cj_berlin

Moin, wenn Du <= 16 Cores gesamt, <= 2 Sockel und <= 8 Cores pro Sockel in Deinem Blech hast, bist Du mit der Basislizenz abgedeckt und kannst die 2 VMs fahren, sofern auf dem Blech lediglich Hyper-V ausgeführt wird und nicht irgendwelche anderen Server-Rollen.

...und hast Du auch einen Überblick darüber, ob nur AD-Clients im LAN oder auch andere Use Cases in den chinesischen Standorten anfallen?

...meine IT-Überlebensregel #1: Basiere niemals Handlungen auf Annahmen. Aber ja, da die AD-Anmeldung anscheinend funktioniert, sind die chinesischen Netze wohl in einem eigenen Standort oder halt in zwei. Die Domain-Mitglieder wären dann mit sitescope bedient. Bleiben zwei Weitere Fälle: Im LAN, aber kein AD-Mitglied --> das könntet ihr lösen, indem ihr dort einen DNS-Server hinstellt, der alles an den DC weitergibt bis auf autodiscover. Dieses würde er dann mit der chinesischen Adresse beantworten. Damit könntet ihr sogar auch die AD-Member bedienen, wenn ihr die SCP-Abfrage per GPO tot tretet und nur DNS macht. Aus dem Internet --> da kommt ihr doch von China aus ja vermutlich ohnehin nicht an das Exchange in Europa, oder? Insofern dürfte es diesen Fall nicht geben.

Was Norbert gesagt hat. Und wenn ihr schon Rechte vergeben wollt, dann wenigstens ohne Automapping. Dann kann der geneigte User nicht das Postfach, sondern lediglich den Kalender einbinden, hat seine Rechte, kriegt aber weder Mail-Ordner noch den Kontakte-Ordner ("Adressbuch" ist in Exchange was anderes ) zu sehen.

...wobei es seit 2008R2 echt egal ist, in welcher Reihenfolge die da stehen. Aber ja, macht man auf jeden Fall so, da meckern auch alte Inventarisierungsskripte nicht Und der Vollständigkeit halber, obwohl es im vorliegenden Fall wohl keine Bewandtnis hat: Wenn die neue IP durch Subnetze in eine andere Site fallen würde als die alte, würde es bei einem DC nicht dazu führen,. dass er die Site wechselt.

Das Problem aus Deinem OP nicht, aber offensichtlich kommt noch hinzu, dass die Namensauflösung in diesem Konstrukt nicht so funktioniert wie von Dir erhofft. Wie wäre es, wenn Du mit ein paar Konkretika hilfst? bei welchem Hoster liegt das ganze? welche Domain/Hostname, wo kommt der her? welche Fehlermeldung kriegst Du?

...und in dem typischen "Notebook in einem Bürohochhaus"-Szenario (jede Stunde Netzwerkwechsel, weil pro Etage andere IP-Subnetze gelten) funktioniert es auch bei modernen Betriebssystemen eher bescheiden. DHCP hingegen trägt jedes Mal schön die in diesem Augenblick aktuelle Adresse ein. Und um die Reverse-Auflösung kümmert sich der DNS Client kein Bisschen, wie auch schon der DHCP-Client vor ihm - es gibt aber tatsächlich noch Produkte, die sie brauchen, und Kunden, die sie wollen.

Vermutlich liegt es daran, dass nicht alle Ports hin zu diesem Server offen sind. Wie greifst Du denn darauf zu? VPN? Oder geht direkt RDP aus dem Internet?

Re DHCP: Erschwerend kommt hinzu, dass nur die Kombination "Windows DNS + Windows DHCP" es Dir ermöglicht, bei dynamisch vergebenen IPs zuverlässig A- und PTR-Records zu erstellen, zu aktualisieren und zu löschen.

Das ist das, was ich eingangs mit VLANs und IP-Helpern meinte

...doch auch diese beherrschen nicht die Kunst der Gedanken-Osmose. @JoVo59 Du musst Deine Anforderungen so präzise beschreiben, dass daraus klar wird, *was* gemacht werden muss. Im Prinzip musst Du daraus der besorgten Userin eine erschöpfende Antwort auf die Frage geben können, was sie genau auf dem neuen System machen kann und was nicht. Und wenn Du soweit bist, wirst Du feststellen, dass der größte Teil des Aufwandes - den Dir aber niemand abnehmen kann, außer vielleicht Dein Vorgesetzter - bereits erledigt ist. Für den Rest kannst Du dann die zuhauf im Internet vorhandenen Tutorials auf Deine Anforderungen projizieren.

Weil das unter 2008R2 so war

Es ist nicht generell ausgeschlossen (z.B. MikroTik-Module können das). Aber verlassen würde ich mich, wie die Vorredner schon sagten, nur auf die Aussage des Herstellers. Dabei geht es tatsächlich sowohl um das SFP-Modul als solches als auch um den Switch.

Das musst Du jetzt bitte erklären. Die Config ist doch trotzdem an den Maschinennamen gebunden und muss umgeschrieben werden, wenn sich dieser ändert...

Moin, wenn die Signierfunktion bei beiden CAs bereits auf SHA256 oder höher upgedated wurde und es Dir um das reine Betriebssystem-Upgrade geht, ist es wurscht, in welcher Reihenfolge Du das machst. Ich würde immer mit der Root anfangen, aber das wäre in diesem Fall keinem technischen Grund geschuldet, sondern der Gewohnheit. Falls die Issuing CA kurzlebige Zertifikate per Autoenrollment ausstellt (Stichwort 802.1X) solltest Du die Downtime für diesen Anwendungsfall ankündigen, denn Deine Migration wird viel geschmeidiger, wenn die 2019er Maschinen die Computernamen der alten Server erben.

Moin, wenn es um die Erreichbarkeit von draußen geht, muss *jemand* auf öffentliche IP-Adressen hören. Klar geht einiges - aber nicht alles! - mit NAT, aber bereits beim Reverse Proxy muss doch dieser ein Bein im "großen Schwarzen" haben. Daher gibt es so etwas wie "private DMZ", die oft private IP-Adressen haben und mit dem Internet nur über NAT/PAT verbunden sind, und "öffentliche DMZ", wo die einzelnen Hosts tatsächlich öffentliche IP-Adressen haben. Wenn es ausschließlich um die Sicherheitszonen-Zuordnung geht, ist es egal, aus welchem Pool die IP-Adressen der DMZ-Hosts kommen, solange es nicht LAN ist und die Firewalls korrekt konfiguriert sind. Aber wenn man z.B. multitier-Anwendungen in der DMZ hat, dann sieht man häufig den Frontend-Tier in der öffentlichen DMZ, während Applikations- und Datenbank-tier in einer privaten DMZ sind.

Wenn ich das beeinflussen kann: Hashregeln, d.h. konkrete Executables explizit berechtigen.

Hast Du die Möglichkeit, da ein Gerät reinzubringen, das noch nie an diesem Netz dran war und schauen, ob das einen Lease kriegt? Er fordert ja scheinbar eine bestimmte Adresse an, das wäre also eine Verlängerung. Die kann ihm der Windows-DHCP natürlich nicht bieten. Falls der DHCP-Server virtuell ist: Einfach noch eine VM am gleichen vSwitch. Dann wäre die Physik ja außen vor. Wie @Nobbyaushb richtigerweise schrieb: auf der SOPHOS nach Möglichkeit nicht Bereiche, sondern den gesamten DHCP-Dienst deaktivieren, denn ein aktiver Dienst ohne Bereiche antwortet ja auch mit nem NACK.

Hmmm. Der Bereich ist aktiviert? DHCP-Policies sind keine am Start? Leases mit dem Namen BAD_ADDRESS zu sehen? (das wäre ein Hinweis auf Kollisionserkennung)

DHCP sollst Du auf DCs grundsätzlich nicht betreiben Ist zwar nicht ganz so schlimm wie Print Server, aber dennoch eher zu vermeiden.

das heißt wohl "Drittanbieter"

Moin, es ist "rogue DHCP", nicht "rough". Bekommt der Windows-DHCP denn überhaupt Anfragen? (Wireshark + Debug Log des DHCP)

Moin, ich würde einen DC nicht gern umbenennen. Wenn Du durchgehend Redundanz haben willst, einfach den zusätzlich DC3 installieren und nach Abschluss der Maßnahme wieder entfernen. Und die Bestands-DCs herunterstufen, aus AD entfernen, Replikation und KCC abwarten, nachbereinigen und dann den 2019er DC gleich in der richtigen Kombination aus Name und IP hochstufen.

Dann kontrolliere es doch

Moin, wenn 's am rogue DHCP liegt, siehst Du es in den Logs am DHCP-Server . Aber was einfacheres: Habt ihr mehrere VLANs in eurem Netz und wohin zeigen die IP-Helper in diesen VLANs? Oder ist es so ein Mini-LAN, in dem alle Adressen aus demselben Segment sind, und in diesem Segment stehen dann auch die SOPHOS und der neue DHCP Server?