cj_berlin

Wenn O365 das sagt, dann ist die Domain irgendwann schon mal zu einem Mandanten hinzugefügt worden. Im Zweifel Ticket aufmachen - wenn ihr schon M365-Seats gebucht habt, seid ihr ja zahlender Kunde und habt Anspruch auf den Support.

Beide Maschinen aus dem AD rausnehmen, umbenennen und nochmal zum AD joinen. Selbst wenn sie ohne newSID/sysprep geklont wurden, dürfte ich das nicht auf die Accounts im AD auswirken.

Aus genau diesem Grund ist es auch für Admins der richtige Ansatz

Moin, meines Erachtens war der openSSH-Server noch nie ein Feature, sondern immer ein separater Download.

Wenn das Programm von euch betreut wird, dann wisst ihr ja sicher, welche Technologie für den Zugriff verwendet wird. Dann weiß man auch, ob der SQL Browser unterstützt wird, um die Instanz zu lokalisieren etc. Normalerweise gehört ein Backslash zwischen Server und Instanz, aber vielleicht setzt euer Programm die INI-Datei ja so um, dass aus dem doppelten Backslash in der INI ein einfacher im Connection String wird... Der Hinweis auf die Firewall ist ebenfalls richtig - Der SQL-Installer fügt selbst keine Inbound-Regeln hinzu.

Das ist nicht korrekt. Bei ODBC 18 ist die Verschlüsselung in der Tat standardmäßig aktiviert. Sie kann aber im Connection String deaktiviert werden, genau dort, wo sie in den früheren Versionen aktiviert werden konnte.

Moin, Du kannst den Remoting-Aufruf in Dein PowerShell-Profil auf dem Management-Server stecken und hast das beste aus beiden Welten. EMS macht im Hintergrund ja auch Remoting, nur dass noch ein bisschen Zusatz-Zauber zur Auffindung eines passenden Servers zuerst kommt.

Ja, und immer daran denken: "eine Lizenz" (als Kauf-SKU) deckt maximal 16 Hardware-Cores ab! Wenn der Server 2x 12 Core CPUs verbaut hat, ist "eine Lizenz" = Basis-Lizenz PLUS 8 Cores, die von 16 bis 24 fehlen. "Zwei Lizenzen" wären somit insgesamt 48 Cores.

Kaspersky ist übrigens keine russische Firma, zumindest nicht im Sinne des Verwaltungssitzes und somit der direkten staatlichen Einflussnahme per Dekret. Und Einsatz bei Behörden ist kein Maß für Vertrauenswürdigkeit. Ich erinnere: Blackberry war bei den französischen Behörden auch jahrelang verboten, mit der offiziellen Begründung, dass die Server in Staaten des Commonwealth stehen.

Third Party Antivirus war schon immer eine gefährliche Angelegenheit, egal welcher Name auf der Verpackung steht. In TrendMicro-Clientkomponenten war vor wenigen Wochen eine ordentliche Sicherheitslücke festgestellt worden. Wäre man jetzt böse, könnte man dazu auch Backdoor sagen. Jeder andere Hersteller von Antimalware, der schon lange auf dem Markt ist, hatte solch einen Fall durchgemacht. Pest oder Cholera, kann ich dazu nur sagen. Müsste ich die Entscheidung heute treffen, wäre Defender for Endpoint die einzige Altarnative (und somit alternativlos). Nicht weil sie die Erkennung besser können, sondern weil sie Windows besser können.

Das ist aber eine sehr gewagte Aussage Nur weil dsa.msc noch genau so aussieht,..

Hi, nur aus dem Kopf: HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates C:\ProgramData\Microsoft\Crypto

Doch, über Fine Grained Password Policy. Das Active Directory Administrative Center ist Dein Freund.

Jetzt nochmal in ganzen Sätzen: Du brauchst keinen Eintrag für die Sammlung, sondern nur einen für die Bereitstellung - das ist im Zweifel der FDQN des Connection Brokers, oder man weist einen anderen DNS-Namen zu, z.B. weil man ein öffentliches Zertifikat verwenden möchte, in dem ein bestimmter Name steht. Bevor Du weiter herumprobierst: Installiere einfach WebAccess als Teil der Bereitstellung, lade eine von diesem generierte .RDP-Datei für Deine Sammlung herunter und schau sie Dir im Texteditor Deiner Wahl an, dürfte einiges klarer werden. Du kannst mit dem Client nicht eine bestimmte Sammlung direkt adressieren, das geht nur mit einer .RDP-Datei.

Moin, der Connection Broker wird den RDP-Client zu dem Server mit der geringsten Auslastung weiterschicken. Dabei ist es egal. zu welchem Host die ursprüngliche Verbindung hergestellt wird. Abgesehen davon: Die von Dir verlinkte Anleitung ist für Server 2008R2, seit Server 2012 hat sich die Methodik geändert. Da konfigurierst Du die Farm einfach mit dem Server-Manager. DNS verweist auf den Connection Broker, und wenn man mehrere hat, dann auf deren Load Balancing-Namen.

Klar. Jeder Prozess, den Du mit erhöhten Rechten startest, kann die Einstellung ändern.

"Redundanz" und "Hochverfügbarkeit" sind zweierlei Dinge. Die Redundanz (Daten gibt es mehr als einmal) hast Du mit einem - hoffentlich verifizierten - Backup auf ein externes Medium schon geschaffen. Jetzt musst Du nur noch beziffern, wie lange es dauert, aus diesem redundanten Datenbestand eine einsatzfähige Umgebung zu machen, und wenn das Ergebnis dem Endkunden genügt, bist Du auch schon fertig

Moin, ja, auf einem frischen Client-System steht sie auf Restricted.

WAC würde hier helfen.

Sorry, aber wenn man 2022 auf einem DC Printserver *und* DHCP betreibt, sind die Basics *eben nicht* da, und er läuft alles andere als wunderbar - Du weißt es einfach noch nicht. Aber diese Diskussion würde hier zu weit führen.

DNS, solange Du mit AD-integrierten Zonen arbeitest, repliziert sich von alleine. Zu dem Rest habe ich die entscheidenden Stichworte ganz am Anfang gepostet. Einlesen musst Du dich schon selber.

Wenn Du einen Essentials hinzufügst, ist er dann nicht mehr PDCe. Hochverfügbarkeit Weil beide Rollen die Angriffsfläche des DCs und somit des gesamten AD enorm erhöhen. Google mal nach "PrintNightmare". Die Standard-Empfehlung lautet eigentlich, den Spooler auf DCs zu deaktivieren, geschweige denn, ihn tatsächlich zu nutzen...

...dass der empfangende Mailserver DKIM auswertet? Das muss neu sein. Allerdings bin ich da auch schon ein paar Jahre weg... SPF und DKIM-Einträge im DNS setzen ist natürlich überall möglich. Aber das ist dann wieder nur am sendenden Ende

Moin, wenn der 1. DC auch ein Essentials ist, kannst Du in derselben Domäne keinen 2. Essentials betreiben. Ansonsten ist es natürlich möglich: Scope Failover für DHCP DFS-N + DFS-R für Ordnerumleitungen Für Printserver gibt es keine wirkliche HA. Da musst Du tricksen. Wobei Printserver und DHCP auf einem DC natürlich keine wirklich gute Idee sind...