cj_berlin

Ein Fullscan hat IMO nur zwei Funktionen:

1. bei persistenten Maschinen: Zero Days entdecken, bevor sie aufgerufen werden, indem die zuvor als sauber markierten Dateien nochmal gescannt werden. Das natürlich unabhängig von FVE, siehe Solorigate.
2. bei nicht-persistendent Maschinen (VDI): Golden Image vorbereiten, damit die einmal als sauber eingestuften Dateien markiert und in Zukunft vom On-Demand-Scan übersprungen werden.

vor 8 Minuten schrieb daabm:

Die Remote App kann durchaus auch die Prozesse auf dem Client sehen - Stichwort "WinRM". Kommt halt drauf an, wie sie das machen möchte

Das oder so etwas in der Art meinte ich mit "Stricken". 

Moin,

so wie Du es beschreibst, wird es wahrscheinlich nicht klappen.

Je nachdem, was mit "auf Prozess warten" technisch gemeint ist, kann man da vielleicht etwas drumherum stricken, aber RemoteApp in Reinform gibt so etwas nicht her.

Moin,

mit dem Visual Studio-Abo (aber nicht mit jedem, wenn ich mich Recht erinnere) gibt es Azure-Guthaben. Es ist natürlich nicht ganz kostenlos 😉

vor 22 Minuten schrieb t-sql:

Das ist natürlich zutreffend weil wir genau diesen Fall hatten und von MS hieß es: Lizenz für beide bezahlen.

Ich werde diese Diskussion hier nicht weiter führen, aber falls es tatsächlich genau dieser Fall war (sprich: zwei Instanzen auf einer Maschine, ihr hattet die Lizenzierung für die höhere Version neu gekauft, die Lizenzierung für die ältere Version schon vorher besessen und Microsoft ließ euch eine zweite bzw. in diesem Fall ja sogar dritte Lizenz kaufen), solltet ihr das vielleicht noch einmal betrachten  

Wenn ihr in Wirklichkeit *zwei Server* hattet, dann ist natürlich alles richtig, aber das ist nicht das Thema in diesem Thread.

vor 19 Minuten schrieb info@vision4d.de:

Mich würde aber trotzdem Interessieren warum ich nicht für jede Maschine einen eigenen VH-Switch anlegen soll.

Du schraubst doch auch nicht für jede physische Maschine einen eigenen Switch ins Rack. Mehrere vSwitche brauchst Du dann und genau dann, wenn Du Netzwerke hast, die nicht miteinander kommunizieren sollen.

Die andere Frage bezog sich auf den Haken "Nutzung der Netzwerkkarte durch den Host erlauben". Das ist in 99% der Fälle bei vSwitchen, an die VMs angeschlossen sind, kontraproduktiv. Einzige Ausnahme: Host hat nur eine physische Netzwerkkarte bzw. alle im Host vorhandenen Netzwerkkarten sollen als Team dem vSwitch zur Verfügung stehen. In diesem Fall hast Du keine Wahl als dem Host für seine eigene Kommunikation eine virtuelle Netzwerkkarte zu verpassen.

vor 23 Minuten schrieb info@vision4d.de:

Das macht man doch so.

Hab ich zumindest mal gelesen.

Link oder ISBN-Nummer bitte.

So isses. Schau mal hier: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/reviewing-dns-concepts Vielleicht würde es schon helfen, Root Hints abzuschalten?

Wireshark dürfte da Antworten geben, aber bevor Du das machst: welche Erweiterungen sind bei dem vSwitch aktiviert, an dem Du Probleme hast?

Ja, das sehe ich in den Beratungen ständig.

Moin,

vielleicht versuchen sie, die authoritativen Nameserver der jeweiligen Zonen zu erreichen?

Man muss die konkreten Anfragen und Antworten sehen, um das bewerten zu können.

Moin,

was muss der Administrator denn konkret am Server machen, um diese Sache zu heilen?

vor 13 Minuten schrieb NilsK:

Dann weiß man schon vorab, was wann zu tun ist.

Und macht sich sogar Kalender-Reminder.

Und verschusselt das am Ende doch.

vor 17 Minuten schrieb deprecated:

 

Laut Empfehlung soll das Zertifikat nicht verlängert, sondern erneuert werden, da es in der Vergangenheit auch bereits einen Sicherheitsvorfall gab.

Empfehlung von wem?

Was ist in eurem Sprech der Unterschied zwischen "erneuern" und "verlängern"? Man kann ein Zertifikat nicht "verlängern", denn das Start- und Ablaufdatum sind Teil seiner Identität. Vermutlich geht es also darum, einen neuen Private Key zu generieren oder den bestehenden weiter zu verwenden - richtig?

Sofern eure AIA- und CDP-Speicherorte hinreichend schnell aktualisiert werden, braucht ihr euch m.E. keine Sorgen zu machen, denn das vorherige Zertifikat wird ja nicht ungültig.

Anders freilich liegt der Fall, wenn ihr anlässlich der Maßnahme die Issuing CA tatsächlich zurückrufen wollt, weil es da diesen Sicherheitsvorfall gab,. Dann würde ich aber einfach eine neue bauen und wenn die alle kennen, die es sollen, die alte ordentlich abmanagen.

vor 2 Stunden schrieb Nobbyaushb:

Wenns ein Automat wäre, käme das jeden Tag zur gleichen Zeit

Keineswegs - die entsprechende Zeitversatz-Funktion in Musik-Sequencern heißt sogar "humanize"  

So isses. 

vor 13 Minuten schrieb Bitdrop:

Richtig, was bringt mir dann aber das Kommando?

Das zeigt Dir in der *rechten* Spalte die Abweichung an.

Darum haben Firmen, die ständig neue Exchange Server installieren, dafür eine separate Installations-Site im AD.

vor 27 Minuten schrieb Bitdrop:

Das zeigt mir witzigerweise, genau die falsche Zeit an. Also nicht die Zeit der Firewall, sondern die Zeit des PDC.

Ja, links im Ergebnis zeigt er die lokale Zeit an, in diesem Fall die falsche.

Moin,

der Upgrade-Weg ist genau richtig, Vermutlich hat sich da zeitlich etwas überschnitten - oder Du hast einen der virtuellen Verzeichnisse auf dem neuen Server vergessen.

Ein heruntergefahrener Exchange-Server sollte kein dauerhafter Zustand sein, das macht mehr Probleme als Zertifikatswarnungen bei Usern.

vor 14 Minuten schrieb t-sql:

Sprich zwei SQL Server Installationen, zwei mal Lizenzkosten.

Das ist natürlich unzutreffend, denn SQL-Lizenzen sind a. downgradefähig und decken b. viele Instanzen, solange sie auf der lzenzierten Hardware koexistieren.

vor 14 Minuten schrieb t-sql:

Eine Überwachung prüft den SQL Server Dienst. Der neue hat den gleichen Namen wie der alte. Welcher ist nun der korrekte?

Kaum. Der SQL-Installer wird keine gleichnamige Instanz erstellen, nur wenn die bereits existierende Instanz gleichen Namens gerade nicht läuft oder deaktiviert ist.

Generell sind zwei Dienste gleichen Namens in Windows eher schwierig.

vor 18 Minuten schrieb Bitdrop:

 

Somit könnte einem theoretisch jeden Tag eine knappe Minute Arbeitszeit fehlen.

Hmm. Die würde ja beim Ausstechen genauso verschoben werden wie beim Einstechen - wenn in der Realtiät exakt 8 Stunden (09:00-17:00) vergehen, dann auch in der Zeiterfassung (09:01-17:01)

Aber dennoch muss es natürlich korrigiert werden.

Der Hinweis von @NorbertFe auf die Konfiguration per GPO ist goldrichtig. Dennoch muss manchmal die betroffene Maschine rebootet werden, damit die Konfiguration greift.

Office 365 Tenant-to-Tenant Migration Tools | On Demand Migration (quest.com)

vor 46 Minuten schrieb NilsK:

dann wäre es doch schlau gewesen, vorher mit dem Dienstleister zu sprechen, oder?

Da muss man ja miteinander reden... Ich dachte, wir machen hier IT  

vor 12 Minuten schrieb NorbertFe:

sicher?

Liest sich nicht so:

https://learn.microsoft.com/en-us/windows-server-essentials/install/add-windows-server-essentials-as-a-member-server#to-join-windows-server-essentials-to-a-workgroup-or-domain

 

 

doch, doch:

Besonders der zweite Satz im Kasten ist geil  

Moin,

ich würde, bevor ich weiter forsche, folgende Versuchsanordnung anfertigen:

• eine VM so installieren, wie Du Infrastruktur-VMs installierst, also vermutlich eher mit wenig drauf, aber inklusive Browser der Wahl. 2vCPU / 8GB RAM sollten reichen.
• syspreppen und klonen
• beide zum AD hinzufügen, in der gleichen OU platzieren
• auf einer VM nur die RDSH-Rolle hinzufügen und Lizenzierung konfigurieren.
• A/B-Vergleich. beispielsweise mit Video im Browser oder auch mit dem Task Manager, machen.

Wenn hier bereits einer der von Dir beschriebenen Unterschiede besteht, kann man anfangen das gezielt zu untersuchen . PerfMon, ProcExp usw. Denn der einzige wirkliche Unterschied hier ist ja die Umschaltung von Hintergrund- auf Vordergrund-Verarbeitung mit der Aktivierung der RDSH-Rolle. Ich glaube allerdings nicht, dass diese Art Troubleshooting im Rahmen eines Internet-Forums sinnvoll begleitet werden kann. Eins kann ich Dir allerdings mitgebebn: Es ist kein Problem, das ALLE Server 2019-Terminalserver haben, da hätte ich Hunderte von Gegenbeispielen