die es geht, ihre EFS-Zertifikate vorsichtshalber exportieren (mit Private Key). Damit wäre es im Notfall möglich, Dateien wieder zu entschlüsseln. Gruß, Nils

Moin, dann läuft - der Beschreibung auf der Webseite nach zu urteilen - RDP getunnelt über das Protokoll dieser Applikation. Das wäre für mich dann ein Hinweis, dass RDP ohne Hilfsmittel nicht über die Leitung geht. Und da kommt dann als erster Verdächtiger die Unternehmens-Firewall ins Spiel. Darauf deutet auch die Fehlermeldung hin, die du nun endlich gepostet hast: RDP antwortet nicht. Gruß, Nils

Moin, okay, und wann wolltest du uns sagen, was "funktioniert nicht" nun heißt? Übrigens ist "Remote Utilities" kein RDP, wenn ich das nicht gründlich missverstehe. Also bitte mal ernsthaft jetzt, sonst können wir uns das sparen. Gruß, Nils

Moin, wenn du nur den CA-Server löschst oder abschaltest, bleiben die Einträge dazu im AD erhalten. Daher der Verweis auf die Anleitungen. Eine Enterprise CA ist in der AD-Konfiguration eingetragen. Edit: Natürlich ist vor dem Löschen zu prüfen, ob die ausgestellten Zertifikate tatsächlich nicht mehr gebraucht werden. Siehe Norberts Hinweis und das, was ich dazu schrob. "Zum Großteil" finde ich da eine etwas unvollständige Einschätzung. Bevor du auf der Basis Schaden anrichtest, hol dir lieber jemanden, der das mit dir migriert bzw. ein Vorgehen zur Ablösung entwirft. Gruß, Nils

Moin, wenn die DC-Zertifikate die einzigen sind, die dort ausgestellt wurden, kannst du die CA im Prinzip einfach löschen. Domänencontroller besorgen sich automatisch Zertifikate von einer Enterprise CA, sobald sie diese im AD finden. In dem Fall solltest du natürlich die betreffenden Zertifikate von den DCs löschen, bevor du die CA entfernst, denn sonst werden die DCs Fehler melden, weil sie die Gültigkeit der Zertifikate nicht überprüfen können. Im Hinblick auf diverse Sicherheitseinstellungen im eigenen Netzwerk, insbesondere für DCs, könnte es allerdings sinnvoll sein, auch künftig eine PKI zu betreiben. Es gibt ja möglicherweise auch interne Web-Applikationen, die per TLS abzusichern wären (und seien es nur Adminzugänge). Dann allerdings rate ich dazu, eine PKI nach Best Practice zu entwerfen und aufzubauen, bevor die alte entfernt wird. Eine Migration der alten CA sehe ich als unnötig an, wenn sie wirklich nur die oben genannten Zertifikate ausgestellt hat. Zum Entfernen der Alt-PKI beachte, dass diese auch aus dem AD gelöscht werden sollte, Anleitungen dazu findest du im Web. Vorsichtshalber sei noch mal ausdrücklich erwähnt, dass man eine CA nicht auf einem DC installiert. Gruß, Nils PS. wie viele DCs habt ihr denn, dass da laufend neue Zertifikate ausgestellt werden?

Moin, was genau heißt denn "Leider funktioniert RDP nicht"? Da du ja in der IT arbeitest, weißt du vielleicht, dass so eine Fehlerbeschreibung ... nicht besonders erschöpfend ist. Gruß, Nils

Moin, aus den Angaben lässt sich in der Tat wenig ablesen. Meiner Kenntnis nach sind typischerweise weder SFirm noch Zeiterfassungssysteme performancekritisch, sondern laufen meist so nebenbei mit. Aus dem Bauch würde ich dann irgendwelche Optimierungen oder Wartungen an den Indizes als unnötig ansehen. Es kann aber sein, dass das nicht passt. Hingegen ist der Hinweis der drei Kollegen korrekt, dass man da mal den Hersteller fragen sollte. Allgemein zum Thema Backup, weil das in kleinen Umgebungen fast immer falsch gemacht wird: https://www.faq-o-matic.net/2011/01/03/sql-server-wie-datenablage-backup-und-recovery-funktionieren/ Dort vor allem den letzten Abschnitt - aber um den verstehen zu können, ist der Rest des Artikels schon sinnvoll. (Dazu hab ich ihn ja schließlich auch geschrieben.) Gruß, Nils

Moin, "das kommt darauf an". Gerade Datenbankserver werden sehr unterschiedlich genutzt. Was für Server A unabdingbar ist, kann für Server B total übertrieben sein. Bei einem "typischen Admin-SQL-Server" kann man auf alle Tasks verzichten und wird vielleicht nur manuell einen Auftrag zum Full Database Backup einrichten. Bei einer ERP-Datenbank will man hingegen vielleicht sogar alle vorgeschlagenen Tasks verwenden. Was sind denn in deinem Fall die Anforderungen? Gruß, Nils

Moin, was heißt "16 logische Prozessoren"? Zwar ist es, wie der eine Norbert schon richtig sagt, eher unwahrscheinlich, dass zwei VMs die Ressourcen auslasten. Trotzdem sollte man nicht nach dem Motto vorgehen "viel hilft viel", das passt nämlich so gut wie nie. Ohne nähere Kenntnis der Anforderungen kann man kein Sizing betreiben. In einer kleinen Umgebung würde ich auch bei einem Terminalserver nicht oberhalb von 4 vCPUs anfangen. Es kann sein, dass das in der konkreten Situation doch nicht reicht, dann eben mehr. Aber: Gerade bei Terminalservern kann es durchaus sein, dass die Skalierung "nach oben" nur begrenzt funktioniert und es sinnvoller ist, mehrere moderat ausgestattete Server parallel zu betreiben. Aber das kann man nur anhand konkreter Beobachtungen und Messungen feststellen, nicht vorab oder pauschal. 8 vCPU (wie vom anderen Norbert genannt) können in einer großen Umgebung, deren Parameter gut bekannt sind, auch als Vorgabe für Terminalserver passen, aber das würde ich nicht als Basis "für alle" sehen. Im Wesentlichen trifft dies hier immer noch zu: [Hyper-V-Sizing: Virtuelle und echte CPUs | faq-o-matic.net] https://www.faq-o-matic.net/2011/01/26/hyper-v-sizing-virtuelle-und-echte-cpus/ Und dies auch: [Wie viele Cores braucht mein VM-Host? | faq-o-matic.net] https://www.faq-o-matic.net/2019/10/22/wie-viele-cores-braucht-mein-vm-host/ Gruß, Nils

Moin, In der beschriebenen Situation ist es doch völlig egal, um welche Schadsoftware es sich jetzt handelt. Wichtig ist, dass man die Integrität der Backups zuverlässig prüft, genau wie das, was von der Umgebung ohne Recovery weiter laufen muss. Da wäre es auch nicht verkehrt, jemanden dabei zu haben, der Erfahrung mit sowas hat. Gruß, Nils