Dunkelmann

Moin, was für NICs sind verbaut? Sind Treiber und Firmware aktuell? In vielen Fällen kann das Abschalten von VMQ auf der Netzwerkkarte helfen. (Nicht nur bei Broadcom) Set-NetAdapterVmq -Name "NIC 1" -Enabled $False https://support.microsoft.com/en-us/kb/2986895

Von etwas müssen die Autoren auch Leben. Allgemeine Grundlagen zum Thema PKI findet sicherlich auch eine der vielen Suchmaschinen.

Ist Node Interleaving deaktiviert und die Applikation nicht NUMA fähig, bleibt der Prozess in dem NUMA Knoten in dem er gestartet wurde. Ich stimme Dir zu, der Entwickler sollte eigentlich etwas dazu sagen können. Wenn allerdings die Antwort kommt, dass er nicht wisse, dass Prozesse an CPU Sockel gebunden werden können, machen sich bei mir schon einige Zweifel breit. Das mit dem standardisierten Rollout ist eine interessante Theorie, die nicht immer mit der Praxis harmoniert ;)

Ist das Zertifikat der Root CA verteilt? Sind die CDP Root CA erreichbar? Ein wenig Grundlagenwissen solltest Du Dir vor dem Aufbau einer PKI schon selber aneignen. Z.Bsp.: Brian Komar PKI & Certificate Security

Moin, ich tippe auf NUMA. http://h17007.www1.hp.com/docs/iss/proliant_uefi/s_advanced_perf_tuning.html#s_node_interleaving

Moin, warum so kompliziert? Wenn die Standorte und Subnetze im AD sauber gepflegt sind, kann man den WSUS wunderbar per Standort-Richtlinie zuweisen.

Warum setzt Du nicht hier fort und gibst etwas mehr Informationen über Deine Umgebung? http://www.mcseboard.de/topic/203971-fehlermeldung-die-zertifikatskette-kann-nicht-%C3%BCberpr%C3%BCft-werden/

Moin, tu Dir das nicht an und stelle für ein öffentliches bzw. Gast-WLAN eine vollständig MS-freie Infrastruktur bereit. Eigenes VLAN, eigene SSID, WiFi Appliance (auch hier vorher das Kleingedruckte lesen) oder Selbstbau auf Open Source Basis.

Welche Anforderungen soll die Backuplösung erfüllen?

Moin, Du kannst bei der Installation nur einen Produktschlüssel angeben. Den Lizenznachweis für die zusätzlichen Sockel musst Du auf Papier vorhalten.

Moin, im Zusammenhang mit Hyper-V Replika wird eine separate vhdx für die Auslagerungdatei der VM empfohlen. Bei allen anderen Setups: Es hängt davon ab ;)

Moin, rsync erstellt kein konsistentes Backup. Nimm lieber eine Backuplösung, die VSS verwendet.

Moin, es gibt bei der Windows Firewall den Regelsatz 'Remotevolumeverwaltung'. Ich würde die Firewall grundsätzlich per GPO konfigurieren und dabei die Protokollierung verworfener Pakete für alle Profile gleich mit einschalten. Dann gibt es wenigstens ein Log für die Fehlersuche. Diskpart ist natürlich auch eine Option ;)

Hier in BHV sieht es aktuell nicht nach Biergartenwetter aus, vielleicht ist es bei euch im Süden ja besser :p

Moin, die Sub CA kann die Sperrliste der Root CA nicht überprüfen. Entweder die crl der Roor CA manuell auf der Sub CA installieren mit 'certutil -pulse' ein refresh auslösen oder abwarten bis die crl über das AD verteilt wurde ... das kann Stunden oder Tage dauern

Moin, bei den klar definierten Anforderungen? Keine :cool:

Moin, Dinge wie Namensbestandteile im Kennwort fängt die einfache Komplexitätsprüfung bereits ab. Für alles Andere wird ein zusätzlicher Filter benötigt. https://msdn.microsoft.com/de-de/library/windows/desktop/ms721766%28v=vs.85%29.aspx Z.Bsp. der Filter von nFront mit Wörterbuch und viel bling. http://nfrontsecurity.com/products/nfront-password-filter/ Wenn es nur um Compliance geht kann man so etwas machen. Da fragt ja keiner nach den Post-IT am Monitor oder unter der Tastatur, sondern nur nach den definierten Policies. Soll tatsächlich und nicht nur formal das Sicherheitsniveau erhöht werden, kommt Multifaktorauthentifizierung zum Einsatz (bspw. Smart Card oder OTP Token)

Moin, Warum? Man kann eine PKI auch mit OpenSSL aufbauen. Also ein Zertifikat inkl. privatem Schlüssel irgentwo ins Netzwerk packen? Dann kannst Du Dir das Verschlüsseln und Signieren gleich sparen. Bei einer PKI bzw. bei Zertifikaten geht es um Vertrauen; so einem Konstrukt würde ich definitiv nicht vertrauen. Beschäftige Dich mit den Grundlagen einer PKI bevor Du so ein Thema angehst.

Moin, kennst Du 'robocopy'?

Eine VSS Sicherung eines Volumes sichert nur das Dateisystem des Volumes. Ein Volume ist nur eine logische Einheit auf dem physischen Datentrager, für eine vollständige Wiederherstellungen werden weitere Informationen benötigt (z.Bsp Boot Record und Boot Loader) Die Sicherung eines Volumes kann nur auf einem funktionsfähigen und laufenden System wiederhergestellt werden und nicht über die WinRE (Windows Recovery Environment) des Bootmediums Für die Wiederherstellung auf einem neuen Blech (=naktes Metall ;) ) braucht es die Bare-Metal-Recovery Option.

Moin und Willkommen! Die Frage hast Du schon selbst beantwortet:

Bei den RAMAC ging es doch auch auch ohne Reinraum :D http://www-03.ibm.com/ibm/history/ibm100/us/en/icons/ramac/

DC1 sieht etwas komisch aus: Der erste DNS Server sollte ein anderer DC sein und die Loopback Adresse als zweiter DNS reicht aus. Du könntest auf dem DC03 mal prüfen, ob DNS auflösung über die anderen beiden DCs funktioniert: Im Ergebnis solltest Du den Namen des DNS Servers sowie eine Liste mit IP Adressen aller drei Domain Controller bekommen

Moin, NIC1 und NIC2? Hast Du etwa einen dual homed DC? Poste mal bitte ein 'ipconfig /all |clip' (Ausgabe geht direkt in die Zwischenablage) von den drei DCs.

Off-Topic: Es hat seinen Grund, warum 'security by obscurity' sich nicht durchgesetzt hat.