MurdocX

An der Idee an sich ist nichts verwerflich. Du möchtest so professionell wie möglich machen, das verstehe ich. Wenn wir den lokalen DHCP und den DHCP-Relay gegenüberstellen und deine Anforderungen mit einspielen lassen, dann würde ich die lokale Variante wählen. Es spricht ja nichts diese in einer MMC zu verwalten, oder?

Der administrative Aufwand eine DHCP-Servers kann m. M. n. vernachlässigt werden. Bei 2 statisch vergebenen IP-Adressen hast du den Aufwand wieder drin. Oder was wird in deinem Fall großes anfallen? Vielleicht können wir dort ansetzen.

Ok und wo siehst du dann den Vorteil gegenüber vorher? Der Server wird dadurch nicht aufgelöst, laut deiner Beschreibung. Es kommt anscheinend auch noch einer hinzu. Der wegfallende Server wäre für mich der Benefit der Aktion dann gewesen. Aber so könnte er auch gleich die DHCP-Rolle behalten. So wird der administrative Aufwand auch noch erhöht.

Hab ich oben auch schon geschrieben

IE 11 incl. letztem CU vom Februar habe ich keine Probleme hier im Forum. Wobei ich lieber den Edge nutze

@pittzinn Was soll repliziert werden? Greifst du auf den Computernamen oder auf die IP darauf zu? Wurden die richtigen Zugangsdaten des Computers hinterlegt?

Du könntest die Konfiguration auch im Benutzerobjekt im AD erledigen, dann wird das Domänen-Suffix nicht angehängt.

Das stimmt so nicht. Anmeldung: Domäne\Administrator -> Domänen-Admin ( Falls nicht umbenannt ) ".\Administrator" oder "Computername\Administrator" -> Lokalen Admin ( Falls nicht umbenannt )

Fassen wir das Ganze zusammen: Ok, Fakten wurden geschaffen. Du weißt also nun das es so nicht klappt wie du Dir das so vorgestellt hast. Vorschläge & Ratschläge von Forenmitgliedern wurden Dir zugetragen. Was gedenkst du nun zu tun, nachdem du nun die Informationen hast?

Anderst herum kann ja jeder .. Vielleicht werden wir noch mit Anforderungen erhellt. Die DHCP-Rolle würde jetzt m.M.n. nicht mehr ins Gewicht fallen. Den administrativen Aufwand betreibst du eh schon für die Kiste. Erster Fall: Nehmen wir an die MPLS-Leitung fällt morgens aus und du hast keine lokale DHCP-Rolle installiert, dann würde sich niemand anmelden können, da keine IP-Adressen verteilt werden. Ergo, dann ist auch egal ob auf dem Server die Files/Portale oder egal was liegt, denn es kann keiner mehr darauf zugreifen. Aus diesem Fall wird Dir klar werden, dass eine lokaler DHCP keine schlechte Idee ist. Zweiter Fall: Es sind eh keine Daten auf dem Server, weil er nur RODC macht und die Daten in der Zentrale liegen, dann wäre es vollkommen egal ob es einen lokalen DHCP vor Ort gibt oder nicht. Es kann eh nicht gearbeitet werden. Dies sind nur zwei allgemeine Fälle, die aber Dir deutlich machen sollen, dass es immer auf die Anforderungen ankommt, die an die EDV gestellt werden. Deswegen wird so oft darauf hingewiesen.

Ich schließe mich Sunny61 und lefg an. Nochmal kurz die Punkte angebracht: - Was sagt die Ereignisanzeige? - Wurde das Profil nochmal neu angelegt? Hier ist es unerheblich ob ein Benutzer "neu" im AD ist. - Sind die Systemtreiber aktuell? - Mit sfc.exe das System prüfen ( sfc.exe /scannow ) - Sind alle Windows Updates installiert? - Besteht das Problem auch nach einem Clean-Boot? ( https://support.microsoft.com/en-us/help/929135/how-to-perform-a-clean-boot-in-windows ) PS: Ich kenne so ein Verhalten von Kunden-Rechnern die durch die Hersteller "vermüllt" ausgeliefert und so eingesetzt wurden.

Falls du ein Anderes einsetzt, dann muss dieses den Key setzen. https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software

Sind einschlägige Fehler in euren Ereignisprotokolls eures DNS (DC) - Servers vorhanden?

Vermutlich hat sich die Ansteuerung geändert und deine Hardware oder Treiber sind eben nicht mehr 100% kompatibel. Die IT verändert sich täglich, da wird/kann bei mehreren Millionen Geräten nicht immer drauf geachtet werden.

Wenn wir eine hohe Leitungslast haben, dann erhöht sich höchstens die Latenz und die Antwort kommt leicht verzögert. Aber die Antwort kommt... Hier stimmt irgendwas anderes noch nicht. Ich hab solche Fehler auch schon mal bei einem defekten Interface, Netzwerkkabel und bei einem Treiberfehler gehabt. Interessant wären hier mal die Anzahl CRC Fehler und Kollisionen auf den Switchen.

Welche Regeln sind denn auf der Firewall eingestellt? Ist auf der extern gewarteten Firewall Port 53 für Anfragen von Clients freigegeben? DNS-Anfragen auf die Firewall direkt mal probiert?

Erst wenn vom Defender ein Registry-Key für Windows Update gesetzt wurde, wird dem Computer das 2018-01 oder höher angeboten. Die ist ein Schutz für den Computer, falls das AntiViren-Programm nicht kompatibel mit den Kerneländerungen von MS ist. Siehe Specte & Meltdown

SMB-Direct ist noch dabei, fall viele Daten mit dem Server ausgetauscht werden müssen. Das macht die Sau aber auch nicht fett Ich kann mich Zahni nur anschließen. >2TB Ram oder mehr CPUs sind sehr selten.

Nur weil man es immer so gemacht hat, heißt das ja noch lange nicht das man es weiterhin so machen muss Das könntest du z.B. über die Powershell machen. Der Befehl zum auslesen des Besitzers lautet Get-Acl um den Besitzer zu ändern könntest du z.B. diesem Blog hier folgen: https://learn-powershell.net/2014/06/24/changing-ownership-of-file-or-folder-using-powershell/ Leider habe ich noch nicht verstanden was der Sinn und Zweck der Aktion ist, denn der ist ja maßgeblich für die Aktion, oder?

Folgendes: "Vollzugriff" Benötigt kein Benutzer, sondern nur der Admin! Für die Benutzer sollte "Ändern" das höchste der Gefühle sein. Die Dateien sollten im Besitz der Administratoren sein, damit auch Berechtigungen problemlos von den lokalen Admins verwaltet werden können. Übernehmen der Dateiownerships für alle Dateien und Ordner * takeown.exe /F D:\MeineFiles\* /A /R Die Frage wäre nun noch, ob es in deinem Fall überhaupt nötig ist die Besitzer-Berechtigung zu behalten und welcher Usecase sich daraus bei euch ergibt?

oder einfach auf http://www.it-explorations.de/windows-bereitstellungsdienste/

Der "Change User" - Modus bewirkt nur, dass die Registry-Konfigurationen und die Ini-Konfig die unter dem Benutzer des Administrators landen, aufgezeichnet werden und in das "System Directory" eingefügt werden. Hier würde ich sagen, dass die Konfiguration von den anderen Benutzern nicht gelesen werden kann. Da kannst du ansetzen. Kurzer Exkurs: MS Docs | Change user https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-xp/bb490794(v=technet.10)

Wie soll denn diese Aufnahme funktionieren? Du musst in der Registry keine Einstellungen ändern, sondern in der Konfiguration deiner RDP-Verbindung auf deinem verbindenden Computer unter "local ressources" ( mstsc.exe > options > local ressources ). Die deutsche Bezeichnung habe ich gerade nicht zur Hand.

Wir hatten mehr als über 300+ Geräte in einem Netz und unsere Switche haben sich nur gelangweilt. Ich würde das Thema nicht überbewerten! Das Netz zu trennen, also mehrere Netze oder die Geräte in VLANs zu stecken, nur um Broadcast zu vermeiden halte ich für Unfug. Was ist denn das Ziel? Mehr Sicherheit? Dann könnte man den Windows-Datenverkehr doch einfach verschlüsseln. Die Boardmittel sind doch in Windows enthalten. Sicherheit ist relativ. Es kommt immer darauf was man genau erreichen möchte.

Ein Kollege kam vor einiger Zeit mit der Aussage, dass DirectAccess nicht weiterentwickelt wird. Er hatte die Antwort bei Rahmenvertragsverhandlungen bei MS bekommen, wenn ich mich jetzt nicht komplett irre. In der Sophos UTM (SG) kannst du das alles abbilden. Die XG kann ich Dir aus meiner Erfahrung nicht empfehlen. Als Protokoll dann L2TP benutzen, das kann Windows in seinen Clients nativ. Von der Sophos musst du dich dann deinem RADIUS-Server bedienen, denn AD-Auth ist nur dann möglich. Lokale Auth ist auch ohne Radius möglich. Falls du auf den RADIUS-Server verzichten willst, kannst du auch reine IPSec-Verbindungen benutzen, jedoch benötigst du dann einen anderen VPN-Client. Die VPN-Verbindungen kannst du bequem über die Powershell einrichten.