cj_berlin

Ja sicher Ist korrigiert

Moin, die überschüssigen DCs vor der Migration ordentlich demoten und aus dem Forest entfernen. Danach sollte alles funktionieren, zumindest nach der Änderung der DNS-Einstellungen und dem erneuten Reboot. Bei der Gelegenheit solltet ihr prüfen, wie aufwendig das ist, alles aus der Sub in die Root zu migrieren und die Sub zu entsorgen. Aber falls sie aus irgendeinem Grund bleiben soll, ändert es nichts an der Vorgehensweise für die Migration - alles, was später nicht kommunizieren könnte, vorher sauber entfernen.

Ja, meine WSUS-Empfehlung ist ähnlich: - min 16 GB RAM - 4 Worker - 10.000 queue depth - 0 private memory limit - reindex sicherlich nicht jeden Tag, aber zumindest 1-2 mal im Monat

Ich würde eher sagen, wenn das SAN das hergibt, einmal ein Volume an den 2012er präsentieren, Backup verschieben, dann dieses Volume UND ein neues Volume an den neuen Server präsentieren und lokal kopieren.

Du kannst die Volumes mit ziemlicher Sicherheit mounten. Allerdings sind reichlich Versionen, Bugfixes und Features dazwischen, so dass ich es lieber lassen würde.

Moin, als Anregung vielleicht: in der IT-Dienstleistung gibt es meistens einen variablen Gehaltsanteil, der von der Erfüllung individuell mit dem Vorgeetzten zu vereinbarender Ziele abhängt. Sehr häufig sind es bestimmte Schulungen und Zertifizierungen, unabhängig von ihrer formalen Einstufung als Fort- oder Weiterbildung. Verhandlungen über die Erhöhung des fixen Anteils sind natürlich etwas anderes, aber auch hier kann eine wiederholte Erfüllung - oder eben Nichterfüllung - der Jahresziele eine Rolle spielen. Ansonsten würde ich die Gegenfrage stellen, ob ich neben dem höheren Gehalt auch tatsächlich andere Aufgaben bekäme, wenn ich mich WEITERbilde, und was diese denn wären. Denn dann reden wir ja nicht mehr über eine Gehaltserhöhung, sondern über eine Beförderung. Dann ist vielleicht nicht Exchange-Admin, sondern Teamleitung oder Wissensmanagement als Weiterbildung angebracht

Moin, ich weiß nicht, was Dir bei Deiner Recherche begegnet ist, aber die Idee ist, die Verwaltung von EfB vom Client-Management (GPO/MDM) zu entkoppeln und über eine separate Web-API bereitzustellen. Damit wird auch EfB mit dem separaten Cookie - und Memory-Space für privat und beruflich auch auf ungemanagten Geräten möglich. Ohne MS-Anmeldung kann die EfB-Richtlinie nicht an Benutzer ausgerollt werden, sondern ist für alle gleich. Den Gedanken, den nicht-forBusiness-Browser wieder unverwaltbar zu machen, habe ich noch nicht gehört.

"Best Practice" ist ein starkes Wort. Das Microsoft-Dokument dazu listet 5 Advantages und 4 Disadvantages der SQL-Auth auf, somit hätte nach Business Consultant-Logik die SQL-Auth gewonnen . Auch wenn dort am Anfang steht, man solle wo möglich Windows-Auth verwenden. Der einzige wirkliche Vorteil der Windows-Authentifizierung ist, dass Kerberos verwendet werden *kann*. In Realität jedoch funktioniert dies nur, wenn zwischen SQL-Server und dem zugreifenden User eine Vertrauensstellung existiert. Und in gehärteten AD-Umgebungen müsste man das auf "...und dem User sowie dem Client" verschärfen. sind SQL-Server *und Clients* oft fehlkonfiguriert, so dass selbst innerhalb eines AD-Forests auf NTLM zurückgefallen wird. bei der Notwendigkeit, andere Credentials als die angemeldeten zu verwenden: Die Anwendung muss Impersonation verwenden, das heißt Windows-seitig am Client den Context wechseln. bei der Notwendigkeit, Credentials zu speichern: mit SQL-Auth sind es Credentials, die im Zweifel nichts außer ihre Berechtigungen auf dem SQL-Server missbrauchen können, bei Windows Auth ist es ein Account, das auch woanders Permissions hat, und sei es nur Permissions sich anzumelden. bei Betrieb von SQL auf Linux: der Linux-Server muss in den Kerberos-Realm von AD integriert werden, um Windows Auth zu verwenden Und da sind wir noch nicht im Dev-Test-Integration-Teil angekommen, wo es bei Windows-Logins nicht möglich ist, die Datenbank lustig hin und her zu transportieren und dabei Berechtigungen zu erhalten. Ich will damit keine Diskussion vom Zaun brechen, sondern nur den Ton der bereits begonnenen Diskussion ein wenig mäßigen, denn was des einen Best Practice ist, kommt bei dem anderen aus zwingenden technischen Gründen gar nicht in Frage.

Moin, die Fehlermeldung sagt, dass $ImportCert.Thumbprint leer ist. Ist es vielleicht wirklich so?

Sorry, ich bin raus,

Du beschreibst genau das Verhalten einer statischen 2-Node-Konfiguration ohne Witness. Eine dynamische 2-Node+Witness-Konfiguration mit ausgefallenem Witness verhält sich anders. Was Compute angeht, schon. Bei Storage muss man aufpassen, da gibt es tatsächlich Unterschiede. Generell jedoch ist eine 2-Knoten-Konfiguration, ob mit oder ohne Witness, nicht geeignet, um Clustering zu erlernen, wenn das Dein Ziel ist. Wenn Du dir sicher bist, für den Rest Deines Lebens nur 2-Knoten-Cluster zu bauen und zu betreiben, dann natürlich schon. Aber bei nahezu allen Clustering-Konzepten ist die 2-Knoten-Config ein Sonderfall. der mal besser, mal schlechter beschrieben ist.

Genau. Nicht die Gesamtanzahl an Stimmen, die vergeben werden, sondern die Gesamtanzahl an Stimmen, die erforderlich sind

Wenn jeder Knoten das Quorum sehen kann, denkt er, er ist der Beste. Ansonsten ist es noch nie eine gute Idee gewesen, Cluster-Ausfall durch Konfigurationen an den Knoten selber zu simulieren. Wenn Du die Möglichkeit hast, das Netzwerk woanders zu unterbrechen, solltest Du damit arbeiten statt mit der lokalen Firewall.

Moin, sie *müssen* nicht, wenn die Subnetze sich überlappen, aber tatsächlich wird zuerst versucht, auch im gegnerischen Forest mit der lokalen Site zu arbeiten, und erst dann einen vollständigen DCLookup durchzuführen.

Moin, Probleme werden dann auftreten, wenn jemand diesen Namen tatsächlich verwendet Wenn Du beispielsweise eine GPP mit Item Level Targeting am Start hast und das Targeting nach Site erfolgt, steht in der XML-Datei dann <FilterSite bool="AND" not="0" name="HQ"/> und ich bin mir ziemlich sicher, dass Domain Controller nicht die XMLs durchforsten und das korrigieren, falls Du die Site umbenennst. Skripte, die nltest /dsGetSite aufrufen und mit dem Ergebnis was tun, sind auch solche Kandidaten. Die Verknüpfung von GPOs an Sites wird hingegen nicht unter der Umbenennung leiden.

Dass der UPN sich ändert Alle Systeme, die das Mapping per UPN machen, finden den User nicht mehr, falls Office 365, speziell OneDrive, im Spiel ist, findet der User seinen Content nicht mehr (das repariert sich irgendwann, aber nicht sofort). User, die sich angewöhnt haben, sich per UPN anzumelden, müssen nun einen anderen Namen eingeben.

Hat sich der UPN denn auch geändert? Eigentlich ziehen Office-Programme diese Daten aus HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\ADUserName

Moin, die primäre e-mail-Adresse (die Exchange verwenden wird) kannst Du in Exchange und im AD (proxy addresses, mail) nachschauen. Wenn die korrekt is, ist es nur die Anzeige im Outlook. Diese wird sich (supported) durch die Neuerstellung des MAPI-Profils ändern, oder (unsupported) durch zielgerichtetes Fummeln in dessen Registry.

Moin, nein, es ist nicht in Stein gemeißelt, dass alle Sicherungen in die gleiche Datei gehen, nur wenn Du das in Deinen Befehlen oder in Deinem Wartungsplan explizit so angibst.

Moin, ich kenne keinen der beiden, aber bei SmartCalendar steht recht deutlich: ApplicationImpersonation-Rolle. Da kannst Du maximal einschränken, auf wessen Postfächer sie zugreifen können, dort haben die aber dann freie Hand.

Diese Situation ist sehr schön in "Hai-Alarm am Müggelsee" verarbeitet bis zum Exzess ausgeweidet...

Wieso? otto.matthias-otto@company.com Das den Leuten am Telefon zu erklären, steht freilich auf einem anderen Blatt

schnell verkuppeln! Doppelnamen sind wieder erlaubt

In einer Bundesbehörde gab es diesen Fall mal wirklich, und zwar der neue Mitarbeiter war viel wichtiger als der alte und seine neue Adresse wurde bereits veröffentlicht, bevor man festgestellt hat, dass es eine Dopplung gibt. Den Rest darf ich leider nicht öffentlich erzählen Aber um den Kollegen beizupflichten: Es hat sich bisher noch nie jemand über die 2, 3 etc. beschwert.

Genau. Mit NTDSUTIL prüfen, ob er noch in der Replikationstopologie drin steht, und falls ja, bereinigen. Anschließend noch im DNS kontrollieren.