jans1612

vor 18 Stunden schrieb winmadness:

Mit Problemen kann ich leider nicht dienen  Wir verwenden Veeam und sichern damit unsere Hyper-V Server (DC, Exchange, Fileserver, mit "application-aware processing"). Auf einer Testmaschine erstelle ich min. einmal im Monat einen Restore der VMs. Dann teste ich alle Funktionen (Outlook, ActiveSync, Fileserver, VPN Login mit User Zertifikaten, Datenbank-Anwendungen) - bisher immer ohne Probleme. Lediglich die VM des Exchange Servers muss ich zweimal starten, da beim ersten Mal nicht alle Dienste gestartet werden. Ansonsten ist kein manueller Eingriff notwendig. Was ich ebenfalls getestet habe sind die Veeam Tools für den direkten Zugriff auf die Exchange Datenbank und des AD - auch hier keine Probleme.

Allerdings habe ich keine Erfahrungen mit dem Backup/Restore eines Bare-Metal-Servers.

Danke, dass du uns deine Erfahrung mitgeteilt hast. Ich bin verwundert das es bei uns damit Probleme gibt. Wir virtualisieren aber auch mit dem VMware ESXI.

vor 18 Stunden schrieb NilsK:

Moin,

 

egal, was für ein Tool man einsetzt, ich rate dazu, als Basis immer Windows Server Backup zu verwenden und weitere Tools nur als Ergänzung. Grund: Windows Server Backup ist das einzige Werkzeug, das vom Hersteller des Active Directorys direkt unterstützt wird. Sichern des Systemstate von mindestens zwei DCs pro Domäne.

 

Dass man in einer konkreten Recovery-Situation Aufwand mit der Wiederherstellung hat, sollte man einplanen. Es ist der Normalfall, wenn wirklich ein Fall eintritt, in dem man das AD aus einem Backup wiederherstellen muss. Das wird in solchen Situationen praktisch nie einfach so funktionieren; eine Netzwerkkarte neu einzurichten, fällt da unter "Peanuts". Im übrigen stellt man das AD wieder her, nicht einen DC.

 

[CDC-Video: Design for Change: Active Directory für das Cloud-Zeitalter | faq-o-matic.net]
https://www.faq-o-matic.net/2019/07/04/cdc-video-design-for-change-active-directory-fr-das-cloud-zeitalter/

 

(Oder auf Englisch: https://www.youtube.com/watch?v=cTjYMeoN1QI, dort vor allem ab Minute 48:39)

 

Gruß, Nils

 

Das Video ist echt super, viele der angesprochenen Punkte erfüllen wir bereits. Ich werde die duale Strategie mit Windows Backup und als zweite Lösung Veeam einmal testen.

vor 1 Minute schrieb NorbertFe:

Und wer soll dir die geben?

Niemand, ich würde mich nur über einen Austausch freuen, was ihr für Software dafür benutzt, ob ihr selbe Probleme damit erlebt habt etc. 

vor 52 Minuten schrieb Dukel:

Was für ein Restore? Ganzer Server? Einzelne Elemente? OU's?

 

Was für Probleme hast du mit dem Restore?

Hallo,

am besten den ganzen Server mit eingeschlossen die AD Applikation.

Einmal habe ich mir beim testen das ganze Active Directory zerschossen.

Ein anderes Mal wurde vom Netzwerkadapter die Domain nicht mehr erkannt wodurch die Synchronisation zwischen den DCs nicht mehr funktioniert.

Hallo zusammen,

ich bin auf der Suche nach einer Möglichkeit um Active Directory Server zu sichern und wiederherzustellen.

Mit dem Windows eigenen Backup Tool habe ich keine gute Erfahrungen gemacht.

Mit Veeam hat nicht jedes Wiederherstellen funktioniert und ich benötige eine Garantie, dass meine Maschine + AD zu 100% funktionstüchtig sind nach dem wiederherstellen.

Habt ihr selber Erfahrungen im Betrieb mit diesen Tools oder mit anderen? Was benutzt ihr dort und wie zuverlässig sind eure Tools.

Danke und Gruß

Hallo,

die Zertifikate sollen verwendet werden damit die Server einem Web Server Zertifikate vom Windows Update Server vertrauen. 

Die Root und Sub Zertifikate sollen schon importiert werden aber am besten automatisch. Ich habe mich gefragt, ob es nicht eine Möglichkeit gibt, wie in der Domäne in der die CA steht, die Zertifikate automatisch im Active Directory und damit an allen Clients auszurollen. Damit müsste man bei einem erneuern des Sub CA Zertifikats nicht wieder alle Kunden DC anfassen.

Am 13.7.2021 um 17:36 schrieb cj_berlin:

Moin,

 

damit ein Domänen-Rechner einer PKI vertraut, muss das Root-Zertifikat dieser PKI in seinem "Trusted Roots"-Store landen. Dafür gibt es vier Möglichkeiten:

 

Registry = Du importierst einzeln

Third Party = Microsoft importiert

Group Policy = Group Policy

Enterprise = DU veröffentlichst im LDAP

 

Wenn also den Zertifikaten einer PKI in einem Forest vertraut werden soll, kannst Du zwischen den beiden unteren Varianten auswählen.

 

Um Zertifikate zu beantragen, kannst Du natürlich Webservices einsetzen. Aber das Vertrauen muss trotzdem irgendwie hergestellt werden.

 

In welche Richtung gehen denn die Trusts?

Danke für die Antwort. Die Trust sind "Incoming Trusts" und dienen zur Authentifizierung in den Kunden Umgebungen. Wir veröffentlichen zurzeit schon im LDAP es gibt leider keine Option im LDAP von mehreren Domänen zu veröffentlichen.

Moin zusammen,

ich habe folgendes Problem. Ich betreue eine Zentrale Management Umgebung in der unter anderem eine Windows PKI aufgebaut wurde. Diese ist Domänen integriert, Root & Sub Zertifikate werden an alle Clients der Domäne verteilt. An dieser Zentralen Umgebung sind weitere Kunden Umgebungen per Trust angebunden. Jeder Kunde hat einen eigenen DC. Nun möchte ich Root und Sub CA Zertifikate über die DCs in der Kundenumgebung an die Clients dort verteilen jedoch ohne Import der Root und SUB CA Zertifikate und ohne Verteilung per GPO in den einzelnen Umgebungen. Ist das irgendwie möglich?

Danke und Gruß