cj_berlin

Die "Idee, die Microsoft da hat" ist doch einfach die exakte Antwort auf Horizon View: on-prem HCI (vSphere + vSAN) ist in der Lizenz enthalten, und die Lizenz selbst ist eine Mietlizenz pro User.

Tatsächlich sind wir uns ja alle einig, dass man heute lieber FSLogix verwenden sollte - obwohl der Vorteil, alles mit einer Konsole managen zu können, ohne auf GPO zurück zu fallen, nicht von der Hand zu weisen ist. Mal sehen, ob es für FSLogix irgendwann eine WAC-Erweiterung gibt, die unter der Haube in die LocalGPO schreibt. Oder halt sogar in GPO. Das müsste sich eigentlich recht leicht programmieren lassen. Als erstes bräuchte man aber eine logische Abbildung einer RDS-Bereitstellung im WAC, und das ist vermutlich als Extension nicht zu realisieren 

Moin,

AVD und RDS kannst Du aber in Bezug auf den Lifecycle nicht wirklich vergleichen. Den Link für on-prem wirst Du vermutlich die nächsten 3 Jahre nicht finden, denn Server 2022 ist produktiv, Funktionalität ist enthalten und somit für 10 Jahre garantiert. Hier: https://docs.microsoft.com/en-us/windows-server/get-started/removed-deprecated-features-windows-server-2022

Bei AVD hingegen kann MSFT jeden Tag den Versions-Counter erhöhen, ist ja "as a service". 

Moin,

FSLogix basiert tatsächlich auf demselben Prinzip wie die UPD, erlaubt aber, neben einer besseren Performance, noch

• gleichzeitigen Zugriff aus mehreren Sessions auf den gleichen Profildatenträger
• App Masking - Ausblenden von bestimmten Dateien und Ordnern abhängig von z.B. Gruppenmitgliedschaft
• Optimierung der Suche 
• spezielle Optimierung für Office (Office Container)
• Koexistenz mehrerer Java-Versionen auf dem gleichen Session Host

OK, also ist der Jumphost ist ein RDS-Session Host, Connection Broker und RDWeb in einem? 

Im IIS, dort wo die zertifikatsbasierte Authentifizierung konfiguriert ist, kann man Regeln definieren, die auf alle möglichen Eigenschaften des Zertifikats abzielen, so auch auf den Issuer. Das geht aber IIRC nur mit "IIS Client Certificate Mapping", nicht mit "AD Client Certificate Mapping". Vermutlich ist es nichts, was Du unter Zeitdruck und ohne entsprechendes Know-How angehen solltest.

Kannst Du nicht einfach alle User, die in Frage kommen, in eine Gruppe packen und die Session Collection bzw. die Remote App auf diese Gruppe beschränken? Du kannst ja aus der CA1 die Liste der User exportieren, die ein Client-Zertifikat bekommen haben...

vor 2 Minuten schrieb Flobold:

Okay, wenn der Jumpserver das Zertifikat der Root-CA2 vertraut kann ein Anwender bei der Anmeldung

bei der Anmeldung woran? Bei der Windows-Anmeldung am Jumphost, Browser-Anmeldung am RDWeb, an Facebook? Auch wenn es schwer vorstellbar ist: Wir kennen Dein System nicht.

Wenn es um ein Zertifikat im Browser geht, kann der User, meine ich, ein beliebiges Zertifikat für die Authentifizierung auswählen, das sich samt Private Key in seinem privaten Store befindet und die EKU "Client Authentication" besitzt, egal, ob der Rechner, wo er gerade angemeldet ist, dem Aussteller vertraut oder nicht. Es ist am Webserver, nur bestimmte Aussteller oder gar nur bestimmte Zertifikate (User) zu akzeptieren.

vor 9 Stunden schrieb BOfH_666:

Ich dachte das galt nur, wenn Du von Sensei Miyagi san Karate oder Master Pai Mei Kung Fu lernen willst.    

Hah! Du hast ja Glück, dass Du nicht bei Meister See Jay PowerShell lernen musst. Miyagi-san und seine Autowäsche ist Kindergarten dagegen 

Du verrätst immer noch nicht, warum es aus Deiner Sicht schlimm wäre, wenn der Jumphost der CA2 vertraut. Erkläre doch bitte, wie genau das User-Zertifikat in die Anmledung a. am Jumphost und b. am RDWeb involviert ist.

Moin,

ich verstehe den Zusammenhang zwischen Server- und Benutzerzertifikaten zwar nicht ganz, aber es gibt einige Verfahren, wo das Vertrauen in ein Leaf-Zertifikat explizit erklärt werden kann: Code Signing und S/MIME zum Beispiel. TLS gehört allerdings nicht dazu, hier muss der Zertifikatskette vertraut werden.

Hast Du Bedenken, dass, wenn Du das Vertrauen in CA2 erklärst, sich User mit CA2-Zertifikaten werden am Jumphost anmelden können? Dafür gibt es Policies, die die Anmeldung regeln, unabhängig davon, ob sie per Smartcard oder per Username/Password erfolgt. Außerdem - sofern es wirklich um Smartcards geht, Du verrätst ja nicht soviel - ist das generelle Vertrauen in die Zertifikatskette nicht ausreichend, die Root CA muss im NTAuth-Store eingetragen sein.

vor 14 Minuten schrieb BOfH_666:

solltest Du nicht mehr mit VBS oder CMD anfangen

Was ist aus "lernen durch Schmerz" geworden?

https://devguru.com/content/technologies/wsh/wshshell-run.html

Da ist auch die genaue Erklärung drin  

vor 1 Stunde schrieb MHeiss2003:

Würdet Ihr eher den DC am Hauptstandort über VPN ansteuern oder einen eigenen DC im Cloud RZ mit Replikation über VPN implementieren? 

Zweiteres. Eine Site mit einem Exchange-Server aber ohne schreibbaren DC ist nicht supported und ich meine, Exchange wird sich in solch einer Site auch nicht installieren lassen.

AD-Replikation ist kein zeitkritischer Vorgang, der AD-Zugriff seitens Exchange schon. Auch kann da durchaus Traffic entstehen, den Du nicht im VPN haben willst. Jedenfalls nicht im 16M-VPN.

Naja, wenn die Benutzer am Hauptstandort wirklich körperlich sitzen, dann haben sie ja bis zum Exchange vermutlich Gigabit. Das solltest Du nicht verschenken, indem Du den Exchange von ihnen weg schiebst, denn wie @NorbertFe schrieb, dann haben sie nur 16M zum Exchange für alle. Wenn die Benutzer nach Hause geschickt werden, würde Exchange im Cloud-RZ mehr Sinn machen. Andererseits, wenn sie im Cached Mode arbeiten können oder OWA nutzen, ist es gar nicht so schlimm. Du könntest Dir daher überlegen, den Exchange *nur* im Cloud-RZ bereitzustellen und Cached Mode zur Normalität zu erklären, wie bei O365 halt. Davon profitieren sowohl die mobilen User (der nächste Lockdown kommt bestimmt) als auch Deine anstehende O365-Migration (die kommt bei der Anzahl User auch bestimmt).

Irgendeinen Tod muss man halt sterben. Aber wenn Du Exchange im Cloud-RZ platzierst, muss da zwingend auch ein Domain Controller hin.

Moin,

wieviele Exchange-User sitzen dauerhaft jeweils

• am Standort mit 16M
• am Standort mit 100M
• außerhalb der Standorte?

vor 22 Minuten schrieb NorbertFe:

Und wozu dann "zwei Exchange"? Die Postfächer sind doch trotzdem nur über die 16Mbit Strippe verfügbar.

Nicht zwangsläufig - kommt darauf an, wo der User sitzt (#WFH lässt grüßen)...

vor 23 Minuten schrieb Quirk18231:

noch eine Frage: wie kann ich heraus finden, ob sich GPOs gegenseitig blockieren?

GPRESULT und https://techcommunity.microsoft.com/t5/microsoft-security-baselines/new-tool-policy-analyzer/ba-p/701049 

Moin,

für eine aktive logische Netzwerkkarte (also: ein Team oder eine ungeteamte einzelne NIC) im Hyper-V-Host gibt es drei Zustände:

• keinem vSwitch zugewiesen --> das ist das, was fürs Management empfohlen wird
• einem vSwitch zugewiesen, Haken bei "durch Management-OS nutzbar" ist raus --> NIC steht nur VMs zur Verfügung, das ist das, was für die VMs empfohlen wird
• einem vSwitch zugewiesen, Haken bei "durch Management-OS nutzbar" ist drin --> NIC steht sowohl dem Host als auch den VMs zur Verfügung. Das ist der weniger gut beherrschbare Zustand, und man sollte nachträglich per PowerShell die Bandbreite, die dem Management-OS zur Verfügung gestellt wird, begrenzen.

Aber an den Eigenschaften des Adapters selbst musst Du nichts spezielles machen, das erledigt Hyper-V für Dich.

Moin,

Du kannst das immer "absichern", indem Du keine Enterprise-, sondern eine Standalone-CA implementierst. Im Gegensatz zur im Internet oft geäußerten Meinung kann eine Standalone-CA durchaus auf einem Domain Member laufen. Dann hat Deine PKI gar keine Durchwirkung auf andere Systeme im AD und kann trotzdem intern vertrauenswürdige Zertifikate ausstellen. 

Wenn Du den Komfort einer Enterprise-CA haben möchtest, geh den empfohlenen Weg über die CAPolicy.inf und setze dort LoadDefaultTemplates=False. Damit vermeidest Du, dass unbeabsichtigt irgendwelche Zertifikate ausgestellt werden, z.B. für Domain Controller.

Und a propos - bitte installiere keine CA auf einem DC und installiere auch nicht das Web Enrollment!

vor 31 Minuten schrieb daabm:

Und erwischt so nebenbei auch die mit, die vorher vielleicht schon _1 hinten hatten und jetzt halt _1_1.

<korinthenkack>Und auch diese Idee beruht vermutlich auf der (recht wahrscheinlichen) Annahme, dass das Tool aus myfile_1.txt tatsächlich myfile_1_1.txt macht und nicht myfile_2.txt  </korinthenkack>

Ja, wenn Du genug Server 2022 Std-Lizenzen an die Hardware "klebst", dass alle Cores zweimal abgedeckt sind, kannst Du vier VMs fahren.

Moin,

das habe ich in einer Kundensituation mit Exchange 2016 auch schon gesehen. Der Kunde wollte uns nicht herumdoktoren lassen und hat stattdessen ein Ticket bei MSFT aufgemacht. Das Ergebnis habe ich noch nicht, da ich das Ticket nicht betreue.

vor 48 Minuten schrieb MitchAndi:

 

Wie ist dies möglich? 

Per Skript  Wichtige Stichworte sind: Get-ChildItem, Regex, Remove-Item, Rename-Item.

Hilfe beim Skripten geht so: Du versuchst was, und wenn Du nicht weiter kommst, postest Du den bisherigen Code und wir helfen.

Nein, Exchange Online (wie jedes andere Exchange auch) akzeptiert Mails an interne Empfänger (intern=Mailbox, Gruppe, Mail-aktivierter öffentlicher Ordner, Mail-Kontakt innerhalb dieser Exchange-Organisation) ohne Authentifizierung. Wie sollte auch sonst eine Mail an Deine Adressen geschickt werden können?

vor 20 Minuten schrieb testperson:

und hast du da evtl. auch Zugangsdaten für einen Exchange online User hinterlegt?

...und falls ja, beachte bitte, dass die Standard-SMTP-Authentifizierung ggü. Excahnge Online nicht ewig möglich sein wird.

vor 8 Stunden schrieb factxy:

ich habs dann so gelöst:

 

Die Diskussion über den Sinn und Unsinn von HOSTS-Einträgen einmal beiseite, aber statt Read-Host solltest Du Dir angewöhnen, Skriptparameter zu verwenden:

[CmdletBinding()]
Param(
	[Parameter(Mandatory=$true)][string]$IPAddress,
	[Parameter(Mandatory=$true)][string]$Hostname
)
Add-Content -Path $env:windir\System32\drivers\etc\hosts -Value ("{0}`t{1}" -f $IPAddress, $Hostname)

Das gibt Dir die Möglichkeit, den Aufruf in einem Aufwasch zu tätigen:

.\Add-HostFileEntry.ps1 -IPAddress '192.168.44.44' -Hostname 'www.deutsche-bank.de'

oder das Skript per Doppelklick aufzurufen, dann wird der Bediener (weil die beiden Parameter mandatory sind) nach den Werten gefragt, quasi wie bei Read-Host.

vor 23 Minuten schrieb Peterzz:

Ist es nicht eigentlich besser, das Backup "Vollständig" als "Einfach" zu machen, damit man die Option hat Transaktionsloggenau wiederherzustellen?

Wenn Du eine Anwendung hast, die einfach nur Logs und Konfigurationsänderungen in die DB schreibt, was willst Du da mit einem Point-in-Time-Restore anfangen?

Klar, bei Finanztransaktionen oder so ist es notwendig, aber viele Anwendungshersteller machen sich da keinen Kopf. Manche schreiben sogar in ihrem Install Guide "recovery model=simple", erzeugen die Datenbank aber mit Standardeinstellungen von SQL (recovery model=full).

...aber wenn Deine Logs unkontrolliert anwachsen, kannst Du ja auch kritisch hinterfragen, ob jede Anwendung ihre Datenbank tatsächlich im Wiederherstellungsmodell "FULL" benötigt.