NilsK

Moin, Wir haben kürzlich Office-Vorlagen per Ohnedrive auf alle Rechner gebracht. Das dürfte dem ja entsprechen. Leider weiß ich den genauen Weg aus dem Kopf nicht mehr, aber am Ende war es simpel. Bei Bedarf könnte ich nachfragen. Gruß, Nils

Moin, hier noch der Link - übrigens ist der Artikel von einem ehemaligen Boardmember: [Wann läuft ein Maschinenaccount / Computerkonto ab? Gar nicht! | Microsoft Docs] https://docs.microsoft.com/de-de/archive/blogs/deds/wann-luft-ein-maschinenaccount-computerkonto-ab-gar-nicht Kann man so sagen. Ich hab den Beitrag am Handy geschrieben bzw. genauer: diktiert. Und das, was Android da anstelle meiner Grußformel fabriziert hat, fand ich so putzig, dass ich es habe stehen lassen. Gruß, Nils (sprich: Gruß Komma Nils ...)

Moin, ich zitiere mal ein verdientes Boardmitglied: Es ist immer die Firewall. Gruß, Nils PS. und DNS natürlich.

Moin, Auch wenn es um Kennwörter geht und Computer logisch User sind - ein nicht geändertes Kennwort ist bei Computern längst nicht so problematisch wie bei Benutzern. Einem Computer kann man nicht über die Schulter sehen, wenn er ein Kennwort eingibt. Und wir reden nicht von Strings wie "papa2020". Es gibt einen guten alten Artikel darüber von einem deutschen Microsoft-Mitarbeiter, den suche ich später noch mal raus. Gruß, Nils

Moin, Natürlich haben Computer im AD auch Kennwörter. Wie sollen sie sich sonst an der Domäne anmelden? Technisch betrachtet sind Computer im AD auch User. Die Attribute dafür sind also dieselben. pwdLastSet in dem Fall. Wozu brauchst du die Informationen? Grosse comme un nounours

Moin, das ist korrekt, aber für das, was der TO vorhat, würde es ausreichen. Tatsächlich ist das ja auch genau das, was DNS macht: Eine zentrale Datenbank für die Zuordnung von Namen zu IP-Adressen bereitstellen. Da ist auch kein Protokoll und kein Port angegeben, das macht dann der Browser. Einen Redirect sucht der TO ja auch nicht, sondern er möchte eine Namensauflösung sicherstellen. Gruß, Nils

Moin, siehste, das meine ich mit "sich besser auskennen als ich". Das mit dem Timestamp hatte ich mir auch schon gedacht, aber wenn ich das Verfahren richtig verstehe, nutzt es gar kein Code-Signing-Zertifikat. Das wäre dann vielleicht eine Alternative für die Zukunft, denn denselben Effekt müsste man ja auch per Code Signing erzielen können. Gruß, Nils PS. "lösen lösen" ist sehr schön.

Moin, theoretisch würde das gehen, aber glaub mir: Du willst keine hosts-Dateimanipulation. Das macht nur Ärger. Um wie viele Clients geht es denn und was gibt es sonst noch im lokalen Netzwerk? Einen DNS-Server mit Split-DNS und Forwarding einzurichten, ist ja nun kein Hexenwerk. Gruß, Nils

Moin, wer auch immer "das RDX" ist ... aber ja, das geht problemlos. Hyper-V kann eine VM importieren, ohne dass man diese vorher ausdrücklich exportiert hat. Einfach die Ordnerstruktur mit allen Daten der VM an die gewünschte Stelle kopieren, dann im Hyper-V-Manager "Importieren" auswählen. Für nicht laufende VMs ist das die einfachste Methode. Wie die Partition (bzw. das Volume) dann heißt, ist egal. Falls der Pfad hinterher derselbe ist wie vorher, kannst du dir evtl. auch das Importieren sparen, aber das macht vielleicht zwei Minuten Unterschied. Gruß, Nils

Moin, ah, OK. Wie man vielleicht merkt , habe ich mit RDS nicht so viel zu tun. Daher die Nachfrage, ich wollte schauen, ob da nicht was missverstanden ist. Ist es anscheinend nicht, passt. Also, vorbehaltlich einer Äußerung von jemandem, der die RDS-Dinge besser kennt als ich, bin ich (weil ich mich hier ja schon eingemischt habe) der Meinung, dass ein abgelaufenes Zertifikat vom System sicher nicht akzeptiert wird. Daher wird man die RDP-Datei mit dem neuen Zertifikat neu signieren müssen. Gruß, Nils

Moin, was genau soll das heißen? Wie signiert man ein Icon? Gruß, Nils

Moin, wer Bedenken hat, kann ja auch mit separaten Rechnern arbeiten. So abwegig ist das nun auch wieder nicht. Und unbequem - ja, meine Güte, sicher. Das relativiert sich spontan, wenn man sich mal die Umstände ansieht, die an wirklich regulierten Bereichen gelten (Krankenhaus, Pharma, Kraftwerke ...). Wir reden hier ja nicht von den Normalanwendern, sondern von den Admins. Gruß, Nils

Moin, Wobei der Anspruch auch nicht passt. Die Idee hinter Azure ist nicht, dass man damit etwas baut, was eine physische Hardware schlägt. Genauso wenig bei AWS, Google oder wem auch immer. Willst du es "billig" oder möglichst schnell, dann nimm nicht die Cloud. Mit einem eigenen Auto bist du auch günstiger und flexibler als wenn du zu Sixt gehst. Und trotzdem hat eine Autovermietung ihren Sinn. Und die Kosten sehen auch schon anders aus, wenn du Car Sharing mit in den Blick nimmst. So ist das auch mit der Cloud. Gruß, Nils

Moin, Wie manche anderen Sprachen akzeptiert die Powershell sowohl einfache als auch doppelte Anführungszeichen - unter anderem deshalb, weil man bei einer Skriptsprache oft genau solche Bedingungen hat wie du. Ganz so einfach ist es in Detail dann wieder nicht, weil man nur mit doppelten Zeichen eine einfache Ersetzung von Variablen hinbekommt. Das tut der Verwendung wir hier aber selten einen Abbruch. Gruß, Nils

Moin, Das scheint mir ein pragmatischer Weg zu sein, weil man nur dann etwas ändert, wenn es akut nötig ist. Gruß, Nils

Moin, Ist nur eine Einschätzung, die sich auf nichts Belastbares stützt. Rein nach dem Ton des Artikels würde ich aber eher keinen teuren Case dafür eröffnen, wenn ich keinen echten Schmerz damit hätte. Gruß, Nils

Moin, Dann seh ich gerade nicht, welches Problem du gerade lösen willst. Ein "Reparaturversuch" durch Umstellen auf eine einzelne IP-Adresse würde jedenfalls die Fehlerwahrscheinlichkeit erhöhen und nicht senken. Für mich klingt deine letzte Beschreibung, als würde alles genau so laufen, wie es soll. Ansonsten schließe ich mich Dukels Frage an. Gruß, Nils

Moin, irgendwie ist hier viel Vermutung im Spiel und wenig Klarheit. Es wäre sinnvoll, das vermutete Fehlerbild noch mal genauer zu untersuchen, sonst kann man keine passenden Rückschlüsse ziehen. Wenn die Applikation aktuell einen DNS-Namen akzeptiert und auflösen kann, wäre es auf jeden Fall ein Rückschritt, das in eine IP-Adresse zu ändern. Gruß, Nils

Moin, exotische Frage - aber der Beschreibung in dem Artikel nach zu urteilen gehe ich davon aus, dass das immer noch so ist und sich auch nicht ändern wird. Dieses Detail dürfte kaum einen Major-Kunden dazu bringen, dass er Microsoft zur Korrektur auffordert, und wenn es kein solcher Kunde verlangt, wird da bei MS niemand drangehen. Gruß, Nils

Moin, okay - dann hast du jetzt hoffentlich gelernt, dass man bei so einem System genauer hinsehen sollte. Deine bisherigen Aussagen zur Nutzung waren dann ja nicht ganz korrekt. Ich empfehle daher, dass du dir jemanden ins Haus holst, der sich mit der Thematik auskennt, und mit dem ein Vorgehen entwickelst. Das ist kein Hexenwerk, erfordert aber mehr Detailarbeit, als es in einem Forum sinnvoll ist. (Gerechnet in wenigen Tagen, nur damit du eine Größenordnung hast.) Gruß, Nils PS. 11 DCs? Wie groß ist denn die Umgebung? Falls sie wirklich so groß ist, dass ihr 11 DCs braucht, dann ziehe ich meine Ersteinschätzung ausdrücklich zurück und rate entschieden dazu, dass ihr euch Know-how ins Haus holt.

Moin, nicht ohne Weiteres, nein. Das müsstest du dir auf den Rechnern ansehen, an denen die drei User arbeiten. Wenn ihr EFS nicht nutzt, solltet ihr es ausdrücklich abschalten, sonst erzeugt ihr damit Probleme. Ad hoc würde es aber auch ausreichen, dass die drei User, um die es geht, ihre EFS-Zertifikate vorsichtshalber exportieren (mit Private Key). Damit wäre es im Notfall möglich, Dateien wieder zu entschlüsseln. Gruß, Nils

Moin, dann läuft - der Beschreibung auf der Webseite nach zu urteilen - RDP getunnelt über das Protokoll dieser Applikation. Das wäre für mich dann ein Hinweis, dass RDP ohne Hilfsmittel nicht über die Leitung geht. Und da kommt dann als erster Verdächtiger die Unternehmens-Firewall ins Spiel. Darauf deutet auch die Fehlermeldung hin, die du nun endlich gepostet hast: RDP antwortet nicht. Gruß, Nils

Moin, okay, und wann wolltest du uns sagen, was "funktioniert nicht" nun heißt? Übrigens ist "Remote Utilities" kein RDP, wenn ich das nicht gründlich missverstehe. Also bitte mal ernsthaft jetzt, sonst können wir uns das sparen. Gruß, Nils

Moin, wenn du nur den CA-Server löschst oder abschaltest, bleiben die Einträge dazu im AD erhalten. Daher der Verweis auf die Anleitungen. Eine Enterprise CA ist in der AD-Konfiguration eingetragen. Edit: Natürlich ist vor dem Löschen zu prüfen, ob die ausgestellten Zertifikate tatsächlich nicht mehr gebraucht werden. Siehe Norberts Hinweis und das, was ich dazu schrob. "Zum Großteil" finde ich da eine etwas unvollständige Einschätzung. Bevor du auf der Basis Schaden anrichtest, hol dir lieber jemanden, der das mit dir migriert bzw. ein Vorgehen zur Ablösung entwirft. Gruß, Nils

Moin, wenn die DC-Zertifikate die einzigen sind, die dort ausgestellt wurden, kannst du die CA im Prinzip einfach löschen. Domänencontroller besorgen sich automatisch Zertifikate von einer Enterprise CA, sobald sie diese im AD finden. In dem Fall solltest du natürlich die betreffenden Zertifikate von den DCs löschen, bevor du die CA entfernst, denn sonst werden die DCs Fehler melden, weil sie die Gültigkeit der Zertifikate nicht überprüfen können. Im Hinblick auf diverse Sicherheitseinstellungen im eigenen Netzwerk, insbesondere für DCs, könnte es allerdings sinnvoll sein, auch künftig eine PKI zu betreiben. Es gibt ja möglicherweise auch interne Web-Applikationen, die per TLS abzusichern wären (und seien es nur Adminzugänge). Dann allerdings rate ich dazu, eine PKI nach Best Practice zu entwerfen und aufzubauen, bevor die alte entfernt wird. Eine Migration der alten CA sehe ich als unnötig an, wenn sie wirklich nur die oben genannten Zertifikate ausgestellt hat. Zum Entfernen der Alt-PKI beachte, dass diese auch aus dem AD gelöscht werden sollte, Anleitungen dazu findest du im Web. Vorsichtshalber sei noch mal ausdrücklich erwähnt, dass man eine CA nicht auf einem DC installiert. Gruß, Nils PS. wie viele DCs habt ihr denn, dass da laufend neue Zertifikate ausgestellt werden?