NilsK

Moin, hier eine allgemeine Formel, um die CA-Zertifikatslaufzeiten zu berechnen: maximale Laufzeit für ausgestellte Zertifikate festlegen (heute meist 1 Jahr, kann man sich bei einer internen CA aber selbst überlegen; je nach Zweck kann auch deutlich weniger sinnvoll sein. Hier geht es aber um das Maximum, das man "zulassen" will) Argumentation: Die CA sollte so lange laufen, dass sie immer Zertifikate mit der vollen geplanten Lebensdauer ausstellen kann. Issuing CA: 2 × Zertifikatslaufzeit + Puffer Beispiel: 2 × 2 Jahre + 1 Jahr = 5 Jahre Root CA: 2 × Issuing-CA-Laufzeit + Puffer Beispiel: 2 × 5 Jahre + 1 Jahr = 11 Jahre Die tatsächliche Verlängerung/Erneuerung der CA-Zertifikate erfolgt dann nach der Hälfte der Zeit, bei der Root-CA also im sechsten Jahr. So ist gewährleistet, dass sie immer neue Issuing-CA-Zertifikate mit der vollen Laufzeit ausstellen kann. Muss man nicht so machen, hilft aber. Gruß, Nils

Moin, damit ist was genau gemeint? Gruß, Nils

Moin, an der Stelle wäre es vermutlich sinnvoll, sich noch mal mit Funktion und Arbeitsweise einer PKI zu beschäftigen. Das ist im Detail nicht ohne, aber wenn man das nicht tut, gibt es immer wieder Missverständnisse. Grundsätzlich ist es so: Wenn man das Renewal einer CA rechtzeitig durchführt, gibt es damit in der Praxis keine Probleme. Der Witz besteht darin, dass das neue CA-Zertifikat bereitsteht, lange bevor das alte ausläuft. Wann das ist. bemisst sich an der Gültigkeit der ausgestellten Zertifikate: Sind die z.B. ein Jahr gültig, dann muss das neue CA-Zertifikat schon ein Jahr vor dem Ablaufen des alten bereitstehen, denn das alte könnte gar kein Zertifikat mehr beglaubigen, das länger läuft. Daher gehören bei einer guten PKI-Planung der Lebenszyklus der Zertifikate und die Erneuerungszeiträume immer dazu. Dann weiß man schon vorab, was wann zu tun ist. Gruß, Nils

Moin, das Wort merk ich mir, das ist cool. Gruß, Ni"sorry für OT"ls

Moin, oh, sorry, ich hatte welchen fertig, aber nicht drauf hingewiesen. Mittlerweile ist der aber auch leer ... Ich setz dann mal nen neuen auf, ist in zehn Minuten so weit. Gruß, Nils PS. hoffentlich liest das keiner, was ich hier schreibe ... PPS. der Spekulatiuskaffee hat sich übrigens als Enttäuschung entpuppt. Schmeckt stark geröstet, aber spekulatiusfrei.

Moin, wir fahren gut damit, politische Äußerungen und Spekulationen außerhalb des Boards zu lassen. So sollten wir es auch künftig halten. Gruß, Nils

Moin, VMware. Nix VMIC. Da muss man ein bisschen mehr tun, um den im Zaum zu halten. Und zumindest vor ein paar Jahren ging es gar nicht zu 100 Prozent. Gruß, Nils

Moin, Niemand hat was dagegen, es "richtig" und sauber zu machen. Hab ich doch oben schon geschrieben, du brauchst dich also nicht so daran abzuarbeiten. Mein Punkt ist ein anderer, und ich glaube, das hast du in Wirklichkeit auch verstanden. Gruß, Nils

Moin, dann wäre es doch schlau gewesen, vorher mit dem Dienstleister zu sprechen, oder? Gruß, Nils

Moin, aus Sicht der reinen Lehre alles richtig. Aber: Wenn die Aufgabe darin besteht, auf einem unbekannten Kundenserver eine Software zu installieren, habe ich volles Verständnis, wenn da nur das Nötigste gemacht wird. Dafür habe ich zu oft vergurkte Bestandssysteme bei Kunden gesehen. Ja, der Server wird durch so eine Aktion nicht besser, aber das ist auch nicht die Aufgabe von jemandem, der eine Anwendungssoftware installiert. Wenn ich das Szenario falsch verstanden habe, und die eigentliche Aufgabe war das Update eines dedizierten SQL-Servers, dann bin ich auch Anhänger der reinen Lehre. Es ist aber eben die Frage, was man beauftragt hat. Und ohne das zu wissen, breche ich hier keinen Stab. Fragen wir doch mal andersrum: Was sollte bei diesem "völlig falschen und mehr als amateurhaften" Vorgehen denn aus deiner Sicht passieren? Gruß, Nils

Moin, mit Windows Server 2022 scheint das anders zu sein. Wenn ich es richtig verstehe, kann man Essentials nur noch als bzw. mit OEM-Hardware kaufen, und die Funktionen und Einschränkungen scheinen identisch zu Standard zu sein. https://learn.microsoft.com/en-us/windows-server-essentials/get-started/get-started Wenn man das Ding aber nur mit Hardware kriegt, ist evtl. der Kostenvorteil geringer als gedacht ... Gruß, Nils

Moin, naja, so ganz selbsterklärend ist das ja nicht. Insofern schon legitim, das nicht auf dem Schirm zu haben. Danke für die Rückmeldung. Gruß, Nils

Moin, naja, was ist schon "richtig" ... das Risiko für die ausführende Firma ist zweifellos geringer, weil sie so weniger kaputt machen kann. Würde sie aufräumen, könnte bei einem Kundensystem ja wer weiß was passieren, und dann hätte derjenige den Schwarzen Peter, der es ausgeführt hat. Insofern - aus Sicht der ausführenden Firma genau richtig gehandelt. Ich hätte in der Rolle dieser Firma meinen Mitarbeitern das vermutlich genau so gesagt. Aus deiner Sicht als Kunde kann der Fall ganz anders liegen - ist die Frage, ob du den Zusatzaufwand bezahlen wollen würdest. Andersrum gefragt - was heißt denn in dieser Situation "deaktiviert"? Wenn der SQL 2012 jetzt nicht läuft, belegt er ja auch keine Ressourcen außer ein wenig Platz auf der Systemplatte. Solange man also nicht das ganze System neu aufsetzen will, was spricht noch dagegen? Gruß, Nils

Moin, das wusstest du, aber ich ja nicht. Du hast nur von einer Anwenderbeschwerde berichtet, und da wäre der Gedanke nicht abwegig gewesen. Wir erleben es oft, dass der Fehler anders gelagert sein kann, als man erst denkt. Gruß, Nils

Moin, ein Problem mit "sehr speziellen" Berechtigungen ist, dass auch die Applikationen damit umgehen können müssen. Office-Programme etwa legen oft temporäre Dateien an, oder sie erzeugen zum Bearbeiten Kopien und löschen dann die Originaldatei. Das geht nicht, wenn der User im Ordner nicht das Recht dazu hat. Nicht nur aus dem Grund sollte man Berechtigungen so einfach setzen wie möglich. Spezialitäten klappen oft nicht so, wie man es sich denkt. Daneben könnte es sich auch um Token-Probleme handeln, je nachdem, wie du genau vorgegangen bist. Geänderte Gruppenmitgliedschaften etwa erfordern eine Neuanmeldung. Gruß, Nils

Moin, naja, das kann mehrere Ursachen haben, und darunter können auch Fehler sein, denen man nachgehen sollte. Wenn etwa das Benutzerprofil nicht geladen werden kann, kann dies zu so einem Phänomen führen. Das würde man ja beheben wollen, daher würde ich da jetzt schon mal prüfen, ob noch weitere Fehlermeldungen oder Auffälligkeiten auftreten. Auch eine GPO-Einstellung könnte sich auswirken. Gruß, Nils PS. auch wenn du das vielleicht nicht gern hörst, aber gerade bei einem RDS würde ich kein Inplace-Upgrade machen.

Moin, dann wäre eine konkrete Fehlermeldung evtl. hilfreicher als die vermutlich nicht vom System stammende Aussage Wo du typischerweise ansetzen musst, hat dir Norbert oben beantwortet. Wenn das nicht hilft, kannst du gern weitere konkrete Fragen stellen. Gruß, Nils PS. möglicherweise möchtest du den Namen der Firma aus dem Screenshot entfernen.

Moin, ich interpretiere die drei Punke am Ende von Zahnis Satz als Sarkasmus im Sinne von "... aber damit würde man das Konzept zerstören". @dr_wahnsinnig wofür und in welchem Umfang wird die PKI denn verwendet? Wenn sie wichtiger ist, wäre meine Empfehlung, sie gemeinsam mit jemandem, der sich auskennt, neu zu machen. Das ist typischerweise ein Aufwand von 1-3 bezahlten Tagen. Gruß, Nils

Moin, Wohlsein. Gruß, Nils

Moin, *lol* ... wobei das leider nicht abwegig ist. Windows ist in manchen Fällen erfinderisch, wenn es im Code nur genügend Rückfallmechanismen gibt.* Bekannt sind in diesem Fall keine solchen Dinge, aber in deiner Situation wäre es vermutlich schlau, alle Sperren einzubauen, derer du habhaft wirst. Drei sind dir hier ja genannt worden. Gruß, Nils * ein Netzwerkspezialist erzählte mal glaubhaft, dass irgendeine Windows-Version mal versucht hat, verschobene Dateien im Netzwerk wiederzufinden und dazu dann irgendwann auch die DNS-Namensauflösung beauftragt hat, die dann z.B. nach "budget.xls" bei den Rootservern fragte.

Moin, wenn die Berechtigungen richtig gesetzt sind, können die Kolleginnen nur Gruppen anlegen und diese dann verwalten. Andere Objekte können sie nicht anlegen. Was die Konsole daraus macht, kann man nicht beeinflussen. Möglicherweise zeigt sie die Buttons an, meldet dann aber einen Fehler. Das müsste der Entwickler der Konsole steuern. An den Berechtigungen kommt man damit aber nicht vorbei. Ach, und wenn wir dabei sind: Sowas richtet man per Skript ein, z.B. mit dsacls. Dann bildet das Skript auch gleich die Dokumentation. Und man braucht eine gute Testumgebung. Erst wenn es da fertig ist, wendet man das Skript auf die Produktion an. Gruß, Nils

Moin, lol, sowas hab ich noch nicht gesehen. Das ist auch mal eine originelle Lösung. Ich verstehe es richtig, dass Horst Müller eine Termineinladung an alle schickt, in der drin steht, dass er nicht da ist? Das ist natürlich Unsinn. Sowas ist aber kein IT-Thema, sondern ein Organisationsthema. Und was die generelle Frage betrifft: Abwesenheitsübersichten sind sowohl in technischer als auch in juristischer Hinsicht immer ein schwieriges Thema. Richtig gute Lösungen gibt es dafür nicht, jedenfalls keine universellen. Aber wenn überhaupt, dann muss das von der organisatorischen Seite ausgehen. Gruß, Nils

Moin, hm ... das klingt so, als hättest du die Netzwerkfunktionen in Hyper-V grundsätzlich missverstanden. Es braucht natürlich nicht eine Netzwerkkarte pro VM. Alt, aber in den meisten Belangen noch zutreffend: [Hyper-V und Netzwerke | faq-o-matic.net] https://www.faq-o-matic.net/2012/04/23/hyper-v-und-netzwerke/ Gruß, Nils

Moin, ah, OK, das hatte ich übersehen. Danke für die Rückmeldung und schön, dass es jetzt klappt. Gruß, Nils

Moin, Es muss gar nicht an deiner Datei liegen. Es kann auch sein, dass konkrete Funktionen mehr tun als die Registry zu ändern. Das ist immer ein wenig Glückssache. Gruß, Nils