zahni

Das war auch nur eine der Fragestellungen. Wir sind bei dem Projekt noch ziemlich am Anfang. WebEx ist da nur eine Schraube.

Der DL meinte, dies wäre keine Lösung. Zumal mir da damals nicht klar war, dass Teams keine Kalendersynchronisation hat, sondern am Ende direkt auf unseren Exchange zugreift. Da wir mal wieder unsere DL's durchmischen sollen, überlegen wir ernsthaft auf WebEx zu wechseln, auch weil der neue DL hier eine eigene Umgebung betreibt (sorry, keine Ahnung, was der damit meint). Ich hatte hier neulich mal wieder ein Meeting damit und war, auch im Vergleich zu Teams, positiv überrascht. Nicht nur, dass Teams ständig seinen Cache verwurschtelt, ist die teilweise verwendete UDP-Kommunikation bei Proxies auch nicht das Gelbe vom Ei. Das wird da dann irgendwie getunnelt. Ach ja, unsere DL hat dann auch gemerkt, das ein Reverse-Proxy in einer DMZ nicht funktioniert. Man muss die DMZ auf Durchzug schalten. IT-Security ist MS komplett egal.

Nein Standard gibt es auch. Preise findest Du u.a. im Shop von Bechtle oder bei Software-Express. Ich hatte es mit Enterprise-Plus verglichen.

Sind die Vsphere-Kosten wirklich so ein Problem? ich habe mal Vsphere 8 VVF mit 168 Cores und 3 Jahren Laufzeit verglichen. Das sind List 20.832 EUR Netto pro Jahr. Wenn man, so wie wir, jedes Jahr Support kauft, sind das ca. 4000 EUR mehr (gegenüber einem mir vorliegenden Angebot mit Enterprise Plus),. In VVF ist auch vSphere with Tanzu (Kubernetes) enthalten, was vorher extra gekostet hat. Sicher ist die zeitlich befristete Laufzeit für manche Kunden ein Problem. Nur wer eh jährlich Service zahlt... Adobe macht es ja vor.

Den Kram kann man abschalten.https://gal.vin/posts/2021/disable-network-discovery/

Offensichtlich kann die USV-Software Hosts, VM, etc. Remote per API herunterfahren: https://www.eaton.com/content/dam/eaton/products/backup-power-ups-surge-it-power-distribution/power-management-software-connectivity/eaton-intelligent-power-manager/eaton-ipm-graceful-shutdown-application-note-AP152009EN.pdf

Was macht der genau? Eigenlicht stellt man für eine Public Key Authentifizierung dem Server-Bertreiber seinen Public-Key bereit und behält den privaten Key. https://medium.com/another-integration-blog/connect-to-sftp-server-with-ssh-public-key-authentication-from-mulesoft-sftp-connector-f97f739f9266 Bei SFTP würde ich übrigens WinSCP benutzen.

DSRegCmd /Leave geht nicht?

Wenn Due nur Webserver mit der neuen Domain brauchst, dann mach es doch. Ein Webserver kann normalerweise mit CNAME umgehen. Ist zumindest eine Möglichkeit. Dazu gibt es vHosts (auch beim DNS), den man den jeweiligen Alias zuordnet. Der Rest hängt von den Anforderungen ab. Jedenfalls solltest Du aber das primäre DNS Deiner Server in jedem Fall in Ruhe lassen.

Unabhängig von der Rückmeldung der Anderen: Jetzt weist Du, warum man keine Umlaute in Benutzernamen, OU's, Gruppen und anderen (LDAP)-Objekten benutzt. Selbst wenn es sich hier um einen Bug im Windows handelt, könntest Du zukünftig Anwendungen haben, die irgendwas mit LDAP machen und das auch nicht mögen.

Was sagt dsregcmd /status ?

Dann sollte der User eh SSO machen und nicht nach einem Konto fragen. Hast Du mal und Email & Konten geprüft, ob da ein Konto steht, dass dort nicht hingehört? Mal löschen und neu anmelden. In dem Admin-Gedöns vom Tennant gibt gibt es auch irgendwo User- und Computerlisten. Dort mal nach dem PC suchen und anschauen. Ist alles aktuell? Sorry, den Rest macht mein Kollege, daher so nebulös.

Ist der Rechner im Azur-AD gejoint? Bin da zwar kein Spezi, aber daran lag es bei uns (mal).

Wurde die Default Domain Controllers Policy verändert? Die muss in der Domin Controller-OU verknüpft sein und deren Einstellungen unterscheiden sich teilweise von normalen Servern und und Clients/Usern. Wenn man dort was ändert, muss man genau wissen, was man macht. Siehe: https://www.vkernel.ro/blog/enable-computer-and-user-accounts-to-be-trusted-for-delegation und https://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default-richtlinien

Wie meldet er sich denn am SQL-Server an? Also mit welcher Anwendung? Wenn Kerberos nicht korrekt konfiguriert ist, klappt das SSO u.U. nicht. Dann kommt User /Password. Ich hatte schon Fälle, wo die GUI schlicht bestimmte Sonderzeichen im Passwort falsch übertragen hatte, speziell Umlaute und das Paragraphenzeichen. Ob der User vom gewünschten Server ein Kerberos-Ticket bekommen hat, kann man einfach mit "KLIST" abfragen. Da kann man dann auch prüfen ob die Verschlüsselung auf AES-256-CTS-HMAC-SHA1-96 konfiguriert ist. BTW, da fällt mir ein: Vielleicht hat Microsoft in der Windows-Version RC4 und DES deaktiviert, die sind nämlich unsicher. Hier muss man prüfen, ob das Konto mit den SPNs die Option angehakt hat. Ist mir auch vor einiger Zeit bei neueren Java-Versionen auf die Füße gefallen, weil die dort RC4/DES schon entfernt haben.

Du könntest ihm die Umgebung als DL mit seinen (!) Lizenzen betreiben, wenn er mit Dir einen entsprechenden Vertrag abschließt. Der Kunde muss sich dann an die EULA halten, die seinen Lizenzen beiliegt. Der Server darf dann auch nur von diesem Kunden genutzt werden. Du darfst ihm die Lizenzen nicht per monatlicher Gebühr vermieten. Wer den Server bei Hetzner bezahlt, ist vermutlich egal.

Nun musst Du Dir überlegen, was Du oder Dein Kunde mit dem Server machen will. Beachte, dass Du als Endkunde generell kein Recht zur Vermietung hast. Es gibt zwar für Windows External Connector Lizenzen (CAL), die decken aber nicht RDS ab. Auf dem Server dürfen dann nur Du oder mit dir verbundene Unternehmen (keine Kunden) zugreifen.

Meine Anmerkung oben schließt natürlich MFA ein. Wir nutzen RSA SecurID. Hier gibt es sowohl Hardware-Token als auch den RSA Authenticator per App. Via App könnte man auch die Push-Freigabe nutzen. Wenn man sich mit der MS-Cloud verheiratet hat, geht vermutlich auch der MS-Authenticator. Dann gibt es aber keine Hardware-Token.

Ich vermute hier, dass NTLM genutzt wurde. Daher die Klärung. PS: https://learn.microsoft.com/de-de/troubleshoot/sql/database-engine/connect/cannot-generate-sspi-context-error

Wenn man mit den Client-Produkten via Citrix Netscaler ADC oder z.B. Vmware UAG zugreift, halte ich das Risiko für vertretbar. USB, Zwischenablage und Drucken kann man jeweils sperren und die Endpoints hängen eh im Internet, Bei VPN würde ich das auch anders sehen.

Bei mir hatte das komische Kerberos-Tool von MS beim SQL 2022 bei mir nicht mehr funktioniert. Das sollte man händisch machen. Läuft der SQL mit einem Domain-Konto? Da müssen die SPN's rein. Prüfe auch, ob Du nicht irgendwo Dopplungen hast.

Eventuell ein anderer SQL-Client, der kein NTLM mehr macht?

Bei uns Backup-DC: - System State und File-System via Backup Agent -AD-Backup via AD-Agenten der Backupsoftware (damit kann man einzelne Objekte zurück sichern) -Snapshot-Sicherungen der virtuellen DC's. Da kann man sich dann was aussuchen.

Warum kein Backup von den DC's? Wichtig ist, dass man im DR-Fall nur einen DC wiederherstellt und alle anderen DC's neu installiert. Dazu muss man nach dem Restore natürlich vorher die alten DC's im AD entfernen. Einen DC kann man durchaus per Snapshot sichern. Der muss dann aber im DR-Fall der alleinige DC sein. Man darf keinen anderen DC aus einer Snapshot-Sicherung wiederherstellen oder geben einen anderen noch funktionierenden DC.

Eigentlich müsste zuerst ein Migrationskonzept für alle Lösungen erstellt werden und darauf basierend eine Leistungsbeschreibung. Beispielsweise sind nicht alles Anwendungen kompatibel mit WebDAV (Sharepoint, One Drive). Access-DB's werden z.B. komplett heruntergeladen, geändert und wieder hochgeladen. Man kann da nicht gemeinsam zugreifen. Das würde nur über eine Web-Lösung gehen. Die Access Web App ist kaum eine Alternative, zumal man das pro Lösung machen müsste. Ohne so ein Konzept würde ich kein Angebot abgeben bzw. nur ein Angebot zu Konzepterstellung.