Jump to content

NilsK

Expert Member
  • Posts

    16,230
  • Joined

  • Last visited

Everything posted by NilsK

  1. Moin, typischerweise auch erheblich mehr. Siehe meine genannten Artikel ... typischerweise auch erheblich mehr. Siehe meine genannten Artikel ... In dem Fall sind 64 GB zu wenig, denn dann hat der Host nichts mehr. Es gibt keine RAM-Überbuchung in Hyper-V, und das aus gutem Grund. Gruß, Nils
  2. Moin, dann prüfe, ob sich das RAM nachträglich in der Form erweitern lässt. Da geht es nicht nur um freie Steckplätze, sondern auch um die Module insgesamt, das kann eine Wissenschaft für sich sein. Bezüglich der Cores: Mach, was du willst, aber wenn du 8 dedizierte Cores pro VM vorsehen willst, hast du meine Artikel gründlich missverstanden. Gruß, Nils
  3. Moin, die Hinweise zu den Kernen sind gut, da kann es durch die Windows-Lizenzen unangemessen teuer werden. Zum RAM: Wieviel RAM haben denn die physischen Server derzeit? Wenn das ausreicht, ohne dass es auf Engpässe hinweist, ist das ein Indikator dafür, wieviel RAM die VMs bekommen sollten. Die 64 GB hören sich erst mal viel an und können für SQL und TS auch dicke ausreichen. Wenn dann aber künftig die drei anderen VMs noch dazu sollen, könnte es wieder knapp werden. 2-4 GB solltest du "in Gedanken" für den Host abziehen, unter 2 GB wirst du auch einer "kleinen" VM (dem DC) nicht geben wollen. Ein Mailserver würde wohl eher 4 GB brauchen, und damit das Veeam ordentlich arbeitet, können 8 GB schon sinnvoll sein. Kann in 64 GB passen, kann aber auch eng werden. Am RAM würde ich nicht sparen. RAID-10 würde ich bei SSDs nicht machen, der theoretische Geschwindigkeitsvorteil wiegt den Overhead eher nicht auf. RAID-1 sollte reichen. Ob du das Host-OS wirklich separat legst in so einer Umgebung - ich würde mir auch hier den Overhead sparen und alles auf dasselbe SSD-Set legen, alles ein großes Volume und Ordner pro VM. Da bei sowas schnell ein Cluster für die Ausfallsicherheit ins Spiel kommt, plane mindestens Dualport 10-Gb ein. Mehr als 10-Gb dürfte in dem Szenario unnötig sein und auch die CPUs unnötig belasten. Falls du bei dem TS auf 2012 R2 bleiben musst, prüfe, ob das unter einem aktuellen Hyper-V noch läuft. Da bin ich grad nicht informiert. Gruß, Nils PS. ein einziger DC ist bei 12 Usern schon Unterkante. Ich würde über einen zweiten DC nachdenken, der separat auf günstiger Hardware läuft.
  4. Moin, Bei 10 Clients könnte man auch darüber nachdenken, einfach neu anzulegen. Gruß, Nils
  5. Moin, und die Clients? Die Frage ist ja, wie kann es zu lange Hostnamen geben. Gruß, Nils
  6. Moin, in welchen Situationen treten denn die Meldungen auf? Ich habe das hier grad mal nachvollzogen und finde ähnliche Meldungen. Die treten z.B. dann auf, wenn der Client die Netzwerkverbindung zum internen DNS verloren hat, also etwa nach dem Trennen des VPN oder im Zug des Shutdown. Ich kann zwar jetzt nicht sagen, woher Windows dann die DNS-Serveradressen nimmt, aber es sieht mir eher "normal" und plausibel aus. Es könnte eine Art Fallback sein - der Client erreicht den vorgesehenen DNS-Server nicht und richtet seine Anfrage dann an andere, zu denen er schon mal verwiesen wurde. Windows macht sowas schon mal, vielleicht auch hier. Und dieser Server verweigert dann logischerweise das Update des Eintrags. (Nur spekuliert, ich habe das jetzt nicht näher recherchiert.) Einen Angriff vermute ich dahinter jedenfalls nicht. Gruß, Nils
  7. Moin, vermutlich solltest du dir die Grundlagen von DHCP noch mal in Ruhe ansehen. Da scheint es mir grundlegende Missverständnisse zu geben. DHCP hat mit Domänen nichts zu tun. Dass man einen Windows-DHCP-Server im AD autorisieren muss, ist eine reine Vorsichtsmaßnahme, um es weniger wahrscheinlich zu machen, dass jemand versehentlich einen DHCP-Server im Netzwerk installiert, der dann unbeabsichtigte Adressen verteilt. Mehr nicht. Dafür ist die Autorisierung auch nicht gut geeignet, aber das steht auf einem anderen Blatt. DHCP funktioniert auf Basis von Netzwerk-Broadcasts und hat von logischen Konstrukten wie Domänen usw. keine Ahnung. Mehr als einen DHCP-Server in einem physischen Subnet zu haben, ist nur für die Ausfallsicherung interessant, aber nicht für die Strukturierung. Gruß, Nils
  8. Moin, hast du mal die Event-ID dazu? Und Norbert hatte um Informationen zu eurer IP-Konfig gebeten. Die könnten uns helfen, das Problem einzugrenzen. EDIT: Die Adresse gehört zu ARIN, der US-amerikanischen Internet-Registry. Das spricht gegen einen Angriff. Sind auf eurem DNS-Server die Root Hints aktiviert? Gruß, Nils
  9. Moin, ist der Domänenname evtl. ein "echter" Domänenname, der euch aber nicht gehört? siehe hier - das ist ein anderes Phänomen, könnte aber evtl. damit zusammenhängen: [Wenn (und warum) nslookup unerwartete Ergebnisse zeigt | faq-o-matic.net] https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/ Gruß, Nils
  10. Moin Smothy, du solltest nicht aufs Geratewohl irgendwas irgendwo ins AD eintragen. Du hast das auch grundlegend falsch verstanden. Norbert hatte dir exakt gesagt, wo du nachsehen kannst, um herauszufinden, ob der "problematische" DHCP-Server tatsächlich schon im AD autorisiert ist. Es ging jetzt noch gar nicht um die Lösung, wir sind noch bei der Diagnose. Also sei doch bitte so nett und schau exakt an der angegebenen Stelle nach, was dort eingetragen ist und teile uns das mit. Dann sehen wir weiter. Ach, und den manuell hinzugefügten Eintrag entferne besser wieder. So funktioniert das nicht. Gruß, Nils
  11. Moin, aber vielleicht ist der Server tatsächlich schon autorisiert und das "Rot" liegt gar nicht daran. Was sagt denn das Ereignisprotokoll? Gruß, Nils
  12. Moin, ah, die Meldung hatte ich noch nicht gesehen. Dann liegt das Problem woanders. Hat es früher schon mal einen Server desselben Namens gegeben? Du kannst die autorisierten Server auch irgendwo nachsehen, aber mangels Testumgebung kann ich dir grad nicht sagen, wo. Gruß, Nils
  13. Moin, hast du dich neu angemeldet, nachdem du den Account in die Org-Admins aufgenommen hast? Gruß, Nils
  14. Moin, Warum sind denn die Hostnamen länger als 15 Zeichen? Das ist ja eher ungewöhnlich, daher löst man das Problem eher nicht, sondern hat es gar nicht erst. Gruß, Nils
  15. Moin, man berücksichtige dabei, dass für den Zugriff auf einen Standard-Server auch CALs für die Anwender nötig sind. Das sollte man bei dem geringen Mehrpreis mit einkalkulieren. Gruß, Nils
  16. Moin, aha, dann kommen wir der Sache schon näher. Bitte beschreibe noch einmal genau, was dir vorschwebt, was du also erreichen möchtest. Es klingt so, als sei OneDrive für den Einsatzzweck nicht das richtige Werkzeug. Wenn wir verstehen, was die Anforderung ist, können wir dir vielleicht einen besseren Ansatz vorschlagen. Was du mit "Sicherheiten" meinst, nennt man übrigens "Berechtigungen". Es ist einfacher für die anderen, wenn du diesen Ausdruck dafür verwendest. Gruß, Nils
  17. Moin, sorry, aber da verstehe ich das ganze Szenario nicht. Kannst du das mal anhand eines Beispiels konkretisieren, welche Daten von wo nach wo wandern und was du genau mit "die Sicherheit" meinst? Gruß, Nils
  18. Moin, wenn ich es richtig verstehe, stolperst du über das alte Berechtigungsproblem, dass Dateien, die auf demselben Laufwerk verschoben werden, ihre vorhandenen Berechtigungen behalten und nicht die Berechtigungen des Zielordners übernehmen. Ist das das Szenario? Wenn ja, dann liegt das daran, dass in diesem Fall die Datei selbst (einschließlich der Metadaten) unverändert bleibt und nur der Pointer im Inhaltsverzeichnis sich ändert. In allen anderen Fällen (Datei kopieren, Datei von einem anderen Laufwerk verschieben) wird eine neue Datei erzeugt, die dann die Berechtigungen des Ordners übernimmt. Gruß, Nils
  19. Moin, ja, das war das, was ich meine. Und es ist auch gleichzeitig die Erklärung und der Fehler. Eine primäre DNS-Zone wird nicht repliziert, wie Norbert ja auch sagt. Der sinnvollste Weg ist, dass du über den Button "Ändern" die Zone in eine AD-integrierte Zone umwandelst. Danach funktioniert es dann wie gewünscht. Gruß, Nils
  20. Moin, ernstgemeinte Antwort: zum Beispiel ich. Gruß, Nils
  21. Moin, soweit ich verstehe, ist der Workaround das Anpassen der Sicherheitsrichtlinie. Was da zu tun wäre, weiß der TO des anderen Threads vielleicht, er scheint das ja vom MS-Support gehört zu haben. Gruß, Nils
  22. Moin, gut, auf Basis der Angaben hier kann man eure Prozesse schlecht beurteilen. Was wir hier zu lesen bekommen, klingt etwas krude, aber vielleicht hat es ja bei näherem Hinsehen Hand und Fuß. Nur: Wenn ihr in dem Stil auf dynamische Gruppen setzt, solltet ihr dringend mehr Know-how und Sicherheit im Definieren der Filter aufbauen. Gruppen sind der Kern des Sicherheitskonzepts in Windows, die müssen tippi-toppi sein und dürfen nicht von Zufällen abhängen. Das war missverständlich von mir. Ich meinte damit nicht eure OU-Struktur, sondern den Filter in dem Gruppen-Statement. Da solltest du einen Ansatz finden, der ohne String-Vergleiche von OU-Pfaden auskommt. Gruß, Nils
  23. Moin, Naja, man kriegt das durchaus auch so hin, wie es gewünscht ist, aber der bisherige Filter war eben falsch. Einfacher wäre es aber auf jeden Fall, wenn man nicht so eine OU-Akrobatik machen würde. Eins wollte ich aber noch fragen: ändert sich denn die Belegschaft in Wien so oft, dass man mit einer dynamischen Gruppe arbeiten muss? Wäre es nicht viel einfacher, die gewünschten Objekte in eine normale Gruppe zu stecken? Gruß, Nils
  24. Moin, ja, das hast du falsch verstanden. Ein Objekt ist in genau einer OU, genau wie eine Datei auch immer nur in genau einem Ordner ist. Die Datei C:\ganz\langer\pfad.docx ist im Ordner "langer", aber nicht im Ordner "ganz". Dein Problem ist, dass du nicht auf die OU filterst, sondern auf einen Teil des distinguishedName. Damit hast du dann die Überschneidung, weil der Teilstring natürlich in dem längeren String enthalten ist. Ich hab grad nicht ausreichend Zeit, aber das wird sicher zielgerichteter gehen. Gruß, Nils
  25. Moin, woran liest du denn ab, dass DNS nicht repliziert? Wenn du auf dem funktionierenden DNS-Server die Eigenschaften der AD-DNS-Zone aufrufst, was für ein ein Zonentyp wird dir da angezeigt? Nein, das hat auf die Replikation keinen Einfluss. Gruß, Nils
×
×
  • Create New...