cj_berlin

Huch? Da Helper auf Layer 2 agieren, ist Router eine OSI-Schicht zu weit

Das wäre ja schlimm, denn das würde ja heißen, dass es nur eine Audit Policy pro Domain geben kann. Vielleicht verwechselst Du das mit der Password & Lockout Policy - auf die trifft beides zu: Kann es nur einmal geben und muss in der DDP gesetzt werden.

Das kommt auf die Größe der Umgebung an. Wo ich normalerweise unterwegs bin, verursacht eine zusätzliche Windows Server-VM keine zusätzlichen Lizenzkosten Break-Even zwischen Standard und Datacenter liegt bei 11 VMs pro Host, +/- 2, abhängig von den Verträgen, die man hat. Wenn wir von Umgebungen reden, wo die Frage nach einem zweiten Domain Controller bereits die Lizenzkosten-Debatte auf den Plan ruft, ist die Best Practice-Frage sowieso müßig. Da gibt es halt "den Server" (in traditionelleren Unternehmen heißt er dann "der Hauptrechner") und wenn der angegriffen wird oder kaputt geht, ist eh vorbei.

Ganz gut, würde ich sagen.

Moin, da bei modernen Exchange-Versionen der Cache im Postfach wohnt, ist es möglich, ihn auch administrativ zu leeren; https://github.com/michelderooij/Clear-AutoComplete/blob/master/Clear-AutoComplete.ps1 Mit -Pattern kannst - und solltest - Du erreichen, dass nur Autocomplete aus der umgezogenen Domäne gelöscht wird.

So ist es.

Definiere "Brauchbares". Die Kommunikation kann er nicht mitlesen, das Szenario mit der PEM-Datei ist extrem konstruiert EDIT zumal dafür der Angreifer auch das DNS im WLAN beeinflussen müsste /EDIT. Ist das WLAN jedoch nicht verschlüsselt, so könnte der Mithörer zumindest sehen, wohin sich der Mail-Client verbindet gegen welche VA das dort vorgelegte Server-Zertifikat validiert wird ob dabei MFA verwendet wird ob das Gerät gemanagt ist und wo die Management-Infrastruktur steht welches Portal zum Anschauen von Pornos verwendet wird

Nö. Diese Brüder fordern immer den Datenbank-Dump an, kenne ich von früher zu Genüge.

Schnelles googlen --> https://itinsights.org/Enable-wake-on-lan-WOL-with-PowerShell/ ganz ohne ChatGPT

Wieso, es geht hier doch nicht um Virtualisierung? Und - ein AD neu zu machen ist allein schon wegen der DPAPI Backup Keys eine gute Sache

Moin, versuch mal eine Server 2012R2-CD auf einem Patchstand jünger als Mai 2017 zu finden. Das ist Deine letzte Hoffnung; scheitert dies, bin ich bei @NilsK.

Moin, die "ganz viele", die Du da findest, sind die Root-Zertifikate, die helfen Dir vermutlich nichts. Wenn Du auf dem Domain Controller certlm.msc ausführst und dort unter "Eigene Zertifikate" keines steht (alternativ Get-ChildItem "cert:\LocalMachine\My"), dann kann Dein DC gar kein LDAPS anbieten, denn es ist kein Zertifikat dort gebunden. Im einfachsten Fall gelten die Regeln für TLS. d.h. das Zertifikat muss im SAN (und bei LDAPS evtl. auch im Subject, das weiß ich gerade nicht mehr) den Namen haben, unter dem Du den DC kontaktierst. Dein Anwendungsserver muss dem Zertifikat vertrauen, also der PKI-Kette, die es ausgestellt hat. Willst Du die HA-Mechanismen für AD für Dich nutzen, dann muss das Zertifikat in der Tat auf den Namen der Domäne lauten (und Du musst nicht einen konkreten DC, sondern die Domäne ansprechen). Microsoft Enterprise PKI hat dafür Vorlagen, aber das führt jetzt zu weit.

Moin, als erstes würde ich mich fragen: "Hat die Anwendung vielleicht einen Caching-Mechanismus, der auf einem PC an ist und an den anderen aus?". Ist die Frage geklärt, würde ich zum einen auf die Version des installierten SQL Clients auf den Maschinen schielen, zum anderen aber auf die Verbindungsparameter (Protokoll, Authentifizierung, Verschlüsselung): SELECT * FROM sys.dm_exec_connections ausführen und zwischen dem schnellen und den anderen PCs vergleichen. Ist hier auch alles identisch, geht es in Richtung TCP retransmissions (NETSTAT) SQL Profiler Wireshark

"er spuckt mir Fehler aus, dass er das nicht kann" --> wir können nicht helfen Exakter Befehl + exakte Fehlermeldung --> wir können zumindest versuchen mitzudenken und zu helfen Was ist denn mit dism /image:X:\ /Cleanup-Image /RevertPendingActions ? Wobei X: die C:-Platte sein soll, so wie sie in PE angezeigt wird?

Nein, für SMTP wird MFA nicht angewandt.

Nein, Du gibst bei connect to server einen LEBENDEN DC an, der die Rollen kriegen soll. Kann es aber sein, dass Du hier zwei Dinge auf einmal verfolgst? Oder hast Du die Wiederbelebung des ständig rebootenden Servers jetzt offiziell aufgegeben?

Der Seize-Befehl geht davon aus, dass der vorherige Rolleninhaber tot ist. Aber warum mountest Du die Installation überhaupt? Die musst Du nur als Pfad angeben, gemountet wird die Original-WIM...

Du kannst die FSMO-Rollen immer "an Dich reißen" (seize), dann darf der ursprüngliche DC aber nicht mehr ans Netz.

Moin, für die Exchange-spezifischen Befehle ist es irrelevent, welche Rechte der verwendete User auf irgendeiner Maschine hat - er muss in einer entsprechenden Exchange-Rolle sein, damit das funktioniert. Für Cluster-spezifische Befehle gilt das gleiche - er braucht Rechte am Cluster, nicht nur am aktuellen Node.

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-8.1-and-8/hh824869(v=win.10)?redirectedfrom=MSDN#to-repair-an-image

Moin, /Online bezieht sich darauf, dass das aktuell laufende Windows gewartet wird. Du willst ja ein anderes Image untersuchen, dann musst Du es auch angeben.

Als Sprachpurist könnte man argumentieren, dass das *gerade* logisch betrachtet und von der Fachlichkeit losgelöst gar nicht geht, denn das D in DHCP steht ja für "Dynamic"

Moin, wenn wir schon im Klugscheißer-Modus sind, besteht kein Widerspruch zwischen dem Begriff "Reverse Lookup-Zone" für die Zone und "DNS Reverse Pointer" für einen Eintrag in dieser Zone es heißt nicht "AD-Controller" und hat es auch nie, der korrekte Begriff ist "Domain Controller" es gibt kein "static DHCP", sondern lediglich "DHCP-Reservierungen" der Link, der vorgeblich auf den früheren Post verweisen sollte, führt ins Leere. Zur Sache jedoch: Wenn Du eine Konfiguration mit Netzwechsel LAN/WLAN (oder auch LAN1/LAN2) und stets aktuellen A- und PTR-Einträgen haben willst, muss der DHCP-Server für die DNS-Einträge zuständig sein, und zwar von Anfang an, praktisch noch vor dem Domänen-Beitritt. Sonst wird der Eintrag ggfls. nie aktualisiert (weil Rechte fehlen) und irgendwann per Scavenging bereinigt. Hier ist der epische, bis heute gültige Post von Ace Fekay (inzwischen nur noch in der Wayback Machine): https://web.archive.org/web/20110505054918/https://msmvps.com/blogs/acefekay/archive/2009/08/20/dhcp-dynamic-dns-updates-scavenging-static-entries-amp-timestamps-and-the-dnsproxyupdate-group.aspx

Das verrät Dir der Hersteller https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-FBECACED-E9E2-4DE5-A4D2-3587D90D2420.html

Ansonsten gibt es genügend Firmen, die sowohl vor als auch nach einem Vorfall helfen können - durch Konfigurationsanalyse, Prozessanpassungen, Tools. Ich hoffe, Du erwartest nicht wirklich, dass diese Art Beratungsleistung in einem kostenlosen offenen Forum erbracht werden kann. Von der Komplexität des Vorhabens mal abgesehen, Du brauchst für so etwas einen "trusted advisor", einen Sparring-Partner, und nicht einen Haufen Wissender und Halbwissender, die hier in ihrer Freizeit unterwegs sind.