NilsK

Moin, kann man 2012 Foundation überhaupt als VM betreiben? Also, ich meine offiziell? Ich meine mich da an Einschränkungen zu erinnern, und dann wäre irgendwie klar, warum es da keine Integrationsdienste gibt. Gruß, Nils

Moin, wenn du bei "Bestimmte Personen" Mailadressen angibst, die nicht in eurem AAD vorhanden sind, dann versendet das System die Mails nicht. Du müsstest für solche Fälle dann auch eine Fehlermeldung in deiner Inbox erhalten. Gruß, Nils

Moin, auf was für eine Applikation greift ihr denn zu? ADFS und WAP sind ja erst mal nur Infrastruktur. Da kann es durchaus sein, dass euer Test gar nicht aussagekräftig ist. Normalerweise funktioniert das, aber dafür muss natürlich eine ganze Reihe von Dingen zusammenspielen. Das ist bei ADFS leider alles andere als übersichtlich. Zum Testen der Zugriffslogik habe ich immer gern hiermit gearbeitet: [Endlich: Claims X-Ray hilft bei ADFS-Troubleshooting | faq-o-matic.net] https://www.faq-o-matic.net/2017/10/18/endlich-claims-x-ray-hilft-bei-adfs-troubleshooting/ Gruß, Nils

Moin, Performance ist in aller Regel weder für einen DC noch für eine CA ein Thema. Es geht um Sicherheit für beide - weder auf einen DC noch auf eine CA gehört ein anderer Dienst. Beide sind angreifbar, das will man bei so kritischen Funktionen nicht noch kombinieren. Und einmal gemeinsam installiert, kann man weder das eine noch das andere hinterher entfernen. Eine CA lebt in der Regel deutlich länger als ein DC, da will man Abhängigkeiten tunlichst vermeiden. Weitere prinzipielle Erwägungen zu Design und Sicherheit einer CA lasse ich hier mal aus. Leider sieht man in der freien Wildbahn fast nur schlecht gemachte PKIs. Gruß, Nils

Moin, und warum machst du das nicht einfach übers GUI? Die CA-Installation ist ja nichts, was man fürs Massen-Rollout automatisiert. Ach, und: Wenn die neue CA sowieso noch nicht läuft, dann installier sie gleich auf einer separaten VM, nicht auf einem DC. Gruß, Nils

Moin, das ist schnell beantwortet mit den Boardregeln: Also lass das bitte. Danke. Gruß, Nils

Moin, da wäre ich mir nicht sicher. Wir sind weder Anwälte noch Lizenzberater, aber ich würde mich auf solche Argumentationen nicht verlassen. Microsoft überprüft auch kleinere Firmen, und Nachzahlungen können teuer werden. Auch sonst sehe ich hier neben den Sicherheitsfragen (die ich wie die Kollegen kritischer einschätzen würde) vor allem schwierige Haftungsfragen (auf beiden Seiten), die typischerweise dazu führen, dass man von solchen Konstrukten die Finger lässt. Gruß, Nils

Moin, ihr wisst, dass MSDN-Lizenzen (heute Visual Studio) nur für Test und Entwicklung genutzt werden dürfen, aber nicht produktiv? Gruß, Nils

Moin, Prima, danke für die Rückmeldung. Gruß, Nils

Moin, dem fehlerhaften Verhalten nach würde ich annehmen: nein. Diese Beschreibung zeigt auch, dass GOTO und die Labels sehr hakelig implementiert sind: https://ss64.com/nt/goto.html Ich würde also davon ausgehen, dass da dein Problem mit dem Abbruch liegt. Spätestens sobald du es mit "etwas" komplexerer Logik zu tun hast, würde ich dir von Batch abraten. Die PowerShell leistet da üblicherweise erheblich bessere Dienste- Gruß, Nils

Moin, die Sprungmarken, auf die du mit GOTO verzweigen willst, existieren nicht. Gruß, Nils

Moin, dazu müsstest du deine Fehlerbeschreibung konkreter fassen. "Bricht irgendwo ab" ist doch arg unscharf. Gruß, Nils

Moin, klingt für mich nach mäßig kreativem Lizenzverstoß. Sowas supporten wir hier nicht. Gruß, Nils

Moin, Ich werfe noch mal robocopy in den Ring, das kann genau sowas auch. Gruß, Nils

Moin, Abhängigkeiten von Namen loswerden. Ja, dafür sollte man einmal nachsehen. Das bezahlt der Kunde nicht, sondern macht es selbst und beschränkt sich dabei auf die wichtigen Systeme. Was dann auf die Nase fällt, war nicht so wichtig und wird halt im Nachgang korrigiert. Und sonst ist es ja nur die IP-Adresse, die die Abhängigkeit herstellt. Und das kriegt man ohne DC-Redundanzverlust aufgefangen, indem man taktisch rotiert. Zwei DNS-Server sind bei allen Geräten eingetragen, man sorgt halt dafür, dass eine immer erreichbar ist.* Nein, das ist kein One-size-fits-all und ja, man findet auch da Nachteile. Aber bei den Projekten, an denen ich an dieser Stelle beteiligt war, war das in deutlich mehr als deinen 1 Prozent machbar. Gruß, Nils * ruft da wer "Redundanzverlust"? Der läge hier beim Client, aber nicht beim AD. Nennt mich konservativ, aber ich gehe ungern das Risiko ein, ein AD aus dem Backup wiederherstellen zu müssen, nur weil ich vermeidbar eine Zeitlang nur einen DC hatte.

Moin, die Anforderung "ich muss aber Name und IP-Adresse beibehalten" habe ich aus diesem Thread nicht herausgelesen. Kann man drüber reden, auch wenn ich das Argument als solches immer noch mal herausfordern würde. Da aber auch andere diesen Thread lesen, wollte ich eine Formulierung "erst alle DCs bis auf einen entfernen und dann erst die neuen einführen" auf keinen Fall so stehen lassen. Ruckzuck gilt das als Best Practice, weil es in einem Thread mit so vielen Experten empfohlen wurde. Und eine generelle Empfehlung ist das beim besten Willen nicht, auch wenn es im Einzelfall mal passen mag. Gruß, Nils

Moin, nein, das ist nicht sinnvoll. Damit verzichtest du zeitweise auf Redundanz und erhöhst das Risiko, ohne dass du einen Nutzen davon hast. Vereinfacht: vorhanden sind 2 DCs mit OS-alt dazu installierst du einen neuen Server mit OS-neu und stufst ihn zum DC hoch du verschiebst die FSMO-Rollen auf den neuen DC du installierst einen oder mehrere weitere neue DCs mit OS-neu du deinstallierst die DCs mit OS-alt du stufst den Domänen- und Forest-Modus hoch Schritte 4 und 5 kannst du auch "mischen" bzw. parallel machen. Es gibt aber keinen Gund und erst recht keinen Vorteil, an irgendeiner Stelle auf DC-Redundanz zu verzichten. Gruß, Nils

Moin, nein, das ergibt keinen Sinn. Der regelmäßig empfohlene Weg, eine Domäne zu aktualisieren, besteht darin, neue DCs mit dem neuen Betriebssystem zu installieren, statt vorhandene mit einem Upgrade zu bearbeiten. Die alten DCs deinstalliert man danach. Gruß, Nils

Moin, ... was ja das ist, was er vorhat. Gruß, Nils

Moin, wenn es sowieso bald abgelöst wird, würde ich die Ausgabe einfach so lassen, wie sie ist. Man könnte da jetzt mir FOR usw. rumbasteln, aber warum? Die rechtliche Zulässigkeit solcher Abfragen steht auf einem anderen Blatt und kann hier nicht Thema sein, heikel ist sie allemal. Gruß, Nils

Moin, gut, aber die steht ja auch da. Warum stören die anderen Daten? Oder um ins selbe Horn zu tuten wie Olaf: Gruß, Nils

Moin, und du hast schon ein Skript, das aber zu viele Informationen ausgibt? Bevor wir jetzt hier Vorschläge machen, die du selektierst - was brauchst du denn genau? Gruß, Nils

Moin, wovon redest du? RDS, also Terminalserver? Gruß, Nils

Moin, du machtest meinen Tag! Gruß, Nils

Moin, der simple Trick heißt Planung und Dokumentation. Klingt jetzt vielleicht arrogant, aber es geht kein Weg daran vorbei. Auf dem Weg dorthin zwei Tipps: Besorgt euch SetACL Studio, das ist seit einigen Jahren kostenlos und gibt euch einen besseren Blick auf die Berechtigungen (und eine bessere Handhabe). https://helgeklein.com/setacl-studio/ Lest euch hier noch mal das Nötige durch. [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net] https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/ [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net] https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß, Nils