cj_berlin

Sehe ich in diesem Fall anders. Die drei wichtigsten Punkte wurden ja bereits geliefert: die vorhandene on-prem-Umgebung soll weg und ersetzt durch etwas, was es noch nicht gibt (kein Investitionsschutz also) Clients hüpfen die meiste Zeit im Internet herum (auf VPN und lokaler AD-Mitgliedschaft basierende Konzepte sind also schon mal aus Security-Sicht nicht das Gelbe vom Ei) Es sind nur 100x Clients, jede größere Investition in (Infrastruktur + Arbeitszeit + Lernen) ist also vermutlich pro Stück zu teuer. Und insbesondere SCCM ist *immer* eine größere Investition. Und ich bin weiß G'tt kein "Cloud-First-CoolAid-Trinker".

Moin, Betriebssystem-Betankung übers Internet kannst Du knicken. Auch das Sichern und Zurückspielen von Benutzerprofilen übers Internet kannst Du knicken. Wenn Du das ganze rein on-prem abwickeln willst, müssen die Leute oder zumindest die Geräte für einen Tag reinkommen. Was Du hingegen machen kannst - entsprechende Lizenzierung vorausgesetzt - ist vorher schon die "Well Known Folders" auf OneDrive umstellen und die Geräte ins Azure AD aufnehmen statt ins AD. Dann schickst Du jedem User einen USB-Stick zu, von dem er bootet. Daraufhin wird sein Rechner plattgemacht und anschließend ins Azure AD und Intune eingerollt. Das entsprechende Image musst Du natürlich vorbereiten, kann man im Zweifel mit MDT machen. Dann meldet sich der User mit seinem Azure AD Account an, hat dann "sein" OneDrive gleich verbunden, und da liegen auch schon seine Daten. Aber das wäre ein ganz anderes Projekt, als was Dir so vorschwebt. Lohnt sich langfristig aber vermutlich mehr.

Moin, die interessentere Frage ist ja, was übernommen werden soll. Grundsätzlich ist für die Neubetankung und Aufnahme in die neue Domäne ja egal, ob die Maschine vorher in der alten Domäne Mitglied war. Und die Clients sauber aus der alten Domäne zu nehmen, ist doch allenfalls Kosmetik. Sollen Benutzerprofile gerettet werden? Oder gar irgendwelche Datenbestände, die außerhalb der Benutzerprofile auf den Maschinen gespeichert sind?

In meiner Welt: So wie bisher, mit einer Ergänzung: Niemals etwas händisch konfigurieren, sondern jeden Schritt skripten. Dann hast Du, wenn bespielsweise ein Update oder ein Virus Deinen Server zerschießt, eine verlässliche Möglichkeit, ihn wiederherzustellen. Am Anfang ist die Lernkurve etwas steiler, aber am Ende hast Du etwas in der Hand und hast auch noch was gelernt dabei. Und ein Wort der Warnung: Je nachdem, was da installiert und konfiguriert ist, wird ein In-Place-Upgrade möglicherweise auch mit einer Vollversion scheitern.

Moin, wenn Du Rechte zuweist, kannst Du ja angeben, auf was sie sich beziehen. In Deinem Fall wäre vermutlich so etwas wie "Unterordner und Dateien" der richtige Scope...

Moin, OK, das wäre dann in Ordnung. Der Klassiker ist, Admin1 installiert und Admin2 möchte administrieren, hat aber natürlich die ganzen Server noch nicht im Server-Manager. Dann ist es vermutlich dieses Update-Problem, das uns fast das ganze Jahr 2022 verfolgt hat. Das gibt es IIRC seit März oder April, hat aber interessanterweise nicht alle betroffen. Aber das mit der Datenbank ist ein interessanter Hinweis. Vielleicht kannst Du mal versuchen, zur DB zu verbinden und zu schauen, ob man da in den Logs was sieht. Aber ich meine, es gab damals keinen wirklichen Fix außer die Farm neu bauen, oder er ist an mir vorbeigegangen. Allerdings soll es im Juni-CU gefixt worden sein... Hmmm.

Moin, es müssen alle am RDS beteiligten Server dem Server-Manager hinzugefügt werden. Das ist es, was die Meldung besagt. Es reicht nicht, dass man am Broker angemeldet ist und nur der Broker im Server-Manager verwaltet wird!

Moin, Port 135 ist der Einstieg in alles, was RPC ist.

Weiß der nächste Client denn, dass ihr NetBIOS bei euch im Netz deaktiviert habt? Scheint, als hätte er das Memo nicht erhalten

Moin, 135 ist der RPC-Endpointmapper und 445 ist SMB, also File &Print. Ich würde erwarten, dass alle Clients zu irgendeinem Zeitpunt auf 135, 139 und 445/tcp sowie 137 und 138/udp mit dem Printserver kommunizieren.

da es die Cmdlets aus dem RecipientManagement-Snapin verwendet, gibt es da nichts, was nicht supportet sein könnte.

Moin, 9 von 10 Mal, dass ich das Verhalten (außerhalb groß angelegter Migrationen, wo das normal ist) gesehen habe, war das ARP Caching auf Switchen oder Routern die Ursache.

Off Topic: "Runder Kreis" finde ich sehr treffend beschrieben

Moin, per Default versucht Windows immer, ein Volume in RW zu mounten. NTFS und ReFS erlauben aber nur eine gleichzeitige Sperre. Du musst auf dem Backup-Server automount abschalten und das Volume in RO mounten. Dann wird es nicht gesperrt, und Du solltest lesen können. Automount abschalten: mountvol /N Alles andere in DiskPart (ATTRIBUTE VOLUME SET READONLY)

Du meinst sicherlich "in einem eigenen Forest". Doch wozu sollte die Backup-Infrastruktur überhaupt in *irgendeiner* Domäne sein? Gibt es dadurch echte Benefits? Je nach Umgebung, wäre es ja sogar ohne Mandantenforests schon der siebente oder gar achte AD-Forest, und langsam muss man schon anfängen, jeden zusätzlichen Forest zu hinterfragen.

...jedoch nur, wenn NTLM und RC4 für die betroffenen Accounts abgeschaltet sind. Andernfalls ist Kennwortwechsel nach wie vor das einzige wirklich wirksame Mittel gegen Pass-the-Hash. CIS-Benchmarks, selbst die STIG-Variante, fordern den Wechsel nach spätestens einem Jahr.

Moin, du *darfst* sie verwenden, aber du wirst es vermutlich nich *können*, denn 2022er CALs können nur auf einem 2022er Lizenzserver installiert werden. Manchmal habe ich es allerdings schon erlebt, dass die Keys tatsächlich funktioniert haben. Versuch Dein Glück.

Ja, drum mache ich auch immer bei Tabellen alternierende Zeilenfarben Ich korrigiere das mal.

Ein Stück weit aber schon Wenn Du dir die Tabelle am Anfang des verlinkten Artikels anschaust, wirst Du merken, dass bereits SQL Server 2008R2 2012 den Level 80 nicht mehr unterstützt hat. Und weiter im Text: Discontinued functionality introduced in a given SQL Server version is not protected by compatibility level. Breaking changes introduced in a given SQL Server version may not be protected by compatibility level. Bedeutet im Betrieb soviel, dass, wenn Deine Applikation Dinge verwendet, die aus der Engine bereits herausgealtert sind, auch der Compatibility Level sie nicht zurückbringt. Sprich: Harte Inkompatibilitäten würdest Du bereits lange bemerkt haben, weil Deine Anwendungen Queries absetzen würden, die der Server nicht mehr kennt. Die andere Auswirkung des CL ist die Query Optimization, und da musst Du in der Regel nichts machen. Oder Du lässt tatsächlich den Query Tuning Assistant durchlaufen, und da kann es sein, dass es neuere Funktionalität gibt - es kann aber auch sein, dass das DB-Schema von Anfang an nicht optimal war. ADD: Was immer Du mit "Datenbank reinkopiert und fertig" technisch meinst, der beste Weg, eine SQL-Datenbank zu transferieren, ist Backup/Restore. So gehen beispielsweise auch dbatools vor.

Ja, so würde ich das auch sehen.

Nice

...und eine Off Topic-Nebenfrage: Wie kommt die Variante "die AD" zustande? Das höre ich regelmäßig, aber die Einstufung als weiblich mag sich mir nicht erschließen... Ist es so etwas wie "la mar" vs. "el mar" in "The Old Man and The Sea"?

Shadow Redundancy. Safety Net. Das System hatte viele Namen über die Jahre...

Moin, meinst Du die Consistency Checks am RAID-Controller? Ist Hyper-V-seitig NTFS oder ReFS im Einsatz?

Gut, Günstig, Schnell und Sicher - versenkt!