Dukel

Eine Replikation ist keine HA Lösung! Ich würde solche Geräte nicht im Professionellen Umfeld als Server laufen lassen, aber wenn es dir Spaß macht, nur zu.

Dann stelle dir vor eine ganze Gruppe von neuen Mitarbeitern fängt bei euch an. Du bekommst von der HR Abteilung eine Liste mit allen Namen und sonstigen Informationen. Bei 20 geht es evtl. noch ok mit manuell anlegen, aber 200 oder 2000 neue MA möchtest du so nicht anlegen. Da hast du dann vieles verschiedenes neben dem Bekannten. Datei einlesen, schleifen, evtl. Bedingungen (MA 1 ist in Abteilung x und bekommt Gruppe y,z und a zugewisen, MA 2 ist in Abteilung b und bekommt Gruppe a, b und c zugewisen).

Übungsaufgaben sind nicht unbedingt hilfreich, da nicht immer Praxisnah. Überlege doch, wo du in der Täglichen Arbeit Aufgaben hast, die du per Powershell lösen kannst. Z.b. finden von alten Daten (z.B. älter als x Jahre) auf einem Fileserver, Anlegen von Benutzern mit allem was dazu gehört, durchsuchen von Log Files nach bestimmten Informationen (z.B. Fehler),.. Sind bei dem Kurs keine Aufgaben dabei?

Du weisst was "Erweiterung" bedeutet? Du brauchst einen Basis Lizenz für 16 Cores und kannst hier die 4 fehlenden Cores mit dieser Lizenz erweitern.

Überlegt man sich nicht vorher, was man braucht und kauft? Es werden immer User oder Device Cals benötigt. Es werden bei RDS Windows Cals und RDS Cals Benötigt Wenn man User (RDS) Cals nutzt braucht man ein AD (und das will man nicht auf dem selben Server wie der RDS Host installieren! Nutze in dem Fall Virtualisierung), wenn man Device Cals nutzt, geht es auch ohne AD.

Auf einem DC müssen keine Kennwörter gecached werden, da die AD DB vorhanden ist. Das Caching betrifft nur Clients & Server aber keine DC's.

Soll die Auswahl kommen oder soll diese nicht kommen? Wieso geht das remote nicht? Hat der Server kein Remote Access (iLo, Idrac, etc)?

Eine große Anzahl von Ports sind normalerweiße irrelevant für Sicherheitslücken. Angreifer brauchen nur einen Port und es wird nicht unsicherer wenn mehr Ports (solange der gleiche Dienst auf der Port Rage lauscht!) "offen" sind.

https://learn.microsoft.com/en-us/powershell/module/smbshare/new-smbshare?view=windowsserver2025-ps

Die Probleme bestehen, wenn man z.B. keinen SPN setzt ;)

Wieviele Shares sind es denn? Auslesen und neu erstellen. Bei wenigen (!) manuell, bei vielen Powershell. Mit wenig meine ich < 3

Was ist der Hintergrund? Automatisiert oder manuell? Einmalig oder regelmäßig? In Excel: Daten - Daten Abrufen - Aus Datenbank - Aus SQL Server Datenbank

Nachdem hier noch keine Antwort kam habe ich einen Crosspost unter https://www.linuxforen.de/forums/showthread.php?283327-haproxy-http-2&p=1863437#post1863437 erstellt.

Wenn es MS365 wäre würde man den Hostnamen nicht ausfüllen müssen. Der Anbieter möchte wohl einen beliebigen SMTP Server haben.

OpenGL ist bei deinem Grafiktreiber dabei. Da es keine Server HW ist kann es sein, dass es mit Windows Server 2022 schwierigkeiten gibt.

Das wäre die die Antwort auf die Frage von mir nach dem eigendlichen Problem. Wenn Ihr NTLM abschalten und Kerberos nutzen wollt, dann sollet Ihr das auch prüfen, wo welche Auth. genutzt wird.

Das wollte ich eigendlich auch schreiben. Danke.

https://www.faq-o-matic.net/2015/08/26/wofuer-braucht-es-eigentlich-diesen-spn/ Es gibt keine "Probleme" mit der Kerberos Authentifizierung, es gibt einfach keine Kerberos Authentifizierung, wenn der SPN (mit der richtigen Service Class) fehlt. Wenn die Applikation doch funktioniert, dann wird eine andere Authentizierung genutzt.

Was ist eigendlich dein Problem? Wieso brauchst du einen SPN? Die Service Class ist beliebig, wird aber unter Umständen nicht ausgewertet. Ein Websever erwartet HTTP, ein SMB Dienst erwartrt CIFS, ein MSSQL Server erwartet MSSQLSvc usw. Bestimmte Services (HOST, RestrictedKrbHost, Termsrv, WSMAN) werden automatisch gesetzt! Du brauchst manuell einen SPN nur, wenn es nicht automatisch gesetzt wird oder du einen Alias (Cluster) nutzt.

HOST wird normalerweise automatisch vergeben. Das braucht man dann nur wenn man einen Alias vergibt. Für Webdieste ist es "HTTP/". MSSQL ist auch so ein Kandidat für einen SPN.

Hi, ich habe einen Exchange 2016 Server, welchen ich via haproxy veröffentlicht habe. fe: bind *:443 ssl crt /etc/pki/....pem be: server exchange1 x.x.x.z:443 check ssl inter 15s verify none Dies funktioniert prinzipell einmal. Der Exchange ist bei einem direkten Zugriff via http/2 erreichbar. Bei einem Zugriff über den haproxy ist er nur via http/1.1 erreichbar. Andere Dienste laufen mit http/2 über den haproxy. Wenn ich das Backend im haproxy auf http/2 ändere: server exchange1 x.x.x.z:443 check ssl inter 15s verify none alpn h2,http/1.1 wird das Backend als Down angezeigt und es gibt folgende Fehler im Log: Health check for server be_ex2016_owa/exchange1 failed, reason: Layer7 invalid response, check duration: 8ms, status: 0/2 DOWN. Health check for server be_ex2016_owa/exchange1 failed, reason: Socket error, info: "Connection reset by peer", check duration: 2ms, status: 0/2 DOWN. Wenn ich das Fronend im haproxy auf http/2 ändere: bind *:443 ssl crt /etc/pki/....pem alpn h2,http/1.1 bekomme ich im Browser folgenden Fehler: 503 Service Unavailable No server is available to handle this request. Wie bekomme ich http/2 mit haproxy zum laufen?

Wie schon geschrieben brauchst du ein Sub-CA-Zertifikat. Außerdem würde ich das Zertifikat von der Root CA unterschreiben lassen und nicht von der Unternehmens CA.

Ich hatte SSL Inspection bisher immer so verstanden, dass der Proxy eine (Sub-)CA ist und dynamisch SSL Zertifikate ausstellt.

Du wirst ein Zertifikat für eine untergeordnete CA brauchen. Was möchtest du für SSL Inspektion in das Zertifikat schreiben? Alle Domänen der Welt? Wo möchtest du dieses Zertifikat unterschreiben lassen? In der Root CA oder Sub CA?

Das Device ist nicht dein Jump Host sondern das Endgerät (PC / Notebook / whatever) des Mitarbeiter X. Wenn man einen RDS nutzen möchte und die Projektsoftware nicht auf jedem Rechner installieren möchte, muss man diesen eben richtig lizenzieren.