NilsK

Moin, Ticketsysteme gibt es viele. Oft genannt wird OTRS, mit dem ich selbst gute Erfahrungen habe. Wenn es unbedingt Windows sein muss, würde ich das eher nicht machen, auch wenn es technisch wohl möglich ist. OTRS ist aber in der Linuxwelt zuhause. Doku - tja, definiere "alles" ... so, wie du es schreibst: Nein, gibt es nicht. Gruß, Nils

Moin, 2 Gigabitkarten sind auf jeden Fall zu wenig, wenn du einen Cluster bauen willst. Wenn du iSCSI machen willst, musst du noch mehr Karten einrechnen. Entweder auf 10 GbE umsteigen (2 Karten) oder minimal sechs Karten für die Hosts (so kommst du mit je einem 4-Port-Adapter zusätzlich pro Host aus). Die dann idealerweise als Team und dann folgende vNICs für das Management OS: VM-LAN (keine vNICs für das Management OS, nur für die VMs) Cluster und Live Migration iSCSI Management Die Bandbreitensteuerug auf "Weight" setzen. DefaultFlow auf 50 setzen. Für das Management 5, für den Cluster 5, für iSCSI 40. So hast du im Normalfall für die VMs die Hälfte der Bandbreite und für iSCSI auch. Nur wenn was anfällt, können sich Cluster und Management mehr nehmen, sie werden aber nie voll ausgebremst. Wenn du ohne Teaming "über alles" arbeitest, dann auch minimal sechs Karten: 2 für VM-LAN (als Team) 2 für iSCSI (kein Team, sondern MPIO) 1 für Management und als Fallback für den Cluster 1 für Cluster und Live Migration Gruß, Nils

Moin, bei derartigen Empfehlungen ist es auch völlig unüblich, Preise zu erwähnen. Die hängen sowieso von den jeweiligen Vertragsverhandlungen eines Kunden ab und variieren meist stark mit der Größe des Unternehmens. Abgesehen davon, hat der TO auch kein Budget erwähnt, hingegen aber selbst hochpreisige Produkte in die Runde geworfen. Da wir in diesem Board hauptsächlich über professionelle Lösungen sprechen, sollte jedem klar sein, dass es manche Funktionen nicht kostenlos gibt. Unbenommen ist, dass 8MAN sicher eine eher hochpreisige Software ist, aber es gibt nach meiner Kenntnis tatsächlich praktisch keine Mitbewerber. Kann man gut oder schlecht finden, aber die Empfehlung sollte daher nicht unterbleiben. Oder wie siehst du das? Gruß, Nils

Moin, nein, ganz anderes Thema. Ich meine konkret das, was ich dem TO in Beitrag 4 empfohlen habe, und allgemein das, was in meinem zweiten Link in Beitrag 4 empfohlen wird. Gruß, Nils

Moin, steht in dem von mir verlinkten Artikel als Hinweis drin. Ist aber kein sinnvoller Weg, weil mit erheblichen Umständen verbunden, die auch "dein Tool" nicht auflöst. Für den TO also ganz sicher ungeeignet, zumal bessere Methoden existieren. Zumindest könntest du vielleicht mal einen Gang zurückschalten. Dein Selbstmarketing wirkt langsam etwas sehr aggressiv. Gruß, Nils

Moin, wenn ich Externer wäre, würde ich auch die Neueinrichtung fordern. Schließlich weiß man nicht, was die Malware wirklich getan hat. Wirklich vertrauen kann man - wenn man es prinzipiell betrachtet - dem ganzen Netzwerk nicht mehr. Je nachdem, wie gut so eine Malware gemacht ist (und manche sind "hervorragend" in dem, was sie tun), kann sie sich durchaus verbreiten, diverse Lücken ausnutzen und so Systeme kompromittieren. Es wäre dabei durchaus nichts Neues, dass so eine Malware sich erst mal eine Weile ruhig verhält. Ob und inwieweit man so eine Neuinstallation nun für angemessen hält, steht auf einem anderen Blatt. Denkbar wäre durchaus, nach einer eingehenden Offline-Analyse des befallenen Clients festzustellen, was dort eigentlich geschehen ist und um welchen Befall es geht. Dann könnte man auch andere Rechner offline analysieren. Eine Unsicherheit bleibt. Das Risiko für Externe, die für bestimmte Komponenten bei einem Kunden in der Pflicht stehen, besteht darin, dass sie nicht wissen, ob da nicht Dinge passieren oder passiert sind, die zu erhöhtem Supportbedarf führen - also zu Kosten für den Externen. Daher haben sie ein legitimes Interesse, das möglichst weitgehend auszuschließen. Auf der anderen Seite ist die Kenntnis von solch einem Vorfall manchmal auch gefundenes Fressen für einen Externen, der so den Kunden zum Neuaufbau "zwingen" kann, bei dem dann vielleicht auch gleich ein paar Fehler und Probleme der Umgebung verschwinden ... Da wird man also sorgfältig bereinigen, abwägen und verhandeln müssen. Gruß, Nils

Moin, genau das ist UAC ... [benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net] http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/ In deinem Fall kommt noch erschwerend hinzu, dass der Explorer mit UAC nicht richtig umgehen kann. [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net] http://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Meine Empfehlung also für dein Szenario: Definiere eine eigene, separate Gruppe, die Vollzugriff auf den ganzen Dateibaum bekommt. Nimm dein Adminkonto in diese Gruppe auf. Dann geht es, denn selbsterzeugte Gruppen filtert UAC nicht aus dem Anmeldetoken heraus. Gruß, Nils

Moin, öh ... ich weiß immer noch nicht, um welche werbefinanzierten Apps es da gehen soll. Möglicherweise habe ich die einfach damals aus meinem Startmenü entfernt (kann kein Aufwand gewesen sein, wenn ich mich nicht dran erinnere), bislang soll es ja angeblich fünf davon geben, davon sehe ich keine einzige. Für mich klingt dieser Golem-Artikel nur nach FUD (Fear, Uncertainty and Doubt). Lustigerweise enthält die Präsi, die sie da als "Beleg" verlinken, überhaupt keinen Hinweis auf das Thema. Also, ich seh da grad weder das Problem noch die Unverschämtheit. Insofern verabschiede ich mich mal aus diesem Thread. Gruß, Nils

Moin, Offline Files sind tatsächlich so buggy, dass man sie kaum benutzen kann. Als Alternativen wurden mir bislang auch nur völlig separate Lösungen wie Citrix Sharefile oder Egnyte Connect genannt. Gruß, Nils

Moin, warum das hier niemand macht, ist ja nun ausführlich dargelegt worden. Dann hat der Test allerdings auch keinerlei Aussagekraft ... Belassen wir es doch dabei. Wenn du jemandem etwas anbietest, musst du ihm wohl auch die Freiheit lassen, es abzulehnen. EDIT: Ich habe mich von dem Thread hier mal inspirieren lassen, eine Art Open-Source-Variante des hier diskutierten Tools zu bauen. Sie besteht rein aus Batch-Code, es gibt also nichts, was man nicht prüfen könnte. Sie ist natürlich auch nicht ganz so hübsch, hat also keine grafische Oberfläche und so. Sie leistet aber genau dasselbe: Man startet einmal ein Batch mit Adminrechten, und von dort aus führt man weitere Kommandos aus, die dann auch mit Adminrechten starten. Diese Kommandos gibt man nur einmal ein, sie werden dann ihrerseits als einfache Batches gespeichert. Danach ruft man sie dann mit ihrem Kurznamen auf (im Effekt tippt man die ersten paar Zeichen, drückt Tab-Return, und los geht's). Nahezu derselbe Komfort also. Nur eben vollständig kontrollierbar. Erscheint in Kürze auf faq-o-matic.net. :D Gruß, Nils ... und hat etwa 30 Minuten gebraucht ...

Moin, wirklich Best Practice ist was nicht? DHCP Split Scope ist eine bewährte und anerkannte Variante, um DHCP ausfallsicher zu betreiben, wenn du das meinst. Gruß, Nils

Moin, um das ganze mal wieder zu versachlichen: Die Idee ist nachvollziehbar, ebenso der Ansatz. Ich unterstelle mal positiv, dass dein Programm wirklich nur das Beschriebene macht. Trotzdem wird, wie du ja merkst, in einem halbwegs informierten und professionellen Umfeld niemand eine solche Software aus letztlich unbekannter Quelle verwenden - gerade weil sie nur im Admin-Kontext läuft. Also nichts Persönliches, sondern etwas Prinzipielles. Trotzdem danke für die Idee und den Hinweis. Gruß, Nils

Moin, von was für "Werbekacheln" sprichst du denn die ganze Zeit? Mir ist noch keine aufgefallen. Gruß, Nils

Moin, naja, der Ansatz ist erst mal simpel: Man startet ein Programm mit Adminrechten. Von dort aus startet man andere Programme. Diese haben dann auch Adminrechte. Wie der TO schon sagt: Das ist im Prinzip das gleiche, als würde man ein CMD-Fenster mit Adminrechten starten. Dies lässt man offen und startet von dort dann andere Programme. Das mache ich regelmäßig so. Das ist ein Weg, mit dem man weder die UAC noch andere Sicherheitsmechanismen aushebelt. Den Weg kann man nur gehen, wenn man ohnehin ein Adminkonto hat, das man zum Starten des ersten Prozesses benutzt. Ob das nun CMD ist oder ein anderes Programm, macht keinen prinzipiellen Unterschied. Natürlich muss man einem externen Programm in diesem Fall vertrauen. Ich selbst würde sowas daher nur einsetzen, wenn ich den Quellcode lesen und verstehen kann. EDIT: Weder auf der Webseite noch im Download ist der Quelltext enthalten. Man kann also nicht prüfen, ob das Programm vertrauenswürdig ist. Daher rate ich ebenfalls von Download und Einsatz ab. Gruß, Nils

Moin, nee, such nach "Rogue DHCP". ;) Gruß, Nils

Moin, generell funktioniert das problemlos. Mehr kann man dazu ohne Kenntnis der Umgebung nicht sagen. Gruß, Nils

Moin, ja, denkbar wäre das. Sowas in der Art haben wir auf anderer Ebene auch schon mal bei einem Storagesystem gesehen. Da war eine Platte in einem seltsamen Zwischenzustand, was das Storagesystem nicht richtig erkannt hat. Im Ergebnis ist das ganze Storage ausgefallen, weil keiner seiner Verfügbarkeitsmechanismen angesprungen ist. Das sind "schöne" Beispiele, dass technische Verfügbarkeitsmechanismen bei weitem nicht alle Schadensszenarien abdecken. Gruß, Nils

Moin, lies den Artikel in der (noch) aktuellen c't. Der geht sehr gut auf deine Bedenken und Fragen ein. Die Befürchtungen bezüglich der "Datensammelwut" und der Werbung sind im Wesentlichen etwa unbegründet (ich musste z.B. noch auf keinem einzigen Windows-10-Rechner irgendwelche Werbung entfernen). Gruß, Nils

Moin, man beachte, dass diese Einstellungen nur wirken, wenn die betreffende VM nicht in einem Host-Cluster läuft. In dem Fall kümmert sich der Clusterdienst darum, und die VM-Einstellung wird ignoriert. Gruß, Nils

Moin, entweder so wie Sunny61 es sagt - nicht schön, aber besser als die "Lösung" mit dem Kennwort im Skript. Oder so wie lefg es sagt, wobei in dem Fall eine Active-Directory-Domäne eingerichtet werden muss, weil man die User und Gruppen sonst nicht zentral verwalten kann. Dies ist durchaus vorzuziehen, weil es bei mehr als, sagen wir, 5 Usern den Aufwand senkt und auch tendenziell für ein höheres Sicherheitsniveau sorgt. Gruß, Nils

Moin, eine Variante des Split Scope wäre, wenn auf beiden Servern unterschiedliche Ausschlüsse definiert sind: Beide Server bedienen 192.168.24.x, wobei auf Server 1 die Adressen .1 bis .120 ausgeschlossen sind und auf Server 2 die Adressen .121 bis .254 (oder in der Art). Wenn tatsächlich die Reservierungen für denselben Scope auf beiden Seiten unterschiedlich sind, dann deutet das aber eher auf eine Fehlkonfiguration hin. Ich würde dann auch erwarten, dass es sporadisch zu Fehlern kommt, denn wenn für Gerät A nur eine Reservierung in Server 1 vorliegt, er aber eine Adresse von Server 2 angeboten bekommt, dann könnte er eben eine andere als die gewünschte Adresse bekommen. Sollte man sich also in Ruhe ansehen und ggf. neu machen. Gruß, Nils

Moin, dann wäre meine Entscheidung klar: Bei diesen Usern würde ich das Roaming Profile abschalten. Gruß, Nils

Moin, Windows 10. Ansonsten findest du ihn der aktuellen c't eine Menge Pro und Contra. Gruß, Nils

Moin, bist du dir generell sicher, dass Lagged Copies sinnvoll für eure Umgebung sind? Viele Kunden wollen das unbedingt machen, aber wenn man es mal in Ruhe mit ihnen durchgeht, rücken sie davon wieder ab. Gruß, Nils

Moin, wenn ich nicht ganz falsch liege, heißt die betreffende Produktfamilie jetzt Windows 10 IoT und wird völlig separat lizenziert. Sie beruht auf Windows 10, ist aber eben für Em bedded-Geräte gedacht. Den Lizenzkey einer anderen Edition wird sie mit Sicherheit nicht akzeptieren. Außerdem werden ihr wahrscheinlich Unternehmensfunktionen wie Domänenmitgliedschaft usw. fehlen. Der Grund für die Idee liegt allen Ernstes in der Optik?! Gruß