cj_berlin

Ich bin gespannt, ob jemand Ideen hat. Ich bin am Freitag wieder im Lande und kann mir das anschauen, ich habe mindestens ein Labor, wo das funktioniert. (Disclaimer: Funktionierte im Sommer). Es ist in dieser unseren Zeit nicht auszuschließen, dass einer der letzten Patchdays das kaputt gemacht hat, selbst wenn's im Sommer noch funktioniert hat.

Solange das File per HTTP abrufbar ist, kann man den Pfad dazu auch per GPO verteilen. IE Proxy Settings.

Moin, ist auf die DCs auch die Kerberos Client-Policy für Armoring ausgerollt oder nur die KDC-Policy? Das ist der häufigste Fehler

Moin, DFS-N mit ABE. Braucht aber AD, und lokale Gruppen auf dem Fileserver, der die Freigabe tatsächlich hostet, werden schwierig.

Ja, und gibt es die konkret bei Dir? Du kannst ja certlm.msc auf einem DC öffnen und schauen, welche Vorlagen für einen DC überhaupt zum Enrollment angeboten werden, um dann zu überprüfen, welche von ihnen auf Autoenroll für DCs, Domain Computers oder Authenticated Users stehen (letzteres sollte es grundsätzlich nicht geben).

In dem von Dir verlinkten Artikel sehe ich nicht, dass man das Recht "Automatisch registrieren" herausnehmen soll - man soll vielmehr verifizieren, DASS es besteht??? Oder was war Deine Frage? Und zur Zeitschiene der Ablösung: Wenn Deine PAM-Software nicht ein bestimmtes Zertifikat auf den DCs erwartet, das man dort händisch hochladen soll, ist es doch kein Problem, wenn lange vor Ablauf ein {vertrauenswürdiges Zertifikat mit korrekten Namen und EKUs} gegen ein anderes {vertrauenswürdiges Zertifikat mit korrekten Namen und EKUs} ausgetauscht wird?

Moin, aber habt ihr auch tatsächlich einen Use Case für LDAPS? Denn nur dann lohnt es sich, den ganzen Aufwand zu betreiben.

Moin, sowas in der Art? https://www.davidpashley.com/articles/automatic-proxy-configuration-with-wpad/

Das hatten wir mal gemacht für Genehmigungen, aber da war ein Reverse Proxy mit Cert Preauth davor.

Moin, das ist alles irgendwie sehr konfus. Wenn nur Clients dieses Programm aus einer Freigabe starten, muss es doch nach dem Umzug lediglich diese Freigabe wieder geben, idealerweise unter demselben Namen. Nun habe ich Foundation nicht mehr so im Kopf, glaube aber mich zu erinnern, dass er zwingend Domain Controller sein muss. Somit hast Du ein Active Directory, in dem (wieder Annahme) die Clients Mitglied sind. Wenn das alles zutrifft, sähe die Migration wie folgt aus: BACKUP!!!!!! Server 2019 wird zur Domäne hinzugefügt und zum DC hochgestuft Datenordner werden per Robocopy kopiert und unter den gleichen Namen freigegeben FSMO-Rollen werden vom 2012R2 auf 2019 verschoben, der 2012R2 heruntergestuft und aus der Domäne entfernt, danach vom Netz getrennt oder zumindest umbenannt. Server 2019 wird gemäß Rename Domain Controller - Der Windows Papst - IT Blog Walter in den Namen des 2012R2 umbenannt Theoretisch müssten die Clients die Anwendung wieder finden und auch aufrufen können. Wenn jetzt auf dem 2012R2 ein Datenbankserver irgendeiner Art läuft (SQL, Firebird, MySQL, was weiß ich), dann lass lieber den Hersteller der Anwendung die Migration machen. Das werden wir hier im Forum nicht gelöst bekommen.

Was wir in solchen Szenarien meistens getan haben, war folgendes: Accounts im Ziel anlegen (wegen mir per PowerShell, insbesondere wenn auch OU-Strukturen stark unterschiedlich sind) Die Attribute, die im Ziel wichtig sind, so konfigurieren, wie im Ziel vorgesehen, und aus der Quest-Sync ausschließen Dann die Sync anschalten (irgendein Attribut muss ja zum Matching vorhanden sein, zu Not benutzerdefiniert) und Kennwort, sidHistory, Gruppenmitgliedschaften, managedBy und den ganzen Beziehungsrotz synchronisieren lassen Wenn euer DL nicht gerade "Facts & Figures" ist (aber die verstehen ihr Handwerk, das wäre euch da nicht passiert) können sie mich gern kontakiteren und die Ideen mal mit einem frischen Satz Augen von jemandem, der jahrelang auf der "PSO Waiver"-Liste für dieses Produkt gestanden hat, begutachten lassen

Du nutzt bei manage-bde den -SkipHardwareTest switch und bei Enable-Bitlocker nicht

ADD: Im Quest Migration Manager kann man die Synchronisierung des "name" anfordern, was einer Umbenennung des Objektes gleichkommt, falls es bereits vorhanden war aber unter einem anderen CN...

https://www.rlmueller.net/Name_Attributes.htm Das sollte es klarer machen. Du kannst name nicht getrennt von CN verwenden.

Das meinte ich auch. Im OP wird die Kerberos-Fehlermeldung zitiert. Diese kann nur auftreten, wenn die Knoten im AD Mitglied sind.