daabm

Verschaff Dir Vollzugriff dann geht es auf jeden Fall. Ich weiß leider nicht auswendig, was genau hinter den extendedRights steckt, macht alles meistens ein Kollege.

Man könnte auf die Idee kommen, das mal aus Sicht von DNS zu testen:

nslookup -type=ALL _msdcs.intern.example.de

(ALL muss groß geschrieben werden...)

Wenn da nix kommt, geht die Sucherei los

Was soll daran gefährlich sein?

Was hat Proxmox damit zu tun außer "nichts"? Du kannst nen Trace erstellen, aber das wird mühsam und groß - dann wüsstest Du, wo es herkommt.

Ich find auch nix gescheites dazu - irgend ein Client/Device in Deinem Netz stellt ungültige KDC-Anfragen...

Meine samid ist 7 Stellen lang. Zeig mir mal ne Mailadresse, die kürzer ist 😂

Wenn Du keinen Proxy hast: Funktioniert nslookup auf die Seite?

Am 15.1.2025 um 17:56 schrieb NorbertFe:

Ja, aber dafür würde man keinen Domain Admin nutzen ;)

Alternativ würde man keinen RODC nutzen. Macht das Leben auf lange Sicht wesentlich entspannter

Der Sinn von Namespaces war eigentlich, genau eben NICHT Hunderte von Freigaben zu haben

1. Den SPN mußt Du setzen für jeden Namen, den ein Client zum Zugriff verwendet. Interessante Aufgabe übrigens, wenn man CNAME verwendet. Je nach Client macht der gar keine Auflösung ("used as typed"), einmalige Auflösung (verwendet den ersten Record, den er findet), rekursive Auflösung (verwendet den A-Record Name) oder gar erst forward Lookup auf die IP, reverse Lookup auf den Hostname und den dann verwenden. Ein Heidenspaß...

2. Jeder SPN muss natürlich auch "irgendwie" per DNS erreichbar sein. Wie Du das erreichst, ist Deine Entscheidung

Metadata Cleanup.

Am 7.1.2025 um 12:44 schrieb wznutzer:

 

weil ich meine DCs per Firewall vom Rest trennen will, würde ich gerne die dynamischen Ports beschränken. Mircosoft hat es gut beschrieben und es funktioniert auch. Hat jemand Erfahrung damit, ob es evtl. ein Lastenproblem geben könnte oder kommen die DCs gut damit klar, wenn alles über ein Port läuft?

Warum sollte man das tun, wo ist der Mehrwert? Ein offener Port, hinter dem es keinen Listener gibt, ist kein Sicherheitsrisiko. Und auf DCs sollte da nichts "zufällig" dazukommen. Man fährt auch bei RPC gut damit, einen unternehmensweiten Standard zu haben - wir haben "aus Gründen" 3 unterschiedliche RPC-Ranges, das treibt einen in die Verzweiflung

Und wenn Du die RPC-Ports von AD statisch festlegst, dann änderst Du ja nichts an der Architektur. Du verhinderst nur, daß der EPM eine "zufällige" Portnummer in seinem Range vergibt. Mit Last hat das nichts zu tun.

Wer List Object MOde verwendet und "manuell" administriert, der MUSS den DefaultSD von nahezu allem bearbeiten, sonst könnte man sich schon ersteres sparen

Anmelden mit Mailadresse ist ne Schnapsidee... Macht keiner, weil die viel zu lang ist.

Und was steht in den XML-Daten des Events?

Ich kann da leider gar nichts beitragen - wir haben RODC aus unserem Wortschatz und Portfolio gestrichen...

Wie gesagt, nur ne diffuse Vermutung ohne jeden konkreten Anhaltspunkt - ich find's ja auch seltsam...

Ditto - die Weihnachtsferien haben für mich heute begonnen 👍

Mal ein Blick in die - trübe - Glaskugel: Ist da möglicherweise eine obskure Security-Software im Spiel, die die Cached Credentials löscht?

vor 9 Stunden schrieb testperson:

• contoso.com (no dot) matches contoso.com, www.contoso.com, and sub.www.contoso.com
• .www.contoso.com (with a dot prefix) only matches www.contoso.com

Wer auch immer sich den Scheiß nun wieder ausgedacht hat... Sie waren bei den Zone Assignments schon kreativ genug, jetzt setzen sie noch mal eins drauf mit komplett anderer Syntax. Könnte jemand mal bei MS anklopfen, wie Regex funktioniert und daß das jeder mit etwas Recherche damit hinbekommt?

Manchmal möchte man einfach den großen Eimer nutzen...

vor 23 Stunden schrieb wegu1:

Danke dafür, dass Du Dich meines - eigentlich unwichtigen - Problems annimmst.

Ein kleiner Ausflug in die Filosofie: Es gibt keine unwichtigen Probleme, wenn es Probleme anderer sind. Niemand hat das umfassende Hintergrundwissen, die Relevanz von Problemen anderer für ebendiese Anderen zu beurteilen

Und wenn Du weitermachen willst: Beschäftige Dich mit Splatting (der Krempel mit dem $Parms=@{} und @Parms) und mit den unendlichen Möglichkeiten von DateTime-Objekten.

Servus Günter. Ok, Du bist offen und bereit zu lernen, schon mal gute Voraussetzungen

Du willst ja immer Copy-Item ausführen, eigentlich auch immer mit den gleichen Parametern, die nur unterschiedliche Inhalte haben, da wäre Splatting die einfachste Variante. Ganz grob:
 

$Params = @{
    Path = $SourceFile
    Destination = $TargetFolder
}
Copy-Item @Params

Den Inhalt von $Params baust Du Dir in Deiner If-Rutsche dann jeweils unterschiedlich zusammen. Geht übrigens auch "gesplittet":
 

$Params = @{
    Path = $SourceFile
}
Copy-Item @Params -Destination $TargetFolder

Man "könnte" deinen aktuellen String auch an Invoke-Expression verfüttern, aber das ist "bad bad style"

Und ansonsten zerlegst Du am Anfang alle Eigenschaften von DateTime-Objekten in Strings, um die dann mühsam wieder miteinander zu vergleichen. Das geht wesentlich einfacher, aber da hab ich grad keinen Kopf dafür, muss gleich erst mal so was "Nebensächliches" wie Abendessen machen

vor 4 Stunden schrieb msdtp:

Auch Testumgebungen könne produktiv sein.

Das ist so ein grundsätzliches Problem - was der eine als Testumgebung betrachtet, ist für den anderen schon produktiv (oder produktionsnah). Wenn man da keine klaren Vereinbarungen hat, wird's im Zweifel schwierig

Deine Joins bauen einen String zusammen, keinen Befehl... Code kann man hier im Forum übrigens auch formatiert einfügen. Und wenn Du Deinen Variablen sprechende Namen gibst, verstehen Dritte schneller, was da überhaupt passiert.

If (($cm -eq $cmdez) -and ($edat1 -lt $cd))
    {-join($a,$b,$c,$adv1,$d,$e)}
If (($cm -eq $cmdez) -and ($cd -gt $edat1) -and ($cd -lt $edat2))
    {-join($a,$b,$c,$adv2,$d,$e)}
If (($cm -eq $cmdez) -and ($cd -gt $edat2) -and ($cd -lt $edat3))
    {-join($a,$b,$c,$adv3,$d,$e)}    
If (($cm -eq $cmdez) -and ($cd -gt $edat3) -and ($cd -lt $edat4))
    {-join($a,$b,$c,$adv4,$d,$e)} 

Im zweiten Schritt können wir uns dann über die Logik unterhalten, die die Dateinamen ermittelt