kratzbär

da kommen gewachsene Strukturen aufeinander und die üblichen Affinitäten der überaus IT-technisch gewandten Geschäftsleitung... wenn die Herren (und Damen) darauf bestehen, ihre Clientdrucker in die Sitzung zu bekommen, kann man schlecht auf Protokollebene genau das verhindern. Und wenn dann ein SYS aus einer entfernten Sitzung einen Bubblejet oder noch schlimmeres angeschlossen hat, ist es schnell passiert... *bumm* TS17, bitte plattmachen! wir haben prinzipiell schon etliche der administrativen Rollen auf getrennte Gruppen delegiert, und längst nicht jeder, der Benutzer anlegen oder Gruppenordner verwalten darf, ist auch Admin auf den TSsen, aber mich jedesmal für jede Aktion mit dem passenden Account und den minimal nötigen Rechten anzumelden, übersteigt eine gewisse Eigenart aller Administratoren... : Ihre Faulheit!!! und da man im Tagesgeschät eigentlich immer lokaler Admin sein muß auf den meisten Servern, ist es einfacher, denen gewisse Sachen zu VERWEIGERN, als aus einem DAU-Account einen arbeitsfähigen Admin für alle nötigen Zwecke zu machen. Im Gegensatz zum allgemeinen Geschrei gefallen mir die VERWEIGERN Einstellungen nämlch sehr, wurscht woher der kommt und vielleicht in irgendeiner Gruppe oder ACL steht, die ihn machen läßt was ich nicht will, wenn ich es auf der Ressource VERWEIGERE, ist halt zappen... das ist schön :p lieber nehme ich mir selbst gezielt die riskantesten Rechte und mach dann nötigenfalls "runas", aber viel weiter soll der Aufwand eigentlich nicht gehen :cool: Die Frage zielte ja auch darauf ab, warum einerseits jeder Registryschlüssel oder jeder Dateileiche eine eigene ACL haben, andererseits die ziemlich umgreifende Druckertreiberinstallation nicht granular berechtigt werden kann...

Salü, es wird bestimmt auch anderen so gehen, dass Eure Drucker spinnen, weil mal wieder ein Admin auf dem Teminalserver war und über Clientprinter dumme Treiber eingeschleppt hat, oder auch einfach die Standardwerte eines Druckers geändert hat, anstatt die seiner Sitzung. Wir haben, um dies zu unterbinden jetzt auf allen Printservern und allen Druckern den "Administratoren" das Verwaltungesrecht genommen, so weit so schön, auch ein verwirtter Sys stellt jetzt nichts mehr an den betehenden Druckern kaputt... Trotzdem kann er ja nach wie vor neue Drucker installieren und dabei den Printserver oder gar Terminalserver *gründlichst* massakrieren, wie Ihr sicherlich aus eigener Erfahrung wisst... Aber bitte wo ist die standardmäßige Zuordnung, Policy, ACL oder was auch immer, was definiert dass Administratoren und Druckoperatoren neue Drucker installieren dürfen und DAUs nur, wenn es in der GPO erlaubt ist... Bräuchte einen Tip für 2003 R2 Enterprise und 2008 R2 Terminalserver. Auf den 2003ern ist auch Citrix PS4.0 drauf, auf den 2008ern XenApp 6. Irgendwo muss es doch so ein "NoDamnAdminShouldInstallPrintersOnThisServer"-flag geben... dieses Recht soll einem speziellen AD Benutzer "Druckerfachmann" vorbehalten sein... any idea? appreciate your answers...

Folgendes Phänomen trat zunächst bei einem, jetzt bei mehreren meiner Server auf: - Der Server reagiert urplötzlich nicht mehr auf RDP - Der Server ist anpingbar - remote Computerverwaltung, Ereignisanzeige, etc. geht auch nicht - an der Console ist der Bildschirm grau, Maus geht, aber kein Anmeldeschirm Alle Server sind 2k3 R2 mit SP2 und ziemlich aktuellem Patchlevel. Zunächst betraf es 2 Terminalserver, dann auch den Virtuellen Host (Virtual Server) und jetzt auch den Telefonieserver (Swyx). Merkwürdig dabei ist, daß sowohl die VMs auf dem Virtuellen Host als auch die Telefonie an sich weiterlaufen, der Server ist halt jeweils nicht mehr administrierbar. Nach einem harten Neustart ist alles erst mal wieder gut, jedoch tritt der Zustand teiweise schon nach einem Tag erneut ein. Die Eventlogs geben nichts her, außer der Meldung für den harten Neustart. Wer kann helfen??

Hallo miteinander! Ich sichere meinen Exchange Server mit BE12. Per Regelvorlagen wird zunächst eine Vollsicherung des Mailstores und der Public Folder auf eine lokal am Medienserver angeschlossene Platte erstellt und danach ein Duplikat dieses Sicherungssatzes auf einen UNC Pfad in einer anderen Etage. Schon bevor ich die 2. Stufe etabliert hatte, habe ich mich gewundert, daß auf der lokalen Platte im B2D Verzeichnis keine .bkf Dateien mit der gesamten Exchange Sicherung landen, sondern IMGxxx Ordner mit .edb und .stm Files darin, also quasi "wegkopierte" Datendateien. Bei der neuerdings eingeführten Zweitsicherung jedoch landen genau die vermißten .bkf Dateien im B2D Ordner, was mich jetzt schon etwas wundert. Der Originalsicherungssatz besteht aus einzelnen Dateien in IMGxxx Ordnern, seine direkt in Anschluß erstellte Kopie jedoch sind .bkf Files... Aus beiden Quellen kann ich übrigens einzelne Postfächer oder sogar einzelne Mails problemlos wiederherstellen, trotzdem wundert ich diese unterschiedliche Umsetzung... Jemand 'ne Idee?

Es wurde ein paar tage zuvor ein ordnerziel aus einem Replkationssatz entfernt, allerdings ohne die replikation wiklich auszuschalten. ich hatt dann bei Healtch check immer fehler "Die leistungsindkatoren können nicht abgerufen werden" , und zwar auf dem server , wo der Ordner (aus platzgründen) entfernt wurde. Das sah mir schon danach saus, als gäbe es sie Verbindungen noch aber das Ziel nicht mehr. Kann das sowas verursachen, vor allem erst etliche Tage später?

Ich habe 3 Fileserver an 3 Standorten, auf denen u.a. Homeverzeichnisse repliziert werden (FullMesh). Gestern meldeten 2 der Server beinahe zeitgleich, der Staging-Speicher wäre voll und starteten den Aufräumvorgang (event 4202). Eine gute halbe Minute später kam Event 4204, das Aufräumen sei erfolgreich. Jedoch waren kurz danach auf beiden Servern die Inhalte der replizierten Ordner weg, als wären sie gelöscht worden. Nur auf dem dritten Server, der den Aufräumvorgang nicht gemacht hatte, waren die Daten noch vorhanden. Ich habe die Replikation sofort ausgeschaltet, um die Daten am letzten Standort nicht auch noch zu verlieren. Jetzt ist mein Vertrauen in die DFS-R-Kiste leicht erschüttert. Woran kann es liegen, dass Daten in den replizierten DFS-Zielen "Wegrepliziert" werden?

... ist mir in grauer Vorzeit schon mal begegnet der Squid, sollte machbar sein... Welches Monitoring-Tool? Inwiefern Rechte? Ich will keine Inhalte monitoren, sondern Bandbreitenanteile für verschieden Protokolle zwischen verschiedenen Endpunkten/Netzen Transparent klingt gut, der Trick muss sein, dass der "Sniffer" Netzseitig unter der IP des Routers auftritt, und sie am anderen Interface an den Router schickt, welcher seine IP ebenfalls behalten muß. Dazu ist es wohl oder über notwendig, dass der Sniffer vom Router kommende Pakete an jedwede IP des lokalen Netzes annimmt, ebenfalls entsprechend zählt und dann ins echte Netz weiterschickt... etwas kompliziert aber so könnte man den Sniffer an jedem Standort bei Bedarf einfach vor den Router stecken, ohne irgendwelche Eingriffe machen zu müssen... Ob das geht?

Moin! Ich benötige einen Traffic Analyser, den ich in die LAN Verbindung eines WAN Routers "einschleifen" kann. Er soll auf einem Interface auf der IP des eigentlichen Routers liegen, dort die Pakete, die an den Router gehen zählen, zuordnen, etc und dann transparent vom anderen Interface aus an den echten Router weiterleiten, der optimalerweise seine echte IP ebenfalls behält, daher 2 Interfaces... Im Gegensatz zu gängigen Analysern, die zumeist auf SNMP Outputs der Router angewiesen sind, kann man damit jeden Traffic selektiv messen, und natürlich auf regeln, aber das ist im Moment nicht gefragt. Die Umsetzung stelle ich mir als eine Art Fli4l Router vor, bin mir aber nicht sicher, ob es auf dieser Basis realisierbar ist. Ziel ist lediglich das Monitoren der Pakete nach Firewall-ähnlichen Aspekten (Von-IP/Nach-IP,Port, Protokoll etc) und die anschließene Auswertung der Trafficanteile nach Anwendungen, ICA, RDP, SMB, Replikation, Telefonie etc... von und nach und in alle Richtungen Wie gesagt, möglichst ohnen Eingriff in die jeweils bestehende Infrastruktur... Hat jemand einen konkreten Ansatz, Lösung, Dunst, was ich dafür nehmen könnte? Besten Dank vorab...

Mit weiteren TSsen erschlag ich das Problem nicht, ich werde von den 5 Stück am ersten Standort eher 1 oder 2 aus dem Load nehmen, weil die nur Strom fressen und sich ansonsten ziemlich langweilen... Kriegst Du denn auf jeden Schrei hin einen Scheck ausgestellt? Beneidenswert...

Hast nicht Unrecht vom Prinzip her, aber das klappt alles nicht immer auf Anhieb. 45 Sessions sind eigentlich nicht so schlimm, ich fahre im Moment umfangreiche Perfmons auf den Servern, wir haben eine mittlere CPU Last um die 30%. Da ginge noch eine Menge. Da die Server aber nur 8 GB RAM haben, passen nicht mehr allzu viele Extrasessions rauf. Ans Swappen will ich die Dinger nun wirklich nicht kommen lassen, also skalier ich die Benutzer so, dass mal noch knapp 2GB immer frei bleiben... Läuft an sich hervorragend, aber wir alle kennen es, dass irgend eine App plötzlich das Spinnen anfängt... am liebsten wäre mir, ich hätte ein ähnliches Tool für den Speicher, dann hätte man einen wirklich seidenweichen Betrieb... Dafür muß mann dann aber gut löhnen (Appsense) und da wären wir wieder beim Eingangsproblem... Die Gelddruckmaschine im Keller sei defekt, heißt es immer...

Tja, so was grunsätzlich anderes sind Terminalserver ja nun auch nicht... :shock: Ich finde es jedenfalls nützlich, wenn mir kein beklopptes Outlook oder ein Adobe Reader 45 Sessions gleichzeitig lahmlegt, bzw. höchstens einige Sekunden lang, weil er dann gebremst wird... Natürlich hätte ich lieber nur Systeme mit opulenter Hardware, ausschließlich hervorragend programmierten Applikationen und verantwortungsbewußten Usern... aber die Realität sieht nunmal anders aus... oder?

Also die URL ist: ThreadMaster Home Das Tool ist weitab von Scripting. Es regelt die Prozess-Steuerung von Windows Servern, indem es die zugebilligte Prozessorzeit nach festen Regeln limitiert. Unschätzbar wertvoll auf Terminalservern, wo ansonsten ein einzelner Prozess eines Benutzers den ganzen Server lahmlegen kann. Es sind auch ein paar Artikel hier im Forum, aber keiner, der sich tiefer damit befasst. Daher meine Anfrage. Ich finde, Threadmaster lohnt sich für jeden, der dicht bepackte Terminalserver betreibt, aber kein Budget für Appsense oder ähnliches bekommt. Freeware, im laufenden Betrieb installierbar, jederzeit ein/ausschaltbar, habe sehr gute Erfahrungen damit gemacht... Scheinen hier nur wenige zu kennen...

Na halt von Threadmaster, Prozess-Steuertool, mit dem man die CPU-Anteile einzelner Prozesse steuern kann. Das Logging macht er jetzt übrigens richtig, was mich immer noch interessiert, ist die Sample-Time, die bestimmt wie lange ein Prozess über der zugestandenen Prozentzahl CPU Zeit liegen muss, bis er abgedreht wird... da sind mir 10 Sek zu lang, hätte lieber 5 oder 3, aber das macht er erstmal nicht mit...

Moin! Bei mir wird nur das ActionStop Script getriggert, und zwar korrekterweise dann, wenn ein geclampter Prozess endet. Das ActionStart Script jedoch wird nicht getriggert, wenn ein Prozess ins Clamping kommt. Das Clamping an sich funktioniert genau nach Parametrisierung, nur kommt kein Start-Trigger. Weitere Frage: Hat mal jemand herausgefunden, ob und wie man die MainSampleTime unter 10 Sekunden drücken kann? :confused:

Klingt plausibel und entspricht meiner Vermutung. Dann müsste es ja reichen, den Move auf dem Ziel-Xchg Server zu initiieren. Wenn der was im AD ändert, sollte er es ja auf einem insite-DC tun. Da es nur einen pro Site gibt... (alles GCs) Werde das mal gemütlich testen... THX a lot

Habe keinen Post gefunden, der auf mein Thema trifft... Hatte bis gestern 3 Standorte mir TS-Farmen, davon hatten 2 einen eigenen Exchange Server. Die Ärmsten von der 3. Site mussten mit ihrem Outlook durch die WAN Leitung. Also ich einen dritten Exchange virtuell zusammengeklickt, in die Organisation gesteckt, Routinggruppe und alle benötigten Connectors erstellt, fertig - läuft. Das Merkwürdige ist jetzt: Wenn ich Postfächer umziehen lasse, damit die Leute der 3. Site endlich lokal arbeiten können, funktioniert das zwar anscheinend reibungslos... aber der Zugriff von Outlook auf das umgezogene Postfach funzt erst nach rund einer halben Stunde, vorher gibt es einen Crashfehler, da Outlook angeblich die Ordner nicht öffnen kann. Klint nach Replikationslatenz, aber warum? Es steht geschrieben, dass nach dem Verschieben eines Postfaches Outlook vom "alten" Server über den neuen Standort seines Postfaches informiert wird und fortan automatisch auch diesen verwendet. Wenn ein Postfach von Server A nach Server B verschoben wird und dieser Vorgang beendet ist, wissen doch beide Server um den neuen Stand der Dinge... was dauert danach noch so lange?? Ist jetzt kein wirklich vitales Problem, aber beim ersten Mal hab ich schon geschluckt... kann man irgendwo drehen, damit das schneller geht? :confused:

Großen Dank :jau: :thumb1::thumb1::thumb1:

Goldgelb :D aber wo bitte ist das denn dokumentiert? es heißt doch bisher immer /console? mstsc /admin funzt auf Anhieb, aber wieso kriegt Visionapp das nicht hin? Igrndwas mit SP3 oder wie kommts?

Hallo Gemeinde! Ich renne gerade mal wieder gegen eine virtuelle Wand... Egal ob ich über Visionapp (1.5) oder "mstsc /console" eine Sitzung zur Console meiner 2003 Server aufmachen will, ich lande jedesmal auf einer ordinären TCP RDP Sitzung und NICHT auf der ersehnten Console. In der Terminaldiensteverwaltung einwandfrei nachvollziehbar ist an der Console niemand angemeldet und meine Sitzung liegt auf RDP-TCP#xyz Hab schon nach was GPO mäßigen gesucht, was das vebietet, aber die einzige verwertbare GPO bezieht sich nur auf Situationen, in denen ein Admin an der Console angemeldet ist, wenn man den Connect macht... das ist aber nicht der Fall! Servers: 2003 SP2, Clients: XP SP3 Wer weiß was?? :cry: :confused: :(

THX so much, war genau der richtige Weg. Im Verlauf habe ich sogar entdeckt, dass ich auf dem DNS Server für jeden beliebigen A Eintrag eine eigene TTL einstellen kann. Damit muss ich nicht mal einen Client anfassen, sondern nur den/die betreffenden Hosteinträge im DNS auf extrem kurze TTL einstellen. SU-PER! :D

Hallo Gemeinde! Ich tipp mir gerade Schwielen, um bei Google, der MSKB oder auch hier einen Ansatz zu finden, wie ich für den Windows DNS Client die Timeout-Zeit für den Cache einstellen kann. (XP SP2 bzw. 2k3 TS). Bevor ich jetzt auf jeder Kiste einen "ipconfig /flushdns" in den Scheduler packe und alle paar Minuten laufen lasse, wollte ich mal nachfragen, ob einer von Euch da was besseres weiß...

danke für die Tips, werde mich mal gepflegt ans Werk machen...

Hallo Stevie, danke für den Tip, war mir schon so gut wie klar, dass es darauf hinausläuft. Dann gleich die Anschlußfrage: Funktioniert in so einem Fall ein Inplace Upgrade von 2k3SP1 nach 2k3R2? Wenn ja, werden alle DFS Vernüpfungen erstmal mirgriert und ich kann auf beiden Serven DFS-R nachinstallieren und hernach die neuen Features nutzen? (logischerweise MIT voriger Erstellung eines Images vom altern Server)

Hallo, Habe 2 Standorte, die durch eine eher dünne DSL-Leitung mit IPSEC VPN (Bintec-Router) verbunden sind. Jeder Standort hat (u.a.): DC 2k3 SP1, Fileserver (2k3 SP1 bzw. 2k3R2), diverse Terminalserver Ein Forest, eine Domäne, soweit alles prima. Bin gerade dabei, die Anforderungen für Roaming-User abzubilden, die (natürlich mit nur einem Account) an beiden Standorten arbeiten, also speziell: - Replizierte Home-Verzeichnisse - Standortspezifische (je Standort servergespeicherte) Profile - Standortspezifische Logon-Scripts Vom Prinzip her glaube ich, alles über DFS und z.T NTFRS gelöst zu haben: - Home-Verzeichnisse werden per NTFRS repliziert - kein Problem - Profile werden uber DFS angesprochen und nicht repliziert - Das im NETLOGON befindliche Script ruft nur ein Script über DFS auf, welches wiederum je Standort unterschiedlich sein kann. Alles eingerichtet, getestet, funktioniert bisher bestens. Dabei beruht die Funktionalität in erster Linie auf folgender Tatsache: Je Standort wird vom Client (TS) beim Zugriff auf einen DFS Share automatisch der am Standort befindliche Fileserver gewählt, so für diesen Share ein Ziel am Standort vorhanden ist. Ich habe im Technet schon einiges in Richtung Zugriffspriorisierung bei DFS gesehen, bin mir aber trotzdem noch etwas unsicher: Was passiert, wenn der lokale Server einmal nicht verfügbar ist? Wahrscheinlich wir dann stellvertetend ein Server einer anderen Site verbunden, was nicht in allen Fällen wünschenswert ist. Da ich einen Mischbetrieb fahren muss (nur 1 Standort hat 2K3R2 im Fileserver) kann ich wohl auch noch nicht das neue R2 DFS mit der regelbaren Bandbreite für die Replikation einsetzen. Kann mir jemand Tips geben, wie ich die Zugriffe so regeln kann, dass bei Ausfall eines Fileservers die Clients dieser Site nicht unkontrolliert Daten auf den jeweils anderen Fileserver schmeißen?? Oder im Optimalfall zwar auf den anderen Server zureifen aber nur READ-ONLY? :confused: kratzbär

So hab ich's ja vor... für die meisten der gewünschten Clients habe ich Intel pro/1000 MT oder neuerdings GT gekauft, und auf einem Gigabit-Switch mit ein Segment von 16 Ports gebaut, die so mein "Speichernetz" darstellen sollen. Kein Routing in dieses Netz, so kann auch kein Client mal eben die Backups von den Datengräbern abzapfen und mit den Daten verschwinden... bei der miesen Rechteimplementierung schon eine sinnvolle Sache. ...aber es löpt halt nich, es lähmt...