NilsK

Moin, nun ... das ist so kaum zu verstehen. Das wird man dann in der Tat mit dem Hersteller klären müssen, wie seine Applikation in solchen Szenarien das SSO handhabt. Dazu gehören ja immer zwei Seiten, die man nicht getrennt voneinander betrachten kann. Eine IP-Adresse im Zertifikat? Glaube ich nicht recht. Leider ist deine Anfrage so aus der Ferne nicht zu beantworten. Gruß, Nils

Moin, das kommt darauf an ... grundsätzlich sollte man sowas nur in Abstimmung mit dem Hersteller bzw. Betreiber der Applikation machen, damit es auch ein supportetes Szenario ergibt. Die zugehörigen Standards werden teils sehr unterschiedlich interpretiert. Was heißt denn "ein weiterer Server hinzugekommen"? Ist das eine neue, separate Instanz? Oder ist es nur ein weiterer Webserver als Ausfallsicherheit, dahinter aber dieselbe Applikationsinstanz? Gruß, Nils

Moin, da jedes Objekt eine eigene Berechtigungsliste hat, kann es durchaus sein, dass du auf einzelne Dateien keine ausreichenden Rechte hast. Das scheint hier der Fall zu sein. Schau dir das mal in Ruhe mit SetACL Studio an, das ist seit ein paar Jahren kostenlos: [SetACL Studio - Free & Intuitive Permission and ACL Management • Helge Klein] https://helgeklein.com/setacl-studio/ Gruß, Nils

Moin, Das ist sehr unwahrscheinlich. Die Subnets sind im AD für die Clients da, damit sie den "richtigen" DC finden, der für sie am besten erreichbar ist. Es muss kein DC in einem Subnet sein. Mit deinem Problem wird das sehr wahrscheinlich nichts zu tun haben. Falls hingegen die Subnets absichtlich hier eintragen waren, dürfte das Löschen jetzt neue Probleme erzeugen. Gruß, Nils

Moin, öh ... was immer ihr da macht. Die allgemeine Empfehlung ist, es so zu machen, wie das AD es vorsieht. In aller Regel verschwinden dann auch Probleme, die an einer Eigenlösung liegen, obwohl das natürlich überhaupt nicht und auf keinen Fall sein kann. [Zeitsynchronisation der Domäne - w32time - Zeitserver per GPO - Gruppenrichtlinien] https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo Gruß, Nils

Moin, herrlich. So einen Unsinn liest man ja selten. Gruß, Nils

Moin, der Teil mit dem Wechseln bei Verdacht - ja, vielleicht (aber auch eher nein). Der Teil mit dem herabgesetzten Sicherheitsniveau bleibt in jeder Umgebung bestehen. Leute, die leicht knackbare Kennwörter verwenden, tun dies auch und gerade dann, wenn sie regelmäßig zum Wechsel gezwungen werden. Aus Leckmich2022-04 wird dann Leckmich2022-05. Was aber völlig nutzlos ist, wenn der regelmäßige Kennwortwechsel nach sechs Wochen - oder wie hier: nach einem Jahr! - stattfindet. Gruß, Nils

Moin, möglicherweise ist auf den jeweiligen Clients etwas verkonfiguriert. Prüf mal, ob diese Clients von GPOs betroffen sind, in denen etwas in der Art konfiguriert ist. Einen regelmäßigen Kennwortwechsel erzwingt man heute eigentlich nicht mehr. Die Erkenntnis ist, dass man damit das Sicherheitsniveau absenkt, statt es zu heben. Ein so langer Zyklus ist auch ziemlich unsinnig. Kennwörter ändert man, wenn es den Verdacht gibt, dass sie kompromittiert sind - und dann sofort. Gruß, Nils

Moin, es gibt da ein Buch bei Rheinwerk, zwar für 2016, aber gerade in diesen Basics immer noch zutreffend. Das ist da sehr umfassend beleuchtet. Ist als E-Book oder gebraucht noch erhältlich.* Bei den CPUs: Klein anfangen, dann beobachten. Ein DC und eine CA brauchen in so einer Umgebung mit großer Sicherheit nicht mehr als eine vCPU. Ein Dateiserver vielleicht zwei, vielleicht vier (z.B. für einen Virenscanner). [Hyper-V-Sizing: Virtuelle und echte CPUs | faq-o-matic.net] https://www.faq-o-matic.net/2011/01/26/hyper-v-sizing-virtuelle-und-echte-cpus/ [Wie viele Cores braucht mein VM-Host? | faq-o-matic.net] https://www.faq-o-matic.net/2019/10/22/wie-viele-cores-braucht-mein-vm-host/ Gruß, Nils * Disclaimer: Ja, ich bin einer der Autoren, aber da das Buch nicht mehr regulär erhältlich ist, verdiene ich an der Empfehlung nichts mehr.

Moin, wenn ihr mit Server 2019 virtualisieren wollt, braucht ihr die 2019-Lizenzen in passender Zahl für all eure VMs, egal, was die ausführen. Euer DC ist kein PDC, das gibt es im AD nicht. Allenfalls ist er PDC-Emulator, aber das ist in den meisten Situationen egal. Wichtiger ist: Das ist hoffentlich nicht euer einziger DC bei 250 Usern? Für die RAM-Ausstattung kann man per Ferndiagnose wenig Sinnvolles sagen - außer dass in kleinen Umgebungen 8 GB für einen DC oder eine CA meist zu üppig sind, 4 GB reichen da normalerweise völlig aus. Beim Fileserver kommt es auf die Last an. Wenn die wirklich gering ist, wird der keine 32 GB brauchen. Gruß, Nils

Moin, Ich habe mit der cim nichts mehr zu tun. Fragt am besten direkt dort nach. Ich vermute aber mal, dass es nichts gibt. Sonst hätte man das mitbekommen. Gruß, Nils

Moin, welche Rolle spielt der Fileserver in dem Konstrukt? Ist das auch eine VM? Oder wie? Ansonsten kann man jetzt nicht viel dazu sagen - außer die Vermutung, dass ihr drastisch erfahren habt, warum man das Storage-Netz getrennt vom allgemeinen Netz betreiben sollte. Gruß, Nils

Moin, Wie geil. Darf ich das unter deinem Namen auf faq-o-matic.net bringen unter "Freie Wildbahn"? Bitte kurze Nachricht per PN. Schöne Grüße, Nils

Moin, wenn die Sprachkenntnisse es zulassen, stimme ich zu. Das ist natürlich nicht immer gegeben. Meine Favoriten: "Switch" mit "Netzschalter" übersetzt und die SQL-Klausel "order by" mit "Bestellung von", Lezteres direkt nach einem Code-Schnippsel. In Wirklichkeit gehörte das natürlich noch zum Code, in der deutschen Prüfung war es dann aber plötzlich Teil des folgenden Textes. Das ergab ausgesprochen wenig Sinn, sodass ich irgendwann drauf gekommen bin, was das im Original mal war ... Gruß, Nils

Moin, verstehe. Dann ist es vermutlich sinnvoll zu überlegen, ob man das ausdrückliche Löschen des AD-Kontos mit in einen Prozess aufnimmt. Und darüber hinaus ist es nie eine schlechte Idee, das AD nach verwaisten Computerkonten regelmäßig zu untersuchen. Da leistet z.B. OldCmp von joeware.net gute Dienste. Gruß, Nils

Moin, gut, und was ist genau die Anforderung, wegen der du das durchtestest? Das kann auch ein Replikations-Timing-Effekt sein. Gruß, Nils

Moin, also, wenn es um Kosten geht und die betriebenen VMs unter Windows laufen, finde ich Hyper-V zumindest näherliegend als KVM, Proxmox oder was auch immer. Bezahlt hat man Hyper-V ohnehin schon, wenn man die VM-Umgebung richtig lizenziert. Dann kann man es auch nutzen und hat am Markt bessere Chancen, Support zu finden. Gruß, Nils

Moin, ich stimme beiden Kollegen komplett zu. V2V nur, wenn es nicht anders geht. Der bevorzugte Weg ist immer, eine Migration auf Applikationsebene durchzuführen. Ich pflegte früher in Vorträgen gern zu sagen: "Ein schlecht konfigurierter SQL Server ist auch nach der V2V-Migration ein schlecht konfigurierter SQL Server." Und genauso schließe ich mich der Aussage an: Domänencontroller niemals per V2V oder P2V migrieren, sondern nur per Installation eines neuen DCs auf der Zielplattform. In dem Rheinwerk-Buch zu Hyper-V hatte ich ein recht umfangreiches Kapitel zu Migrationen geschrieben, das diese Argumentation noch einiges detaillierter aufführt. Gruß, Nils

?SYNTAX ERROR

Moin, "wie immer"? Bei mir war das noch nie der Fall. Winamp - das war in den Neunzigern, oder? Die Dateiverknüpfung ist hier nicht der Punkt, sondern eine Erweiterung, die sich vermutlich in den Explorer eingeklinkt hat und anscheinend beim Öffnen eines Ordners irgendeinen Vorgang anstößt. Was das bei dir sein könnte, kann ich dir nicht sagen. Es muss auch nicht so sein, aber das beschriebene Verhalten klingt danach. Gruß, Nils

Moin, Vermutlich irgendein Abspielprogramm für Mediendateien, das sich mit einer Erweiterung in den Explorer integriert hat. Gruß, Nils

Moin, Auf jeden Fall stimmt irgendwas im Storage nicht. Ich würde jetzt alternative Wege prüfen, bis hin zum Neuaufbau des Clusters. Gruß, Nils

Moin, naja, ich finde das ja recht deutlich - anscheinend kann der Dienst nicht auf die Dateien zugreifen. Dass du es mit deinem Account kannst, ist ja nicht dasselbe. Ich kann aus dem Kopf nicht sagen, wie die Berechtigungen aussehen müssen, aber in die Richtung sollte man schon noch mal weiter suchen. Gruß, Nils

Moin, Lassen sich die VMs über den Hyper-V-Manager oder per Start-VM starten? Sind die zugehörigen Dateien vollständig? Sonst irgendwas auffällig bei diesen VMs? Da scheint irgendwas nicht in Ordnung zu sein - ich hoffe, du hast laufende Backups der wichtigen VMs, Applikationen und Daten. Ich würde im Moment nicht ausschließen, dass der Cluster einen weg hat und das Problem sich noch verschlimmert. Gruß, Nils

Moin, welche Fehlermeldungen kommen denn, wenn du über das GUI bzw. per PowerShell die VMs zu entfernen versuchst? Und wie gehst du dabei genau vor? Gruß, Nils