Dukel

Wieviel Security Know-How hast du denn? Hier wäre evtl. ein Workshop mit einem Security Dienstleister angebracht. Ich würde nicht mit einzelnen Einstellungen anfangen sondern mit einem umfangreichen Sicherheitskonzept. Einzelne Einstellungen purzeln dann zum Schluss heraus.

In der Regel gibt es bei den Kunden Firewalls (Juniper, Cisco, Fortigate), das machen aber die Kollegen aus dem Netzwerk / Security Bereich.

Ja. Wie gesagt Budget vs. Anforderungen. Wenn das Budget da ist um bei Problemen mit dem Hypervisor (Ausbruch aus einer VM) abzusichern macht man das, wenn einem das Budget für diese Anforderung fehlt, dann ist die Anforderung nicht wichtig genug und man macht das nicht.

Wir haben das bei Kunden sowohl getrennt als auch auf der gleichen Physik. Bei der Trennung auch teilweise auf verschiedenen Ebenen (Storage, Compute und Netzwerk). Wenn es das Budget hergibt würde ich versuchen zu trennen.

Du hast einen Hypervisor (egal ob ESX oder Hyper-V) und auf den Disks des Servers erstellst du VMDK bzw. VHDX Dateien, die die VM's als virtuelle Disks nutzen können.

Du kannst dem Lokalen User ein Passwort vergeben, welches du dann kennst.

Zwei Physikalische DCs + Applikationsserver + RDS + Fileserver. Da würde ich das ganze auf jeden Fall virtualisieren. Ich glaube nicht, dass man in einem Verein vier bis fünf HW-Server hinstellt. Ich würde in diesem Fall zwei Server hinstellen und auf jedem einen DC installieren (je als VM) und auf einem den Applikationsserver / RDS (als VM) und auf dem anderen den Fileserver (als VM) installieren. Alternativ ein "dicken Server" auf dem alles (als VM) läuft und einen kleinen Server als zweiten DC. In beiden Fällen ist aber nur das AD reduntand. Das Sizing kommt darauf an, was der Applikationsserver/RDS braucht und wieviel Speicher im Fileserver du brauchst. Wie willst du das Backup machen?

Wie kommst du auf solch ein Sizing? https://docs.microsoft.com/en-us/windows-server/get-started-19/sys-reqs-19 für einen AD Controller würde folgendes reichen: 1-2 Cores, 4-8 GB Ram und ca. 100 GB Disk (Muss keine SSD sein) Willst du Virtualisieren? Dann stimmt das Sizing eher. Wie sieht es mit Verfügbarkeit aus? Bei einem Server steht die komplette Umgebung, wenn der Server ausfällt. Wie sieht es mit anderen Diensten aus? Du schreibst etwas von Netzlaufwerken. Hier kannst du eine Fileserver VM aufsetzen und braucht entsprechend Speicher im Server oder du stellst ein NAS hin.

Essentials hat nur eine Beschränkung auf zwei CPUs. Daher kannst du alle Cores / CPUs zuweisen. Aber! Du solltest für den Host noch Ressourcen aufheben und nicht alles zuweisen und wenn du noch mehr VMs hast, solltest du nicht alle CPUs / Kerne zuweisen.

Mitlerweile geht das über die Metric. Vor Windows 10 ging das in den Erweiterten Netzwerkeinstellungen unter den Adaptereinstellungen.

Evtl. die Reihenfolge der Netzwerkkarten tauschen.

Wieso brauchen neue Rechner einen alten Namen?

Neuer Computername für einen neuen Rechner, dann ist der DNS Eintrag auch neu. Sprich ich habe pc-0001 bis pc-0100 und lösche pc-0065 vergebe ich diesen nicht neu sondern der nächste Rechner bekommt pc-0101.

Was sagt pkiview.msc ?

Ist die CRL via HTTP erreichbar?

Starte die CMD und von dort aus die cmd/bat Datei und poste/Screenshotte dies.

Dann poste doch mal ein Screenshot der CMD, wenn du die Batch ausführst. Edit: Ich sehe gerade. rem.bat ist eine schlechte Idee. Nenne das z.B. backup.cmd

Gibt es auch eine Fehlermeldung? Hast du die Variablen angepasst?

Gar nicht bzw. die Freigaben generell verstecken ($ am Ende des Namens).

Am Anfang! Auf einen DC kommt weder eine CA noch ein IIS.

Das ist die Edition. Version ist 2014 mit einem bestimmten Patchstand. Dann dürfte aber nicht die Fehlermeldung "Zugriff verweigert" kommen.

Mit der selben Fehlermeldung? Dann hast du dort auch keine Rechte.

Zugriff verweigert. Du hast keine Rechte. Kopiere das Backup doch einfach in den SQL Backup Ordner (C:\program files\...\sql\...\backup).

Vielleicht hat er als Bedingung die Domäne "box" genutzt.

Es gibt kein Professional. Nur Standard, Enterprise oder Express und Developer.