daabm

[OT] Wir hatten damals gut 1.500 Domains, und jeden Monat kamen ein paar dazu. Das war ziemlich wichtig für uns... Heute sind wir unter 100, dafür halt größer [/OT]

Doch, ist sie. Aber Du brauchst nen guten Draht zum Premier Support WIr haben das seinerzeit beim Umstieg von Server 2003(R2) deutsch auf Server 2008(R2) englisch gemacht, damit bei Neuinstallationen nicht plötzlich die Gruppen anders heißen als bei migrierten Domains.

Definiere "runter" mal genauer... Ich komme von tief aus dem Süden, das ist weiter "hoch" als von Dir aus runter

Frag mal nen durchschnittlichen Admin, was er unter "Trust Anchor" versteht...

Könnte man gelegentlich mal ändern.. Ansonsten warte ich auf das, was @NorbertFe schon angefragt hat.

Die Meldung bedeutet eigentlich, daß der User selbst sein Benutzerkonto nicht findet. Bzw. seit MS15-025 oder so daß der Computer das Benutzerkonto nicht findet. Check mal get-adobject -ldapfilter "(anr=Gast2)"...

Ping geht auch. Brauchst nur nen passenden Listener, ein Ping-Paket kann groß sein. Du hast grad das Prinzip der PAW entdeckt

⬆️⬆️

Du sollst damit anfangen, daß Sicherheit immer beim Fundament anfängt, niemals beim Dach

Nö. Es ist einfach, die eingebaute cmd.exe für Benutzer unbrauchbar zu machen, weil die auf diesen Policy-Wert trainiert ist. Gibt genügend alternative Shells, denen das egal ist. Und Dir geht es am Ende auch nicht um das Ausführen einer Befehlszeile, sondern um die Sicherheit des Systems. Und die kannst Du niemals (!) mit Benutzereinstellungen herstellen. Das geht nur auf Computerebene. Das Verbieten irgendwelcher Gimmicks im Benutzerkontext erhöht die Sicherheit nicht. Es fördert nur die Kreativität der Anwender - oder ihren Unmut ob der Unbrauchbarkeit des Systems.

Bei nem DC kannst Du auch einfach ein Inplace-Update machen... hat hier jetzt Duzende Male problemlos funktioniert. Aber ok, wir haben auch keine Domäne, in der es nur einen DC geben würde - ein Scheitern hätte uns also nicht wirklich weh getan

# for hex 0xbc4 / decimal 3012 : ERROR_PRINTER_NOT_FOUND winerror.h # No printers were found. Der 3eb ist noch unergiebiger: # for hex 0x3eb / decimal 1003 : ERROR_CAN_NOT_COMPLETE winerror.h # Cannot complete this function. Kann es sein, daß das Mapping im Systemkontext läuft und die Computerkonten keine Rechte auf die Druckerfreigabe haben?

Ich drücke dem Proxmox-Forum jetzt schon die Daumen... SCNR Hetzner also, aha. Wie hast Du das mit Japan hinbekommen? https://www.hetzner.com/de/unternehmen/rechenzentrum/

Viel Spaß. Hat dein Ceph-Backbone deutlich mehr als 2.5G? Wenn nein, wirst Du viel leiden...

Ja.

Man könnte am Client ja mal gucken, was für Tickets man bekommt klist get HOST/<FQDN> Und man könnte gucken welche ETypes die Zielkonten unterstützen powershell get-adcomputer <hostname> -properties msds-supportedencryptiontypes (Spoiler: Da sollte 24 oder 28 drinstehen)

Leider verstehe ich den Satz nicht. Und eine Frage finde ich in Deinem Beitrag auch nicht.

Jetzt hör auf, Jan. Sonst kommt noch die Frage nach "wie verwende ich denn die Thunderbolt-Interfaces als Ceph-Backbone"

I second that... Nur ein convenience feature eigentlich

Ich weiß nicht, ob es in Deutschland Firmen gibt, die mehr DCs betreiben als wir (vermutlich ja - aber auf jeden Fall sind wir ganz oben mit dabei). Wir legen die vCPU nach Anzahl der zu erwartenden Logon-User aus, und uns ist noch nie (!) deswegen eine AD-DB kaputt gegangen. Die Dinger sind schweinsmäßig rock-stable... Such Dir nen anderen Berater. Da kann ich darüber berichten, wenn das wirklich jemand braucht...

Bei manchen Deiner Statements tun mir Deine Kunden leid... SCNR

Dem ist nichts hinzuzufügen. Homelab top, 24/7 schmeiß weg. Ja, hier steht einer. Nein, er hat es nicht in den Proxmox-Cluster geschafft.

DFS ist kein synchroner Speicher... Ich kenne allplan nicht, keine Ahnung was die an Dateioperationen haben. Aber replizierter Storage dürfte ungeeignet sein.

Das hätte ich jetzt auch gesagt - "privat"kriegt man das in 30 Minuten vermutlich zusammengesucht, wie man eine HTML-Seite mit 4 iFrames baut