NilsK

Moin, weil es Fehlkonfigurationen gibt, die vor einem Update nicht auffallen. Es kommt immer mal wieder vor, dass ein Update etwas "geradezieht" und dadurch Konfigurationen scheinbar "kaputtmacht", die vorher eigentlich auch schon nicht hätten funktionieren dürfen. Gruß, Nils

Moin, dein Kostenvergleich ist für sich schon nachvollziehbar. Aber schau dir mal die absoluten Zahlen an. Das sind doch Kosten, die nicht ernsthaft ins Gewicht fallen. Vor allem würde ich dir aber raten, bei deiner Betrachtung den laufenden Aufwand und das Risiko zu berücksichtigen, das du selbst trägst, wenn du die Dinge selbst machst. Wir reden hier über komplexe und pflegeintensive Systeme. Insbesondere Exchange ist wirklich nicht ohne. Da darf man nicht vordergründig die Lizenzkosten vergleichen. Ein guter eingekaufter Dienst entlastet vor allem vom Eigenbetrieb und vom eigenen Risiko. Gruß, Nils

Moin, Für fünf User würde ich nie eine solche Umgebung aufbauen. Dazu haben die anderen schon alles Wichtige gesagt. Die Lizenzen kannst du verkaufen. Gruß, Nils

Moin, das ist doch an der Stelle egal. Der Traffic verlässt den Host nicht, sondern geht nur durch den VMBus. Das war das, was ich meinte. Gruß, Nils

Moin, was meinst du damit? Gruß, Nils

Moin, das lässt sich sogar recht einfach herstellen: Man erzeuge ein Password Settings Object, verknüpfe dies mit allen Admin-Gruppen und fordere dort ein langes Kennwort ein. Size matters. Gruß, Nils

Moin, zunächst einmal prüft das Skript nicht die Kennwörter im AD. Das kann es auch gar nicht, denn die Kennwörter sind dort gar nicht gespeichert, nur deren Hashes. Das Skript schaut, ob die Accounts in "Breaches" aufgetaucht sind. Wie wahrscheinlich das bei internen AD-Accounts ist, mag man sich selbst zusammenreimen. Die Kennwörter aus der Liste werden herangezogen, wenn ein User sich ein neues Kennwort gibt. Das ist die klassische "Filter"-Funktion. Ich bin grundsätzlich ein Freund von sowas, aber hauptsächlich dann, wenn Standard- und Lulli-Kennwörter vermieden werden sollen. Ob man dazu diese Liste braucht ... man muss sich dabei auch vor Augen führen, dass die übliche Reaktion bei der Zurückweisung eines Kennworts darin besteht, einzelne Zeichen anzuhängen. Die Sicherheit erhöht sich dadurch nicht. Wie vertrauenswürdig das angesprochene Tool ist, weiß ich nicht. Man kann sowas machen, sollte sich aber auch nicht zu viel davon versprechen. Dasselbe gilt für Troy Hunts ganzes "Haveibeenpwned"-Projekt - das ist eher ein Awareness-Tool als eine Hilfe. Die konkreten Informationen, die man dort rausbekommt, sind typischerweise ziemlich nutzlos und oft irreführend (in nahezu allen Stichproben, die ich durchgeführt habe, ließ sich nachweisen, dass dort angeblich "gebreachte" Accounts bei dem "gehackten" Anbieter gar nicht existiert hatten). Gruß, Nils

Moin, Genauer: das ist die Geschwindigkeit, die er anzeigt. Bei internem Traffic gilt das nicht. Gruß, Nils

Moin, ich habe dazu nichts Belastbares - würde aber mal die Frage in die Runde werfen, wieviel Einfluss du bei der CPU in deinem Szenario vermutest. In den allermeisten "General-Use-Szenarien" ist die CPU nicht der Flaschenhals. Daher würde ich da nicht viel rumoptimieren und auch keine Risiken eingehen, sondern die genannten Features, falls möglich, abschalten. Gruß, Nils

Moin, wenn beide VMs auf demselben Host liegen und am selben vSwitch hängen, wird deren direkter Traffic gar nicht erst rausgeschickt, sondern läuft Hyper-V-intern über den virtuellen Switch. Ich würde da also gar nichts weiter einrichten. Wenn du das überhaupt hinbekämst, dann wäre es sehr viel Aufwand - der nichts bringt. Gruß, Nils

Moin, einigen wir uns darauf, dass wir Dritte (z.B. einen externen Anbieter) hier im Forum nicht bewerten, schon gar nicht auf Basis unvollständiger Angaben? Danke. Gruß, Nils

Moin, ja und? Wenn ihr einen eigenen Mailserver wollt, ist das ja nicht teuer, sondern günstig. Sagen wir es so: Nicht nur die Preise haben sich seit Netware ein wenig verändert, sondern auch die Bedrohungslage und die Komplexität der Technik. Gruß, Nils

Moin, das ist zumindest mal seltsam. Findet sich in den Eventlogs etwas, das damit zu tun haben könnte? Mein Schuss ins Blaue wären jetzt Treiberprobleme. Gruß, Nils

Moin, <theatralisch> von Best Practice abweichen? Wiiiiir? </theatralisch> Gruß, Nils

Moin, es geht nicht darum, die Benutzer zu überprüfen, sondern die Anmeldung mit verschiedenen Anmeldearten ... Gruß, Nils

Moin, und ergänzend: ping auf den DC-Kurznamen, nicht auf die IP-Adresse. So prüfst du beides, die Namensauflösung und die Konnektivität. Gruß, Nils

Moin, aha, so wird doch ein Schuh draus. Dann wäre als nächstes das zu prüfen, was Norbert oben schon gesagt hat: Was sagt das Eventlog, wenn die Anmeldung scheitert? Nur zur Sicherheit: Die .15 und die .9 sind beides Domänencontroller? Gruß, Nils

Moin, die Last auf einem DC wird gemeinhin dramatisch überbewertet. Sprechen wir bei dem Netzwerk von hohen vierstelligen Anwenderzahlen oder mehr? Wenn nein, dann ist die Last sehr wahrscheinlich kein Thema. Wenn ja, kann man sich das ansehen, aber das wird man dann in die Breite skalieren. Richtig andere Vorgehensweisen aufgrund der Last wären dann vielleicht im fünfstelligen Bereich zu evaluieren. Wir können jetzt hier noch weiter um den heißen Brei diskutieren. Wenn du magst, sag uns, wie die IP-Konfiguration auf dem "fehlerhaften" Client und einem "funktionierenden" ist. Dann können wir ggf. konkret was dazu sagen. Wenn du nicht magst, ist das auch okay, aber dann haben wir auf der theoretischen Ebene dazu gesagt, was dazu zu sagen ist. Gruß, Nils

Moin, und willkommen an Board. Allgemein halte ich sehr viel von der Plattform "Microsoft Learn". Da findest du auf jeden Fall einen Einstieg und kannst dann schnell selbst beurteilen, welche intensiveren Schulungen evtl. für dich interessant sein könnten. https://learn.microsoft.com/de-de/ Gruß, Nils

Moin, auch das ist eine kühne Behauptung. Ich halte seit 25 Jahren "Server-Lehrgänge" und habe so etwas noch nie gesagt. Schon deshalb nicht, weil es sachlich falsch ist. [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Und solange wir es nicht wirklich ausschließen können, bleibt es bei der Grundaussage: (ebd.) Gruß, Nils

Moin, beste. (So würden es meine Gen-Z-Töchter ausdrücken.) Gruß, Nils

Moin, gut, und wie sind die DNS-Einstellungen auf der neuen Workstation? Warum der Verdacht entstand: So ein Phänomen tritt oft auf, wenn der PC versucht, DNS-Namen im Internet aufzulösen. Da ist euer DC aber gar nicht bekannt, also erreicht der PC ihn nicht und kann einen Anwender, der sich zum ersten Mal anmeldet, nicht authentifizieren. Ein Benutzer, der sich schon mal angemeldet hat, wird dann mit seinen Cached Credentials angemeldet. Es kann auch was anderes sein, aber bislang hast du ja auch so gut wie keine Informationen geliefert, anhand derer man anderes vermuten könnte. Gruß, Nils

Moin, das klingt so, als wären die DNS-Einstellungen an der Workstation nicht korrekt. Gruß, Nils

Moin, wenn der Browser langsam reagiert, heißt das nicht automatisch, dass der Netzwerktraffic einbricht. Sei nicht vorschnell mit Schlussfolgerungen, vor allem nicht, wenn Virtualisierung im Spiel ist. Auch ist ein simpler Blick auf die CPU-Auslastung "vom Host aus" oft irreführend, weil das Host-OS keinen umfassenden Blick darauf hat, sondern nur seinen eigenen Anteil sieht. Der Prozessor im PC hat nominell 14 Cores, aber 8 davon sind "Efficiency Cores", also eingeschränkt. Du hast also nicht unbedingt Ressourcen im Überfluss. Dass es in deinem Fall an der CPU-Auslastung liegt, ist auch nicht ausgemacht, sondern nur ein Verdacht. Eine weitere Netzwerkkarte wird das Problem jedenfalls nicht lösen, denn die Netzwerkkarte ist an den beiden VMs ja gar nicht beteiligt. Gruß, Nils

Moin, die Hardwaredaten sind an der Stelle ziemlich egal, relevant wäre vor allem die Netzwerkkonfiguration und die Ressourcenzuweisung. Dass es um einen PC geht, hatte ich in der Originalfrage übersehen. Da wir hier normalerweise von Server-Umgebungen sprechen, hatte ich dort eingehakt, weil man auf einem Server-Host keine Webseiten aufruft. Verstehe ich richtig, dass du mit "Switch-Konfig intern (VMs haben keinen Zugang ins Internet)" meinst, dass dem virtuellen Switch keine Host-Netzwerkkarte zugeordnet ist? Dann kann es auch kein Netzwerkproblem sein, denn der Traffic verlässt die lokale Hyper-V-Umgebung gar nicht. Mein Verdacht fällt auf dies hier: Dieser Desktop-Prozessor dürfte mit seiner Core-Konfiguration nur sehr bedingt geeignet sein, um einer VM so viele vCPUs zuzuweisen. Wenn die beiden laufen, dann fordern sie Zugriff auf je vier Cores an. Die brauchen sie nicht dauerhaft, aber dein PC tut ja auch noch Dinge. Und da kann es schon sein, dass der (eigentlich eher seltene) Fall einer CPU-Überlast eintritt, weil die Ressourcen ungünstig zugewiesen sind. Ich würde also versuchen, die VMs auf eine oder maximal zwei vCPUs runterzudrehen. Das muss nicht der ausschlaggebende Punkt sein, es spricht aber durchaus einiges dafür, und es lässt sich schnell testen. Der Beschreibung nach klingt das ja eher wie eine Laborumgebung, da nehme ich mal an, dass die VMs eigentlich keine vier CPUs brauchen. "Viel hilft viel" ist in VM-Umgebungen eigentlich immer der falsche Ansatz. Gruß, Nils