cj_berlin

Du beschreibst genau das Verhalten einer statischen 2-Node-Konfiguration ohne Witness. Eine dynamische 2-Node+Witness-Konfiguration mit ausgefallenem Witness verhält sich anders. Was Compute angeht, schon. Bei Storage muss man aufpassen, da gibt es tatsächlich Unterschiede. Generell jedoch ist eine 2-Knoten-Konfiguration, ob mit oder ohne Witness, nicht geeignet, um Clustering zu erlernen, wenn das Dein Ziel ist. Wenn Du dir sicher bist, für den Rest Deines Lebens nur 2-Knoten-Cluster zu bauen und zu betreiben, dann natürlich schon. Aber bei nahezu allen Clustering-Konzepten ist die 2-Knoten-Config ein Sonderfall. der mal besser, mal schlechter beschrieben ist.

Genau. Nicht die Gesamtanzahl an Stimmen, die vergeben werden, sondern die Gesamtanzahl an Stimmen, die erforderlich sind

Wenn jeder Knoten das Quorum sehen kann, denkt er, er ist der Beste. Ansonsten ist es noch nie eine gute Idee gewesen, Cluster-Ausfall durch Konfigurationen an den Knoten selber zu simulieren. Wenn Du die Möglichkeit hast, das Netzwerk woanders zu unterbrechen, solltest Du damit arbeiten statt mit der lokalen Firewall.

Moin, sie *müssen* nicht, wenn die Subnetze sich überlappen, aber tatsächlich wird zuerst versucht, auch im gegnerischen Forest mit der lokalen Site zu arbeiten, und erst dann einen vollständigen DCLookup durchzuführen.

Moin, Probleme werden dann auftreten, wenn jemand diesen Namen tatsächlich verwendet Wenn Du beispielsweise eine GPP mit Item Level Targeting am Start hast und das Targeting nach Site erfolgt, steht in der XML-Datei dann <FilterSite bool="AND" not="0" name="HQ"/> und ich bin mir ziemlich sicher, dass Domain Controller nicht die XMLs durchforsten und das korrigieren, falls Du die Site umbenennst. Skripte, die nltest /dsGetSite aufrufen und mit dem Ergebnis was tun, sind auch solche Kandidaten. Die Verknüpfung von GPOs an Sites wird hingegen nicht unter der Umbenennung leiden.

Dass der UPN sich ändert Alle Systeme, die das Mapping per UPN machen, finden den User nicht mehr, falls Office 365, speziell OneDrive, im Spiel ist, findet der User seinen Content nicht mehr (das repariert sich irgendwann, aber nicht sofort). User, die sich angewöhnt haben, sich per UPN anzumelden, müssen nun einen anderen Namen eingeben.

Hat sich der UPN denn auch geändert? Eigentlich ziehen Office-Programme diese Daten aus HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\ADUserName

Moin, die primäre e-mail-Adresse (die Exchange verwenden wird) kannst Du in Exchange und im AD (proxy addresses, mail) nachschauen. Wenn die korrekt is, ist es nur die Anzeige im Outlook. Diese wird sich (supported) durch die Neuerstellung des MAPI-Profils ändern, oder (unsupported) durch zielgerichtetes Fummeln in dessen Registry.

Moin, nein, es ist nicht in Stein gemeißelt, dass alle Sicherungen in die gleiche Datei gehen, nur wenn Du das in Deinen Befehlen oder in Deinem Wartungsplan explizit so angibst.

Moin, ich kenne keinen der beiden, aber bei SmartCalendar steht recht deutlich: ApplicationImpersonation-Rolle. Da kannst Du maximal einschränken, auf wessen Postfächer sie zugreifen können, dort haben die aber dann freie Hand.

Diese Situation ist sehr schön in "Hai-Alarm am Müggelsee" verarbeitet bis zum Exzess ausgeweidet...

Wieso? otto.matthias-otto@company.com Das den Leuten am Telefon zu erklären, steht freilich auf einem anderen Blatt

schnell verkuppeln! Doppelnamen sind wieder erlaubt

In einer Bundesbehörde gab es diesen Fall mal wirklich, und zwar der neue Mitarbeiter war viel wichtiger als der alte und seine neue Adresse wurde bereits veröffentlicht, bevor man festgestellt hat, dass es eine Dopplung gibt. Den Rest darf ich leider nicht öffentlich erzählen Aber um den Kollegen beizupflichten: Es hat sich bisher noch nie jemand über die 2, 3 etc. beschwert.

Genau. Mit NTDSUTIL prüfen, ob er noch in der Replikationstopologie drin steht, und falls ja, bereinigen. Anschließend noch im DNS kontrollieren.

Finde einen Unterschied:

Moin, der *Zugriff* auf die Shares wird ja nicht "durch DFS" geschleust. Wenn die wahrgenommene Performance bei DFS-Zugriff über Standorte hinweg konstant schlechter ist als bei direktem Share-Zugriff, dann sind die Clients noch mit etwas anderem beschäftigt. Wenn der lokale DC auch noch mit ausgefallen ist, dann müssen sie ja bei jeder Konfigurationsabfrage für DFS erst mal einen DC suchen, um die Konfiguration zu laden. Jetzt mal ganz doof gefragt: Funktioniert die Site-Zuordnung bei Clients einwandfrei, sprich: sind alle Client-Subnetze im AD erfasst un den jeweiligen Sites zugeordnet? Target Prioritization spielt bei je einem Server in zwei Standorten normalerweise keine große Rolle, wenn Du Targets nicht global priorisierst (was in dem von Dir geschilderten Fall ja nicht gut wäre, außer vielleicht im Wartungsfenster eines Standorts). Die Default-Konfiguration hier entspricht quasi schon dem, was ihr erreichen wollt: Clients greifen sich den Target aus der eigenen Site, solange er antwortet. Und wenn er nicht antwortet, greift der Timeout, bevor etwas anderes versucht wird. Fakt bleibt aber, dass DFS-N + DFS-R kein "hochverfügbares Fileshare-System" ist, bei dem die Clients den Ausfall sofort erkennen und sich sofort ein neues Ziel suchen und dieses auch sofort finden.

Moin, im Endeffekt ist DFS-N nur "DNS für Fileserver-Zugriff". Am Ende der Signalkette steht eine physikalische Freigabe. Wenn also der Zugriff über DFS-N standortübergreifend zu lahm war, hat es nichts mit DFS-N zu tun, sondern mit der Standortverbindung. Und da bin ich bei @NilsK: Fileservice ist nichts, was sich gut im WAN bereitstellen lässt, da das SMB-Protokoll per se ja gar nicht für WAN geeignet ist.

Die ist auch korrekt. Irrig hingegen ist die implizite, nicht ausgesprochene, aber dennoch bestehende Annahme, dass nicht-fremde Geräte nicht unsicher sind So richtig umsetzen kannst Du aber nur, wenn Du von den Downlevel-Protokollen wie SMB, SQL usw. wegkommst und alles nur über "moderne" Zugriffsprotokolle, also Abwandlungen von HTTPS, läuft. Bis das umgesetzt wurde, bleibt Dir eine Firewall, die Benutzer-Anmeldungen auswertet und das Regelwerk aufgrund der User-Identität dynamisch anpasst.

Eigentlich ist dieser Link besser, weil es um MySQL und nicht um MSSQL geht: https://dev.mysql.com/doc/refman/8.0/en/date-and-time-functions.html Du suchst nach DATE_ADD()

Moin, die Frage, die man heutzutage stellen sollte: Meine ich wirklich "Computer" oder sprechen wir eigentlich von "Usern", denen der Zugriff gewährt werden soll oder nicht? Für Computer im LAN gibt es als Mittel der Wahl das Network Access Control (NAC). Dies verbunden mit VLANs und Firewalls. Für Computer außerhalb sprechen wir entweder von VPN oder von einer "Veröffentlichung". In beides kann man über das Gerätemanagement auch die Computer-Identität einarbeiten. Im Sinne von Zero Trust soll man bei sowas eigentlich immer versuchen, den Zugriff primär durch die Identität des Users zu steuern.

Nun ja, das gibt es genaugenommen immer noch, nur halt nicht im Active Directory Moin, dem DCDIAG nach hast Du nicht das Problem, dass DNS nicht läuft, sondern, dass AD nicht läuft. Versuch mal, den NTDS-Dienst neu zu starten und schau, was für Fehler er dabei im Event Log "Directory Service" wirft. Vielleicht hat die Platte einen Schuss, und die Datenbank ist nicht mehr heil. Dann am besten neu machen, da bist Du aber bei NTDSUTIL, Metadata Cleanup, Seize Role etc. (das sind alles Stichworte, die Dich weiterbringen sollten).

Moin, das wird wohl darauf ankommen, was die Rollengruppen so durften. Solange die Umgebung hybrid bleibt, werden Postfächer ja on premises angelegt, auch wenn sie online gehosted sind. Dafür braucht man die Recipient Management-Rolle on prem. Für Objekte, die ausschließlich online existieren, haben diese Rollen natürlich keine Gültigkeit.

Du verwendest -Credential, während Du für den Zugriff aus einer nicht berechtigten Sitzung sowohl -Credential als auch -DecryptionCredential angeben müsstest. Steht so in der Hilfe.

Also ist Dein Screenshot vom Printserver?