testperson

Ja, stimmt, so ein Active Directory ist genau die Komponente im Netzwerk, mit der man experementieren und rumspielen sollte. #YOLO

Das das und das spricht entweder in der Tat für Satire oder für deinen Nickname. Sprich bitte um Himmels willen vorher mit einem Dienstleister über deine Pläne und lass dich davon abbringen!

Hi, da sollte sich doch was mit Test-NetConnection Disable-NetAdapter Enable-NetAdapter machen lassen. Gruß Jan

Austausch-Anfragen-Weiterleitungs-Tag ist allerdings nur freitags.

Hi, das geht AFAIK genau für einen User und zwar den, der die "Client Security" als erstes startet. Ich gehe davon aus, dass das auch in der neuen als sicher erklärten Version nicht anders geht. Ich würde allerdings auch davon absehen, etwas nicht freigegebenes zu betreiben. Gruß Jan

Hi, lässt sich auch bei Digicert / Symantec prüfen: https://www.websecurity.symantec.com/support/ssl-checker Unsere Kunden, die betroffen sind, wurden von der PSW Group angeschrieben. Dort werden die Zertifikate seitens Digicert getauscht. Gruß Jan

Hi, falls virtuell bzw. machbar ggfs. neuen Exchange 2016 CU10 in neue VM installieren, alles verschieben und den alten Exchange deinstallieren. Ansonsten: DR-fähiges Backup erstellen (und testen), Exchange Dienste deaktivieren, .Net 4.7.2 deinstallieren, Reboot, .Net 4.7.1 und VC 2013 installieren, Exchange 2016 CU10 installieren. Gruß Jan

Hi, solange dein DFL und FFL mindestens 2003 ist, kannst du direkt auf 2016er DCs (außer im unwahrscheinlichen Fall, dass du Windows Server 1709 nutzt). zu 1) Ja. Virtualisiert ihr? Wenn möglich würde ich immer auf 3 DCs setzen. Dann hast du im Falle einer Wartung immer noch 2 online. ;) zu 2) In der Regel "Ja". zu 3) Ja. Kein Zwischenschritt bzw. siehe oben in Klammern. zu 4) Theoretisch ja. In der Praxis würde ich immer Windows DNS für das AD (und seine Clients) nehmen. Alles andere kannst du zur Not ja später an die Bind9 forwarden bzw. das Benötigte von dort aus an die Win DNS forwarden. (Beim nochmaligen Lesen bin ich mir hier nicht sicher. Würde halt immer Win DNS nutzen ;)) zu 5) Grob: Server 2016 installieren, AD Rolle installieren, Promoten, Replikation abwarten, (FSMO Rollen übertragen auf einen 2016 DC), 2003 demoten, aus dem AD entfernen, ggfs. aufräumen. Dann solltest bzw. müsstest du SYSVOL von FRS auf DFS migrieren: https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/ zu 6) https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers zu 7) Das würde ich definitiv strikt trennen! Das klingt für mich allerdings so, als solltet Ihr euch da jemanden ins Haus holen, der das nicht zum ersten Mal macht. So ein AD ist halt nicht ganz unwichtig. Des Weiteren könnte es bei euch noch die ein oder andere Abhängigkeit geben, die man vorher prüfen / anpassen müsste. Gruß Jan

Hi, egal wie du einen Admin einschränkst, er kann es immer wieder umgehen bzw. rückgängig machen. Daher wäre der einzige Weg, die User aus den lokalen Administratoren zu entfernen. Gruß Jan

Hi, auf ein supportetes Betriebssystem updaten und dann weiter sehen. Gruß Jan

Hi, ich mache das mit IIS Crypto. Entweder an einem Server enrichten und von dort die Regkeys dann per GPP verteilen oder direkt die IIS Crypto CLI nutzen und dann per Script oder Task. Gruß Jan

Nicht zwingend. Ich würde zwar auch eher zu dem MS Artikel tendieren. Allerdings kann es nicht schaden einmal die Energieoptionen von Hardware / BIOS über Hypervisor bis hin ins Gues-OS zu checken. Da hat schon mancher Kunde von uns echte Wunder erlebt. ;)

Es gibt auch noch Energieoptionen bzw. Performanceoptionen im BIOS der Hosts sowie die Energieverwaltung des vSphere Host OS.

Hi, entweder das https://support.microsoft.com/en-us/help/297684/mapped-drive-connection-to-network-share-may-be-lost oder Energiesparoptionen am Server und / oder Client. Gruß Jan

Wenn du es richtig konfigurierst, dann sollte über jedes Team 10GBit, also ca. 20GBit, per SMB Multichannel machbar sein. Das könntest du per Converged Network auch über ein Team mit je 2 10GBE Adaptern erledigen. Theoretisch wäre über ein Team aus den 4 10GBE Ports mit Converged Network auch ca. 40GBit per SMB Multichannel machbar.

Klingt ein wenig nach (blindem) Aktionismus. Was gibt es denn für Probleme? Ich kann mich dank Cached Credentials z.B. auch offline ohne Domäne mit meinem Domänen Benutzer anmelden.

Hi, warum muss zwingend vor dem Login der Tunnel da sein? Ggfs. ist Always On VPN ein Ansatz: https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn/always-on-vpn/ Der Lancom VPN Client kann / konnte das z.B.: https://www2.lancom.de/kb.nsf/1275/F7276160EE3D2BF4C12575C4002E7EFA?OpenDocument Gruß Jan

Der Key wurde wohl öfters und nicht nur an dich verkauft. Key-Sharing quasi. Kannst dich ja mal an den Verkäufer wenden, was da schief läuft.

Hi, man könnte noch die Migration der SBS Domain und Exchange in abc.local per ADMT in Betracht ziehen. Aber naja, das kommt sicherlich drauf an. Gruß Jan

Hast du es mal, wie "von mir beschrieben", im nicht Policies Zweig versucht: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer -> HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer Und wie gesagt, ab Windows Server 2016 1709 (https://docs.microsoft.com/en-us/windows-server/get-started/get-started-with-1709) sollte es auch der Server übernehmen.

Hi, poste doch mal "ipconfig /all" von einem Client und Server. Gruß Jan

Versuchen wir es doch noch mal mit dem Grundproblem: Was sind das für Prozesse, welches Programm läuft denn da wie und was tut es? Lässt sich das Programm / der Prozess als Dienst einrichten? Der Ansatz wäre, all das, was du da händisch tust, "einfach" zu automatisieren.

Du könntest dir aber ein Server OS (Windows Server 2016) samt CAL kaufen, auf deinem PC installieren und dort den WSUS (mit)laufen lassen. Oder eine VM in Azure oder sonst wo dafür betreiben. Evtl. hilft es auch irgendwas als WSUS in die Registry einzutragen und Zugriff auf Windows Update per Richtlinie / Registry zu deaktivieren und wenn du patchen möchtest halt zurückzudrehen. Evtl. kannst du mit Wireshark mitschneiden, was der WSUS dem Client mitteilt, wenn es grade keine (neuen) Updates gibt. Das Ergebnis sendet dann ein IIS auf dem Win10 als Antwort an den WU-Client.

Hi, die Einstellung "Sichtbarkeit von Einstellungsseiten" greift erst ab 1709. Selbst wenn du 1709 installieren könntest / dürftest ist so ein Server-Core-Only Release doof für RDS. Die Einstellung setzt ja nur folgenden Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer REG_SZ SettingsPageVisibility mit dem Wert showonly:<was auch immer> bzw. hide: <was auch immer>. Ggfs. klappt es, wenn du den REG_SZ SettingsPageVisibility mal in HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer erstellst. Als Wert zum testen evtl. "showonly:windowsupdate". Ansonsten kenne ich auch nur ganz oder gar nicht. Gruß Jan

Meine "Prozesse" laufen auf einem Server als Dienst und starten sich in der Regel von alleine kontrolliert. Oder was sind das für Prozesse? Dafür fällt mir spontan nur ein WSUS ein. Oder, wie du oben schon geschrieben hast, per Workaround "getaktete Verbindung". Ob das aber auch alles zuverlässig klappt, keine Ahnung. WSUS und / oder Prozesse als Dienst auf Server. Bei mir funktioniert dert Link.