Der Karl

Arrggghhhh :mad: - ich hatte die Sufu wirklich ausgiebig gequält, aber den Beitrag hatte ich nicht gefunden. Vielen Dank! Gruß Karl

Hallo zusammen, ich benötige 5 User-CALs für einen W2k3-Terminalserver. Nun gibts die kaum noch und wenn ich welche finde, dann als "Englische". Z.B.: HP 355560-B21 "Microsoft Windows Server 2003 Terminal Server - Lizenz - 5 Benutzer-CALs - Englisch". Das ist ein HP Proliant und soweit in Ordnung. Darf ich auf einem deutschen TS diese "engl." Lizenzen verwenden und funktioniert das überhaupt? Danke! Gruß Karl

Niemand eine Idee? Daß es sich um User-Cals handelt, steht schon in der ersten Frage. Ebenso, daß die User sich an anderen PCs problemlos anmelden können - nur am "Eigenen" nicht... ..eingerichtete User verbrauchen keine CALs - außerdem sind wir aktuell bei 22 von vorhandenen 30 und das kommt jetzt auch hin! Heute trat das Problem übrigens nicht auf. Muß wohl am Wetter liegen, oder am Luftdruck... Gruß Karl

User-Cals!

Moin, folgende Situation: Ich habe in 2005 einen SBS2003 mit 15 User-CALs und 12 Clients (XP SP2) installiert. Die Firma expandiert und der Kunde bzw. dessen beauftragter Techniker installiert zusätzliche Clients und niemand denkt an die Lizenzen.... ..das ging bis ca. 22 Clients auch gut - im Eventlog ist der Lizenzprotokolldienst schon heftig am meckern, allerdings werden in der Serverkonsole nur 11 verbrauchte Lizenzen angezeigt. Jetzt kommen zwei weitere PCs dazu. Installation/Domänenbeitritt funktioniert, aber am nächsten Tag können sich die User an den beiden PC zwar anmelden, die Netzwerklaufwerke sind zu sehen, aber es scheint ein Teil der Berechtigungen zu fehlen und die Anmeldung ist im Sicherheitsprotokoll des Servers auch nicht zu sehen. Ganz klar: Lizenzen fehlen! 15 weitere geordert und freigeschaltet. Die Anmeldung funktioniert trotzdem nicht. Dazu bekam ein PC, der schon längere Zeit prima funktionierte, die gleichen Probleme. PC A, Benutzer A: schon lange im Netz vorhanden PC B, Benutzer B: erster neuer PC PC C, Benutzer C: zweiter neuer PC Kommt Benutzer A morgens zur Arbeit, kann er sich problemlos an PC A anmelden. Kommt Benutzer B aber etwas früher und meldet sich an, haben Benutzer A und C eben Pech. Seltsam ist, dass sich Benutzer A dann aber auf PC C und Benutzer C auf PC A anmelden kann. Das Spiel funktioniert in allen Varianten, nur eben dass sich die „zu spät gekommenen“ nicht mit ihrem PC anmelden können. Die Rechner wurden schon aus der Domäne genommen und neu rein, Benutzer wurden gelöscht und neu angelegt, Lokale Benutzerprofile gelöscht und neu erzeugt und alles bleibt beim Alten. interessant auch, daß trotz tlw. fehlender Rechte die Authorisierung gegen den Exchange problemlos geht und Mail in jedem Fall funktioniert. Hat Jemand eine Idde, wo es da klemmt; bzw. in welcher Richtung man suchen könnte? Gruß Karl

Niemand eine Idee dazu?

Moin, komischer Effekt bei einem Kunden, wo ich kürzlich von NT4+EX 5.5 auf SBS2003 umgestellt habe. Aus internen Gründen gibts da verschiedene Kontaktordner (Exchange öffentlich, Privat und Lokal) wo auch manuell öfter Kontakte hin- und hergeschoben werden. Früher funktionierte das, wenn ein Kontak von einem in den anderen Ordner kopiert/verschoben wurde, daß eine Duplikatswarnung kam, wenn er da schon existiert. Jetzt mit Outlook 2003 funktioniert das nicht mehr (der Haken unter "Kontaktoptionen" ist natürlich drin!). Ein nicht umgestellter Client im gleichen Netz mit W98/Outlook2000 funktioniert weiterhin wie gewohnt. Kann das Jemand bestätigen/nachvollziehen bzw. kennt vielleicht sogar die Lösung? Achso: Identisches Verhalten bei SP1 und SP2! Gruß Karl

Moin, so ein Aufwand für 32 User? Sorry - aber man kann sich auch "zu Tode" optimieren... Mal unterstellt, die 32 User arbeiten nicht ständig alle intensiv mit einer Applikation, die eine sehr dicke SQL-Datenbank ungeheuer stresst, ist hier einen 08-15 Konfiguration IMO völlig ausreichend. Also ein Single Xeon mit 3+x GHz, ordentlicher Raidcontroller mit 3*72GB + HSP und eine Dasi mit 100GB unkomprimiert. Ich betreue mehrere, sehr ähnliche Systeme in der Größenordnung und die stehen fast ständig nur Gelangweilt rum... Gruß Karl

Moin, ...sobald es mehr als einen DC gibt - ist jedenfalls mein Stand. Jemand anderer Meinung? Gruß Karl

Moin, ich hatte mal ein ähnliches Problem, das war aber ein W2k-DC und das AD war durch eine Virus-Infektion zerschossen.. Das habe ich von Damals aufgehoben: Gruß Karl

Moin, @goscho Ich hatte Dich schon verstanden - aber wir reden nicht über das Selbe... Mal eine fiktive Kalkulation - hab die Preise von HP jetzt nicht zur Hand..: -Der vor Ort-Service mit 4 Stunden Reaktionszeit kostet (angenommen) 1/10 vom Kaufpreis pro Jahr. Bei zwei 3,5 TEUR-Maschinen wären das 700 EUR/Jahr bzw. über eine angenommene Laufzeit von 4 Jahren = 2800 EUR. Bei 5 Jahren Laufzeit bist Du genau beim Preis einer kompletten Maschine. Diese 4 Stunden "Reaktionszeit" sind aber mitnichten eine Wiederanlaufzeit, sondern ein Zeitraum bis der Techniker kommt und defekte Hardware (und auch nur definitiv defekte Hardware tauscht) dann erst geht der Wiederanlauf los - in meinem Fall wären wir also schon bei 8 Stunden. Die Nacht und das WE sind gar nicht abgedeckt und solche Klauseln kennst Du ganz sicher auch: Was ist jetzt aber mit diffusen Störungen, die man gar nicht einer evtl. defekten Hardware zuordnen kann und vor allem: Wie lange suchst Du bei wirklich gemeinen Fehlern, bis Du sicher bist, daß überhaupt ein Hardwaredefekt vorliegt? Hier sind wir von den 4 Stunden schon weit entfernt und ich behaupte mal, daß da locker ein ganzer Tag vergehen kann, bis man sich überhaupt "traut" HP oder Maxdata oder wen auch immer, anzurufen. Und: Wer zahlt die vergebliche Anfahrt, wenn es gar kein Hardwaredefekt war? Und vor allem: Der Techniker ist wieder weg, ein ganzer Tag oder mehr ist rum und Du bist immernoch keinen Schritt weiter..... Sicher ist das alles konstruiert - aber nicht extrem unwahrscheinlich! Ich frage micht immer: Was kann im schlimmsten Fall passieren und was kann man dann tun? Gruß Karl

Moin, wie wird denn dann gemailt? - irgendeine SMTP-Engine muß ja da sein... Ist Dein W2k3 auf aktuellem Patchlevel? Gründlich auf Viren/Trojaner usw.. geprüft? Gruß Karl

Moin, ..kein Problem... Tja - aber wer ist der "User". Die Wirtschaft liegt allenthalben mehr oder weniger am Boden, Mobbing ist an der Tagesordnung - keiner ist Schuld, wenn irgendwas schiefgeht... Ist der "User" jetzt der, der in der Dienstberatung mal nebenbei äußert, daß er seinen Job nicht machen konnte, weil ihm wichtige Infos fehlten, oder der Chef, der das nur zu bereitwillig (miß)versteht oder der "Auftraggeber" - in diesem Fall der Admin, der seinen Job gern behalten will und einfach nur wissen will, was in seinem System passiert. Ist eben nicht einfach und ich wurde gefragt, ob es dafür eine Lösung gibt - hab selbst keine gefunden und halt mal hier nachgefragt, ob Jemand Anderes das vielleicht weiß; denn Falschauskünfte erteile ich auch nicht gern.... ..kann einem ja böse auf die Füße fallen.... Gruß Karl

Moin, ich bin auch kein security-spezi und weil ich das weiß, stelle ich einfach keine Server transparent ins Inet! Also Mail entweder per POP3 abholen oder (besser) per SMTP vom Mail-Server des Providers zustellen lassen und in der Firewall nur genau den erlauben. Versenden per "Smarthost". Schon hat man weit über 90% aller Sicherheitslöcher gestopft und kann sich in Ruhe um die anderen Probleme kümmern. Wenn das Ding unbedingt direkt per MX erreichbar sein muß, kommst Du nicht drumrum, Dich intensiv mit dem gesamten Thema auseinanderzusetzen und dafür gibts hier ganz sicher keine kurze, erschöpfende Antwort. Gruß Karl

Moin, sagmal Günter, was hab ich Dir eigentlich getan? Daß der Sinn der Frage Dir evtl. nicht einleuchtet, mag ja sein. Der Rest sind Spekulationen und Interpretationen von Dir, wozu ich Inhaltlich keinerlei Anlaß gegeben habe! Das Problem haben nicht die User, sondern das arme Schwein von Admin, der aus heiterem Himmel von der Seite angepißt wird, daß Mail nicht richtig funkioniert, sich dann einen halben Tag den Wolf sucht, um festzustellen, daß es gar kein Problem gibt! Es geht um reine Prävention und eben vielleicht ein- oder zweimal pro Woche einen User anzurufen, ob er nicht was vermißt. Dazu muß man aber wissen, wen man anrufen muß! Steht hier irgendwo, daß er dieses "andere Tool" nicht hat? Der Kunde hat ein "Antivir für Exchange" im Einsatz und kauft jetzt auch noch die "Wall". Das kann das alles natürlich auch! Mir persönlich gefällt dieses "Zweistufige Konzept" auch recht gut - immerhin hat man die Sicherheit, wenn Eins versagt, hat man immernoch das Andere. Das Problem ist halt, daß der E2k3 zuerst "zuschlägt" und man diese gekappten Attachments dann schlicht nicht zuordnen kann. Hilft also wohl nur "ausknipsen", oder damit leben.... Gruß Karl

Moin again, ;) Naja - ich wills mal so sagen... Was passiert mit dem AD, dem man dann, wenn man ohnehin Probleme hat, einfach einen DC/DNS usw. klaut. Den sauber rauszunehmen, fehlt im Streßmoment ganz sicher die Zeit, Ruhe, Geduld und ob das überhaupt problemlos geht, z.B. wenn der "Master" permanent einfriert, sei mal dahingestellt. Ich sage nicht "****sinn", sondern: "ganz in Ruhe drüber nachdenken - die Vorteile gegen die Nachteile abwägen und dann entscheiden". In meinem Fall war das kein Problem - der Kunde wollte es nicht und wenn der DC mal kracht, dann wird eben per DaSi auf den Stand des Vortages gesprungen - soviel passiert administrativ in diesem Netz nicht. Wenn man das im Extremfall mal braucht, ist der Ersatzerver bestens dazu geeignet... :) Muß man dann natürlich vom Netz nehmen.. Server1 hält ein komplettes Image von Server 2 und umgekehrt. Offline: Der Server ist down. Damit gibt es keine offenen Dateien! geghostet: Symantec Ghost32 für WinPE. Läuft aus einem "abgespeckten" XP (oder W2k3) direkt von CD. Wiederanlauf: Der Server mag nicht mehr starten und die Reparaturversuche nützen nix - alternativ: den Server gibts gar nicht mehr... usw.. was passiert, wenn man eigentlich die Kiste komplett neu installieren müßte. Beim SBS2003 mit allem drum und dran; geschätzt 6h. Dann noch die DaSi zurückspielen und schon ist mindestens ein ganzer Tag rum... Ich persönlich traue diesem Zeug nicht über den Weg. Es sind immer open Files da und wie die diversen MSDE's, der Exchange usw. im Fall des Falles reagieren, kann ich nicht kalkulieren... .."offline" funktioniert definitiv - alles Andre kann, aber muß nicht. Und da wären mir selbst 1% Restrisiko zuviel. Gruß Karl

Moin, Tja - was heißt üblich? Ich habe dem Kunden ein Disaster-Recovery-Konzept in drei Varianten geschrieben, was alle üblichen Kriterien berücksichtigt. Also vom einfachen Festplattenausfall über den "Tod" eines ganzen Servers bis zum "disaster" - also abgebrannt, geklaut, Wasserschaden... Grade bei unklaren Fehlern - wer sowas schonmal gesucht hat, weiß wie hilfreich eine definitiv heile Ersatzhardware ist! Sei es nur, einen Hardwaredefekt auszuschließen ... Das ist eine Produktionsumgebung und der Kunde kann zwar mit vier bis schlimmstens sechs Stunden Ausfall leben, aber eben nicht mit 2 Tagen und die erreicht im man Extremfall durchaus mit dem "next day"-Service von HP. Ist ein WE dazwischen, wirds u.U. sogar mehr. Nun zur Frage: Wer sich 6 Server leisten will, kann doch mit drei, von denen einer nur rumsteht, durchaus leben. :D In "meinem" Fall waren das ca. 3,5 TEUR und das war deutlich billiger, als die Alternativen. 24/7 Service kann ich nicht gewährleisten, da ich 80km weg bin - sein Techniker vor Ort ist aber eingewiesen für den Fall des Falles... Server2 sichert nachts per NTBACKUP nach Server1 und der auf Band. Die Server sind "überkreuz" offline geghostet - das aber nicht als Datensicherung, sondern nur für den Wiederanlauf. Im einfachsten Fall wandert das komplette Festplattensubsystem in den Ersatzserver. Dann eben Wiederherstellung per Image und Datenrücksicherung per NTBACKUP. Außerdem liegt noch ein Ghost-Band und immer die letzte Sicherung außer Haus. Damit kann ich im Extremfall einen kompletten Wiederanlauf in max. 4 h gewährleisten. Der Reserveserver muß natürlich nicht tatenlos rumstehen - man muß ihn dann nur so einsetzten, daß er im Fehlerfall problemlos kurzfristig außer Betrieb gehen kann. Und was machst Du, wenn Du 4h Wiederanlauf gewährleisten mußt? Richtig, Du stellst Dir eine Ersatzmaschine hin! ;) Warum das billiger sein soll, wenn das Ding bei Dir und nicht beim Kunden steht, verstehe ich nicht! :p Gruß Karl

Moin, ist natürlich die Frage, was man will. Sollen die Drucker im AD veröffentlicht werden, muß irgendwo eine Freigabe existieren und da das von den Clients aus recht hakelig ist, bleibt nur, sie auf einem Server zu installieren. Dann geht jeder Job zweimal durchs Netz, aber jeder Anwender kann sich das Ding auch per Doppelklick selber installieren. Das Druckern per LPR (Port 515) oder IP (Port 9100) hat durchaus was für sich und wenn mal eine Station eine Box länger belegt ist und es hängt dann was, ist meistens die mangelhafte Firmware der Boxen das Problem - also ruhig vorher überall die Firmware updaten... ..ich würde aber nicht per IP-Adresse drucken, sondern die Dinger im DNS eintragen. Dann auf einem Client alle einrichten (Treiber und Port mit Namen), davon per Printmig3 eine Config exportieren, die man mit wenigen Clicks (oder gar per script) auf jeden Client schubst. Die nicht benötigten kann man ja dann löschen... Gruß Karl

Tach nochmal, über Sinn oder Unsinn möchte ich eigentlich hier gar nicht debattieren.... ..auch mit Logik kommt man da nicht weiter, denn manche Anwender (und besonders Geschäftsführer) lesen halt keine fehlermeldungen und die einzige Info, die man bekommt (auch nur auf Nachfrage) ist: "Hab ich nie gekriegt..!" 1. Das Speichern ist durchaus sinnvoll und das aller paar Tage mal händisch aufzuräumen ist ganz sicher nicht der Aufwand. Aber, wie ich schon schrub: Es werden ja nicht nur Virale Inhalte gefiltert, sondern auch ungezppte Access-Datenbanken und auch Programmupdates per .exe - oder .msi - Paket. Auch Links, die per URL-Attachment angehängt wurden..... ..leider gibts auch immernoch "Profis" die sowas verschicken... Ja - das muß er aber 1. Lesen, 2. Verstehen und sich drittens auch noch dran erinnern - wer sich nicht nach ein paar Stunden/Tagen meldet, dem ist auch zuzutrauen, daß er nach 2 Wochen behauptet, daß das Mail-System nicht funktioniert (siehe oben: GF!) Siehe 2.! Das mit dem "Format" muß man auch wissen und es sind auch nicht alle Leute Daus, weil sie nur mit dem Computer umgehen (wollen)... Weil der Empfänger behauptet, sie nicht bekommen zu haben, obwohl nur das Attachment fehlt und schlicht keine Weiteren Infos rausrückt und auch das nur mal eben zwischen Tür und Angel... ..im Grunde ist das aber alles Wurst - der Kunde will es und entweder es gibt dafür eine Lösung, oder es gibt keine! Gruß Karl

Moin, hab jetzt sämtliche Logfiles durchsucht und auch das halbe Internet... Der Attachment-Filter vom Exchange fischt ja auch gelegentlich mal was raus, was keine Malware ist und wirklich gebraucht wird. manche User melden sich aber nicht und im Extremfall wird das Ding wieder und wieder geschickt. Hat jemand eine Ahnung, wie man rauskriegt, zu welcher Mail / welchem Absender/Empfänger ein gefiltertes Attachment gehört? Gruß Karl

Moin, schwierige Entscheidung.... Einerseits: Will der Kunde 6 Server, kriegt er auch 6 Server. Andererseits: Ist schon klar, daß für den Betrieb nur ein begrenztes Budget existiert (Wartungspauschale) muß man natürlich schaun, das Geld auch mit vertretbarem bzw. minimalem Aufwand zu verdienen. Schlußendlich ist der Verkauf und die Installation der Server ein einmaliges Geschäft, wärend man mit der Betreuung dauerhafte Einnahmen hat. Wie klug eine Entscheidung war, stellt sich dann erst nach längerer Betriebserfahrung heraus und wenn ein unnötig Aufgeblasenens System öfter mal hakelt, hat man weder sich, noch dem Kunden einen Gefallen getan.... Ich tendiere zur Vernunft. Hab grad kürzlich ein sehr ähnliches Projekt realisiert und das so gemacht: 3 Identische vernünftige Proliant-Server (ML 350 G4) mit Raid5 und Hotspare. Server 1: SBS2003 mit E2k3 (DC), Fileservice, WSUS... Server 2: W2k3 mit Oracle und TS Server 3: Cold Standby mit Wiederanlaufkonzept für wahlweise Server 1 oder 2... Gruß Karl

Moin, habe bei einem Kunden auf dessen Wunsch das Logging auf dem Virtuellen SMTP-Connector aktiviert und ein script geschrieben, was eineen kurzen Überblick generiert, wer wann an wen gemailt hat. Das funktioniert auch für alles, was gesendet wird. Kommende Mails werden momentan noch per POP3-Connector abgeholt (SBS2k3). Umstellung auf SMTP ist auch hier geplant, es fehlen aber im Mom. noch einige Voraussetzungen. 1. Gibt es eine Möglichkeit mit dem POP3-Connector zu loggen? Meines wissens geht das alles ins Eventlog und das ist nicht wirklich komfortabel auszuwerten. 2. Wenn auf SMTP umgestellt ist, werden dann die kommenden Mails auch vom Virtuellen SMTP-Connector mitgeloggt? Gruß Karl

Moin, die Einstellung ist im "Virtuellen Standardserver für SMTP" zu finden: /Server/Servername/Protokolle/SMTP Reiter "Nachrichten" ganz unten. Syntax beachten! Wenn ich mich recht erinnere, mußte das in eckigen Klammern stehen (zumindest, wenn es eine IP-Adresse ist). Ich brauchte das auch mal im Rahmen einer Migration und habe es auf die Schnelle nicht zum fliegen gekriegt (trotz deaktivierter und sogar testweise gelöschter Userkonten - incl. Postfach). Hab das dann anders gelöst, aber die Lösung würde in Deinem Fall nix nützen. Gruß Karl

Moin, was ist das für ein DNS-Server? Daß nslookup den Namen auflöst, sagt noch gar nix. Um auf eine NETBIOS-Freigabe per Namen zuzugreifen, brauchts einen resource-Eintrag für den Serverdienst des Zielsystems. Das geht meines Wissens nur mit einem AD-integrierten DNS. Ansonsten ist dafür WINS zuständig - da muß das Zielsystem natürlich im WINS registriert sein und für den "fragenden Rechner" muß WINS richtig konfiguriert sein. Geht natürlich auch per Broadcast - aber nur im gleichen Subnetz... Gruß Karl

Moin, naja - sowas simpeles wie "Knopf drücken" gibts da nicht. Auf die Schnelle fällt mir nur ein: DHCP-Server zuschrauben, auf jede verwendete MAC-Adresse eine Reservierung legen - bedeutet je nach Clientanzahl schon einen ziemlichen Verwaltungsaufwand... ...und wenn der User mit dem "illegalen" PC so "blickig" ist, selbst eine gültige IP zu vergeben, nützt das auch nix... Sinnvoller wäre da eine interne Firmenrichtlinie, die den Anschluß privater/fremder PCs explizit verbietet - wer das doch macht, wird mit Abmahnung oder anderen netten Sachen "belohnt". Gruß Karl Axo: Technisch geht natürlich, an den Switches - wenn sie denn administrierbar sind, pro port genau eine - nämlich die erlaubte MAC-Adresse zuzulassen - anders bekommen einfach keinen connect - den Verwaltungsaufwand will ich mir besser nicht vorstellen... ..und auch das kann man austricksen!