testperson

Wenn ich Kerberos komplett blocke, lässt sich der Cluster Manager nur öffnen, wenn die Cluster Ressource auf dem eigenen Node liegt. Öffnet man den Cluster Manager auf Node1, schiebt die Cluster Ressource auf Node2 und öffnet dort den Manager, lässt sich problemlos von beiden Knoten das Cluster bedienen. Was gar nicht funktioniert - egal ob Kerberos only oder mit NTLM, ist die VM Konsole einer VM auf dem anderen Knoten zu öffnen. (Das wird aber vermutlich daran liegen, dass ich das noch nicht umgesetzt habe (Remotely manage Hyper-V hosts | Microsoft Learn)). "Incoming NTLM" auf "Deny all domain accounts" oder "Allow all" und folgende Ausnahmen scheinen laut Eventlog das Minimum zu sein Auf Knoten ADLESS-HV01: RPCSS/ADLESS-HV02 RPCSS/ADLESS-HV02.workgroup.cluster host/ADLESS-HV02 host/ADLESS-HV02.workgroup.cluster MSServerClusterMgmtAPI/adless-cluster02 MSServerClusterMgmtAPI/adless-cluster02.workgroup.cluster cifs/ADLESS-HV02 cifs/ADLESS-HV02.workgroup.cluster Auf Knoten ADLESS-HV02: RPCSS/ADLESS-HV01 RPCSS/ADLESS-HV01.workgroup.cluster host/ADLESS-HV01 host/ADLESS-HV01.workgroup.cluster MSServerClusterMgmtAPI/adless-cluster01 MSServerClusterMgmtAPI/adless-cluster01.workgroup.cluster cifs/ADLESS-HV01 cifs/ADLESS-HV01.workgroup.cluster

Konntest du den Cluster Kerberos-only erstellen? Bei mir war eine Validierung mit aktiviertem NTLM blocking nicht möglich. Jetzt "im Betrieb" ist Kerberos-only kein Problem.

Dann schreibe notfalls die SID in die "GptTmpl.inf" unter "\\%USERDNSDOMAIN%\sysvol\%USERDNSDOMAIN%\Policies\{Id des GPOs}\Machine\Microsoft\Windows NT\SecEdit" ... SeServiceLogonRight = *S-1-5-80-0 ... Ggfs. kannst du auch einen "Dummy Eintrag" in der GPMC hinzufügen und im Anschluss diesen in der Datei einfach durch die SID ersetzen.

Hi, was findet sich denn derzeit bei euch in "SeServiceLogonRight", was ist passiert und welche Probleme gibt es? User Rights Assignment - Windows Security | Microsoft Learn Log on as a service - Windows Security | Microsoft Learn Gruß Jan

Hi, wäre es im Rahmen des Möglichen, dass du die Hinweise zur Extended Protection (Exchange Server support for Windows Extended Protection | Microsoft Learn) hättest vor dem Update beachten sollen? Gruß Jan

Hi, was ist das denn für ein Terminalserver OS? Bei Server 2016 habe ich sehr häufig Probleme mit dem Benachrichtungscenter und diversen Apps erlebt. Hast du mal den Holzammer getestet und ein komplett neues Profil für einen betroffenen User angelegt? Gruß Jan

Hi, AFAIK wurde in Chrome bzw. den Browsern(?) eine Anpassung gemacht, dass das nicht mehr geht. Bin mir aber nich 100 % sicher. Es kann auch sein, dass Wildcards nicht mehr gehen. Ich habe es jedenfalls aufgegeben, den Prompt zu unterdrücken. Wäre es evtl. möglich, einfach die Citrix Workspace App per GPO zu konfigurieren und nicht über den Browser zu gehen? Gruß Jan

Wo brauchst du das Update? Ob das Kerberos, NTML oder was ganz anderes ist? Oder einfach nur, ob es jetzt auch ein Hyper-V Failover Cluster domainless inkl. Live Migration lauffähig ist?

Hi, evtl. traefik? Ansonsten würde ich fast behaupten, dass das mit dem Citrix Netscaler machbar sein sollte. Wobei ich mich in dem Bereich am Netscaler nicht auskenne. ;) Gruß Jan

Welcher DNS Server ist denn im Einsatz? Sollten da nicht entsprechende Fehler protokolliert werden?

Hi, das CNO und die Nodes benötigen die Berechtigung für das DNS Update (Schreiben(?) / Vollzugriff(?)) des Eintrages "Cluster Name". Gruß Jan

Wenn ich mir das CVE-2024-21410 (CVE-2024-21410 - Security Update Guide - Microsoft - Microsoft Exchange Server Elevation of Privilege Vulnerability) ansehe, ist ohne aktivierte EP wohl keine Lösung...

Das ist (AFAIK) nicht das Startmenü. Klicke einmal auf den Start-Button und versuche dort _im Startmenü_ das Kontextmenü aufzurufen.

Hi, warum in der Registry (an der falschen Stelle) und nicht per GPO? Computer: GPS: Disable context menus in the Start Menu (gpsearch.azurewebsites.net) HKLM\Software\Policies\Microsoft\Windows\Explorer User: GPS: Disable context menus in the Start Menu (gpsearch.azurewebsites.net) HKCU\Software\Policies\Microsoft\Windows\Explorer Gruß Jan

Da ein weiteres, neues Feature "local KDC" (The evolution of Windows authentication | Windows IT Pro Blog (microsoft.com)) ist, könnte Kerberos jedenfalls möglich sein.

Und hier wird es meiner Meinung nach nicht nur im KMU "schwierig". Das Sammeln passiert sicherlich 24/7. -> Das Auswerten auch? -> Jetzt gibt es ja entsprechende MDR und/oder SOC (as a Service) Lösungen. -> Ist ein passender / sind passende Entscheider 24/7 auf Abruf verfügbar? -> Ist ein passender / sind passende Techniker 24/7 verfügbar, um den Entscheidungen Taten folgen zu lassen? Natürlich ist es hilfreich am nächsten (Werk) Tag die Info zu haben, dass es verdächtige Aktivitäten gab/gibt. Aber ob es dann nicht bereits zu spät ist?

In den neueren vNext / Windows Server 2025 Preview Builds ist dann scheinbar das Hyper-V Workgroup Cluster mit Support für Live Migration verfügbar: AD-less live migration in Windows Server 2025 (preview) | Luka Manojlovic

Hi, an der Stelle kannst du dir Windows Autopilot ansehen. Hier solltest du einen groben Überblick über das Vorgehen bekommen: Windows Autopilot Hybrid Domain Join Step By Step Guide 1 (anoopcnair.com) Gruß Jan

Hi, dann verschiebe die Mailbox mal in eine andere oder neue Datenbank. Ansonsten wären Informationen zum eingesetzten Exchange samt Patchstand sowie der genutzten Outlook Version hilfreich. Gruß Jan

Im Norden kann man an Wieverfastelovend (Weiberfastnacht) sicherlich einen ruhigen Donnerstag wünschen. Immerhin dürfte das Arbeitsaufkommen für die Schaffenden bis spätestens 11:11 Uhr drastisch abnehmen.

In diesen Umgebungen wird das sicherlich auch Gründe gehabt und Sinn gemacht haben. Dort wird es dann _vermutlich_ auch relativ einfach gewesen sein, an einem Tag X die Systeme mit Windows 10 oder 11 zu betanken.

Hi, bei vielen Windows 7 Systemen dürfte die Hardware mittlerweile zwischen 5 bis 10 Jahre alt sein. Alleine das wäre für mich schon ein Grund zum Tausch. Gruß Jan

Womit wir das Problem identifiziert hätten. ;) Auch mit Single NIC würde ich tatsächlich den Hyper-V Switch per SET bauen. :)

Das würde ich dann gleich mit abschaffen. ;)

Wenn das mit dem RSC am vSwitch hilft, _vermute_ ich, du setzt noch kein Switch Embedded Teaming (SET) für den Hyper-V Switch ein. Dann würde ich eher eine "Migration" auf SET vSwitch angehen.