testperson

Hi, wenn der oder die Server bzw. deren Applikationen "so wichtig" ist / sind, dann sollten die doch generell "verfügbar" betrieben werden. Dann lässt sich einer der Server in den Wartungsmodus setzen und kann gepatched, gebootet oder sonstwas werden. Ansonsten halt per Script bzw. muss jemand früh aufstehen oder spät ins Bett gehen. ;) Sollte mit Hyper-V virtualisiert werden, lässt sich das ja auch recht bequem "von außerhalb der VM" machen samt Checks, ob alles geklappt hat. Gruß Jan

Hi, guck dir mal die Liste an und überlege, was ein AV Scanner dann noch auf so einem Server tut. Dann könntest du dir diese Liste vom Defender ansehen. Dann könnte man nochmal überlegen. Gruß Jan

Hi, warum nicht einfach durch neue Hardware inkl. Windows Server 2016 Essentials ersetzen (und die Domäne einfach beibehalten)? Gruß Jan

Nein. Seit AFAIK 6.0 U2 gibts auch ein 2 Node vSAN Cluser.

Hi, ich habe es nicht getestet, aber sollte das nicht mit einer Transport Regel und den Bedingungen Absender "innerhalb der Org", Empfänger "innerhalb der Org" und Anhang größer gleich "x KB" sowie der Aktion mit Tooltip oder eben NDR blocken klappen? Gruß Jan

Hi, entweder brauchst du noch eine geöffnete Klammer "(" oder du musst die erste geschlossene Klammer ")" löschen. Dann gehört foreach (For Each) sowie Export-CSV (Ex port-Csv) zusammengeschrieben. Unter Umstängen solltest du "Get-ActiveSyncDeviceStatistics" durch "Get-MobileDeviceStatistics" ersetzen. Gruß Jan

Hi, mit RDP AFAIK nein, da die Einstellung in der Computerrichtlinie der GPO erfolgt. Gruß Jan

Ja, stimmt, so ein Active Directory ist genau die Komponente im Netzwerk, mit der man experementieren und rumspielen sollte. #YOLO

Das das und das spricht entweder in der Tat für Satire oder für deinen Nickname. Sprich bitte um Himmels willen vorher mit einem Dienstleister über deine Pläne und lass dich davon abbringen!

Hi, da sollte sich doch was mit Test-NetConnection Disable-NetAdapter Enable-NetAdapter machen lassen. Gruß Jan

Austausch-Anfragen-Weiterleitungs-Tag ist allerdings nur freitags.

Hi, das geht AFAIK genau für einen User und zwar den, der die "Client Security" als erstes startet. Ich gehe davon aus, dass das auch in der neuen als sicher erklärten Version nicht anders geht. Ich würde allerdings auch davon absehen, etwas nicht freigegebenes zu betreiben. Gruß Jan

Hi, lässt sich auch bei Digicert / Symantec prüfen: https://www.websecurity.symantec.com/support/ssl-checker Unsere Kunden, die betroffen sind, wurden von der PSW Group angeschrieben. Dort werden die Zertifikate seitens Digicert getauscht. Gruß Jan

Hi, falls virtuell bzw. machbar ggfs. neuen Exchange 2016 CU10 in neue VM installieren, alles verschieben und den alten Exchange deinstallieren. Ansonsten: DR-fähiges Backup erstellen (und testen), Exchange Dienste deaktivieren, .Net 4.7.2 deinstallieren, Reboot, .Net 4.7.1 und VC 2013 installieren, Exchange 2016 CU10 installieren. Gruß Jan

Hi, solange dein DFL und FFL mindestens 2003 ist, kannst du direkt auf 2016er DCs (außer im unwahrscheinlichen Fall, dass du Windows Server 1709 nutzt). zu 1) Ja. Virtualisiert ihr? Wenn möglich würde ich immer auf 3 DCs setzen. Dann hast du im Falle einer Wartung immer noch 2 online. ;) zu 2) In der Regel "Ja". zu 3) Ja. Kein Zwischenschritt bzw. siehe oben in Klammern. zu 4) Theoretisch ja. In der Praxis würde ich immer Windows DNS für das AD (und seine Clients) nehmen. Alles andere kannst du zur Not ja später an die Bind9 forwarden bzw. das Benötigte von dort aus an die Win DNS forwarden. (Beim nochmaligen Lesen bin ich mir hier nicht sicher. Würde halt immer Win DNS nutzen ;)) zu 5) Grob: Server 2016 installieren, AD Rolle installieren, Promoten, Replikation abwarten, (FSMO Rollen übertragen auf einen 2016 DC), 2003 demoten, aus dem AD entfernen, ggfs. aufräumen. Dann solltest bzw. müsstest du SYSVOL von FRS auf DFS migrieren: https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/ zu 6) https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers zu 7) Das würde ich definitiv strikt trennen! Das klingt für mich allerdings so, als solltet Ihr euch da jemanden ins Haus holen, der das nicht zum ersten Mal macht. So ein AD ist halt nicht ganz unwichtig. Des Weiteren könnte es bei euch noch die ein oder andere Abhängigkeit geben, die man vorher prüfen / anpassen müsste. Gruß Jan

Hi, egal wie du einen Admin einschränkst, er kann es immer wieder umgehen bzw. rückgängig machen. Daher wäre der einzige Weg, die User aus den lokalen Administratoren zu entfernen. Gruß Jan

Hi, auf ein supportetes Betriebssystem updaten und dann weiter sehen. Gruß Jan

Hi, ich mache das mit IIS Crypto. Entweder an einem Server enrichten und von dort die Regkeys dann per GPP verteilen oder direkt die IIS Crypto CLI nutzen und dann per Script oder Task. Gruß Jan

Nicht zwingend. Ich würde zwar auch eher zu dem MS Artikel tendieren. Allerdings kann es nicht schaden einmal die Energieoptionen von Hardware / BIOS über Hypervisor bis hin ins Gues-OS zu checken. Da hat schon mancher Kunde von uns echte Wunder erlebt. ;)

Es gibt auch noch Energieoptionen bzw. Performanceoptionen im BIOS der Hosts sowie die Energieverwaltung des vSphere Host OS.

Hi, entweder das https://support.microsoft.com/en-us/help/297684/mapped-drive-connection-to-network-share-may-be-lost oder Energiesparoptionen am Server und / oder Client. Gruß Jan

Wenn du es richtig konfigurierst, dann sollte über jedes Team 10GBit, also ca. 20GBit, per SMB Multichannel machbar sein. Das könntest du per Converged Network auch über ein Team mit je 2 10GBE Adaptern erledigen. Theoretisch wäre über ein Team aus den 4 10GBE Ports mit Converged Network auch ca. 40GBit per SMB Multichannel machbar.

Klingt ein wenig nach (blindem) Aktionismus. Was gibt es denn für Probleme? Ich kann mich dank Cached Credentials z.B. auch offline ohne Domäne mit meinem Domänen Benutzer anmelden.

Hi, warum muss zwingend vor dem Login der Tunnel da sein? Ggfs. ist Always On VPN ein Ansatz: https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn/always-on-vpn/ Der Lancom VPN Client kann / konnte das z.B.: https://www2.lancom.de/kb.nsf/1275/F7276160EE3D2BF4C12575C4002E7EFA?OpenDocument Gruß Jan

Der Key wurde wohl öfters und nicht nur an dich verkauft. Key-Sharing quasi. Kannst dich ja mal an den Verkäufer wenden, was da schief läuft.