NilsK

Moin, Ich wollte, habe aber keinen Slot als Speaker bekommen. Es gab allerdings auch nur sechs Plätze ... ob man dafür einen CfP machen musste, finde ich eher fraglich. Gruß, Nils

Moin, Aber vielleicht sollte man vorher doch noch mal die Anforderungen klären. #justsayin Gruß, Nils

Moin, ach so. Valider Punkt. Gruß, Nils

Moin und wozu fährst du den alten DC dann herunter? Was ist der Erkenntnisgewinn? Ich verweise da auf Evgenijs fette Aussage. Dampfen wir es ein auf: Nachdem alles gesynct ist, gucken ob die NETLOGON-Freigaben auf dem Neuen da sind und ob das Eventlog ohne relevante Fehler ist. Wenn ja: Alten DC herunterstufen und ggf. verschrotten. Gruß, Nils

Moin, das geht los bei "du musst nichts zusätzlich beschaffen". Bei Windows 10 ist der Windows Defender an Bord, der nicht schlechter ist als andere Antivirensoftware. Der hat zwar kein zentrales Management, aber das ist in eurer Umgebung evtl. auch verzichtbar. Für das Backup kann man mit dem eingebauten Windows Server Backup starten. Für andere Empfehlungen müsste man sich genauer ansehen, was in der Umgebung läuft und welche Anforderungen es im Detail gibt. Das würde ich aber nicht per Forum machen (5 Experten, 6 Meinungen), sondern einen kompetenten Dienstleister fragen. Gruß, Nils

Moin, du machst mir Angst. Ich bin genau derselben Ansicht. Gruß, Nils

Moin, Der Hack besteht darin, das nicht mit dem Explorer zu machen, sondern mit einem anderen Werkzeug, das die Kopie so nennt, wie du sie haben willst. Konfigurierbar ist es im Explorer nicht. Gruß, Nils

Moin, oh, dass die Zertifikate Teil des Roaming Profiles sind, hatte ich gar nicht auf dem Schirm. (Für Evgenij: beides böse.) Das mit Credential Roaming musste ich nie machen, habe ich keine Erfahrung mit. Kann sicher das eine oder andere abmildern - wenn man es denn will. Aus prinzipieller Sicht ist das nicht nur eine gute Idee. Gruß, Nils

Moin, das ist "works as expected". Ein Zertifikat bestätigt, dass der Inhaber eines Public-Key-Paares derjenige ist, für den er sich ausgibt. Die Logik dahinter ist, dass nur dieser Inhaber Zugriff auf seinen Private Key hat. Der Private Key wird standardmäßig lokal in einem geschützten Bereich des Benutzerprofils gespeichert (vereinfacht gesagt). Auf einem "neuen" Rechner hat der User keine Kopie seines Private Keys (der soll ja schließlich privat sein und nicht wild durch die Gegend kopiert werden, schon gar nicht irgendwie automatisch). Also erzeugt Windows bei der Aufforderung, für den User ein Zertifikat zu erzeugen, ein neues Schlüsselpaar. Ja, das wirft organisatorische Probleme auf, wenn Anwender an unterschiedlichen Rechnern arbeiten. Denn natürlich handelt es sich hierbei um unterschiedliche Zertifikate. Was der User in diesem Szenario also etwa mit seinem Private Key auf Rechner A verschlüsselt, kann er mit dem Public Key auf Rechner B nicht entschlüsseln. Gruß, Nils

Moin, abgesehen von den organisatorischen und rechtlichen Belangen, sollte auch aus technischer Sicht das Zurücksetzen des Kennworts nur ein "letztes" Mittel sein. Es hängen Dinge unwiderbringlich an dem Kennwort, z.B. der Zugriff auf EFS-verschlüsselte Daten. Das wird zwar kaum "absichtlich" genutzt, kann sich aber trotzdem als gravierendes Problem auswirken (weil es umgekehrt auch fast nirgends abgeschaltet wird). Gruß, Nils

Moin, schon klar, aber vielleicht können wir es andersrum machen: Er könnte angeben, dass man ihn per PN kontaktieren kann, wenn Interesse besteht. Gruß, Nils

Moin, sowas sollten wir per PN klären, nicht im Forum. Hier ist Community, nicht Kommerz. Gruß, Nils

Moin, es muss halt jemand organisieren. Und bei aller Professionalität, die die cim hatte, war die Vorbereitung immer der Punkt, der am schlechtesten geklappt hat. Das hat zu erheblichen Belastungen einzelner Personen geführt, und es war auch finanziell immer, sagen wir, ein Thema. Sowas unterschätzt man leicht, wenn man sich als Besucher denkt "wär schon schön". Auch wenn der cim-Mythos besagt, dass es ja schließlich mit Bratwurst und Planschbecken im Garten angefangen hat, ist das schon ab dem zweiten Mal eben kein akzeptables Niveau mehr. Gruß, Nils

Moin, der Anfang vom Ende war 2019. All good things come to an end. Man muss es dann auch irgendwann akzeptieren. Gruß, Nils

Moin, Dann ist die Sache entweder deutlich komplizierter oder viel einfacher - je nachdem, wie man sie angeht. Ein Holzweg ist es in so einer Umgebung jedenfalls, Anwender irgendwas selbst installieren zu lassen. So eine Umgebung lädt eigentlich dazu ein, den Anwendern einen genau auf sie zugeschnitten Satz an Software zu geben. Das dürfte aber den Rahmen dessen sprengen, was man in einem Forum erläutern kann. Ich empfehle, das gemeinsam mit jemandem zu entwerfen, der sich mit solchen Umgebungen (RDS oder VDI) auskennt. Gruß, Nils

Moin, Ich habe jetzt das Problem nicht verstanden. Wer arbeitet denn noch an den Entwickler-Rechnern? Und warum dürfen diese Leute die Software nicht benutzen? Es geht nicht darum, dich infrage zu stellen, sondern das Szenario zu verstehen. Ohne solche Einblicke kann es sein, dass wir dir etwas empfehlen, was überhaupt nicht passt oder es anders besser oder leichter geht. Gruß, Nils

Moin, Fangen wir doch mal von der richtigen Seite an: was ist denn die Anforderung, die du erfüllen musst? Wenn wir dazu mehr wissen, können wir dir vielleicht bessere Hinweise geben. Gruß, Nils

Moin, Womit wir wieder bei dem Punkt sind, vom Recovery herr zu planen. Es ergibt durchaus Sinn, das AD parallel mit mehreren Methoden zu sichern. Auf ein normales System State Backup würde ich nie verzichten, schon weil es das einzige ist, das der Hersteller des AD wirklich unterstützt. Gruß, Nils

Moin, Vor allem sollte man berücksichtigen, dass es nicht auf das Backup ankommt, sondern auf das Recovery. Mir wäre jetzt nicht klar, was du in welcher Situation aus deinen Exporten wiederherstellen willst. Und wozu du diese dann auf mehreren DCs bräuchtest. Vielleicht hast du da eine konkrete Idee, aber zumindest mir ist so eine Anforderung noch nie über den Weg gelaufen. Gruß, Nils

Moin, Zunächst sollten wir mal klären, warum du die DNS-Zonen überhaupt separat sicherst. Sind die nicht AD-integriert? Falls nein, wäre es eine Alternative, sie ins AD zu integrieren? Dann sind sie im AD-Backup enthalten und lassen sich darüber auch wiederherstellen. Gruß, Nils

Moin, Wenn der Dienstleister auch derjenige ist, der das im Fall des Falles supportet, ist es ja okay. Gruß, Nils

Moin, Ist es realistisch, dass irgendwer das "abnimmt"? Würden sie Hersteller nicht eher gleich darauf verweisen, dass sie das nicht unterstützen? Gruß, Nils

Moin, Tja, kann man mal sehen. Vielleicht hat Microsoft damals auch festgestellt, dass das ganze PKI-Gelöt von vorn bis hinten krank ist und lässt daher jetzt die Finger davon. Gruß, Nils

Moin, Ein einzelnes Webserver-Zertifikat (oder auch ein paar) kann man auch viel einfacher erzeugen als mit einer CA, die man nur für den Zweck einrichten würde. Das wäre nebenbei auch erheblich sicherer, weil man eben keine ganze PKI mit sich rumschleppt, die im Zweifel schlecht konfiguriert ist. Hier ein Beispiel, das allerdings schon etwas älter ist: https://www.faq-o-matic.net/2008/11/14/ssl-zertifikate-fr-den-iis-mit-openssl/ Gruß, Nils

Moin, Das bringt kein Geld mehr ein. Und es ist nicht zu erwarten, dass der Bedarf an lokalen PKIs noch deutlich steigt. Gruß, Nils