Weingeist

Webregistrierung von Zertifikaten habe ich nicht wirklich installiert. Das Log ist auf beiden Seiten hochgedreht, aber mehr als das was ich oben bei der Fehlermeldung angegeben habe, kommt leider nicht. Die Art der Anforderung spielt keine Rolle. Kein Unterschied zwischen Autoenrollment oder MMC. Weder auf der Cert selbst noch auf dem Client. Vielleicht fehlt wirklich eine SPN. Fragt sich welche. Dagegen spricht aber, dass normale Anmeldungen ja funktionieren. Ist es möglich, dass Zertdienste auf Domänen-Dienstkonten laufen müssen? Bei mir ist das alles auf Standard. Warum es dann aber mit NTLM klappt, würde sich meiner Logik dann verschliessen. ;) Grüsse und Danke.

Also "Zertifikatregistrierungs-Webdienst" ist definitiv nicht installiert. @cj_berlin Und magst mir sagen wo ich ansetzen soll?

Das ist aber für das Bootlaufwerk des Systems. Da ist es ja die einzige (sinnvolle) Möglichkeit ausserhalb von SAN-Boot. Sinnvoll weil in der Regel langlebiger als SD-Cards. Und mit ESXi bekommt man Software-RAID auch nur mit Storage-VM's hin oder mit vSAN. Für die Daten. Die konkreten Firmware-Anpassung beschränkt sich bei modernen SSD's auf die Änderung der Menge an nicht verwendeten Speichermodulen (Überkapazität) sowie den Vendor-Lock. Die Zeit der tatsächlich angepassten Firmware durch die OEM-Hersteller ist schon Jahre vorbei. Selbst im SAN Bereich ist das meist nur noch auf Ihrer Speicherebene und nicht auf den Datenträger selbst der Fall. Es wird von den Herstellern der SSDs lediglich ein paar konfigurierbare Features bereit gestellt die dann teilweise genutzt werden. Angepasste Firmware gibt es meines Wissens nur noch für die Big-Player wie Amazon, Meta oder Google und deren hochspezifischen Anwendungszwecke. Überall wo mit Standardware gearbeitet wird, ist das grundsätzlich vorbei. Ein OEM-Hersteller möchte X-beliebige Speicher von xbeliebigen Hersteller einsetzen und möglichst wenig Effort betreiben diese in ihrem System zum laufen zu bringen. Sprich den Kunden möglichst billig an sich binden und somit überteuerte Ware verkaufen. (Grosskunden bekommen die HDD/SSD's ungefähr zum Retail Preis für Private von Gross-Online-Händlern, alleine diese Tatsache entlarvt schon die Farce der angepassten Firmware). Hardware-RAID Ein abschalten des Write Cache wie das bei Magnetplatten üblich ist und der Hauptgrund für die Verwendung eines spezifischen RAID-Controllers gegenüber einem Software RAID ist, würde z.B. praktische jede moderne SSD völlig unberechenbar machen. Insbesondere bei MLC. Das Commit des erfolgreichen Schreibvorgangs kommt daher vor dem effektiven Schreibvorgang. Aus diesem Grund ignorieren die Controller auch den eigenen Cache bei SSD's. Er bringt einfach keinen Mehrgewinn sondern nur eine zusätzliche Fehler-Schicht. Die SSD's brauchen eigene Mechanismen. Deshalb ist es insbesondere im RAID-Verbund auch wichtig, funktionierende Kondis auf den SSD's zu haben welche die Stromversorgung bei Stromunterbruch sicherstellen. Aus diesem Grund kann man sich die Frage stellen ob der Controller nicht auch einfach nur ein zusätzlicher SPOF ist und ob es nicht oft mehr Sinn macht und allenfals auch zuverlässiger ist, wenn das Dateisystem/OS die Aufgabe des RAID übernimmt. Es macht im Grund das Gleiche wie auch ein RAID-Controller nur ohne zusätzliche Hardware/Software und teilweise auch besser weil es die Mechanismen mit dem Filesystem verzahnt. Zum Beispiel mit Copy on Write. Flexibler auf die eigenen Bedürfnisse angepasst ist es sowieso.

Empirisch bekommt man von einem bekannten Blogger der in einem riesigen Betrieb arbeitet und die Herstellermodelle statistisch erfasst. Auf die schnelle kontne ich das leider nicht finden. :( Das hat - gelinde ausgedrückt - wenig mit den MTBF zu tun. Habe aber doch schon HDD's mit über 20 Jahren Einsatz gesehen. Oft ist es so, überstehen sie mal 5 Jahre, dann laufen sie weiter, überstehen aber nicht unbedingt einen Neustart (Neustart im Sinne von Strom ist weg). Ansonsten meine Erfahrung: RAID-Controller Ja/Nein: Spindeln: klares JA. Geschwindigkeit, sinnvoll für Read/Write Cache, HDD's fallen eh vorher aus. Qualitäts SSDs : Ausserhalb SAN ein genau so klares nein (Storage Spaces macht das viel zu gut wenn man weiss wie SP arbeitet). Weniger Speed, höhere Ausfallwahrscheinlichkeit durch SPOF, Write/ReadCache wird i.d.R. sowieso übergangen, heisst bei Stromausfall = Sache der SSD weil die Anweisung von Windows ignoriert wird, TRIM funktioniert oft nicht wirklich hinter einem Controller usw. Früher hatte ich nie Ausfälle eines Controllers, weder bei Adaptec noch LSI noch (fällt mir grad nicht ein) in der jüngeren Vergangenheit (letzte 10 Jahre) allerdings doch eine unnatürlich Häufung seit LSI übernommen wurde. Was aber nichts heissen soll, weil ich nicht tausende Geräte brauche aber doch genug und von verschiedenen Serien. ABER: üblicherwiese ist die "feindliche" Raid-Konfig-Übernahme durch einen neuen Controller unproblematisch. Zumindest bei Windows.

RAM/CPU/Festplattenspeed: Telemetrie grösstmöglichst abdrehen. Also Dienste, Aufgaben, Leistungsmesser (Ereignisablaufverfolgungssitzungen). Da kannst Dich austoben ohne Ende (teilweise auch vergeigen). Der Unterschied im "Erlebnis" ist insbesondere auf älteren Maschinen teilweise ziemlich gross. Dann von manchen Diensten die Kommunikation nach aussen blocken (das merken die und brauchen so auch keine Ressurcen). --> Ganz interessant wie wenig solche bearbeitete Maschinen auf die HDD's schreiben im Vergleich zu anderen. Am einfachsten bekommst die "Kommunikatoren" und "Schreiberlinge" über ein Firewall-Logging (Auditpol) und den Ressourcenmonitor raus. Als Ausgangslage sind Konfiguratiosnscripts von VDI-Herstellern recht hilfreich. VmWare bzw. Omnissa oder allenfalls Citrix. Speicherplatz: Platz für Browser begrenzen und/oder direkt bei beenden löschen lassen. Ungenutzte Profile regelmässig löschen oder fast noch wirkungsvoller: allgemein einfach alle regelmässig löschen --> Sollte sehr gut kommunziert werden! ;) Welches Release ist immer so eine Sache. Vorzugsweise verwendest einen IoT LTSC oder normales LTSC Release, dann bleiben die Änderungen zuverlässig auch erhalten. Für manche Nervensägen brauchst TI-Rights, meist reicht System. Am besten das Ganze scripten und/oder GPO. Ich mag in einer Umgebung möglichst gleiche Releases über eine möglichst lange Zeit. Wechsel gibts nur wenn ich neue Features für richtig gut befinde. Gibt am wenigsten Aufwand. Daher würde ich selbst ein W10 IoT LTSC 21H2 nehmen, das läuft aktuell extremst stabil. Bei Tablets dürfte der Einsatzzweck eigentlich immer gegeben sein für die Lizenzberechtigung IoT zu nutzen. Support bis 2032. Wenn es W11 sein muss, IoT LTSC 24H2. Da habe ich noch ein zwiespältiges Verhältnis, weniger aus Erfahrung, sondern von Meldungen von Kollegen.

Ich weiss garn icht ob das in Excel auch geht, da noch nicht gebraucht, aber in Word kannst den Code auch in eine Vorlage verfrachten. Die muss sich dann halt am notwendigen Ort befinden. Allenfalls eine Option für euch und den Kunden? Er müsste dann auch nicht immer Excel-Dokumente mit Maktros verschicken, was ja sowieso eher verpönt ist. Sondern es reicht ab und wann die aktualisierte Vorlage. Sofern sich der Code überhaupt ändert, tut er normal ja eher selten. Ob sie sich darauf einlassen ist die andere Frage, ist ja etwas mehr Supportaufwand wenn die Vorlage nicht gefunden wird. Nachteil: Nur wer die Vorlage hat, kann auch die Funktionen Nutzen welche in VBA erstellt wurden. Auch sind Änderungen dann in älteren Dokumenten auch vorhanden (Je nach dem wie sauber man arbeitet ein Vorteil). EDIT: MIST erst jetzt datum gesehen sorry

Ich machs mittlerweile mit nem Inplace der gleichen (aber aktualisierten) Version. Das klappt in der Regel auch um vergeigte Component-Stores - an denen Update-Probleme oft liegen, zu lösen. Gibt noch etwas weniger Arbeit. Insbesondere bei Workstations die nicht nur Office-Programme haben. Aber klar, ganz neu ist noch sauberer.

Ne hat nix mit dem Artikel zu tun. Wie gesagt, mir ist durchaus bewusst, dass es erst die Ankündigung vom Ende ist. War ja bei den ganzen Ankündigen für SMB, RPC, Printer- und Laufwerksverküpfungen, Printertreiber-Rechten, Zertifikatserweiterungen etc. nicht anders. Konnte man alles schon frühzeitig machen umstellen und man fiel nicht auf die Nase wie sehr viele andere als MS das scharf geschaltet hat. War ja auch sinnvoller/sicherer ist. Printer- und Laufwerksmappings waren der reinste Horror auf den Testclients. Bis ich geschnallt habe wo die Ursachen der Probleme liegen. Danach war alles komlett entspannt, inklusive der Updates als MS den Kram scharf geschaltet hat. Für NTLM ist es ja ebenso sinnvoll das abzudrehen. Also auch VOR dem offiziellen Ende (das vermutlich noch SEHR lange dauern wird). Und es gibt die Reg Flags dazu. Die Blog-Einträge von MS-Mitarbeitern (z.B. Link oben) in 2023 legen nahe, dass man man gewillt war für Windows 11 und das Serverderivat die hart-codierte Abhängigkeit von NTLM herauszuprogrammieren. Wenn der das so schreibt, dann dürfte es wohl auch der Fall sein. Entweder also exklusiv für die neuen OS oder es ist eben auch ohne Ankündigung für ältere OS so. Meines Wissens war das bei gewissen Clusterdiensten noch der Fall und eben bei den Zertifikatdiensten. Wobei ich bei letzterem nicht mehr so sicher bin auch wenn mir auch schon andere das Verhalten bestätigt haben. Wenn also Evgenij Recht hat - wovon ich ausgehe - dann sollte das für den Zert-Server nicht gelten, dass eine zwingende Abhängigkeit besteht. Normal ist NTLM ja nur der Fallback wenn Kerberos nicht klappt. Ausser eben MS hat Kerberos nicht vorgesehen und nutzt hart-codiert ausschliesslich NTLM.

Du hast ein Dell Server und Dell möchte - wie leider mittlerweile die meisten Hersteller auch - einen Dell Controller sehen und der wieder Dell Festplatten. Obwohl alles haargenau identisch ist. Nichtmal wirklich eine andere Firmware. Es geht fast immer ausschliesslich um das Branding/Kundenbindung, auch Abzocke genannt. Früher war das Coding auf SAN's beschränkt wo das zumindest teilweise eine Logik hatte (eigentlich auch nicht, ist aber ein anderes Thema), heute ist die Seuche überall angekommen. Selbst in den kleinen Notebooks. Zum k***en. Man kann nichtmal mehr Enterprise-SSD's einbauen, weil man das gar nicht für vernünftige Preise bekommt. HPE bringts teilweise sogar auf die Spitze, dass wenn du ein HPE Netzwercontroller für eine Standard PCE-Express Schnittstelle für ein "falsches" OS oder ein "Out-Of-Date OS" hast oder eines das noch nicht offiziell unterstützt wird, nichtmal die Netzwerkkarte nutzen kannst. Obwohl die Treiber grundsätzlich ohne weiteres für funktionieren würden. ;) Es gibt sogar Hersteller die branden ihre CPU. Das heisst Du kannst nicht ein Workstation kaufen und z.B. die CPU in eine andere Kiste einbauen oder sie durch eine Aftermarked CPU mit höherer Leistung tauschen. Es gibt eigentlich nur einen grossen Hersteller wo das noch nicht so ist: Supermicro. Bei den anderen hast Du Glück wenn Du noch was fremdes einbauen kannst. Du bekommst aber auch Komplettsysteme von denen und es gibt Mittlerweile auch Firmen die Support dafür anbieten! Falls Du Dich noch weiter ärgern möchtest: Die grossen Kunden bekommen die Preise die wir für Aftermarked bezahlen, nur die kleinen schröpft man. Ist aber in anderen Branchen nicht anders. Was zählt ist das Potential Deiner Firma, nicht wie viel Du tatsächlich bestellst. Sprich ein Grosskonzern kann auch sehr guten Konditionen bestellen auch wenn er nur für ein paar hunderter oder tausender einkauft.

@MurdocX Meinte eigentlichen den TO ;)

DC: Ja das ist mir im Grunde schon klar. Aaaaber ganz logisch ist es mir dan doch nicht, dass ich es nur auf dem Zertserver aktivieren muss. Wie läufts mit der Schärfe? =) Mal noch die Details der Fehlermeldung: Auf der CA: lsass.exe TargetServer: ldap/dcFQDN/domainFQDN@domainFQDN UserIdentityOfClientProcess: Computerkonto des Clients welches das Cert erneuern möchte nicht FQDN (sollte üblich sein?) Domain name of user identity of client process: DomainName nicht FQDN (sollte üblich sein?) --> Fehlt vielleicht für LDAP ein Kerberos Ticket? Auf dem Client: Fehlermeldung: bla bla konnte nicht registrieren. Fehler: Die Anforderung wird nicht unterstützt. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED) Habe auch nochmals die die ganze Registry und Konfig-Einstellungen geprüft, es sind eigentlich überall FQDN's drin wo ich das erwarten würde das welche rein müssen. Auch im Konfig-File der CA. Hast allenfalls eine Idee?

Also wenn du kein richtigen Kiosk willst, also genau eine Funktion, warum dann nicht einfach Fullscreen? Was stört Dich die zusätzlich aufpoppende Adresszeile wenn man mit der Maus an den oberen Bildschirmrand geht? Zum Tab-Wechsel musst sowieso da hoch mit der Maus und dann kommt es doch auf die paar Pixel auch nicht mehr an, man will ja die Ansicht wechseln. Aber selbst diese Zeile kannst ja anpassen in Firefox über die Ansicht. Ich verstehe nur nicht, wie man etwas nicht Originales einsetzen kann wenn der "Schaden" zum Maximalwunsch so klein ist. Wenn mich das stören würde, dann würde ich bevor ich etwas nich mit Bordmitteln erreiche, immer ein paar Stunden investieren. In diesem Fall wäre das CSS. Aber ich muss ja auch nicht alles verstehen.

Hmm interessant. Hast Du grad eine Idee wo ich ansetzen könnte? Auch interessant ist, dass ich NTLM Traffic eingehend/ausgehend für Domain Konten nur auf der CA aktivieren muss nicht jedoch auf dem DC. Wenigstens lohnt sich die erneute Suche, wenn ich weiss, dass es mit Kerberos gehen müsste.

Salut zusammen, Beim stöbern gelesen, hab mal nen neuen Thread gemacht statt zu kapern. Weiss jemand ob der Spass in die W10 Distris bzw. Stack-Updates übernommen wird? Sprich kann bzw. muss man neueste ADMX verwenden im Central Store oder muss man selber die Optionen reinbauen und nach Versionsstand filtern? Oder fleigen wie von Geisterhand W11 Upgrades ein bei 99 auf 10er oder sonstige Spässe? (nicht ganz ernst gemeint, aber mich würde auch nichts mehr wundern) Die Verantwortlichen könnte ich echt .... [Beliebige Massnahme Deiner Wahl] ... für Ihre ständigen Rumbastelungen an Update-Stack-Settings. Grüsse und Danke Zitat aus folgendem Thread:

Oder dynamische IP inkl. Zwangstrennug und es dauert bis die umgeswitched wurde...