cj_berlin

Moin,

die Frage ist aber doch, wozu soll diese Dopplung gut sein? Wie dem auch sei, poste mal die Ausgabe von

netsh interface ipv6 show interface "<Name der Netzwerkkarte>"

vom Server.

Wenn Autodisvover gestört ist, kannst Du kein Out of Office einschalten und meistens auch nicht auf fremde Postfächer zugreifen.

Das wäre auch meine Frage, vor allem da Du scheinbar möchtest, dass beide Konfigurationen - vom Router und vom DHCP Server - überall ankommen (bis auf den DHCP Server selbst natürlich).

Meinem Verständnis nach müsstest Du dem Server eine statische IPv6-Adresse verpassen und nur den Standardgateway über RA abholen.

Moin,

kannst Du mal checken, ob sie

a. die typischen Autodiscover-Artefakte hat (z.B. Abwesenheit einrichten usw.)

b. einen frisch angelegten Kontaktordner in ihrem eigenen Postfach als Adressbuch einrichten kann?

Ja. In jedem Forum, in dem ich bisher tätig war, fand sich früher oder später die eine Person, die mir vorwarf, ich würde nur wegen Ego oder wegen Punkten antworten. Meistens sind das Mitglieder, die selbst noch nie irgendwas hilfreiches beigesteuert haben. Du bist also diese Person in diesem Forum. Haken dran.

Das ist das alltägliche Risiko, mit dem man als Community-Contributor halt leben muss. Ich orientiere mich da aber lieber an den random Leuten, die mich an der Ostsee am Strand ansprechen und sich für einen Beitrag bedanken, der ihnen vor drei Jahren aus der Patche geholfen hat  

Moin,

was ist denn der Sinn der Übung? Welche Konstellation willst Du im Endeffekt erreichen?

vor 2 Stunden schrieb NetzwerkerFrankenlan:

Auf den VMs kann ich leider nichts installieren, die bekomme ich fertig geliefert

das hat auch niemand vorgeschlagen

vor 2 Stunden schrieb NetzwerkerFrankenlan:

Ich hab ehrlich gesagt der Beschreibung zu folgen: Was heißt "ein Bein je Switch", die anderen Begriffe sind mir leider auch nicht so wirklich geläufig.

Hmmm. Dass jemand "Netzwerker" im Forum-Namen stehen hat und nicht weiß, dass man "eine Netzwerkkarte, die zu einem bestimmten Netzsegment verbunden ist" umgangssprachlich "ein Bein" nennt (kommt, wie immer, aus dem Englischen - "one-legged vs. two-legged appliance design") konnte man ja nun wirklich nicht ahnen, tut mir leid.

Moin,

sorry, aber wer hat von "real" im Sinne von "Hardware" gesprochen? Der NAT-Switch von Hyper-V hat keine Reverse-NAT-Funktion, Punkt. Außerdem ist er nur auf Client-Betriebssystemen supported.

Eine VM mit einer kostenfreien Firewall-Distribution ist eine schnelle, ressourcenschonende und kostenfreie Lösung, die dazu auch noch mit mehreren Hosts verwendbar oder von einem Host auf einen anderen portierbar wäre:

• Externen vSwitch mit LAN2 als Uplink
• Privaten vSwitch für die VMs
• pfSense-VM mit einem Bein je vSwitch
• NAT in der pfSense-VM einrichten (outbound NAT ist ab Werk da, wenn Du das externe Interface als WAN kennzeichnest)
• Glücklich sein.

EDIT: Abgesehen davon, dass es in "real" keinen "NAT-Switch" gibt  

Moin,

einfach nicht mit dem eingebauten NAT-Switch arbeiten, sondern eine Router-VM mit zwei Beinen bereitstellen. Ich nehme dafür seit vielen Jahren pfSense, aber es gibt auch andere Distributionen. Auf diesem Router kannst Du dann NAT inbound machen, nicht nur outbound.

Moin,

Du kannst ja mal mit KLIST schauen, ob Du über das VPN Kerberos-Tickets bekommst.

Moin,

welche Fehlermeldung bekommen denn die User, die sich nicht anmelden können? Es sieht ja bald so aus, als würde nur NTLM zu eurem RDS funktionieren, aber nur dann, wenn man es dazu zwingt.

Frage: Habt ihr noch Rechner, wo ihr das "Erneuern der Vertrauensstellung" noch nicht durchgeführt habt, das aber noch probieren würdet, weil es da diese Probleme gibt? Könntet ihr, bevor ihr das macht, dort einen User anmelden, der dort noch nie angemeldet war (am besten einen neuen Testuser anlegen) und schauen, ob das klappt?

Und, nicht weniger wichtig, wie genau habt ihr die Migration der DCs durchgeführt?

vor 12 Minuten schrieb mzaplata:

leider hab ich den SHA-1 Thumbprint nicht. Nur den Namen.

Dann geh auf einen Server, wo Du *weisst*, dass das Cert dort installiert ist (gerne per obigem Code-Snippet, aber ohne den Thumbprint und den Backslash davor), und hol Dir den Thumbprint  

Die Lösung steht oben.

Die meisten, die mich kennen, trauen sich nicht, die Frage zu stellen.

vor 5 Minuten schrieb mzaplata:

 

Habt Ihr eine Idee?

Ja. Wenn das halbwegs sauber gemanagt wurde, dann müsste ja jeder Server, der das Zertifikat hat, unter einem der FQDNs in den SANs dieses Zertifikats zu finden sein  

In der realen Welt, wenn Du den SHA-1 Thumbprinmt des Zertifikats hast, kannst Du 

 Invoke-Command -ComputerName @("SERVER01","SERVER02") -ScriptBlock {Get-ChildItem Cert:\LocalMachine\My\<Thumbprint> -EA SilentlyContinue}

abschießen. In der rechten Spalte siehst Du dann die Namen der Server, die das Zertifikat haben  

Das Stichwort, das Du suchst, ist "User Account Control".

Gerade eben schrieb Psychs:

gibt es denn eine Möglichkeit , dies auch über die Exchange Logs einzusehen?

 

Das ist vielleicht gar nicht über Exchange gemacht worden. Doch selbst wenn, würde ich sagen, mit vertretbarem Aufwand nein.

Moin,

Verteiler sind Gruppen (außer Dynamic Distribution Lists). Somit gilt für die Vorgänge das normale Auditing der Gruppenmitgliedschaften. Das kannst Du auf Deinen Domain Controllern aktivieren und aus den Event Logs ablesen:

Audit Security Group Management - Windows Security | Microsoft Learn

Audit Distribution Group Management - Windows Security | Microsoft Learn

Moin,

nein, da muss man nichts aufräumen. Du hast dringlichere Aufgaben in Deiner Infrastruktur. Den Haken bei "Use root hints if forwarder is not available" rausnehmen und/oder die Linux-DNS als Root Hints eintragen und glücklich sein.

Moin,

bitte schön: https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/root-hints-reappear-after-removed

Was Nils gesagt hat. Allerdings bringt die Installation von SQL Server ein paar weitere Pakete mit sich, die durch die Deinstallation der Instanz nicht entfernt werden. Bevor Du sie aus "Programme und Features" deinstallierst, schau  auf das Installationsdatum - es kann sein, dass sie für eine andere Anwendung benötigt werden und gar nicht mit dem SQL Server installiert wurden.

Bestimmt einfach nur gehofft, dass noch jemand kommt, um den Trester wegzubringen, und dann aufgegeben  

Moin,

nur damit es nicht ungesagt bleibt:

• seit Server 2016 ist es möglich, SPNs auch auf IP-basis zu vergeben und den Client per Registry anzuweisen, solche Service-Tickets anzufordern - das muss man aber halt tun
• wenn man aus irgendeinem Grund auf DNS nicht umstellen kann oder möchte, ist es durchaus möglich, die Anmeldung am Anmelde-Screen des Zielsystems durchzuführen statt per Pass-Through vom Client
• wenn man bereits am Client mit einem Konto angemeldet ist, das in die "Protected Users" gehört und aufgenommen wurde, und dieses Konto auch am Zielsystem verwenden möchte >>> Remote Credential Guard verwenden!

vor 15 Minuten schrieb Pipeline:

Dann könnte ich das auch bei MS direkt einkaufen.

 

Da überschätzt Du, fürchte ich, das Interesse von Microsoft am Erbringen von Dienstleistungen und am Kennen von Umgebungen abgesehen von der eigenen Cloud

vor 17 Minuten schrieb Pipeline:

 

Könnt ihr mir Tipps geben für richtig gute Firmen mit denen ihr positive Erfahrungen gemacht habt?

In welcher Geographie?

Habe ich seit 1998 nicht mehr im Hause.