stevenki

Fehler gefunden - es tut mir leid für die Verwirrung. Aufgrund unserer ganzen Core Installationen (fast alles mittlerweile bei uns unter Core) ist es nicht direkt aufgefallen - für den 1 DC wurde versehentlich das falsche ISO verwendet, es ist also eine 2022 VM. Das erklärt das unterschiedliche Verhalten der 2 DCs, warum es bei einem geht und beim anderen nicht. Außerdem habe ich mich noch mal in diesen Artikel eingearbeitet: https://www.windowspro.de/philip-lorenz/domain-controller-ldap-channel-binding-ldap-signing-absichern Offensichtlich verhält sich Server 2025 da nicht mehr wie 2022, denn selbst wenn ich alles "optional" einschalte, Channel-Binding und Signierung ist immer aktiv. Deswegen schlägt das ganze auf dem 2025er DC fehl. Ich konnte nun das ganze erfolgreich auf LDAPS umbauen und es funktioniert mit beiden DCs Sorry für die Verwirrung und danke an alle Beteilgten

Port ist natürlich offen, ein Telnet auf den Port zeigt auch eine Verbindung ... das gepostete war etwas überhastet, habe es natürlich auch mit DNS Namen probiert, keine Änderung :-( Allerdings steht die GPO noch wie oben geschrieben, ist damit TLS gänzlich deaktiviert?

Hallo, danke für deine Antwort. Also beide DCs haben ein Zertifikat mit der Vorlage Domänencontroller , sonst kein weiteres. Bei der einen Anwendungen (es betrifft aber wie gesagt alle Anwendungen bei uns) kann ich auch extra "keine Verschlüsselung" oder "SSL verwenden" einstelle. Wenn ich SSL verwenden aktiviere funktioniert weder DC1 noch DC2, da lautet die Fehlermeldung Could not connect to Ldap Server: 0x51 (Can't contact LDAP server; (unknown error code)): ldaps://192.168.1.10:636 Ich stehe total auf dem Schlauch aber danke für deine Hilfe

Hallo, wir sind derzeit dabei, sämtliche VMs von Server 2012 R2 / 2016 und 2019 zu 2025 zu migrieren. Die DC sind dabei bereits erfolgt, beide auf 2025. Leider haben wir jetzt mit externen Programmen Probleme, die vorher immer per LDAP die DCs abgefragt haben. Ein Fehlermeldung unseres MDM Systems lautet: Could not connect to Ldap Server: 0x8 (Strong(er) authentication required; 00002028: LdapErr: DSID-0C0903CC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data Ich habe folgende GPO (Default Domain Controller Policy) bereits folgendermaßen angepasst: Domänencontroller: Signaturanforderungen für LDAP-Server -> Keine Es funktioniert trotzdem nicht. Das wirklich merkwürdige an der Sache ist jedoch, es funktioniert nur auf 1! DC nicht. Auf dem anderem DC funktioniert es problemlos. Wir haben nun - als temporäre Lösung - in sämtlichen Programmen einfach den LDAP Server auf den funktionierenden DC gelenkt und alles funktioniert erstmal. Trotzdem würde ich das Problem gern lösen und verstehen, was der 2. DC für ein Problem hat. Habt ihr Lösungsansätze für mich?

das ist mir bewusst ... mit "VM-Netz" meinte ich ja auch nur den vSwitch, an welchen die VMs angebunden sind. Vielen Dank für eure Antworten, wie gesagt, es ist klar, dass es eine Mini Umgebung ist. Trotzdessen wollte ich hier mal nachfragen, ob es Empfehlungen gibt, die ich bei der Netzwerkplannung unbedingt beachten sollte. Danke für eure Antworten

Danke für die Antworten, tatsächlich war meine FRage weniger der Performance geschuldet , da wird die Umgebung kaum große Notwendigkeiten ans Netzwerk stellen. Mir ging es nur um die Best Practise bei Hyper-V, da ich wie gesagt, in der Richtung eher aus dem VMWare Umfeld komme und mir die aktuellen Best Practises einfach so nicht bekannt sind. Warum nicht stacken? Ich habe sehr viele Uplinks, die via LACPs Links auf jeweils ein Switch des Switch-Stacks gehen, um Redundanz zu gewährleisten. Ja, ich könnte stattdessen auch mit RSTP arbeiten, aber was spricht denn gegen Stacks? Als Shared-SAS hatte ich eine DELL ME5024 geplant - relativ günstig für ein, für diese Umgebung, sehr performantes shared Storage. Dieser Xaler ist doch ein S2D korrekt? Hatte ich auch überlegt, aber mMn steigert es die komplexität unnötig für gleiche Kosten und unwesentlich, nicht benötigter, mehr performance (wenn überhaupt). Aber kannst mich auch gern korrigieren...

danke für eure Antworten, wie ich bereits im Eingangs-Post schrieb, ich bin bei den pNICs noch flexibel, abhängig von der Best-Practice vom Hyper-V. Ports im Switch-Stack habe ich genügend übrig, und die pNICs kann ich, da die Server noch in der Bestellphase sind, noch beliebig anpassen. Die Umgebung wird eher eine relativ kleine Umgebung, wenig Last (8-10 VMs, darunter 1 Exchange, 1 Datev Server, 2 RDS, 15 User) Für Backup-Traffic wollte ich saperate NICs verwenden, um den Backupserver auch komplett zu trennen. Also vom Prinzip her: - Livemigration - Cluster / CSV (zusammen via vNIC oder getrennte pNICs?) - Backup-Traffic - VM - Mgmt Alle Karten werden 10Gbit haben

Hallo zusammen, bisher war ich immer in der VMWare Schiene unterwegs, aufgrund der aktuellen Lizenzproblematik und nur noch ABO-Modellen möchte ich im nächsten Projekt daher ein Hyper-V Cluster verwenden. Hier bin ich allerdings die ganze Zeit auf der Suche nach den Best Practises bzgl. Networking und finde immer sehr unterschiedliche Aussagen. Auf manchen Seiten wird geraten, ein SET Team zu erstellen und vNIC daran zu hängen für die verschiedenen Dienste. Auf anderen Seiten wird wiederrum sämtlicher Traffic weiterhin getrennt. Aktuell bin ich noch frei in der Netzwerkkonfiguration der Server , es soll ein Cluster aus 2 Hosts werden. Storage wird über shared SAS angebunden, also keine Netzwerkbetrachtung notwendig. Außerdem werden 2 Switches, welche gestackt werden, verwendet, um die Hosts ans Netzwerk zu bringen. Für Live-Migration wollte ich die Hosts direkt miteinander verbinden (10 Gbit). Hier die 1. Frage: - eine Verbindung für Live-Migration (1* 10 Gbit) - 2 Verbindungen für Live-Migration (2* 10 Gbit) - 1 SET Team mit 2 Verbindungen für Live-Migration Da es nur ein 2 Host-Cluster wird stellt sich auch die Frage für Cluster / CSV Traffic. Oder reicht 1* SET Team mit 2*10 Gbit und dann verschiedene vNIC für die Dienste Livemigration, Clustertraffic,..? Wie sieht es mit dem Mgmt des Hypervisors aus? - eigene Verbindung via LFBO Team - eigene Verbindung via SET Team? - vNIC im Set-Team gemeinsam mit VM Traffic? Wäre schön, wenn ich von euch ein paar Anregungen bekomme, welche Konstellation am besten und sinnvoll ist. Vielen Dank

Hallo, ja funktioniert in beide Richtungen mit OWA und Outlook.

Hallo, wir befinden uns in der Migration von Exchange 2016 zu Exchange Online. Die Hybridstellung (Klassisch voll) funktioniert, ich habe einige User auch erfolgreich zu ExO verschieben können. In Verbindung mit Teams habe ich neue Ressourcenpostfächer (Räume) auf dem Exchange Online angelegt (also natürlich vom lokalen Exchange mit enable-remotemailbox). Der Raum ist von ExO Usern sichtbar und wird in der lokal erstellten, synchronisierten Raumliste auch angezeigt. ExO User sehen auch die Exchange on-prem Räume, nur andersrum nicht. Ein Exchange on-prem User sieht zwar die Raumliste (in der die eigentlichen Exchange Online Räume liegen), diese ist jedoch leer. Wie kann ich das Problem lösen? Alles was ich bisher gesucht habe hat immer vom umgedrehten Szenario gehandelt (Exchange on-prem Räume und Exchange Online User) Ich würde mich freuen wenn Ihr mir helfen könnt. Lieben Dank

Hallo zusammen, vielleicht ist ja jemand im Forum an Board, der sich mit den oben genannten Switchen auskennt (Aruba OS 16.10) Ich habe ein Device-Profil angelegt: device-identity name "Voip-Phone" lldp oui 0012bb sub-type 2 exit device-profile name "Voip-Phone" untagged-vlan 10 tagged-vlan 20 exit device-profile device-type "Voip-Phone" associate "Voip-Phone" enable exit Ziel ist, dass sobald an einem Port ein Voip-Phone erkannt wird, der Port die VLANs entsprechend erhält (Tagged 20, untagged 10) Grundlegend funktioniert das auch, der Port erhält dynmisch die VLANs. Ich habe aber das Problem, dass der Bootvorgang des Telefons vermutlich diese Prozedur stört, denn das Telefon startet während des Boot-Prozesses 3* neu, wo es ganz kurz den LAN-Port deaktiviert. Meine Vermutung ist, dass aufgrund dieses kurzen deaktiverens das Konstrukt nicht funktioniert, da das Telefon am Ende die TK-Anlage im VLAN 20 nicht erreicht und sich in einer Dauerschleife befindet und immer wieder mit "No Ethernet" neustartet - no Ethernet bedeutet in dem Fall aber nicht "kein Netzwerk" sondern keine Verbindung zur Anlage ... das Telefon hat in dem Moment eine falsche IP Konfiguration (die des 10er VLANs). In meiner Theorie ist das Problem das kurze Port-Deaktivieren beim Booten, sodass das Profil, welches der Port bekommt, immer wieder zurückgesetzt wird. Ich müsste also die dynamische Zuweisung der VLANs für eine gewisse Zeit auch beibehalten, auch wenn der Port deaktiviert wird. Ggf. mit irgendwelchen LLDP Timern? Leider bin ich auf dem Gebiet LLDP noch relativ frisch, sodass ich hier mal um Hilfe frage. PS: Ja, die Variante VLAN 20 als Voice VLAN zu kennzeichnen und auf den Ports das untagged 10 und tagged 20 VLAN festzulegen, funktioniert einwandfrei (VLAN 10, um PCs, welche am Telefon hängen, im entsprechenden VLAN zu haben). Allerdings müssen so sämtliche Ports manuell mit VLANs konfiguriert werden, sodass ich gern die Thematik über die device-profile versucht hätte, zu lösen

Hat sich erledigt, man muss beim set-mailbox den Parameter -publicfolder mit angeben, dann funktioniert es. korrekt, Outlook verbindet sich ja aber trotzdem auf dessen "Emailadresse" ... Problem somit gelöst

na das die Adresse [Domain].local ist, welche natürlich nicht im Zertifikat enthalten ist und somit ein Zertifikatsfehler im Outlook erscheint

Nein, ich kann da leider nichts einstellen außer Kontingente

Hallo, wir haben unsere Migration von Exchange 2010 zu 2016 erfolgreich und problemlos durchgeführt. Leider habe ich noch ein Problem mit den öffentlichen Ordnern bzw. mit dem Postfach für öffentliche Ordner. Beim erstellen hat dieser sich leider die Emailadresse mit der internen Domain gezogen ... diese ist natürlich nicht im Zertifikat enthalten. Wie bekomme ich diese Mailadresse geändert? über Get-mailbox -PublicFolder bekomme ich das Postfach angezeigt, über Get-mailbox -PublicFolder | Select-Object displayname,EmailAddresses, PrimarySmtpAddress,WindowsEmailAddress bekomme ich das Postfach aufgeführt und in allen Spalten steht @domain.local Aber wie bekomme ich die Werte angepasst? Wenn ich über Get-mailbox -PublicFolder | Set-Mailbox -PrimarySmtpAddress PF_master@domain.de versuche, die Adresse anzupassen, sagt er mir folgenden Fehler: Das Objekt ist natürlich vorhanden und sämtliche andere Vorgänge (neuer Mailbox / neuer User, Mailbox / User ändern) funktionieren einwandfrei über die Powershell. Das Problem betrifft tatsächlich nur das Konto für die öffentliche Ordner. Vielen Dank für eure Hilfe