cj_berlin

Moin, aber habt ihr auch tatsächlich einen Use Case für LDAPS? Denn nur dann lohnt es sich, den ganzen Aufwand zu betreiben.

Moin, sowas in der Art? https://www.davidpashley.com/articles/automatic-proxy-configuration-with-wpad/

Das hatten wir mal gemacht für Genehmigungen, aber da war ein Reverse Proxy mit Cert Preauth davor.

Moin, das ist alles irgendwie sehr konfus. Wenn nur Clients dieses Programm aus einer Freigabe starten, muss es doch nach dem Umzug lediglich diese Freigabe wieder geben, idealerweise unter demselben Namen. Nun habe ich Foundation nicht mehr so im Kopf, glaube aber mich zu erinnern, dass er zwingend Domain Controller sein muss. Somit hast Du ein Active Directory, in dem (wieder Annahme) die Clients Mitglied sind. Wenn das alles zutrifft, sähe die Migration wie folgt aus: BACKUP!!!!!! Server 2019 wird zur Domäne hinzugefügt und zum DC hochgestuft Datenordner werden per Robocopy kopiert und unter den gleichen Namen freigegeben FSMO-Rollen werden vom 2012R2 auf 2019 verschoben, der 2012R2 heruntergestuft und aus der Domäne entfernt, danach vom Netz getrennt oder zumindest umbenannt. Server 2019 wird gemäß Rename Domain Controller - Der Windows Papst - IT Blog Walter in den Namen des 2012R2 umbenannt Theoretisch müssten die Clients die Anwendung wieder finden und auch aufrufen können. Wenn jetzt auf dem 2012R2 ein Datenbankserver irgendeiner Art läuft (SQL, Firebird, MySQL, was weiß ich), dann lass lieber den Hersteller der Anwendung die Migration machen. Das werden wir hier im Forum nicht gelöst bekommen.

Was wir in solchen Szenarien meistens getan haben, war folgendes: Accounts im Ziel anlegen (wegen mir per PowerShell, insbesondere wenn auch OU-Strukturen stark unterschiedlich sind) Die Attribute, die im Ziel wichtig sind, so konfigurieren, wie im Ziel vorgesehen, und aus der Quest-Sync ausschließen Dann die Sync anschalten (irgendein Attribut muss ja zum Matching vorhanden sein, zu Not benutzerdefiniert) und Kennwort, sidHistory, Gruppenmitgliedschaften, managedBy und den ganzen Beziehungsrotz synchronisieren lassen Wenn euer DL nicht gerade "Facts & Figures" ist (aber die verstehen ihr Handwerk, das wäre euch da nicht passiert) können sie mich gern kontakiteren und die Ideen mal mit einem frischen Satz Augen von jemandem, der jahrelang auf der "PSO Waiver"-Liste für dieses Produkt gestanden hat, begutachten lassen

Du nutzt bei manage-bde den -SkipHardwareTest switch und bei Enable-Bitlocker nicht

ADD: Im Quest Migration Manager kann man die Synchronisierung des "name" anfordern, was einer Umbenennung des Objektes gleichkommt, falls es bereits vorhanden war aber unter einem anderen CN...

https://www.rlmueller.net/Name_Attributes.htm Das sollte es klarer machen. Du kannst name nicht getrennt von CN verwenden.

Das meinte ich auch. Im OP wird die Kerberos-Fehlermeldung zitiert. Diese kann nur auftreten, wenn die Knoten im AD Mitglied sind.

Nee, die fehlt nicht, denn Nicht-Domainmember sprechen bis heute kein Kerberos miteinander, auch wenn das versprochen wurde.

Shit, Du hast recht: Vermutlich nachts gebootet, ohne dass ich's mitgekriegt hatte, weil *aufgefordert* wurde ich mit 100% Sicherheit nicht dazu.

Für Windows 10? Ich habe bisher keine gesehen, mit oder ohne ESU. Insofern @xrated2 Du bist definitiv nicht allein.

Das ist nichts, was man in einer intakten Umgebung nachstellen könnte.

Für das aktuelle Ding? Ja, Server 2025 erlaubt derzeit (unabsichtlich) doppelte Attribute und Klassen im Schema beim Schema-Update, aber (sinnvollerweise) nicht bei der Replikation des Schemas...

Klar wird das funktionieren. Schön ist sowas nicht, aber doppelte OIDs z.B. sind auch früher schon aufgetreten...

Wenn das Interface mit dem Gateway höhere Prio (geringeres Gewicht) hat, hat das Vorrang.

Es ist neben den Definitionen der Routen auch deren Gewicht von Bedeutung. Früher konnte man Adapter explizit gewichten, inzwischen hat Windows da einen fest verdrahten Automatismus, aber ich meine, dass route print dennoch das anzeigt, was in Kraft ist

Moin, da es noch niemand gefragt hat: "höhere CPU-Auslastung" bedeutet bei euch...? Teilen sich die beiden Dienste die ganze CPU, wenn man sie lässt? 10% statt früher 2,5%? Und ist auch eine höhere Festplatten-Auslastung und/oder Queue Depth zu verzeichnen?

Moin, Graylog ist ein guter Einstieg und kann auch sehr gut skalieren. Ich sehe viel Splunk und Microsoft Sentinel, ein wenig IBM QRadar, einiges an Elastic (kann man auch kostenlos einsteigen) und noch wenig, aber Tendenz steigend, CrowdStrike als SIEM. Eingeschworene Fortinet-Jünger machen manchmal FortiSIEM, aber da hatte ich noch keine rechte Berührung zu.

Moin, das Wochenende naht - vielleicht kannst Du den Server mal booten und schauen, ob der Fehler verschwindet - vielleicht hat er sein Kennwort gerollt und irgendein Subsystem hat es nicht sauber mitbekommen. Oder schau erst mal, ob die letzte Kennwortänderung nach dem letzten Boot liegt oder davor. Ansonsten, da die Anmeldung offenbar über NTLM versucht wird, kannst Du mal lokal das NTLM Logging hochdrehen und schauen, welcher Prozess gegenüber welcher Ressource das versucht... Gibt's eventuell eine vergessene RDP-Session auf der Maschine? Vielleicht von einem Admin, der Mitglied in "Protected Users" ist?

Moin, "geht nicht" ist kein Fehlerbild. Was klappt genau nicht? Der SQL-Installer generiert auch eine umfangreiche Protokolldatei - was ist da zu finden? Es könnte sein, dass es einfach das fehlende .NET 3.5 ist, aber raten hat noch nie irgendwas gebracht. Logs erzählen die Wahrheit, meistens jedenfalls.

Moin, vielleicht sollte der Chef auf seinen Freund hören, der ja scheinbar immer noch Kaspersky macht, trotzt Warnung Es gibt Berichte aus dem Jahr 2022, wonach die BSI-Warnung vor Kaspersky das Geschäft von GData begünstigen sollte - um so lustiger (falls wahr), da ja die primäre Investorin von GData die Ex-Frau von E. Kaspersky ist Antivirus-Systeme mit zentraler Verwaltung gibt's viele - TrendMicro, SOPHOS, Microsoft, CrowdStrike... selbst McAfee EPO lebt als Trellix weiter

Yup, Imprivata macht das ganze richtig managebar - für einen mehr oder weniger angemessenen Preis, versteht sich

Wenn Du auf NLA verzichten kannst, kannst Du die Anmeldung direkt am Anmeldebildschirm des Terminalservers durchführen. Das geht mit mstsc, musst halt die .RDP Datei ein wenig pimpen. Die beste Lösung für sowas sind Smartcards. Gesteckt --> Anmeldung, gezogen --> Abmeldung

Also zumindest kannst Du dich dann schon mal an die Agilität der dynamischen Gruppen in Entra ID gewöhnen, solltest Du diese mal benötigen