zahni

Ich wiederhole mich: Wenn irgendeins der Geräte zum Server das macht, findest Du die entsprechenden Events im Eventlog des modernen Servers, der den Patch installiert hat. Wenn da nicht steht machen die auch nichts. Du kannst in der Registry den Patch auf den DCs auch zwangsweise aktivieren (geht ohne Neustart). Wenn es nicht geht: Rolle rückwärts. Außerdem wird es Zeit...

Bei HTTP-Anfragen wertet der Reverse-Proxy den HTTP-Host-Header aus und kann die Anfragen dann an einen internen Server mit einem anderen Namen weiterleiten. Wichtig ist, dass die Web-Anwendung keine harten Links auf den internen Namen des Servers hat. Bei SSL endet der SSL Tunnel am Proxy. Soll mehr als ein interner Server bedient werden, muss das externe SSL-Zertifikat für beide externe Host-Namen ausgestellt sein und der Browser SNI unterstützen. Hier erfolgt die Weiterleitung auch über den Host-Header. Intern kann SSL mit einem internen Zertifikat gemacht werden, dem der Proxy vertraut.

Wenn die neusten Updates installiert sind, einfach die Eventlogs absuchen. Wo ist das Problem? Steht doch in der Anleitung von MS.

Ich meine trotzdem, dass man zum Erstellen einer Sub-Domain Enterprise-Admin sein muss (zu Deutsch: Mitglied in de Gruppe "Organisations-Admins"). Das ist man als schnöder Domain-Admin nämlich nicht.

Bist Du Enterprise-Admin? Im Zweifel ist es das Konto "Administrator". Ansonsten hoffe ich, dass Du das nur zu Schulungszwecken machst. Im realen Betrieb sollte man da unbedingt vermeiden.

Und es wäre schön, wenn AVM endlich mal IKEv2 unterstützen würde. Dann klappt es vielleicht auch mit dem Windows-VPN-Client. Man fragt sich, wo dort das Problem liegt.

Hat ja nicht weh getan. Einfach vorher die Eventlogs nach den beschriebenen Events absuchen. Bei uns ist das schon aktiv,

Sehe ich so wie Norbert. Im RZ haben wir zwei getrennte Stacks zur Ausfallsicherheit des Netzwerks. Da kann ich den DC nicht von ausnehmen. Die virtuellen DCs bekommen die Ausfallsicherheit über eine ähnliche Funktion im ESX. Dürfte technisch keinen großen Unterschied machen.

Microsoft ist sich da selber nicht ganz einig: http://techgenix.com/active-directory-insights-part6/ Das ist wohl ein Misch-Masch aus alten Windows-Versionen und als Windows noch kein Teaming konnte. Ich habe auf dem physikalischen DC hier mit Switch-Independent und Load-Balancing "Dynamic" noch keine Probleme festgestellt. Das spielt sich doch auf L2 ab??

Was war dein Problem? Die phys. NIC müssen im gleichen L2-Netz hängen. "Switch Independent" geht, wie der Name schon sagt, fast immer. Wenn Du mehr als ein L3-Netz hast, braucht Dein Router eine DHCP-Relay-Funktion.

Windows DHCP-Server müssen im AD autorisieret werden.

Die virtuelle Teaming-NIC bekommt nur eine IP-Adresse. Den anderen physikalischen NICs dürfen keine IP-Adressen zugewiesen werden.

Der Wichtig-Kasten: https://docs.microsoft.com/de-de/troubleshoot/windows-server/networking/dns-cname-alias-cannot-access-smb-file-server-share

Das soll Netdom wohl machen.

PS: Ich kann kann mir gut vorstellen, dass Du in einer Session nicht gleichzeitig auf die gleiche Ressource mit unterschiedlichen DNS-Namen zugreifen kannst. Das mag bei NTLM noch funktioniert haben, bei Kerberos (SMBv2/3) habe ich da meine Zweifel. Also Entweder die richtige Name ODER der Alias. Ist aber nur eine Vermutung. Nichts, was ich implementieren würde.

Office versucht Verknüpfungen i.d.R. selbst zu reparieren, d.h. es sucht unterhalb der der Datei die Ordner nach den Verknüpfungen ab, selbst wenn der Baum verschoben wurde. UNC verwendet Office intern kaum noch. Ich meine, wir hatten zuletzt mit Office 97 das Problem, dass externe Verknüpfungen immer als UNC abgespeichert worden sind. Was Du machen könntest: auf den neuen Fileserver migrieren, auf dem alten Server die Schreibrechte komplett entfernen (per Freigabe / NTFS). Nach der Migration kannst Du auf dem alten Server nun prüfen, ob noch Dateien geöffnet werden und dort nachsteuern. Wenn der alte Server abgeschaltet wird, ist es wichtig dessen DNS-/WINS-Namen zu löschen. Wir haben schon Fileserver migriert und keine wesentlichen Probleme gehabt.

Das kann viele Ursachen haben. Hat der Array-Controller einen Battery-Cache? Ist die Firmware auf den Tape-Laufwerken aktuell? Sind die Laufwerke neu oder gebraucht? Unterstützt Arcserve diese Laufwerke? Ich meine mich zu erinnern, dass Arcserve immer seine eigenen Treiber benutzt, aber auch die Treiber von Windows (HPE) unterstützt. Stelle das mal um. Welche LTO-Blocksize wird verwendet? Stelle mal 256 oder 512 KB ein.

Da hat sich irgendwer Emotet eingefangen. Im Zweifel derjenige, an dem die ursprüngliche Mail mal geschickt wurde. Der Virus greift auf Outlook zu und versendet dort enthaltende Mails erneut und ergänzt sie um ein einen wichtigen Anhang, Schützen kann man sich, in dem man alle Dateianhänge herausfiltert die folgenden Bedingungen entsprechen: Ausführbarer Code (auch in Archiven). Office-Dateien mit Makros (auch in Archiven). Dazu gibt es am Markt entsprechende Lösungen. Update: Der Virus verwendet dann zum Versenden von Mails gehackte SMTP-Konten. Gern bei irgendwelchen Web-Hostern. Die bieten ja auch meist den Empfang und den Versand von Mails an. Wir hatten auch mal einen Fall bei dem ältere Mails von uns wieder den zu uns zurück fanden. Jeweils mit validen Absendern, deren SMTP-Konten gehackt oder "abgephisht" waren.

Der Update-Agent wird eh nicht mehr über diesen Weg aktualisiert. Microsoft verteilt da fast monatlich eigenständige Updates dafür ("Servicing Stack Update").

Da muss man nichts klicken. Macht der Google Updater ganz von alleine. Es sein denn, man kann es nicht erwarten.

Bei 20 PC würde ich den Chrome einfach online seine Updates holen lassen. Man kann im Google-Updater irgendwo per GPO einen Proxy konfigurieren.

Nur möchte man Chrome nicht 3x in der Woche per MSI aktualisieren. Beim Edge wird wird über das WSUS-Update der Edge-Updater "befüllt".

Das geht via WSUS, wenn Du den neuen Edge-Browser verwendest. Bei Chrome: Keine Chance, geht nur Online. Firefox: vielleicht (k.A.).

Vielleicht sind RSA-Token (SecureID) für 2FA eine sichere Alternative? Wird in vielen Banken verwendet. Gibt es auch als App fürs Smartphone.

Das ruft nach ein Video: M2 gegen M3