NilsK

Moin, wende dich an den Hersteller. Vermutlich findet hier ein Zugriff auf Treiber oder sowas statt, den du nicht mit Ordnerberechtigungen freigeben kannst. Gruß, Nils

Moin, deine Fehlerbeschreibung? "Müssten" ist sehr weitläufig. Es ist ziemlich simpel: Wenn ich solche Probleme in meinem Cluster hätte, würde ich nicht lange fackeln, abwarten oder in Foren herumfragen. Auf einen Cluster will man sich verlassen können, daher schaltet man frühzeitig den Support ein, für den man ja ohnehin bezahlt. Gruß, Nils

Moin, na, du hast ja sehr eigenwillige Vorstellungen von "maximal" ... aber OK, musst du wissen. Gruß, Nils

Moin, wie in dem anderen Thread schon geschrieben: Die Dateien herunterzuladen, ist unnötig, wenn man das betreffende Windows bereits hat. (Was natürlich die offensichlich fehlende Qualitätskontrolle für den Download beim Hersteller nicht entschuldigt.) Dass Windows-Updates zu hoher Auslastung führen können, ist bekannt. Richtig umgehen lässt sich das nicht, weil der Prozess im Hintergrund ausgesprochen komplex ist. In der c't war neulich mal eine gute Beschreibung dazu. Ob bei dir noch was anderes dazukommt, lässt sich aus der Ferne natürllich nicht beurteilen. Gruß, Nils

Moin, das sieht mir nach einem Kommunikationsproblem im SAN aus. Herstellersupport anfordern. Gruß, Nils

Moin, diese Art der Kodierung benutzt Microsoft bei der internen Entwicklung. In fertigen Produkten tritt sie (eigentlich) nicht mehr auf. Das ist extra, damit man schnell erkennt, dass Texte usw. noch nicht final sind. Habt ihr Pre-Release-Software im Einsatz? Gruß, Nils

Moin, also ... müsst ihr selbst wissen, aber mir wäre das Risiko zu hoch. Die drei Stunden sind dabei ja die optimistische Betrachtung - oder sichert ihr alles komplett und konsistent im Drei-Stunden-Rhythmus und stellt es ohne Downtime wieder her? Und nur um es noch mal gesagt zu haben: Monitoring ist nett, verhindert aber keinen einzigen Fehler. Vor allem keine Folgefehler wie korrupte Datenbestände, wenn ein iSCSI-Volume plötzlich nich mehr erreichbar ist. Gruß, Nils

Moin, ergänzend: Das ist nicht nur technisch unproblematisch, sondern ein üblicher Ansatz. Auf diese Weise kann man die "produktiven" Objekte (z.B. Mitarbeiter, PCs, Berechtigungsgruppen usw.) gut von den administrativen oder technischen Objekten (z.B. Adminkonten, Server, Dienstkonten usw.) trennen. Man kann diese OU auch anders nennen, aber viele Berater und Admins neigen dazu, dort den Namen des Unternehmens zu verwenden. Der Name selbst ist rein kosmetisch. Gruß, Nils

Moin, man kann CAD grundsätzlich auch per Remotedesktop machen, es wird dann allerdings teuer ... Jede Art von Datenverteilung, auch mit einem Distributed Locking, würde aber kaum noch sinnvoll funktionieren, sobald die Daten wirklich gemeinsam verwendet werden sollen. Irgendwann kommt der Zeitpunkt, wo die Daten über die Leitung müssen. Auch DFS-R würde daran ja nichts ändern. Mit Distributed Locking habe ich mich bislang nicht näher befassen müssen, weil es in Kundensituationen dann immer andere Lösungen bzw. Ansätze gab - nicht zuletzt, weil sich einige Dinge eben nicht wegdiskutieren lassen wie eben der notwendige Traffic. Da ich die Situation bei euch nicht beurteilen kann, habe ich nur die Empfehlung, das noch mal in Ruhe zu durchdenken. Von organisatorischen Lösungen über WAN-Optimierung bis zum Erhöhen der Bandbreite ist ja ein ganzes Spektrum denkbarer Ansätze vorhanden. Was die Vertrauensstellung betrifft: Grundsätzlich heißt Vertrauen eben "Vertrauen" - die vertrauende Domäne lässt alle Anmeldungen der vertrauten Domäne zu. Sicher kann man die Zugriffe dann beschränken, aber man muss es dann eben auch tun. Daher sollte man sowas vorher in Ruhe durchdenken. Technisch ist das in 30 Minuten eingerichtet, aber es hat organisatorische Folgen. Gruß, Nils

Moin, für solche Volumina ist PST nie gebaut worden. Selbst eine Exchange-Mailbox dieser Größe würde ich mit Outlook eher nicht nutzen wollen. Für mich klingen die Anforderungen, als sollte man sich mal grundsätzlich Gedanken machen: 50 GB pro Monat per POP3 klingt per se für mich schon mal nach Optimierungsbedarf. Handelt es sich dabei wirklich um Mails, oder sind es eigentlich andere Daten, die nur per Mail transportiert werden? Falls dem so wäre, kämen ja vielleicht auch andere Transportwege in Betracht. Sollte es wirklich so sein müssen, dann dächte ich am ehesten an einen simplen POP3-Client, der die abheolten Mails einzeln in Dateien schrübe, die man dann einfach per Skript löschte. Dabei käme mir wohl Open Source in den Sinn, da gibt es sowas bestimmt. Gruß, Nils

Moin, gut, danke für die Rückmeldung! Sobald Anmeldeskripte etwas Komplexeres machen als nur Laufwerke zu verbinden, würde ich sie immer lokal kopieren und von dort ausführen. Beim Ausführen über das Netzwerk kann so einiges nicht klappen. Gruß, Nils

Moin, im laufenden Betrieb würde ich komplexe Systeme nie konvertieren. Das geht auf der Applikationsebene ganz schnell schief. Ansonsten solltest du mit einer Websuche nach "proxmox p2v" einiges an Hinweisen finden. Proxmox trifft man im Markt durchaus an, ist aber insgesamt eher exotisch. Ich würde es nur empfehlen, wenn belastbare Kenntnisse in Linix und in Virtualisierung (insbesondere mit KVM) vorhanden sind. Sofern man auf externen Support zurückgreifen können möchte, kann VMware (oder Hyper-V, wenn auch in Linux-Welten wenig verbreitet, dort aber eben auch kostenlos und mit allen Funktionen) die bessere Alternative sein, weil man einfach mehr Dienstleister dafür findet. Gruß, Nils

Moin, sobald gemeinsam genutzte Daten ins Spiel kommen, scheidet DFS-R in aller Regel aus. Hier muss man also entweder mit langsamen Zugriffen leben oder z.B. für einen Standort eine Remotedesktop-Lösung einrichten. Bei der Vertrauensstellung wäre zu klären, ob beide Unternehmen einander wirklich "umfassend" vertrauen - dann könnte man einen Trust zwischen beiden Domänen machen. Geht es wirklich nur um die Projektdaten, könnte eine separate Domäne für das Projekt ins Spiel kommen, die beiden Domänen einseitig vertraut. Gruß, Nils

Moin, wenn ich mich richtig erinnere, heißt "... ohne TPM zulassen" nur, dass es ohne TPM möglich ist. Wenn ein TPM vorhanden ist, wird es m.W. auch genutzt. Du hast ja eins im Rechner, also brauchst du die Option auch nicht. Nein, der PIN ist natürlich nicht der Schlüssel. Den Schlüssel bekommst du aus dem TPM nicht raus. Der PIN weist in dem Fall Bitlocker an, das TPM erst anzusprechen, wenn der PIN richtig ist. Als zusätzlicher Schutz, der mit der eigentlichen Verschlüsselung aber nichts zu tun hat. Gruß, Nils

Moin, mal andersrum gedacht: Lässt sich der Neustart des SAN evtl. "verschieben", indem man einmal das System z.B. am Wochenende durchstartet? Wir hatten sowas mal bei einer Firewall, die der Kunde nicht austauschen wollte. Wenn man das so hinbekäme, könnte man als Workarund die VMs herunterfahren, alles neu starten und dann die VMs geordnet wieder hochfahren. Sollte das nicht (als "zuverlässiger Workaround" bis zur wirklichen Lösung des Problems) funktionieren, würde ich schleunigst das ganze System außer Betrieb nehmen. Ihr spielt mit dem offenen Feuer. Wenn bislang die VMs und vor allem deren Applikationen den plötzlichen Ausfall des Storage überlebt haben, ist das nichts als Glück. Beim nächsten Mal können die Daten im Eimer sein, und dann ist es mit einem Neustart der VMs nicht getan. Gruß, Nils

Moin, meines Wissens sollte es immer noch so funktionieren wie bisher: https://docs.microsoft.com/en-us/windows/device-security/bitlocker/bitlocker-group-policy-settings#bkmk-unlockpol1 Gruß, Nils

Moin, bau am Anfang und am Ende des Skripts sowie nach jedem relevanten Befehl jeweils ein Logging in eine lokale Textdatei ein. So kannst du prüfen, ob das Skript überhaupt losläuft und an welcher Stelle es evtl. fehlschlägt. Gruß, Nils

Moin, "was man von Bitlocker erwartet", ist genau das: Das Systemlaufwerk wird verschlüsselt, und das dafür notwendige Kennwort liegt sicher im TPM des Rechners. Das TPM ist vergleichbar mit einer Smartcard, man kann den Schlüssel dort also nicht auslesen. Der Vorgang stellt sicher, dass das Betriebssystem nur in der geprüften Umgebung startet, also in genau dem Rechner und genau der Bootreihenfolge. Man kann die Disk nicht in einen anderen Rechner einbauen und starten, ebensowenig kann man von einem anderen Medium booten und auf die Daten der Disk zugreifen. Als zusätzliches Sicherheitsmerkmal kann man, wie Norbert schon sagt, einen Start-PIN vorgeben, sodass Bitlocker ohne gültige Eingabe nicht mal den Bootvorgang beginnt. Ohne PIN startet das Betriebssystem in dem Rechner aber "einfach so", sodass das laufende Betriebssystem die Kontrolle übernimmt. Wer sich dort nicht anmelden kann, kommt auch nicht an die Daten. Da man am Betriebssystem auch nicht vorbeikommt (solange dies sicher genug konfiguriert ist), erhält man ein (sehr) hohes Sicherheitsniveau. Was du erwartest, ist vermutlich das Vorgehen bei Bitlocker to go - hier wird ein Kennwort verwendet, um auf den Verschlüsselungsschlüssel zuzugreifen. Das verwendet man vorrangig für Wechseldatenträger, kann es aber auch für separate Datenplatten nutzen. Grundlagen und Hintergründe zu Bitlocker findest du in großer Menge im Web, ein Beispiel: [Whitepaper: Wie Bitlocker Windows-Geräte schützt | faq-o-matic.net] https://www.faq-o-matic.net/2014/01/31/whitepaper-wie-bitlocker-windows-gerte-schtzt/ EDIT: Hmpf, leider gibt es das Whitepaper nicht mehr. Es gibt aber trotzdem viel Material, das sich bei einer Websuche schnell findet. Gruß, Nils

Moin kosta88, du hast zwar Recht, dass der Thread hier etwas ausufert, allerdings tust du selbst ja auch einiges dafür, dass das so ist. Du bringst Thema um Thema hier rein, setzt einige Ratschläge um und ignorierst andere. Dann beklage dich bitte nicht über die Reaktionen. Nach wie vor bin ich der Meinung, dass die Problemlage in einem Forum nicht richtig aufgehoben ist - vor allem dann nicht, wenn es sich wirklich um ein "führendes Unternehmen" handelt. Es geht ja hier nicht um ein zu lösendes Detailproblem, sondern offensichtlich um große Teile der Infrastruktur. Das ist nicht nur unfair gegenüber denen, die dir hier helfen - in ihrer Freizeit, unentgeltlich, obwohl der Umfang der Sache durchaus Geld wert ist und dein Unternehmen mit der IT ja offenkundig Geld verdient. Daneben wird es langsam evtl. auch schädigend für das Unternehmen - möchte es wirklich als Mac Geizig dastehen? Zu deiner Hyper-V-Frage: Kannste machen, sollteste aber nicht. Für solche Zwecke bringt Hyper-V die Storage Live Migration mit. Gruß, Nils ... der sich damit dann jetzt hier abmeldet

Moin, für mich klingt die Problemlage nicht, als sollte man das weiter über ein Forum behandeln. Gruß, Nils

Moin, ich gehe weiter davon aus, dass das NAT das Problem ist. Gruß, Nils

Moin, dass du die Platte schrottest, ist ausgesprochen unwahrscheinlich. Entweder der Key passt - Zugriff auf die Platte. Oder er passt nicht - kein Zugriff. In jedem Fall würde ich dann vor weiteren Änderungen ein Backup der wichtigen Daten machen. @Norbert, kennst du das genaue Vorgehen in dem Fall? Das hatte ich so noch nicht: Verschlüsselte Platte an ein anderes TPM anhängen. Wenn ich dich richtig verstehe, sollte das gehen, aber wie genau? Gruß, Nils

Moin, ja, das ist natürlich korrekt. Sollten die auch nicht vorhanden sein, dann ist die Frage lizenzseitig ohnehin beantwortet, weil man ja nur noch 2016 bekommt. Gruß, Nils

Moin, ich vermute, dass das NAT zu dem Problem beiträgt. Das ist eine Konfiguration, die man lieber meidet. Zu den verschwindenden DNS-Einträgen: Ist das Windows Server 2008 R2? Dann hilft möglicherweise ein Hotfix. In 2008 R2 und Windows 7 gibt es einen Fehler, der nach IP-Konfigurationsänderungen die DNS-Records löscht. Gruß, Nils

Moin, technisch würde ich das als Geschmackssache bezeichnen - es hat sich tatsächlich nichts geändert, jedenfalls nichts Wesentliches. Beim Einsatz von W2016 ist zu beachten, dass man dann auch neue CALs braucht. Gruß, Nils