Markus Butz

Hi zusammen,

danke für eure Rückmeldungen. Ich hatte mir sowas schon gedacht. Das Risiko einer Hot-Migration ist mir daher abgewogen einfach zu hoch. Ich hatte auch eher mit der Methode Cold-P2V geliebäugelt... scheinbar geht das aber nur mit vielen Workarounds und den alten VMWare Standalone-ISOs... ich bin kein Fan von Bastellösungen.

Sofern also niemand sonst eine geeignete Cold-P2V Lösung für ESXi kennt (ich würde für den Vorgang sämtliche Server und Clients ausschalten, es gibt nur einen DC) wird der Server dann wohl neu aufgesetzt werden müssen.

Es geht im übrigend darum möglichst viel Zeit zu sparen daher hatte ich mich bisher gegen die Variante Neuinstallieren entschieden...

Hallo zusammen,

kurze Frage zum Thema Virtualisierung eines DCs bzw. PDCs zu VMware ESXi. Es handelt sich um einen Windows Server 2008 R2 SP1 (relativ aktueller Patchstand).

Ziel: P2V mittels Vmware Standalone Converter auf ESXi 6.0.

Bedenken: USN Rollback

Einschränkungen: Aufgrund des erhöhten Arbeitsaufwands (da läuft noch einiges an andere Drittherstellersoftware auf der Mashcine) kann ich keinen neuen DC vorbereiten und hochstufen.

Wie würdet ihr die Sache angehen? Erstmal virtualisieren und anschließend die Änderungen synchronisieren und den Server direkt nach dem Sync abschalten? Damit ergeben sich dann unter Umständen trotzdem nochmal ein paar Minuten Zeitunterschied...

Ggf. Offline-P2V? Geht sowas mit dem Standalone Converter noch / Alternativen?

Ideen / Meinungen / Erfahrungen dazu?

Danke!

Danke für deine Rückmeldung Nils, so hatte ich es mir schon fast gedacht. Gelesen & Verstanden  :)

Hallo zusammen,

kurze Verständnisfrage: Ist es möglich mittels 2x physikalischer NICs an einem entsprechenden Switch eine Bündelung der Ports vorzunehmen um so zum Beispiel 2 GBit zu erreichen?

Link aggregation (egal ob static oder dynamisch) würde mir nichts bringen, da ich nur die Bandbreite insgesamt allerdings nicht den einzelnen Datendurchsatz erhöhen würde, richtig?

Mein Eindruck aktuell geht eher in Richtung nicht möglich...

Hinweis: Die 2x NICS sollen jeweils über eigene (8 adrige) Patchkabel angeschlossen werden, also kein LWL.

Danke.

Wir reden hier aber nicht von einem SBS sondern von 15 CALs.

Hi,

da die Version nun geklärt ist - mir fehlt noch immer die Möglichkeit den Fehler "sichtbar" zu machen - sei es in Form eines Logs oder wie auch immer. Ideen?

Hi,

sorry für die späte Rückmeldung. Version wie folgt:

Mich würde dann noch interessieren, wie die Warnung konkret aussieht.

Hallo,

 

was ist denn ein SBS 2008 FE ? Welche Edition ist hier gemeint ?

FE = Foundation Edition

Hi zusammen,

kurze Frage kurze Antwort: SBS 2008 FE hat bekanntlich die Einschränkung, dass max. 15 Calls unterstützt werden. Lässt sich das Überschreiten dieser Grenze irgendwie feststellen? Ich konnte im Ereignislog in Richtung Event-ID 70/71 keine Fehler finden. Wie würde ich eine Überschreitung feststellen können?

Zum Hintergrund: Auf den entsprechenden Server greifen zwischenzeitlich in der Regel 17-20 Nutzer zu, ich bin mir also de facto sicher, dass es zu einer Überschreitung kommt.

Danke.

Ich habe da möglicherweise etwas falsch in Erinnerung. Ich hatte wohl mal einen Fall, der veranlasste mich dazu, immer fortlaufend zu nummerieren.

 

Wozu aber ein VLAN zwischen einem PC und dem Port (eines Switches), wozu soll das gut sein? Gibt der  Switch denn das VLAN, den Tag tatsächlich weiter über den Port auf die Leitung zum PC? Und macht der Treiber und die Einstellung am PC das wirklich? Oder ......?

Es soll kein VLAN zwischen PC und Port des Switches geben. Der PC (oder auch das Telefon) ist direkt an den Router angeschlossen. Eben ohne, dass sich ein VLAN-fähiges Switch dazwischen befindet. Die Sache mit den Treibern ist ja eine meiner Frage: Wie verhält sich sowas normalerweise? Ich bin mir nicht sicher, ob Windows deine Pakete wirklich selbst taggt oder nicht.

Daher bin ich für jede Idee / jeden Gedanken oder auch Erfahrungen offen :-)

Ich habe bisher meine VLANs nur mit einem entsprechende Switch betrieben > eigentlich aber kein Problem: Die Geräte taggen die Pakete einfach selber (sprich Router und Windows). Zumindest in der Theorie...

Aus Gewohnheit - in der Regel nutze ich bei einem VLAN immer 99 als VLAN-ID. Siehst du da technisch einen Unterschied?

Hallo,

 

auf welches VLAN(Nr) ist denn der Anschluss am Router gesetzt und auf welches VLAN(Nr) das Netzwerkinterface?

 

Hat der Router eigentlich nur einen einen einzelnen LAN-Port? Oder mehrere LAN-Ports oder einen LAN-Switch?

Danke für deine Rückmeldung - ich hab sowohl das VLAN am Router als auch das am LAN-Adapter auf VLAN-ID 98 gesetzt. Der Router hat physikalisch mehrere LAN-Ports (4x - LANCOM). Das VLAN ist allerdings in der Port-Tabelle auf einen LAN-Port (ETH4) isoliert - an dem der PC logischerweise angeschlossen ist. Auch in den Netzwerk-Definitionen habe ich explizit mit diesem VLAN verknüpft.

Es macht keinen Unterschied ob der Router taggt oder nicht - eine Kommunikation kommt nicht zustande. Lediglich ein Broadcast von einem der Telefone (was ich testweise auch mal in das VLAN gehängt hatte) war zusehen.

Hallo zusammen,

kurze Frage in die Runde: Ich versuche für eines unserer Test-Szenarien ein V-LAN zwischen einem Router (dort ist das VLAN auf einen Port beschränkt und nach Rücksprache mit dem Hersteller korrekt konfiguriert) und einem Windows-PC zu realisieren. Es befindet sich kein Layer3-Switch oder ähnliches zwischen PC und Router. 

Ich hab daher am Windows-PC (Windows 8, x64) die aktuellen Netzwerkkarten-Treiber (Intel-Chipsatz, Intel® 82579LM) installiert, um das VLAN am Netzwerkadapter konfigurieren zu können. Die Kommunikation klappt allerdings nicht. Wireshark bekommt leider auch keine getaggten Pakete trotz Monitor-Mode mit. Ich zweifel daher grundsätzlich daran, ob die Netzwerk-Schnittstelle von Windows die Pakete grundsätzlich auch selber taggt?

Auch dann, wenn ich zwei Windows-Systeme per direkt Kabel verbinde und das gleiche VLAN an beiden Netzwerkadaptern aktiviere, klappt die Kommunikation nicht. Natürlich mit statischer IP-Konfiguration.

Hat jemand grundsätzlich Gedanken / Tipps / Erfahrungen zum Thema VLAN in Sachen Windows?

Danke!

Gruß

Zur Info: Ich konnte die Probleme mittlerweile selbst beheben. Tipp: Autodiscover-XML im Outlook sichten, dann wird sofort alles klar...

Leider keine Rückmeldungen bisher, schade.

Hallo zusammen,

eine kurze Verständnisfrage in Sachen Exchange 2013 und öffentliche Ordner (aktueller Patchstand, SP1): Ich hab festgestellt, dass bei extern via Autodiscover angebundenen Outlook-Clients (2013, aktueller Patchstand) keine öffentlichen Ordner mehr synchronisiert werden. Folgende Infos hab ich dazu im Technet gefunden:

Outlook Web App wird unterstützt, aber mit Einschränkungen. Sie können öffentliche Ordner als Favoriten hinzufügen und entfernen und Vorgänge auf Elementebene durchführen, wie das Erstellen, Bearbeiten, Löschen und Beantworten von Beiträgen. Sie können jedoch öffentliche Ordner nicht über Outlook Web App erstellen oder löschen.

 

Zwar steht eine Volltextsuche im Inhalt eines öffentlichen Ordners zur Verfügung; Inhalte sind jedoch nicht über öffentliche Ordner hinweg durchsuchbar und werden nicht von der Exchange-Suche indiziert.

 

Bei an der Domäne angebundenen Nutzern werden die Ordner ohne Probleme synchronisiert bzw. überhaupt erst angezeigt - es handelt sich hierbei um den gleichen Nutzer der volle Rechte auf alle Ordner hat. Die Anbindung extern mit gekauftem Zertifikat ist auch kein Problem, funktioniert ohne Zertifikatswarnungen und ist synchron. Ich hab das Verhalten an zwei verschiedenen völlig unabhängigen Exchange-Installationen festgestellt. 

1. Sehe / verstehe ich das richtig? Externe NICHT Domänen Benutzer die per Autodiscover angebunden wurden, haben nicht länger die Möglichkeit die öffentlichen Ordner in der Ordneransicht zu sehen?

2. Ich hab bei einem sich im Netzwerk und an der Domäne angebundenen Benutzer das Problem, dass ich auf einen öffentlich Ordner (ist ein Adressbuch) zwar ohne Probleme zugreifen kann, auf die Empfänger des Adressbuch (eben aus jenem öffentlichen Ordner) aber nicht zugreifen kann. Sprich der Nutzer wählt im AN-Feld bei einer neuer Nachricht die öffentlichen Ordner, welche dann aber leer sind. Müsste ich hier wenn dann direkt auf das Postfach des öffentlichen Ordners zugreifen oder wie würde ich einen derartiger Zugriff gelöst?

Danke.

Gruß

Hi,

ist eben alles nur eine Bastellösung aber so werde ich es dann wohl auch umsetzen, da ein Budget für eine vernünftige Lösung so gut wie nicht vorhanden ist... leider.

Gruß

Markus

Hi zusammen,

habe eigentlich schon recherchiert und auch mal bei Gangl angefragt:

Ist es wirklich nicht möglich, das Syncen von Mails serverseitig zu verbieten (ohne dass der User es am Endgerät ändern kann), während Kontakte und Kalender synchronisiert werden?

Was fällt euch sonst in heterogenen Umgebungen als Alternative ein?

Nur eine Blackberry-Lösung?

Gruß und Dank für einige Meinungen...

Markus

Hallo zusammen,

das Thema hatte einige Zeit geruht, in der diverse Probleme bei der Replikation der zahlreichen DCs zu lösen waren, dann noch die Richtlinie konfiguriert, jetzt sieht es aktuell recht viel versprechend aus.

Auch die GPP Sachen habe ich mir angeschaut und durchgespielt - eine schöne Sache - wenn ich das bei diesem Kunden jedoch nicht kurzfristig nachrüsten werde.

Zunächst einmal ein ganz herzliches DANKE an euch alle!!

Markus

Klar, habe schon viel gesucht - musste aber erst einmal die Logik verstehen, wann da was wie geht und wie nicht.

Du meinst also, dass eine Gruppenmitgliedschaft grundsätzlich SOFORT am Client abfragbar sein müsste? Kannst du mir sagen, WIE das zum Client übermittelt wird bzw. auf welchem Weg die Anfrage geschieht und warum hier das gpupdate /sync hilft?

Hmmm, und das eignet sich wirklich, um so dynamisch Zuweisungen zu machen? Hatte ich bisher anders verstanden.

Ich dachte immer, Scripting sei hier DIE Möglichkeit...?

Unabhängig davon: MÜSSTE denn die Gruppenmitgliedschaftsabfrage positiv sein oder ist es hier normal, dass diese so lange nicht greift? Bin ja sicher nicht der einzige, der das hier so nutzt... bezieht sich ja genauso auf die Laufwerksmappings... Noch Ideen?

Hi zusammen,

@lefg:

Nun, einige mehr Details zur Struktur: Es handelt sich größtenteils (ca. 80% aller User) um Terminalserver 2003/2008, die Memberserver sind. Die restlichen 20% sind größtenteils XP-Clients, nur wenige neue Ausnahmen davon sind Vista oder 7. Von daher wäre die Frage, ob die von dir genannte Richtlinie hier relevant wäre bzw. ist.

Auch sei erwähnt, dass ich nicht nur mit ifmember getestet habe sondern eigentlich mit KIX arbeite - da hier die Abfrage nach der (Sicherheits-)Gruppenmitgliedschaft ebenfalls negativ war, bin ich dann testweise - und weil es bekannter ist - auf ifmember runter. Das Ergebnis ist identisch.

Egal ob auf TS oder auf regulärem Client - die Abfrage ergibt KEIN Mitglied.

Mit der Richtlinie sollte das doch eigentlich nichts zu tun haben, oder? Und die UAC scheidet bei XP ja aus... :-)

Mache ich wie gesagt ein gpupdate /sync auf dem Client oder eben auf dem TS und starte neu, ist die Mitgliedschaft da.

Aber ich kann ja schlecht jedes Mal den TS neu starten für eine Druckeränderung bei einem User.

@NilsK

Ja, interessante Sache und AUF JEDEN FALL etwas, das ich demnächst in anderen Netzen einsetzen werde... Ob es in diesem Fall hilft, weiß ich noch nicht: Die User sind in OUs nach verschiedenen Standorten / Abteilungen gelegt - jedoch gibt es pro OU potentiell unterschiedliche Konfigurationen der Drucker, so dass ich diese nicht von der Gruppenrichtlinie, die ja an die OU gebunden ist, festmachen kann/möchte. Fehlgedanke?

Vielmehr war aktuell der Gedanke, für jeden Drucker unternehmensweit eine Sicherheitsgruppe zu erstellen und deren Mitgliedschaft per KIX abzufragen. Wenn ja, dann verbinden. Wenn nein, dann nicht.

Funktioniert aber wie beschrieben oft nicht, da zu oft fälschlicherweise die Gruppenabfrage negativ ist.

whoami scheidet aus, da zuviel 2003 und XP.

Wie würdet IHR das denn machen, wenn ihr ein eine bestehende, sehr heterogene und teilweise alte, Struktur (15 Server, ca. 350 User eines öffentlichen Trägers) kommt und keine Lust habt, auf 15 verschiedenen Terminalservern und X lokalen PCs neue Drucker wieder direkt per IP zu konfigurieren - was aktuell so vorgefunden wurde.

Ich fand das mit den Sicherheitsgruppen und KIX eigentlich OK... wenn's läuft.

Danke für weitere konstruktive Tips/Kritik...

Markus

Sicherheitsgruppen... Ich habe für jeden Drucker eine Sicherheitsgruppe und lege da die User rein. Über das Logon Script soll dann geschaut werden, ob sie Mitglied sind und ggf. der Drucker verbunden werden.

Du weißt, wie ich meine?

Markus

Hallo allerseits,

ich habe in einer Umgebung mit mehreren DCs das Problem, dass die Gruppenmitgliedschaften irgendwie nicht auf den Clients landen.

Hintergrund ist, dass ich mit einem Logon-Script und "ifmember", welches ja auf den Clients ausgeführt wird, die Gruppenmitgliedschaft abfrage und OBWOHL ein Benutzer in bestimmten Gruppen ist, ist das Ergebnis NEGATIV, weshalb mein Script nicht so läuft, wie ich das gerne hätte.

Rufe ich ein gpedit /sync auf und lasse den Client neu starten, ist die Mitgliedschaft danach meist vorhanden.

Aber das ist doch Käse oder verstehe ich da was falsch? Lege ich im AD einen Benutzer in eine Gruppe, sollte das doch beim Benutzer auf dem Client beim nächsten Login greifen, damit er seine neuen Drucker/Mappings bekommt, oder?

(Rufe ich das ifmember auf dem jeweiligen Logon-DC auf, stimmt das Ergebnis immer, die Replikation hier läuft also. Nur eben nicht auf den Clients...)

Wo wäre hier der Ansatz?

DANKE für einige Tips!

Markus

Keiner ne Idee?