NilsK

Moin, einmal reicht, oder? Gruß, Nils

Moin, naja, so ähnlich. Am Ende ist die Standardserie BSI-200 eine Anwendung der ISO-27001, man könnte sie auch eine Interpretation nennen. Wenn ihr BSI-200 umsetzt, seid ihr ISO-27001-konform. Aus meiner Sicht hat die BSI-Variante den Vorteil, dass sie an einigen Stellen deutlich konkreter ist und praktische Umsetzungshinweise enthält. Welche Maßnahmen man einbringen "muss", entscheidet nicht der Standard, sondern die eigene Umsetzung. Die ganze Klamotte hat sehr viel mit systematischer Erfassung und Beschreibung und mit Prozessorientierung zu tun.* Ob eine Maßnahme erforderlich ist oder nicht, schätzt man dabei selbst ein und begründet dies. Letztlich ist es dann das, was ein Auditor prüft; er muss es eben für plausibel und vollständig halten. Du hast Recht, dass das kein Hexenwerk ist. Es ist aber eine Menge Aufwand, auch bei 10 Personen. Wenn man damit bislang nicht zu tun hatte, empfiehlt es sich, eine Überblicksschulung dazu zu machen (ich hab vor Jahren mal was in der Größenordnung von 3 Tagen gemacht, das war sehr hilfreich), um die Systematik zu verstehen. Oder man lässt sich von einem Dienstleister helfen. Hat beides Vor- und Nachteile. Wovon man sich verabschieden sollte, ist die Idee, das nebenbei auf halber Pobacke zu machen. Gruß, Nils * insoweit ist "Implementierung" dabei für IT-Leute ein irreführender Begriff. Das ist nicht vergleichbar damit, einen IT-Service oder eine Datenbank zu "implementieren", sondern man muss Prozesse analysieren, beschreiben, geradeziehen und kategorisieren.

Moin, dann liegt es also auch nicht daran, dass die Applikation mit einer Named Instance nicht klarkäme, sondern sie macht irgendwas anderes falsch oder zumindest sehr speziell. Da kann man jetzt einen Zufallstreffer landen oder sehr viel Aufwand investieren. Nur sicherheitshalber: an der Domäne oder anderen Komponenten der Umgebung habt ihr nichts geändert? Geht es denn weiterhin in der alten Mimik? Dann könnte es eine Option sein, die als Insel weiter laufen zu lassen und sich parallel um eine neue Lösung der Business-Anforderungen zu kümmern. Gruß, Nils

Moin, gut, da sehen wir bestätigt, dass es DNS-Probleme auf dem ersten DC gibt. Trifft denn meine Vermutung zu, dass die Dinge wieder laufen, wenn du den Clients und den Servern den zweiten DC als DNS-Server einträgst? Dann hättest du erst mal genug Ruhe, um dich um die Ursachen zu kümmern. Was in dcdiag.txt zu lesen ist, dürfte auf die DNS-Probleme zurückzuführen sein. Daher wären die jetzt vorrangig anzugehen. Wenn einfaches Neustarten des Dienstes (und danach ggf. des ganzen DCs) nicht hilft, könntest du versuchen, den DNS-Dienst zu entfernen und dann neu einzurichten (wobei ich mir grad nicht sicher bin, ob das bei einem DC noch geht). Hilft das auch nicht, dann würde ich dazu neigen, den ganzen DC neu zu machen, aber spätestens da solltest du einen "Profi" dazuholen. Gruß, Nils

Moin, da wirst du nichts finden. Wenn ein Prozess exklusiven Zugriff hat, dann muss er den wieder freigeben. Leider sind manche Tools in der Hinsicht nicht gut gebaut. Allenfalls könnte man als Brute-Force-Lösung ein Skript bauen, das alle verdächtigen Prozesse einfach mal killt ... Gruß, Nils

Moin, was heißt denn "Da ich kein Profi bin"? Wie weit kennst du dich denn mit Windows-Servern und Active Directory aus? Ist es deine Aufgabe, das AD zu betreiben oder macht das eigentlich jemand anderes? Gibt es einen Dienstleister, den du hinzuziehen kannst? Dann solltest du das tun. Wenn DNS auf dem zweiten DC* noch korrekt läuft, dann wäre eine schnelle Lösung, bei den Clients und den anderen Servern die IP-Adresse dieses zweiten DCs als DNS-Server einzutragen. Dann sollte erst mal "alles" wieder gehen. Danach kannst du dich um die Fehlerbehebung kümmern. Und die wiederum fängt da an, wo @teletubbieland auch ansetzt: Prüfen, ob auf dem ersten DC alles läuft, was laufen sollte (z.B. services.msc starten und nachsehen, ob alle Dienste, die auf "Automatisch" stehen, auch tatsächlich laufen). Wenn nicht, versuchen, diese Dienste zu starten. Wenn das nicht geht, wird es sicher aussagekräftige Fehlermeldungen geben. Danach schaust du dir die Ereignisprotokolle an, da sollte sich zu der Situation sicher einiges an Fehlerhinweisen finden. Gruß, Nils PS: * das ist kein BDC, ebenso ist der erste kein PDC, das gibt es seit 23 Jahren nicht mehr

Moin, dieses Konzept solltet ihr überdenken. SQL Server ist von der Architektur her dafür vorgesehen, mehrere - auch viele - Datenbanken innerhalb derselben (Standard-) Instanz zu betreiben. Dann läuft er effizient. Die Option, separate Instanzen zu betreiben, ist eher als Notlösung für wenige Situationen gedacht. Es ist nur ein Schuss ins Blaue, aber so, wie du es beschreibst, kann ich mir gut vorstellen, dass die Instanz hier das Problem ist. Ich würde es also zumindest mal mit einer Standardinstanz versuchen, ob es dann läuft. Meine Spekulation: Die Fehlermeldung ist irreführend und wird dadurch ausgelöst, dass die Applikation die Datenbank gar nicht erst ansprechen kann. Sie meldet zwar Authentisierungsprobleme, aber da ihr vermutlich an der Domäne überhaupt nichts geändert habt, dürfte die Fehlermeldung "falsch" sein. Darüber hinaus deutet der Verweis auf einen PDC (den es seit Windows 2000 nicht mehr gibt) darauf hin, dass der Hersteller sein Handwerk nicht gut beherrschte. Gruß, Nils

Moin, dann macht die Applikation irgendwas auf einem recht ... individuellen Weg und nicht so, wie es vom Betriebssystem gedacht ist. Am schnellsten wird sich das lösen lassen, wenn der Hersteller dieser Applikation sich dazu äußert. Mal ins Blaue geschossen: Vielleicht kommt die Applikation nicht mit dem Zugriff auf eine Named Instance des SQL Servers klar. Ich würde es mal mit der Standardinstanz versuchen. (Ohnehin ist von separaten Instanzen in den allermeisten Fällen abzuraten.) Gruß, Nils

Moin, interessant ... dann waren das andere Exchange-Server, als ich sie kenne. Da es bislang hier nur Mutmaßungen darüber gab, warum man für so eine kleine Umgebung Exchange einrichtet und betreibt, weise ich vorsichtshalber ausdrücklich darauf hin, dass man "Mail für wenige User" auch deutlich einfacher und kostengünstiger kriegen kann. Vielleicht wäre das in diesem Fall ja auch einen Gedanken wert. Gruß, Nils

Moin, ich kann dir nicht folgen. Wieso richtet man für drei Mailboxen Exchange ein? Und wieso will man das dann migrieren, auf welche Art auch immer? Was könnte der Bedarf sein, wenn man für drei Mailboxen so einen Aufwand treibt? Gruß, Nils

Moin, naja, was der einfachste Weg wäre, lässt sich anhand der Informationen ja gar nicht feststellen. Eine Domänenmigration kann auch in "nicht allzu großen" Umgebungen sehr viel Aufwand erzeugen. @possum72, was wären denn die Gründe, keine Migration zu machen? Und wie groß ist "nicht allzu groß" hier? Gruß, Nils

Moin, danken? dünken? denken? Gruß, Nils

Moin, das Wiki in Teams will man nicht. Das kann man nicht durchsuchen und es ist mit nichts integriert. Yammer ist ganz was anderes. Sharepoint (in M365) kommt in Frage. Falls M365 vorhanden ist, kommt aber auch OneNote in Betracht, das hat u.a. den Charme, dass man es offline synchronisieren kann. Gruß, Nils

Moin, WordPress kann man auch dafür hernehmen, es muss ja evtl. kein Wiki sein. Der wesentliche Punkt ist, dass man es dann auch macht. Daran scheitern die meisten Knowledgebase-Projekte. Gruß, Nils

Moin, Domain-validated-Zertifikate gab es aber "schon immer", auch lange vor Letsencrypt. Da haben die nichts dran kaputt gemacht.* Und dass sie ausdrücklich keine EV-Zertifikate ausstellen, ist ja Teil des Deals. Da würde man den Vorwurf an die falsche Stelle richten. Abgesehen von dem grundsätzlich kaputten Zertifikatsansatz ist hier die "Schuld" eher bei den Browserherstellern, die nur die Eigenschaft "transportverschlüsselt" sichtbar machen. Gruß, Nils * Dass sie "nur eine Mailadresse" prüfen würden, ist ja sachlich auch nicht richtig.

Moin, nee, nee, so leicht kriegste mich nicht! Gruß, Nils

Moin, Letsencrypt kann man an dieser Stelle keinen Vorwurf machen, finde ich. Das ganze zugrundeliegende System von Zertifikaten ist kaputt. Da wir kein besseres haben, ist die Idee von Letsencrpyt, dann wenigstens für eine ordentliche Verbreitung von Transportverschlüsselung zu sorgen, schon okay. EV-Zertifikate funktionieren, wenn sie funktionieren, ja auch nur für Nerds, die wissen, was das ist. Eins der Dinge, die an dem System kaputt sind ... Gruß, Nils PS. wie, Trigger Warning ...?

Moin, ja, leider funktioniert das für Angreifer erschreckend gut. Daher weisen Banken auch schon seit Jahren darauf hin, dass man die Webseite der Bank nie über eine Suchmaschine aufrufen, sondern immer eintippen oder über einen Bookmark öffnen soll. Leider ist das einer der Punkte, an dem das Web und die meisten Sicherheitsmaßnahmen grundlegend kaputt sind. Gruß, Nils

Moin, Beschreibt der genannte Artikel das nicht? Man stellt die Backups nacheinander wieder her, dazu muss man dem ersten Restore sagen, dass noch ein zweites folgt. Das macht das Management Studio aber selbst. Gruß, Nils

Moin, Kann man die msdb-Datenbanken nicht aus dem Cluster entfernen? Wenn ich den oben geposteten Link richtig deute, fügt das Cluster-Setup alle Datenbanken pauschal der Availability Group hinzu, aber da müssten sie ja nicht sein. Es gibt keinen Grund, sie verfügbar zu halten. Mit Cluster-Konstrukten dieser Art habe ich leider keine Erfahrung und kann daher nur Vermutungen äußern. Gruß, Nils

Moin, okay, dann passt ja der Ansatz mit den "Known folders" gar nicht. Ein sehr simpler Ansatz wäre, per Logonskript die Inhalte von H: in den OneDrive-Ordner zu kopieren. Je nachdem, wie umfangreich die Daten sind, könnte das klappen. Beide Pfade sind über Systemvariablen ansprechbar. Wenn dann alles kopiert ist, löscht man den Inhalt von H: und gibt den Admins einen Hinweis, dass die Zuweisung aufgehoben werden kann. Das könnte man noch ein wenig aufbohren, indem man dem User innerhalb eines Zeitrahmens die Auswahl lässt, ob er das jetzt oder später machen will usw. Falls dieser simple Ansatz nicht umsetzbar ist, wären hier noch Möglichkeiten, die man prüfen könnte: https://learn.microsoft.com/en-us/sharepointmigration/migrating-content-to-onedrive-for-business Gruß, Nils

Moin, da wäre erst mal die Frage, was hier unter "Homedir" verstanden wird. Das ist ja evtl. was anderes als die "Known folders". Gruß, Nils

Moin, ich kann dir nicht folgen. Von der Instanz auf ein Share ...? Heißt was? Das musst du ja auch nicht. Das sind keine Benutzerdatenbanken. Gruß, Nils

Moin, hast du den Link gelesen, den ich gepostet habe? Es handelt sich um Systemdatenbanken, die bei einer bestimmten Installationsvariante mit angelegt werden. Diese dienen aber nur als Vorlagen für neue Datenbanken, genau wie die model-Datenbank. Sie werden also nicht aktiv genutzt und wachsen somit auch nicht an. Daher gibt es keinen Grund, sie zu verschieben. Was du mit "versteckt" meinst, erschließt sich mir nicht, ist aber auch nicht so wichtig. Gruß, Nils

Moin, [OT] mir fällt bei sowas immer der Garbage Collector des C64 ein, der das System minutenlang - oder auch dauerhaft - lahmlegen konnte. Den konnte man auch triggern (PRINT FRE(0)), aber das war keine Freude. [/OT] Gruß, Nils