daabm

"Im laufenden Betrieb" passiert das eher seltenst (mir jedenfalls noch nicht vorgekommen), daher kann ich nichts dazu sagen. Ich kenne das tatsächlich nur "beim Boot".

Schwätz ihr ein E-Mobil auf. Bei den brauchbaren ist die Standheizung mit Zeitvorwahl und Fernbedienung inklusive. SCNR

Doch doch - wir haben ja selbständige Kunden, die manchmal komische Sachen machen. Server im zentralen Management einfach löschen (statt sie außer Betrieb zu nehmen), dann aber weiterlaufen lassen z.B.

Hast Du den Propagation Test für Sysvol gemacht? Ich vermute "nein" Ansonsten hätte ein "D2-Restore" für diesen DC auch geholfen: https://support.microsoft.com/en-us/kb/2218556 (Bevor einer was erzählt wegen "D2 für DFSR gibt's nicht" - erst Link anklicken...)

Man beginne mit F12 im Browser - Netzwerkanalyse. Mache parallel dazu Netzwerktraces, um DNS zu erfassen sowie "raw" Timing-Daten des https-Traffics. Und dann konsolidiere das alles in einer gigantischen Tabelle Oder man nimmt in dem Moment erst mal einfach nen gewöhnlichen DSL Speedchecker, der verrät einem direkt, ob es eher am externen INet-Zugang liegt oder am internen Netz.

Nur um noch mal darauf hinzuweisen: Das heißt NICHT, daß der Client sich nicht mehr in der Domäne wähnt. Das heißt nur, daß der Client sich gegen die Domäne nicht authentifizieren konnte und daß es deshalb keinen Secure Channel gibt und danach alles mögliche andere auch noch schief geht. Es MUSS in so einem Fall vorhergehende andere Fehler geben. Oder - eher unwahrscheinlich - es gibt vergessene Domain Controller, die nicht mehr replizieren und auf denen deshalb das Computerkennwort nicht "in Sync" ist. Nicht lachen - kommt bei uns leider regelmäßig vor, daß irgendwo noch ein RODC/WDC steht, der schlicht vergessen wurde sauber außer Betrieb zu nehmen.

Wenn ich das richtig interpretiere, arbeitet er mit dem sa, das ist ein SQL-interner User (über Für und Wider wollen wir hier nicht diskutieren ). Da wird im AD nichts zu finden sein. Wenn das so richtig ist, bin ich ab jetzt still, weil ich von SQL-Auth keine Ahnung habe (und von Wartungsplänen und SMSS auch nur oberflächlichst).

Ich würde ja primär mit den Eventlogs auf den Clients anfangen, bevor ich die ganze Infrastruktur durchprüfe Und wegen 2 Geräten - wenn's mit nem Neustart behoben ist - ok, beobachten, aber "aktiv" würde ich da noch nicht werden.

[OT] Ne, nicht zu viele DCs. Auf den Synologys laufen 2 virtuelle DCs in QEmu (glaub ich jedenfalls ). Zentraler "Switch" ist eine 7530ax. Und - ich hab hier schon mal nen Thread dazu aufgemact - seit einem Zeitpunkt X bekommen Computer über WLAN in der Konfiguration keine Kerberos-Tickets mehr. "Irgendwann" funktioniert es dann zufällig mal. Kerberos Packet Size steht auf 1 (TCP erzwungen), UDP out of order scheidet also aus. Mi tMTU hab ich auch schon experimentiert, ohne Ergebnis. Also nen 3. DC dazugestellt als VM auf einem sparsamen Arbeitsrechner. [/OT]

Hatte ich auch erst, aber dann kam ein eigenartiges Problem mit WLAN und virtuellen DCs auf Synology-VMs. Daher ein dritter

Das Go2 ist Win11-ready, läuft hier schon seit längerem so. Sollte keine Probleme geben

@Weingeist Ich hab sogar privat 3 DCs am laufen - und das sind nur 3 natürliche Benutzer... Die fressen kein Heu, laufen mit 2 GB RAM als VM "irgendwo" mit. Und ich hab keinerlei Streß damit. In Prod skalieren wir 1 DC pro 10k Benutzer. Unsere größten Domains haben wegen Geo- und lokaler Redundanz >30 Domain Controller (1/3 davon muß die gesamte Anmeldelast abkönnen), und auch da haben wir keine Probleme mit irgendwelchen Replikationen. Deine Argumente oben passen für mich auch fachlich nicht zu dem, was ich von Dir in anderen Threads schon in hoher Qualität gelesen habe.

Genau das - SupportedETypes auf 28 gesetzt zusätzlich zur GPO.

Ruf doch diese SophosZap.exe mal mit psexec auf: "psexec -s <Pfad>\SophosZap.exe" - das startet sie als SYSTEM. Vielleicht gibt's Erkenntnisse

Korrekt. Sobald ein SAN gesetzt ist, wird der CN ignoriert. Der CN muß dann auch in den SANs auftauchen. RFC könnte ich raussuchen, hab aber grad keine Lust

Nein. Mußt Du durchrekursieren.

Das wäre lieb, wenn ich da mal ne Erfahrung von anderen bekommen kann - danke!

Jo, Alert klingt "echt prima" Das ist das Äquivalent zu den Security Advisories von MS zu den Patchdays. Und wir mußten nicht erst einen davon stoppen oder zurückrollen oder aktiv Reparaturmaßnahmen einleiten. Das meinte ich oben - der Schotter, den MS da teilweise verzapft, hilft uns nicht. Und der Schotter, den sie ausliefern, hat schon zu oft Schaden angerichtet. Wir haben zu viele Syteme, die zu heterogen sind mit zu vielen Abhängigkeiten bei NTLM und Kerberos mit verschiedenen Crypto-Algorithmen...

Die Doku von MS dazu ist "bescheiden"... Wir haben Dein 3. konfiguriert, mußten aber 2. auch noch machen, um ein konsistentes Verhalten zu bekommen. Steht nur nirgends genau beschrieben.

Machs wie Norbert schreibt. Geht schneller und erzeugt weniger graue Haare

Somfy ist nicht b***d... https://shop.somfy.de/somfy-renovierungskit-funk.html (auch wenn da Renovierungskit steht - in den neuen Rollläden steckt der gleiche Motor) Der Funkempfänger und Aktor ist im Motor integriert. Die Idee wäre sonst nicht schlecht.

Jo dachte ich mir schon. Wollte mal "freundlich" und zuvorkommend sein

Läuft sie überhaupt? Und wenn ja: Passiert da irgendwas, das ein User-Interface hat? Das geht nicht...

Die Remote App kann durchaus auch die Prozesse auf dem Client sehen - Stichwort "WinRM". Kommt halt drauf an, wie sie das machen möchte

Wenn die Laufwerke FVE aka Bitlocker haben, welchen Sinn hat dann ein Fullscan?