NilsK

Moin, in "einem Buch" zum Thema auf Seite 483. Dort habe ich dann vorgeschlagen: Und der Vollständigkeit halber hier noch der "Algorithmus" für den Pool. Da gibt es keine "Abstimmung". Gruß, Nils

Moin, damit sehe ich, dass ein bestimmter Computer anfragt. Ich habe aber keinen Hinweis, ob die Applikation dort "gut" konfiguriert ist oder "schlecht". Das muss ich auf dem System prüfen. Wenn das schon die gewünschte Erleichterung ist - prima. Mehr wird man aber nicht erreichen können. Gruß, Nils

Moin, dann haben wir bislang nicht aneinander vorbeigeredet. Es scheint mir eher so, als würden dir die Antworten nicht passen - was verständlich ist, weil es eben leider nicht so einfach ist, wie du dir das denkst. In deinem Beispiel könntest du testen, ob du dort einfach den DNS-Namen der Domäne eintragen kannst und nicht den Namen oder die IP-Adresse eines DCs. Meist funktioniert das. Der DNS-Server gibt dann die Adresse eines der vorhandenen DCs zurück (vereinfacht gesagt nach Round Robin). Wenn dein AD also ordentlich gepflegt ist, machst du dich damit unabhängig von konkreten Servern. Wo und wie du die Applikationen findest, wirst du selbst herausfinden müssen. Ob das Eventlog oder die Firewall dabei wirklich helfen, wage ich zu bezweifeln. Am Ende bleibt es so, wie ich oben geschrieben habe: Diese Stellen sehen nur, dass eine Verbindung stattfindet. Was dahintersteckt, können sie nicht unterscheiden. Abschließend rate ich noch von dem Load-Balancer-Konstrukt entschieden ab. Gruß, Nils

Moin, dann ist mir das Problem nicht klar, das du lösen willst. Beschreibe bitte noch mal. Und bitte nie-, nie-, niemals bei DCs mit Alias-Namen arbeiten. Das ist aus gutem Grund nicht supportet. Gruß, Nils

Moin, hm ... klingt alles nicht plausibel. Wenn der Hersteller VMs in Hyper-V unterstützt und keine Erfahrung mit Hyper-V-Clustern hat, aber Live Migrations zulässig sind - warum sollte er seine Software dann ausdrücklich den Regkey prüfen lassen? Jans Hinweis dürfte die betreffende Schnittstelle abschalten, aber ich glaube nicht, dass es das ist. Ergänzung: Falls die VM nach der Live Migration neu gestartet wird und keine Vorkehrungen getroffen wurden, hat sie nach dem Reboot eine neue MAC-Adresse auf jeder Netzwerkkarte. Die dynamischen MACs werden vom Host verwaltet und beim Starten einer VM zugewiesen. Abhilfe wäre dann, eine MAC statisch zuzuweisen. Gruß, Nils

Moin, mag sein, aber das hilft dir ja nicht. Du siehst dann, dass Computer X eine Abfrage gestellt hat. Ob Die Applikation auf Computer X aber auf einen festen Servernamen zugreift (und dann fehlschlägt, wenn es den Namen nicht mehr gibt) oder ob die Applikation den Namen aktuell aufgelöst hat, siehst du auf die Weise nicht, Du wirst dir also die Applikationen auf den Endgeräten ansehen müssen. Da normalerweise eine Applikation X immer auf dieselbe Weise konfiguriert ist, auch wenn sie auf 2000 Clients eingerichtet wurde, ist der Prüf-Aufwand typischerweise nicht so groß. Der Aufwand zum Ändern kann aber schon beträchtlich sein. Man könnte auch dem neuen DC einfach den Namen und die IP-Adresse des alten geben, sobald dieser entfernt wurde. Das ist aber keine Lösung des Problems, sondern verschiebt es nur in die Zukunft. Gruß, Nils

Moin, okay, danke für die Rückmeldung. Das Konstrukt spricht jetzt wirklich nicht für die Software. Aber gut, wenn es dem Kunden das wert ist ... immerhin muss er sich keinen Mainframe hinstellen, auch wenn es nah dran ist. Gruß, Nils

Moin, und in csvde.exe ist das der Schalter -p, die Werte sind Base, OneLevel oder SubTree. csvde /? CSV-Verzeichnisaustausch Allgemeine Parameter ==================== -i Aktiviert den Importmodus (Standard: Export) -f Dateiname Dateiname für die Ein- bzw. Ausgabe -s Servername Server, zu dem gebunden wird (Standard: Domänencontroller der Domäne des Computers) -v Aktiviert den ausführlichen Modus -c VonDN ZuDN Ersetzt Vorkommnisse von "VonDN" mit "ZuDN" -j Pfad Pfad zur Protokolldatei -t Port Portnummer (Standard: 389) -u Verwendet das Unicodeformat -h Aktiviert SASL-Signaturen und die SASL-Verschlüsselung -? Hilfe Exportspezifische Optionen ========================== -d Stamm-DN Stamm der LDAP-Suche (Standard: Namenskontext) -r Filter LDAP-Suchfilter (Standard: "(objectClass=*)") -p Suchbereich Suchbereich (Basis/Eine Ebene/Untergeordnete Struktur) -l Liste Liste der Attribute (durch Kommas getrennt), nach denen bei der LDAP-Suche gesucht wird -o Liste Liste der Attribute (durch Kommas getrennt), die bei der Eingabe ausgelassen werden -g Deaktiviert die seitenweise Suche -m Aktiviert die SAM-Logik beim Export -n Exportiert keine Binärwerte Import ====== -k Ignoriert beim Import weiterhin die Fehler "Beschränkungsverletzung" und "Objekt ist bereits vorhanden" Anmeldeinformationen ==================== Wenn keine Anmeldeinformationen angegeben werden, wird die Bindung von CSVDE als aktuell angemeldeter Benutzer über SSPI ausgeführt. -a BenutzerDN [Kennwort | *] Einfache Authentifizierung -b Benutzername Domäne [Kennwort | *] SSPI-Bindungsmethode Beispiel: einfacher Import der aktuellen Domäne csvde -i -f EINGABE.CSV Beispiel: einfacher Export der aktuellen Domäne csvde -f AUSGABE.CSV Beispiel: Export einer bestimmten Domäne mit Anmeldeinformationen csvde -m -f AUSGABE.CSV -b BENUTZERNAME DOMÄNENNAME * -s SERVERNAME -d "cn=Benutzer,DC=DOMÄNENNAME,DC=Microsoft,DC=Com" -r "(objectClass=Benutzer)" Gruß, Nils

Moin, auf dem Weg, der dir vorschwebt, wird das nicht funktionieren. Der DC, bei dem die Verbindungsanfragen eingehen, weiß ja nicht, woher der Client die Information hat. Du wirst im Zweifel also die Applikationen prüfen müssen, die das AD abfragen. Dort sollte dann weder der Name noch die IP-Adresse eines konkreten Servers stehen, sondern idealerweise der DNS-Name der Domäne. Gruß, Nils

Moin, also ... ich predige das seit mindestens fünzehn Jahren, eher zwanzig. So richtig "revolutionär" ist das daher nicht. Gruß, Nils

Moin, ich verstehe gerade nicht, wie dieses Thema hier reinpasst ...? Gruß, Nils

Moin, nimm csvde.exe. Da ist eindeutig erkennbar, welches Feld du exportierst. Gruß, Nils

Moin, irgendwo wird es ja eine Zuordnung geben, welcher Ordnername zu welchem Windows-Konto gehört. Wenn du die hast, baust du dir damit ein Skript, das die Rechte zuweist. Dafür würde ich dann SetACL von Helge Klein empfehlen. Das eigentliche Skript muss nicht besonders kompliziert sein, du kannst es dir, wenn du die Namen mit der Zuordnung hast, wahrscheinlich mit Excel zusammenbauen: [Excel: Admins unbekannter Liebling | faq-o-matic.net] https://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/ Gruß, Nils

Moin, ganz so ist es nicht. Die Empfehlung bezieht sich darauf, dass historisch viele Add-ons nicht mit der 64-Bit-Version klarkamen, weil sie selbst nur als 32-Bit-Fassungen vorlagen. Es ist aber nicht so, dass die 64-Bit-Versionen selbst irgendwie fehlerhaft oder nicht vertrauenswürdig wären. Gruß, Nils

Moin, man behalte im Auge, dass Active Directory über 20 Jahre alt ist und eine ganze Reihe weiterer Einschränkungen nie losgeworden ist, die teils noch deutlich gravierender sind. Seit mindestens zehn Jahren muss man das AD als "Legacy"-Technik ansehen, die eben da ist, an der sich aber auch nichts Großes mehr ändern wird. Kunden, die ernsthaft Bedarf an Spezialitäten haben, haben längst ihre Workarounds gefunden, sodass ein neuer großer Wurf vielleicht überhaupt nicht genutzt würde. Und am Ende - ja, ich verstehe das Abwägen, von dem Jan spricht. Aber eine zusätzliche VM ist dann eben auch nur eine zusätzliche VM, die nur sehr überschaubare Kosten verursacht. Rechnet man das spitz, wird man den Multi-Mandanten-Ansatz kaum jemals ernsthaft verfolgen wollen. Gruß, Nils

Moin, Radio Eriwan: Im Prinzip schon ... Ich rate von solchen Konstrukten entschieden ab. Wenn du wirklich eine einigermaßen saubere Trennung der Mandanten erreichen willst - Kunde A sieht nichts (überhaupt nichts!) von Kunde B - dann wirst du sehr tief in die Berechtigungen des AD eingreifen müssen. Das ist richtig Arbeit. Und du verlierst faktisch den Support durch Microsoft für das AD. Lustig wird es dann, wenn noch Exchange dazukommt, weil sich das seit 2013 nicht mehr an die AD-Berechtigungen hält. Da darf man alles dann noch mal dicht machen. Die meisten Hosting-Umgebungen arbeiten daher auch für Kleinkunden mit separaten Forests pro Mandant. Gruß, Nils

Moin, du hast trotzdem die wesentliche Frage von Norbert nicht beantwortet: Was genau willst du denn trennen? Falls es darauf hinausläuft, dass du die Server von den Clients trennen willst - dann wäre neben der Sinnfrage (wozu soll das gut sein?) anzumerken, dass dein Telekom-Lancom-Router dafür natürlich nicht geeignet ist, wie Norbert schon richtig anmerkt. Der Router soll Clients mit dem Internet verbinden, da reicht geringe Geschwindigkeit also aus. Der ist nicht dafür gedacht, den LAN-Verkehr abzuwickeln. Ernst gemeinter Rat: Hol dir jemanden ins Haus, mit dem du das planst und der dir auch die passende Ausrüstung empfehlen kannst. Gruß, Nils

Moin, selbst wenn das "zwei Sekunden braucht" - man sollte sich bewusst sein, dass FT immer nur eine Krücke ist und auch nur so konzipiert wurde. Es bietet "Ausfallsicherheit" für Applikationen, die selbst keine solche Funktion bieten. In sehr engen Grenzen. Sollten tatsächlich nicht mehr als zwei Sekunden Ausfall akzeptabel sein (so eine, sorry, irrwitzige Anforderung habe ich noch nie gehört) - dann wäre doch zu fragen, warum die Applikation dafür selbst keine Mechanismen bietet. Passt dann vielleicht die Applikation nicht zum Setting? Irgendwann würde ich mich schlicht weigern, das umzusetzen. Dafür kann niemand geradestehen. Normalerweise aber gibt es weit vor dieser Weigerung die Erkenntnis, dass doch alles ganz anders ist ... Gruß, Nils

Moin, nicht ganz off-topic, aber auch nicht ganz on-topic: Hat überhaupt schon mal jemand VMware FT in Produktion gesehen? Ich nicht. Und ich komme viel rum. Gruß, Nils

Moin, du stolperst über die Eigenschaften der PowerShell: die arbeitet mit Objekten, nicht mit Text. Du versuchst also gerade, ein Objekt mit einem String zu vergleichen, und das geht natürlich nicht. Gib mal $Hersteller aus - das Ergebnis dürfte ähnlich diesem sein: PS E:\Daten\hurz> $Hersteller CsManufacturer -------------- HP Deine Variable hat also eine Eigenschaft. Diese musst du abfragen. Gruß, Nils

Moin, das ist ein typischer Fall für: Bitte zurück an den Tisch und die Anforderungen wirklich im Detail herausarbeiten. So, wie es formuliert ist, ist die Aufgabe nicht lösbar. Mit "im Detail" meine ich: kein Unternehmen hat nur hochkritische Anwendungen. Der Fileserver, auf dem die IT ihre ISOs ablegt, muss nicht hochverfügbar sein. Was also ist wirklich kritisch? Und was heißt überhaupt kritisch? Das ist in keinem Unternehmen der Punkt "jetzt wird es unbequem", sondern es ist der Punkt "jetzt tritt ein Schaden ein, der das Unternehmen gefährdet". Viele überrascht es dabei, dass man z.B. für das Mailsystem fast immer feststellt, dass auch ein Ausfall von mehreren Stunden kein "echtes" Problem ist ... Gruß, Nils

Moin, es ist technisch auch nicht notwendig, den neuen DC vorher in die Domäne zu bringen. In dem Szenario mit getrennten Standorten/Netzen kann es aber helfen, dass man "vorher" schon sieht, ob es Probleme bei der Kommunikation mit der Domäne gibt (was hier ja der Fall zu sein scheint). Gruß, Nils

Moin, falls die "organisatorischen Gründe" auf die Struktur des Unternehmens zurückzuführen sind (und nicht auf die technischen Erfordernisse der IT-Administration), dann solltet ihr dies zum Anlass nehmen, nicht die Namen zu ändern, sondern gleich die ganze Struktur umzubauen. Das AD soll nicht das Organigramm abbilden, sondern es soll die IT-Administration unterstützen. Eine Struktur, die diesem Prinzip folgt, wird man so gut wie nie aus organisatorischen Gründen ändern müssen. Zu deiner eigentlichen Frage: Du könntest mit der Technik, die in folgendem Artikel am Anfang genannt wird, versuchen, die tatsächlichen Abfragen zu identifizieren, die an das AD gestellt werden. Ob das funktioniert, weiß ich nicht, aber es sieht aus, als wäre es einen Versuch wert. https://blogs.technet.microsoft.com/askpfeplat/2012/11/11/mcm-active-directory-indexing-for-the-masses/ Gruß, Nils

Moin, keine Ahnung - aber es ist zur Zeit einigermaßen aussichtslos, eine Webcam kaufen zu wollen. Wenn zufällig mal welche lieferbar sind, wirst du keine Auswahl haben, sondern musst nehmen, was kommt. "USB-Port oben am Monitor" klingt nebenbei auch nicht nach einem üblichen Ausstattungsmerkmal. Gruß, Nils

Moin, nein, das willst du nicht. USB-Platten sind nicht zuverlässig genug, um solche Konstrukte zu bauen. Ein Stripeset wäre da noch schlimmer als ein übergreifendes Volume, denn da hast du auf jeden Fall 100% Datenverlust, wenn nur eine der beiden Patten kaputt geht. Verabschiede dich bei Servern allgemein von USB-Platten für relevante Zwecke. Bei einem Server ist USB maximal zum Ad-hoc-Transport von Daten geeignet, auf die es weniger ankommt. Dein Konzept klingt auch etwas krude - erst USB, dann LTO? Gruß, Nils