cj_berlin

Du meinst sicherlich "in einem eigenen Forest". Doch wozu sollte die Backup-Infrastruktur überhaupt in *irgendeiner* Domäne sein? Gibt es dadurch echte Benefits? Je nach Umgebung, wäre es ja sogar ohne Mandantenforests schon der siebente oder gar achte AD-Forest, und langsam muss man schon anfängen, jeden zusätzlichen Forest zu hinterfragen.

...jedoch nur, wenn NTLM und RC4 für die betroffenen Accounts abgeschaltet sind. Andernfalls ist Kennwortwechsel nach wie vor das einzige wirklich wirksame Mittel gegen Pass-the-Hash. CIS-Benchmarks, selbst die STIG-Variante, fordern den Wechsel nach spätestens einem Jahr.

Moin, du *darfst* sie verwenden, aber du wirst es vermutlich nich *können*, denn 2022er CALs können nur auf einem 2022er Lizenzserver installiert werden. Manchmal habe ich es allerdings schon erlebt, dass die Keys tatsächlich funktioniert haben. Versuch Dein Glück.

Ja, drum mache ich auch immer bei Tabellen alternierende Zeilenfarben Ich korrigiere das mal.

Ein Stück weit aber schon Wenn Du dir die Tabelle am Anfang des verlinkten Artikels anschaust, wirst Du merken, dass bereits SQL Server 2008R2 2012 den Level 80 nicht mehr unterstützt hat. Und weiter im Text: Discontinued functionality introduced in a given SQL Server version is not protected by compatibility level. Breaking changes introduced in a given SQL Server version may not be protected by compatibility level. Bedeutet im Betrieb soviel, dass, wenn Deine Applikation Dinge verwendet, die aus der Engine bereits herausgealtert sind, auch der Compatibility Level sie nicht zurückbringt. Sprich: Harte Inkompatibilitäten würdest Du bereits lange bemerkt haben, weil Deine Anwendungen Queries absetzen würden, die der Server nicht mehr kennt. Die andere Auswirkung des CL ist die Query Optimization, und da musst Du in der Regel nichts machen. Oder Du lässt tatsächlich den Query Tuning Assistant durchlaufen, und da kann es sein, dass es neuere Funktionalität gibt - es kann aber auch sein, dass das DB-Schema von Anfang an nicht optimal war. ADD: Was immer Du mit "Datenbank reinkopiert und fertig" technisch meinst, der beste Weg, eine SQL-Datenbank zu transferieren, ist Backup/Restore. So gehen beispielsweise auch dbatools vor.

Ja, so würde ich das auch sehen.

Nice

...und eine Off Topic-Nebenfrage: Wie kommt die Variante "die AD" zustande? Das höre ich regelmäßig, aber die Einstufung als weiblich mag sich mir nicht erschließen... Ist es so etwas wie "la mar" vs. "el mar" in "The Old Man and The Sea"?

Shadow Redundancy. Safety Net. Das System hatte viele Namen über die Jahre...

Moin, meinst Du die Consistency Checks am RAID-Controller? Ist Hyper-V-seitig NTFS oder ReFS im Einsatz?

Gut, Günstig, Schnell und Sicher - versenkt!

Du meinst sicher "abwegig", denn es kommt nicht von der Abwägung, sondern vom "vom Weg abkommen" Es ist schon besser, aber ein Reverse Proxy, der jeden Request unbesehen weiterreicht ist kein großer Sicherheitsgewinn. Wie @NorbertFe sagt: eine minimale WAF, SQL-Umgebung härten, also zumindest verhindern, dass der Service-Account irgendwelche Rechte im System hat, Anwendung härten (SQL Injection).

Solange der SQL Browser Sevice läuft und erreichbar ist, wird er dem Client auch die festen Ports verraten.

Moin, Disable-Mailbox, gefolgt von Enable-Mailbox mit DB-Angabe? Outlook kriegt es vermutlich auch so mit, da die Postfach-GUID sich ändert, aber klar, kannst auch den Holzhammer nehmen

Moin, Du müsstest aber auch ein Event über den erfolgreichen Abschluss der Sicherung im Application Event Log des Servers stehen haben. Konnten dabei Transaktionslogs nicht abgeschnitten werden, steht es in einem Event, was entweder genau davor oder genau danach protokolliert wird.

Moin, soweit ich weiß, hat Linux nur einen "quiescing"-Mechanismus für Dateisysteme, womit Puffer auf Platten geschrieben und neue Schreiboperationen zurückgehalten werden. Für mySQL braucht es dafür Skripte (findet man tonnenweise im Netz) zum Einfrieren und Wiederauftauen. Das Problem ist das Triggern dieser Skripte vom Host aus - automatisch durch den Snapshot passiert es nicht. Hier ist etwas von Veeam zum Ausmaß der Misere: https://www.veeam.com/blog/backing-up-mysql-on-a-linux-vm.html

Und ist die Performance dann besser? Oder haben sie bei sich in der Entwicklung ein RFC1149-Netzwerk und denken, dass das Netz überall so langsam ist?

+1. Ich habe auch noch nie Probleme mit den "im Namen vorkommenden" Zeichen gehabt.

Deswegen sage ich ja: Explizites Deny auf Objekte und Attribute Wird auch im verlinkten Artikel erwähnt, wenn ich mich daran noch richtig erinnere.

Was ist LOM?

+1 zu gMSA und dort, wo es nicht möglich ist, gMSA zu nutzen: ein Account pro Service --> Abhängigkeiten zwischen den Services kennen und Kennwörter konzertiert und skriptgesteuert im Mini-Wartungsfenster durchtauschen. Ich habe bei einem Kunden eine 3-Tier-Anwendung aus >10 Servern, wo der Wechsel sämtlicher Service-Kennwörter unter 20 Sekunden dauert. Das muss einmal in 14 Tagen oder einmal im Monat möglich sein. gleicher Service auf mehreren Computern unter demselben Account NUR DANN, wenn die Computer tatsächlcih geclustert sind und es nicht zu vermeiden ist (pseudo-gMSA) Accounts für Sachen wie LDAP-Lookup, was in Tausenden von Appliances eingetragen wird und nur drei Attribute bei 10% der Objekte lesen soll --> in einer Gruppe, die ein explizites Deny auf privilegierte OUs, Objekte und kritische Attribute hat. Kein Telefonbuch der Welt braucht Leserechte auf userAccountControl, adminCount, servicePrincipalName usw.

(bezieht sich auf die Antwort von @NorbertFe) Vor 10 Jahren hätte ich das auch gesagt. Aber die meisten Firmen haben eher zu viele Third Party Tools als zu wenige - bis auf die Stellen, wo es *wirklich* darauf ankommt. Und was das Verhindern angeht - das kann das gleiche IAM für Dich erledigen, indem die User mit dem Merkmal "cannot change password" versehen werden. Die Maske in Windows zu deaktivieren ist EINE GPO Einstellung. Die Maske in OWA deaktivieren ist EIN PowerShell-Befehl. Die Maske in StoreFront deaktivieren ist EIN Häkchen. Klar können das nur die Großen

Moin, eine Alternative, die für meinen Geschmack viel zu selten betrachtet wird, ist, das Kennwort nicht mit Windows-Bordmitteln zu ändern. Die UX dafür ist sowieso bescheiden. Und die IAM-Systeme, die man dafür einsetzen kann (einiges davon ist auch Open Source und frei verfügbar), machen die Prüfung dann nach eigenen Kriterien.

Das waren die letzten Worte des Bombenentschärfers. Hast Du denn einen konkreten Plan B, falls das Inplace-Upgrade knallt? Und bitte bitte, sag nicht, Snapshot zurückspielen, ich möchte noch etwas vom Abend haben.

Hmmm. Wieso denn RemoteApp, wenn der Pool einen Desktop bereitstellt?