NilsK

Moin, also ... mir kommt das gerade nicht wie ein verantwortungsvoller Umgang mit dem System vor. Du hast eine VM, deren Backup nicht funktioniert bzw. nicht aktuell ist. Hältst du es wirklich für eine gute Idee, an den Spezifikationen des Systems vorbei deren produktive virtuelle Disk mal eben parallel zu mounten, um alte Daten rauszuholen? Mach, was du willst, ist dein System. Aber jammer hinterher nicht ... Gruß, Nils

Moin, wenn ich nicht ganz falsch liege, kannst du in Windows 2012 den Snapshot auch exportieren. Dadurch entsteht eine separate VHDX-Datei, die du dann öffnen kannst, um die Daten rauszufischen. Gell, und vorher kümmerst du dich darum, dass das Backup funktioniert. Snapshots ersetzen kein Backup, sondern sind ganz im Gegenteil ein erhebliches Risiko für Stabilität und Performance. Gruß, Nils

Moin, zwei typische Ursachen: Der Pfad ist für den Client, der das Zertifikat prüft, eben doch nicht erreichbar - Namensauflösung, Firewall, Berechtigungen. Die Sperrliste ist abgelaufen. Ist es der zweite Punkt, dann fehlt ein Prozess, der die jeweils aktuelle Sperrliste an den Veröffentlichungspunkt kopiert. Die Sperrlisten sollte man allerdings auch nur noch per http bereitstellen (auf einem Server, der intern und extern unter demselben URL erreichbar ist), nicht per Dateizugriff, weil das spätestens mit externen Clients (Home Office usw.) nicht funktioniert. Ich empfehle das Rheinwerk-Buch zum Thema. Bei PKI kann man sehr viel falsch machen, Weiter-Weiter-Fertigstellen reicht praktisch nie aus. Gruß, Nils

Moin, was sagt das Eventlog? Auch in den Dienstprotokollen schauen, da gibt es extra welche für den Cluster und für Hyper-V. Gruß, Nils

Moin, deine technische Frage habe ich nicht verstanden. Was willst du genau wissen? Lizenzrechtlich bist du auf dem Holzweg. Die Windows-Server-Lizenzen werden immer dem Host zugewiesen und niemals den VMs. Für 6 VMs benötigst du auf dem Hosts drei Standard-Lizenzen, weil du mit jeder Standard-Lizenz zwei WIndows-Server-VMs betreiben darfst. Wenn dein Host unter 2012 R2 laufen soll, kannst du die 2008- und 2012-(ohne-R2)-Lizenzen nicht dafür einsetzen, du brauchst dann drei 2012-R2-Lizenzen. Da du die neu nicht mehr kaufen kannst, läuft das auf drei 2016-Lizenzen (bzw. Lizenz-Sets) hinaus. https://youtu.be/6tH3QGSRP00 Gruß, Nils

Moin, musst du ja auch gar nicht. Du sollst dort angeben, welches Feld als Alternate Login ID verwendet werden soll. In dem Feld müssen dann die passenden Anmeldedaten stehen, die der Anwender nutzen soll. https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configuring-alternate-login-id Ob das dein organisatorisches Problem löst, lässt sich von außen nicht einschätzen. Gruß, Nils

Moin, diese Google-Abfrage sollte einige passende Treffer enthalten zu Grundlagen und Grenzen: https://www.google.de/search?q=office+365+alternate+login+id Gruß, Nils

Moin, na und? Dann forderst du für den anderen Host eben manuell ein Zertifikat bei der CA an. Gruß, Nils

Moin, ich verstehe auch nicht recht, wo jetzt das Problem ist. Wir haben ja nun einiges zu der Frage gesagt. Also noch mal ausdrücklich: Man kann ein AD problemlos mit einem Nicht-AD-DNS-Server betreiben, sogar mit einem BIND unter Unix. Es ist halt an einigen Stellen aufwändiger, aber es geht. Das ist ja aber, wenn ich das Szenario richtig verstehe, eigentlich auch nicht der Punkt, weil es hier ja nur um einen Secondary ginge. Der muss halt ausreichend aktuell sein, wozu man den Zonentransfer passend einrichten muss. Wenn jetzt noch was offen ist, bitte konkret fragen. Gruß, Nils

Moin, lass das Skript ein Protokoll schreiben, damit du siehst, was dort evtl. falsch läuft. Warum rufst du robocopy per PowerShell auf? Das macht einen Task nur unnötig kompliziert, daher würde ich an der Stelle ein Batch vorziehen. Gruß, Nils

Moin, das Zertifikat musst du dann in den Zertifikatsspeicher des Computerkontos einbinden. Da die Replikation im Zweifel ja eine beidseitige Angelegenheit ist, müssen beide Hosts je ein Zertifikat haben. Gruß, Nils

Moin, wenn ich es richtig sehe, beschreibt der folgende Artikel die Methoden zum Drucken. In VBScript sollte man dieselben Objekte und Methoden verwenden können. Bei .PrintOut kann man den Drucker ausdrücklich vorgeben. https://powerspreadsheets.com/excel-vba-print/ Gruß, Nils

Moin, das geht erst, wenn man die 2003-DCs aus der Domäne nimmt und den Domänenmodus hochsetzt. [Mehrere Kennwortrichtlinien in einer Domäne | faq-o-matic.net] https://www.faq-o-matic.net/2007/05/21/mehrere-kennwortrichtlinien-in-einer-domaene/ Seit Windows Server 2012 kann man diese Richtlinien dann mit GUI bearbeiten. Der Weg mit dem "Kennwort läuft nie ab" ist weder sinnvoll noch äquivalent, denn die Richtline umfasst auch die automatische Kontensperrung usw. Gruß, Nils

Moin, ah, OK. Danke für die Rückmeldung! Gruß, Nils ... what a difference a T makes ...

Moin, ja, die Vermutung ist zumindest nicht abwegig. Gruß, Nils

Moin, wenn du genau dieses INSERT-Kommando im SQL Studio ausführst, kommt dann auch der Fehler? Gruß, Nils

Moin, funktioniert es, wenn du den User aus der Admingruppe nimmst und neu anmeldest? Es gibt vereinzelt Berichte, dass Apps als Admin nicht starten. Möglicherweise hilft auch sowas: http://home.bt.com/tech-gadgets/computing/windows-10/has-your-windows-10-start-menu-stopped-working-here-are-four-ways-to-fix-it-11364000314532 Gruß, Nils

Moin, was genau ist jetzt das Problem? Geht es um die Millisekunden? Laut https://docs.microsoft.com/en-us/sql/t-sql/data-types/datetime-transact-sql?view=sql-server-2017 sollte als Trenner auch der Doppelpunkt akzeptiert werden, geht das von deinem VS-Code aus? Gruß, Nils

Moin, Client-Installationen erledigt man nicht als Domänen-Admin. Der ist zum Administrieren des AD da, für nichts sonst. User bekommen keine lokalen Adminrechte. Dafür gibt es separate Konten. Sind User lokale Admins, ist das gesamte Netzwerk aktiv gefährdet. Was genau passiert, wenn der User Apps zu starten versucht? Kann der User "normale" Programme starten? Gibt es sonst Auffälligkeiten? Gruß, Nils

Moin, auch das gehört zu den Grundproblemen der Mailverschlüsselung, die eine Verbreitung der Technik effektiv verhindern. Wie mwiederkehr schon sagt, kann man grundsätzlich das bestehende Zertifikat mit dem bestehenden Private Key verlängern - dann nutzt man dieses Zertifikat auch, um auf die "alten" Mails zuzugreifen. Es kann aber sein, dass man diese Form der Verlängerung nicht nutzen kann, weil z.B. die CA das nicht zulässt. In dem Fall muss man den privaten Schlüssel selbst archivieren, um ihn bei Bedarf zu nutzen. Dass das Zertifikat irgendwann abgelaufen ist, ist in dem Szenario nicht von Relevanz. Den privaten Schlüssel zu archivieren, ist ohnehin notwendig, denn der kann ja vom System verloren gehen (Profil gelöscht, Rechner kaputt ...) - lösen muss man das Problem also ohnehin. Sobald man Ende-zu-Ende verschlüsselt, wird es kompliziert und aufwändig. Das lässt sich nicht ändern. Daher prüfe man genau, ob man das wirklich braucht und baue vorher (!) die zugehörigen Prozesse auf. Bei der Gateway-Verschlüsselung darf man übrigens berechtigt die Frage stellen, welchen Vorteil man gegenüber der reinen Transportverschlüsselung hat. Das hängt vom Szenario ab, aber auch hier sollte man den Bedarf prüfen. Gruß, Nils

Moin, typischerweise führt eine Betrachtung, die das lokal Vorhandene 1:1 in die Cloud überträgt, in die Irre. Einerseits hat man meist lokal viel mehr "Dampf", als man tatsächlich braucht (was in der Cloud praktisch nie nötig ist), andererseits ist der Witz an der Cloud, dass man dort (fertige) Dienste beziehen kann und nicht alles auf Basis von VMs selbst machen muss. Auf der anderen Seite muss man, wenn man tatsächlich etwas wie Terminalserver in der Cloud bereitstellen will, auch die Infrastruktur als Dienst berücksichtigen (etwa die AD-Anbindung). Eine einfache Antwort wird man dir also nicht recht geben können - nur dass eben diese 1:1-Betrachtung aus Kostensicht meist sehr ernüchternd ist, weil "die Cloud" dann sehr teuer aussieht. Lass dich in Ruhe von jemandem beraten, der dir auch konzeptionelle Wege aufzeigen kann, dann bekommst du ein realistischeres Bild. Gruß, Nils

Moin, wer führt hier wen aufs Glatteis? Microsoft sagt an vielen Stellen sehr deutlich, dass Pass-through Disks nicht empfohlen sind. Den Support dafür einzustellen, hieße aber, dass Kunden, die das nutzen, auf einen Schlag ein Problem haben - kaum angemessen. Zumal die Technik ja nicht irgendwie fehlerhaft ist, sondern die Einschränkungen prinzipieller Natur sind. Genau wie mit RDMs bei VMware. Zu deiner anderen Frage lässt sich auf diesem Abstraktionsgrad nicht mehr sagen als "kann sein, muss aber nicht". Gruß, Nils

Moin, du sagst ja, dass dir die Argumente gegen Pass-through Disks bekannt sind. Viel mehr gibt es dazu eigentlich auch nicht zu sagen. Rein technisch geht es, auch in Cluster-Konstrukten. Die Nachteile und Fehlermöglichkeiten sind aber so umfangreich, dass man das nicht machen will. Für Guest-Cluster nutzt man üblicherweise per iSCSI (oder seltener vFC) in die VMs eingebundene LUNs. Oder man setzt auf Shared-VHDX (2012/R2) bzw. VHD Sets - von denen liest man aber leider auch oft, dass sie nicht so zuverlässig sind, wie man das braucht. Wie ist denn das Storage bei dem derzeitigen physischen Cluster angebunden? Wenn es eine LUN aus dem Storage ist, kann man die vielleicht sogar so lassen, wie sie ist, um sie an die VMs durchzureichen. Gruß, Nils

Moin, dann sag das doch gleich. Leider ist es in Foren üblich, nur eine Detailfrage zu stellen, statt zu sagen, worum es geht. Das behindert die Sache unnötig - der Thread hätte schon viel schneller eine Antwort liefern können. Also: Natürlich geht das, es ist in solchen Szenarien sogar durchaus üblich. Du kannst einen DNS Secondary einrichten, der sich die DNS-Daten (und nur diese) von einem DC/DNS holt. Solange es sich um einen Nur-Lese-Zugriff handelt, ist das auch ein gangbarer Weg. Ob sich damit allerdings die Anforderungen erfüllen lassen, lässt sich aufgrund der eher unscharfen Äußerungen dazu nicht ablesen. Der beschriebene Secondary würde alle DNS-Einträge enthalten und abfragbar machen, da können durchaus personenbeziehbare Daten dabei sein (z.B. Namen von PCs, die zu bestimmten Mitarbeitern gehören - etwa "PC-MEYER"). Hier wäre also ggf. ein Blick auf die genauen Anforderungen und die Details der Umgebung relevant. Gruß, Nils

Moin, das kommt darauf an, wie das Storage die Disk bzw. LUN bereitstellt. Theoretisch könnte man die LUN im Storage als Cluster-LUN definieren und dann an zwei Hosts anbinden, um sie von dort aus als Pass-through in VMs weiterzuleiten. Voraussetzung ist dann allerdings, dass die VMs den Zugriff so koordinieren, dass keine gleichzeitigen Schreibzugriffe nötig sind - was in der Praxis bedeutet, dass die VMs einen Cluster bilden müssen (sofern wir von Windows sprechen). In dem Fall wäre es aber nicht sinnvoll, mit Pass-through zu arbeiten - wenn es eine Cluster-LUN im Storage gibt, sollte man die stattdessen über iSCSI oder vFC direkt an die VMs anbinden, statt den (fehlerträchtigen) Umweg über die Hosts zu gehen. Mit lokalen Disks dürfte das überhaupt nicht mögllich sein. Geht es nur um einen Host und lokale Disks, dann bedeutet das Zuweisen einer Pass-through Disk, dass diese exklusiv der betreffenden VM zur Verfügung steht. Jetzt wäre natürlich wichtig zu wissen, was denn die dahinterstehende Anforderung ist ... Gruß, Nils