daabm

Wieso "quasi" ? Irgendwann geht Dir halt RAM aus, weil jede Logon Session auch getrennt noch was davon braucht. Aber ein Limit kenne ich da nicht.

WMI-Remoting - OMG, da musst Du an Namespace-Berechtigungen drehen. Vergiß es lieber - wir hatten so was ähnliches auch mal und haben das Produkt dann verworfen...

Etwas spät, aber: Da sind wir wieder bei Schlangenöl und Lufthaken

Genau

Hat dieser Daniel evtl. ein lokales Konto auf dem RDS?

Verschaff Dir Vollzugriff dann geht es auf jeden Fall. Ich weiß leider nicht auswendig, was genau hinter den extendedRights steckt, macht alles meistens ein Kollege.

Man könnte auf die Idee kommen, das mal aus Sicht von DNS zu testen: nslookup -type=ALL _msdcs.intern.example.de (ALL muss groß geschrieben werden...) Wenn da nix kommt, geht die Sucherei los

Was soll daran gefährlich sein?

Was hat Proxmox damit zu tun außer "nichts"? Du kannst nen Trace erstellen, aber das wird mühsam und groß - dann wüsstest Du, wo es herkommt.

Ich find auch nix gescheites dazu - irgend ein Client/Device in Deinem Netz stellt ungültige KDC-Anfragen...

Meine samid ist 7 Stellen lang. Zeig mir mal ne Mailadresse, die kürzer ist 😂

Ja.

Wenn Du keinen Proxy hast: Funktioniert nslookup auf die Seite?

Alternativ würde man keinen RODC nutzen. Macht das Leben auf lange Sicht wesentlich entspannter

Der Sinn von Namespaces war eigentlich, genau eben NICHT Hunderte von Freigaben zu haben

1. Den SPN mußt Du setzen für jeden Namen, den ein Client zum Zugriff verwendet. Interessante Aufgabe übrigens, wenn man CNAME verwendet. Je nach Client macht der gar keine Auflösung ("used as typed"), einmalige Auflösung (verwendet den ersten Record, den er findet), rekursive Auflösung (verwendet den A-Record Name) oder gar erst forward Lookup auf die IP, reverse Lookup auf den Hostname und den dann verwenden. Ein Heidenspaß... 2. Jeder SPN muss natürlich auch "irgendwie" per DNS erreichbar sein. Wie Du das erreichst, ist Deine Entscheidung

Metadata Cleanup.

Warum sollte man das tun, wo ist der Mehrwert? Ein offener Port, hinter dem es keinen Listener gibt, ist kein Sicherheitsrisiko. Und auf DCs sollte da nichts "zufällig" dazukommen. Man fährt auch bei RPC gut damit, einen unternehmensweiten Standard zu haben - wir haben "aus Gründen" 3 unterschiedliche RPC-Ranges, das treibt einen in die Verzweiflung Und wenn Du die RPC-Ports von AD statisch festlegst, dann änderst Du ja nichts an der Architektur. Du verhinderst nur, daß der EPM eine "zufällige" Portnummer in seinem Range vergibt. Mit Last hat das nichts zu tun.

Wer List Object MOde verwendet und "manuell" administriert, der MUSS den DefaultSD von nahezu allem bearbeiten, sonst könnte man sich schon ersteres sparen

Anmelden mit Mailadresse ist ne Schnapsidee... Macht keiner, weil die viel zu lang ist.

Und was steht in den XML-Daten des Events?

Ich kann da leider gar nichts beitragen - wir haben RODC aus unserem Wortschatz und Portfolio gestrichen...

Wie gesagt, nur ne diffuse Vermutung ohne jeden konkreten Anhaltspunkt - ich find's ja auch seltsam...

Ditto - die Weihnachtsferien haben für mich heute begonnen 👍

Mal ein Blick in die - trübe - Glaskugel: Ist da möglicherweise eine obskure Security-Software im Spiel, die die Cached Credentials löscht?