cj_berlin

Hmmm. Der Bereich ist aktiviert? DHCP-Policies sind keine am Start? Leases mit dem Namen BAD_ADDRESS zu sehen? (das wäre ein Hinweis auf Kollisionserkennung)

DHCP sollst Du auf DCs grundsätzlich nicht betreiben Ist zwar nicht ganz so schlimm wie Print Server, aber dennoch eher zu vermeiden.

das heißt wohl "Drittanbieter"

Moin, es ist "rogue DHCP", nicht "rough". Bekommt der Windows-DHCP denn überhaupt Anfragen? (Wireshark + Debug Log des DHCP)

Moin, ich würde einen DC nicht gern umbenennen. Wenn Du durchgehend Redundanz haben willst, einfach den zusätzlich DC3 installieren und nach Abschluss der Maßnahme wieder entfernen. Und die Bestands-DCs herunterstufen, aus AD entfernen, Replikation und KCC abwarten, nachbereinigen und dann den 2019er DC gleich in der richtigen Kombination aus Name und IP hochstufen.

Dann kontrolliere es doch

Moin, wenn 's am rogue DHCP liegt, siehst Du es in den Logs am DHCP-Server . Aber was einfacheres: Habt ihr mehrere VLANs in eurem Netz und wohin zeigen die IP-Helper in diesen VLANs? Oder ist es so ein Mini-LAN, in dem alle Adressen aus demselben Segment sind, und in diesem Segment stehen dann auch die SOPHOS und der neue DHCP Server?

So isses. AppLocker oder, besser noch, WDAC und genau wissen, wie man den Server im Zweifel schnell neu macht. Die Diskussion "Monster-VM" vs. "viele kleine Monsterchen-VMs" würde ich bei 10 Usern, ehrlich gesagt, nicht führen. Denn auch in einer Umgebung mit 1000 Usern würde eine "kleine Monsterchen-VM" vermutlich für mehr als 10 User auisgelegt werden.

Moin, nein, würde es nicht. Mir würden außer "unsupported" und "wird nicht funktionieren" noch mindestens drei Gründe einfallen, warum man es lassen sollte Und Postfächer einzeln zu migrieren verursacht Null Downtime für die User, im Gegensatz zu dem, was Dir vorschwebt. "Einzeln" bedeutet ja dank PowerShell nicht, dass man sie auch einzeln anfassen muss

Ja, die Vorlage heißt auch 'Machine': 'Computer' ist nur ihr Künstlername...

Somit ist keine Kerberos-Authentifizierung Richtung CA möglich ...und warum nicht?

Moin, meine Erfahrung sagt: Entweder zwei Monate oder zehn Jahre, Platten ausgenommen. Nach drei Jahren tauschst Du die Lüfter, nach weiteren drei Jahren die Netzteile... Will damit sagen: Es wird eher passieren, dass keine der benötigten Software mehr dieses Modell unterstützt, als dass der Server wirklich stirbt.

Und sind die Vorlagen a. auf der CA veröffentlicht? b. für "Domänencomputer" mit der Berechtigung "Enroll" versehen?

Du hast die Konsole "Aktueller Benutzer" (certmgr.msc) offen. Damit kannst Du keine Computer-Zertifikate beantragen. Öffne mal certlm.msc und schau, was dann passiert.

Häh? Aber das Admin Center geht doch wunderbar auf einem Server mit GUI??? Ich bin verwirrt, Wenn die Vorlagen fehlen, musst Du sie zuerst auf der CA veröffentlichen.

Die URL ist tatsächlich für den Certificate Enrollment Service. Wenn Du DCOM nutzen willst, musst Du dort einen LDAP-Pfad angeben.

...aber das Template mit diesem Namen muss halt vorhanden sein

Ich hoffe, Du übst nicht mal eben schnell, weil Du am Freitag das in einer Kundenumgebung machen musst....

Bei Bridged NICs? Kaum. Der normale Router, der für den Host das Gateway speilt, ist auch für die Gäste das Gateway. Ansonsten, wenn Host & Gast im gleichen Subnetz sind, ist das Gateway für die Kommunikation zwischen den beiden völlig egal. Wenn nslookup die Domäne nicht auflösen kann, obwohl der autoritative DNS dieser Domäne als einziger DNS eingetragen ist, stimmt vermutlich was mit dem DNS-Server nicht. Mach mal ein nslookup -debug deine.noma.in und poste die Ausgabe hier.

Moin, "versuche vergeblich" ist keine Fehlerbeschreibung. Was funktioniert denn an welcher Stelle nicht? Kannst Du vom Client die Domäne auflösen? Ist die IP des Servers die einzige, die am Client als DNS eingetragen ist?

So isses. Aber mal andersherum gefragt: Wenn Du sonst, wenn das Ganze nicht per WLAN liefe, ein gemeinsames Boot-Image verwendet hättest, sollte es doch eigentlich auch möglich sein, die VM komplett zu erneuern? Dauert vielleicht 10-20 Minuten vor Beginn der Schulung, dann musst Du aber immerhin nichts basteln. Oder Du streamst die Software, die sich ändert, per App-V, ThinApp oder was auch immer Dir zur Verfügung steht. Dann pflegst Du die Applikation einmal, und die Schüler ziehen sich die. Das WLAN muss natürlich recht stabil sein

Moin, da musst Du schauen, wie Du die Windows 10-Maschine in diesem Konstrukt lizenziert bekommst. Aus Sicht des Essentials ist es in Ordnung, er darf virtuell betrieben werden.

Moin, im Volume Licensing Service Center sind alle ISOs zum Download vorhanden. Falls Du keine Volumenlizenz hast, musst Du denjenigen fragen, der Dir die Lizenz verkauft hat, welche Dich zum Upgrade berechtigt.

Das VPN von der Fritz!Box erfordert unter Windows eine eigene Client-Software. Als Beispiel für eine Alternative hier ein ausführliches Tutorial, wie man ein IPSec-VPN mit pfSense einrichtet.

Und die nächste Frage: Sind die Clients alle Windows oder sind auch andere Betriebssysteme dabei? Windows beherrscht von Hause aus Standardverfahren PPTP, L2TP und IPSec plus noch spezifische Verfahren wie AlwaysOn-VPN. Abhängig davon, was die Clients auf dem Server tun sollen, ist VPN ggfls. nicht die beste Lösung. Oft ist ein Terminalserver und ein Remote Desktop-Gateway besser geeignet - z.B. wenn die fragliche Anwendung empfindlich gegenüber Latenzen oder Paketverlust ist.