cj_berlin

Hast Du das mal mit SYSTEM, also psexec -s versucht? Es ist ja alles Registry, somit an Zgriffsrechte gebunden...

@daabm von der Vererbung der GPOs habe ich doch gar nicht gesprochen, die wäre hier m.E. auch vollkommen wurscht, solange GPO und GPP beide ankommen... Und dann geht es tatsächlich um die Verarbeitung der CSEs, aber halt nur von zwei konkreten... Und sobald die Restricted Groups einmal verarbeitet wird, überschreibt sie alles, wenn es dort im oberen Teil gesetzt ist, unter "Mitglieder dieser Gruppe sind:"

Hab's für euch aufgeschrieben: https://it-pro-berlin.de/2026/03/windows-dns-conditional-forwarders-and-recursion/ Was der Client macht, sollte mit Recursion nichts zu tun haben...

Aber die *Funktion* der Conditional Forwarder basiert nicht auf Rekursion. Die Rekursion, die man für sie einstellen kann, ist eigentlich schädlich, denn die besagt ja, dass man globale Forwarder oder Root Hints fragen soll, wenn der Conditional Forwarder die Anfrage nicht beantworten kann! Vielleicht sollte ich darüber bloggen

Ich habe die PMs gefragt, mal sehen, ob was zurück kommt. Aber *eigentlich* ist es ja schnell getestet Tatsächlich kann man die Rekursion sogar für Conditional Forwarder individuell einstellen, und das überschreibt die Server-Einstellung: https://learn.microsoft.com/en-us/powershell/module/dnsserver/set-dnsserverconditionalforwarderzone?view=windowsserver2025-ps#-userecursion Das ganze wird durch den Registry-Wert "ForwarderSlave" gesteuert, und der Default-Wert ist "0" (ja, Rekursion benutzen). Das könnte auch der technische Grund sein, warum die globale Deaktivierung der Rekursion die Conditional Forwarder nicht beeinflusst...

Moin, der DL irrt. Conditional Forwarders sind nicht von der Rekursion betroffen. Sie sind ja technisch quasi nur Slave-Zonen ohne Zonefile.

Moin, nach allem, was bisher bekannt ist, und ich hatte auch schon versucht, die Uhr nach vorne zu stellen, kannst Du das Update auch in 2027 noch vornehmen. Im Bereich PK + KEK wird auf die Zeit eh nicht geachtet, denn zur Einschaltzeit ist die gute Uhr ja nicht garantiert, aber auch im weiteren Boot-Prozess wird nur das Vertrauen geprüft und nicht die Gültigkeit. Was halt nach Ablauf nicht mehr regulär geht, ist eine neue Signatur zu erzeugen. Aber auch das kann mit verdrehter Uhr umgangen werden.

Normalerweise nicht, aber Firmware wurde ja auch nur von Menschen* geschrieben. Es kann also passieren, dass irgendwas beschädigt wird. Manche UEFI-Varienten haben sogar ein Fallback-Verhalten für Secure Boot, wonach sie automatisch die Default Stores probieren, wenn die Verifizierung mit den Runtime Stores fehlschlägt. * heutzutage muss man ja sagen, "oder, schlimmer noch, NICHT von Menschen"

Moin, wenn die Restricted Groups-GPO die Mitgliedschaften im oberen Bereich pflegt, sind sie verbindlich und Du hast verloren. Wenn sie im unteren Feld gepflegt sind, müsste man schauen, das muss eigentlich gehen.

Wenn das EFI auf Default ohne 2023er PKI geht und Windows einen Boot Manager hat, der nur 2023-signiert ist (sagen wir mal, so Mitte 2027, nach einem Boot Manager-Sicherheitsupdate), wird Windows nicht booten. Obs tragisch ist, ist dann individuell zu bewerten

Ja, Custom Mode hat die 2023er Certs in die Current Stores gedübelt, nicht jedoch in die Defaults.

Das ist genau der Grund für meine Frage. Ich habe ein älteres Latitude, da war das KEK-Package im letzten verfügbaren FW-Update gerade noch drin, somit konnten die Runtime-Stores durch Windows aktualisiert werden, aber die Default Stores hat DELL nicht mehr für dieses Modell nachgeliefert. Bei einem semi-aktuellen Lenovo (Ende 2022 hergestellt, und seitdem die Firmware regelmäßig gepatcht) ist ein komischer Mischzustand, aber definitiv fehlen die UEFI-CAs in den Defaults.

Da gibt es keine Katastrophe. Wenn am 20. Oktober ein Zero Day für den Windows Bootloader bekannt wird, kann Microsoft auf einer Maschine mit zurückgestellter Uhr sogar ein Notfall-Update mit der 2011er PCA signieren. @phatair Habe keine DELL-Geräte mehr hier... werden bei eurem Prozess auch die Default-Stores aktualisiert, oder bleiben sie auf 2011?

Ja oder jein... Datacenter hat auch funktionale Vorteile wie AVMA oder HGS-Support... oder auch die Fähigkeit, die Hyper-V-Farm hyperconverged zu betreiben. Aber wenn es nur einen Host und eine Handvoll VMs gibt - oder wenn die VMs mehrheitlich nicht Windows Server ausführen, ist es natürlich vollkommen richtig. Und Windows 11 virtualisiert ausführen, da muss man sich den Use Case und den vorhandenen Lizenzvertrag genau anschauen: Windows 11 Licensing For Virtual Desktops Licensing Guidance

Moin, sind die Maskenlängen genau wie in Deiner Definition? Sprich, ist das Storage-Netzwerk wirklich stretched, oder haben die tatsächlichen NICs eine längere Maske mit Routing dazwischen?