cj_berlin

Kannst Du mal das Szenario beschreiben? Ich kann mir so gar nicht vorstellen, wann das nötig wäre... Aber grundsätzlich, wenn Du es schaffst, dem gMSA den Private Key unterzujubeln (vermutlich am Einfachsten per Scheduled Task, der als gMSA läuft), sollte der Public Key davon für Authentifizierung verwendet werden können... Aber denke daran: SSH mit Keys ist Type 3, wird also nicht für Second Hop funktionieren.

Moin, ich bin bereit zu wetten, dass die DMZ nicht jeden einzelnen Host in Prod braucht, sondern nur eine kleine Auswahl. Die kannst Du manuell oder per Skript pflegen. Solange die Kommuinikation von Prod nach DMZ initiiert wird, ist es nicht problematisch. Wenn DMZ tatsächlich *jeden* Host in Prod auflösen muss, hast Du ein Architektur-Problem, und DNS ist vermutlich die kleinste Deiner Sorgen.

Moin, verwaiste Server kannst Du entfernen, und vielleicht repariert es auch die Replikation

Ja. Es ist "Client Access", nicht "Network Access".

Genau, Das müsstest Du evtl. von "Microsoft Windows" auf "Microsoft UEFI CA" umstellen.

Wenn es der erste Server 2025 ist, ja.

Was willst Du denn wissen? Funktionieren wird's, supported ist es nicht mehr, aber offenbar ist es noch nicht lange her, dass es supported wurde. Wobei ich mir ein paar Stände der Support-Matrix in der Wayback Machine angeschaut habe, und es scheint eher so zu sein, dass die Grenze von ursprünglich 2025 auf nun 2022 und 2025 angehoben wurde. Vielleicht haben Jan und ich uns beide in die gleiche Richtung geirrt. Aber Windows 11 ist auf 2019 supported, somit wird 2025 auch laufen. Wenn Du hochkritische Workloads in diesen 2025er Maschinen fahren möchtest, für die Du dir vorstellen kannst, auch mal ein Ticket bei MSFT aufmachen zu müssen, würde ich die Frage stellen, aus welcher Not heraus das ausgerechnet auf 2025 laufen muss.

Ja.

Ja, auch SDDC Premium. Meine Idee wäre, 40 Euro auszugeben und mir ein HPE ROK Medium zu besorgen. @msdtp Kommt der Fehler schon bevor Du Edition, Festplatte usw. auswählen kannst oder erst danach? Falls danach: Was ist der Zieldatenträger?

Moin, ich habe es schnell nachgestellt. Selbes Verhalten wie bei Dir, obwohl der Check am Anfang meines Tests sagt. dass es mit erhöhten Rechten läuft. Offensichtlich fehlt ihm seDebugPrivilege oder so etwas. Aber bevor ich anfange, das zu enablen, dann schon lieber Registry

Moin, kannst Du mit dem jeweiligen Account erfolgreich Enter-PSSession ausführen? Vielleicht ist einfach WinRM Remoting noch nicht vorbereitet, oder irgendwie totgetreten, oder jemand hat sich in JEA ausgetobt und den Default Endpoint verbogen...

Moin, a. [spoiler] weist auf einen Cross-Post hin. Bitte Hinweis und Link. b. wer ist LABDOM? Ist es der Name des Computers oder der Name der Domäne? Wie ist das Skript getriggert? c. Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\State --> UEFISecureBootEnabled (1 = ja, 0 = nein)

Naja, ich weiß nicht, was mit dem Erzwingen nicht hilfreich sein sollte... es sei denn, Du hast die Domäne schon länger und hast sie nie von NTFRS auf DFS-R gehoben. Dann würde der Fix mit dem Erzwingen natürlich nicht funktionieren. Für NTFRS gilt dann https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/use-burflags-to-reinitialize-frs und dann am besten sofort auf DFS-R migrieren. Wenn Du ein Backup eines DC hast, lassen sich alle Dinge, die Du in SYSVOL kaputt machen *könntest*, reparieren. Ob im Rahmen eines Internet-Forums, ist freilich eine andere Geschichte.

Moin, was ist in Deiner Welt ein "Spiegelserver"? Hast Du eine Domäne mit zwei Domain Controllern? Ist "Server in die Domäne gehängt" für Dich "einen neuen Domain Controller promotet"? Oder ist es etwas anderes? Es hilft enorm, wenn Du Terminologie benutzt, mit der der Rest von uns etwas anfangen kann, denn wie Reacher sagte, "in an investigation, details matter, assumptions kill". Wenn - Du tatsächlich zwei Domain Controller in der Domäne hast - und die AD-Replikation funktioniert... - ...aber die SYSVOL-Replikation nicht, kannst Du Letztere erzwingen, musst aber entscheiden, welcher DC die bessere Kopie hat: https://learn.microsoft.com/en-us/troubleshoot/windows-server/group-policy/force-authoritative-non-authoritative-synchronization

Moin, eine Gen. 1 VM solltest Du auf jeden Fall installieren können, wenn's reicht. Für Gen. 2 könntest Du versuchen, bei Secure Boot das Template von "Windows" auf "Microsoft CA" umzustellen, oder Secure Boot halt zu deaktivieren... Auch wieder, wenn's reicht...

Also wenn Du ein AD-Objekt für eine GPO hast aber keine Dateien, hast Du ein Problem mit der DFS-R Replikation. Da GPMC meistens den PDCe für die Bearbeitung ansteuern wird, existiert die bessere Kopie evtl. dort. Wenn die Dateien auf allen DCs fehlen, brauchst Du entweder ein Backup oder, falls Du weißt, was der Inhalt der GPO war, einfach neu bauen.

Ja, im Herbst. Wenn Du auf "Buchen" klickst, müsste da ein Dropdown mit diesem und dem nächsten Termin sein.

Online bei IT-ADministrator: https://www.it-administrator.de/trainings/active-directory-security

Links, die gepostet wurden, lesen und verstehen, insbesondere den zweiten.

same. Hat aber vor 10 Minuten scheinbar aufgehört

Genau. Ansonsten @_magkro_ mein nächstes AD Security-Seminar startet am 30.06.

...aber das nur dann, wenn Authenticated Users dort verschachtelt ist. Habe letzte Woche die erste Umgebung seit Jahren gesehen, wo das nicht mehr der Fall ist.

Ja, die Begründung würde mich auch interessieren.

Das war mal Default. @pischel poste mal nen Screenshot von der Registerkarte "Start" in msconfig

Das Boot-Menü. Das kann man über den Bootmanager einstellen.