NilsK

Moin, neenee, der eigene kann sehr wohl Admin sein, aber er wird dann eben durch UAC eingeschränkt. Der Builtin-Administrator ist das einzige Konto, bei dem UAC nicht aktiv ist. Passt also. Gruß, Nils

Moin, ... und neu starten muss man dann auch noch. Abgesehen davon, ist es meist die bessere Option, mit der UAC richtig umzugehen als sie abzuschalten. Und ja, die beschriebenen "Phänomene" passen exakt auf UAC. Gruß, Nils

Moin, bevor hier in großem Stil ein Verunsicherungskurs gefahren wird, lasst uns eins festhalten: Beim absolut überwiegenden Teil von Serverapplikationen ist durch Virtualisierung kein nennenswerter Performancenachteil zu erwarten. Aussagen von Softwareherstellern in dieser Hinsicht sind oft nichts als Ausreden, weil man dort nicht die Kenntnisse hat, um den Kunden beim korrekten Aufbau seiner Umgebung zu beraten. Die Fälle, in denen ich sowas beobachtet habe, waren praktisch alle darauf zurückzuführen, dass die VM-Umgebung schlecht konfiguriert war. Das ist der eigentliche Punkt: Auch heute ist Virtualisierung kein Selbstläufer. Man braucht dazu schon Know-how. Gruß, Nils

Moin, Beiträge 8, 9, 12, 15, 16 und 17. ;) Gruß, Nils

Moin, kann ich so überhaupt nicht bestätigen. Vor allem den ersten Absatz. Bei Disk-I/O gilt das, was für die Virtualisierung allgemein gilt: Man muss schon wissen, was die konkreten Workloads (also die VMs) wirklich benötigen. Sonst kann man nicht sizen. Und das Problem mit dem Dienst, der stolpert, klingt für mich nach Einzelfall. Habe ich so noch nirgends beobachtet. Vielleicht ist die Software einfach schlecht geschrieben oder der Hersteller hat eine Ausrede gesucht. Gruß, Nils

Moin, höhere Rechte als lokaler Administrator kann man nicht haben. Auch ein Domänen-Admin hat keine höheren Rechte auf einem System. Zwei Möglichkeiten: Dir steht die UAC im Weg http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/ Es fehlen Rechte am konkreten Objekt (Ordner), aber die kann ein lokaler Administrator sich einfach selbst erteilen Gruß, Nils

Moin, das mit dem Antivirus ist entweder eine Glaubensfrage oder eine Frage der Disziplin. Die kurze Antwort: Ja, AV sollte im Management OS laufen, dabei strikt auf die Ausschlussliste achten (sollte sich bei MS finden). Die lange Antwort: Wenn man einen Host nur als Host betreibt (keine lokalen Sessions, keine Datenablage, kein Web-Browsing, keine wechselbaren Datenträger, kein Zugriff auf Dateiserver, Firewall an usw.), dann braucht man kein AV - hat man auf einem vSphere-Host ja auch nicht. Da das aber meistens so nicht durchgehalten wird, ist AV sehr ratsam. Gruß, Nils

Moin, OK, danke für die Rückmeldung! Gruß, Nils

Moin, wenn du "auf dem Host" (= im Management OS) eine Software installiert, die nicht direkt und ausschließlich dem Management der Virtualisierung dient, dann musst du dem Management OS eine Lizenz zuweisen. Damit ist dann nur noch eine einzige VM (in der Standard Edition) lizenziert. Das ist bei einer Backupsoftware, die Backups anderer Maschinen steuert, eindeutig der Fall (wäre es nur ein Agent, dann fiele das unter den ersten, nicht lizenzpflichtigen Fall). Abgesehen davon, trifft hier natürlich wieder zu, was Dunkelmann sagte: Eine solche Software braucht Ressourcen, je nach Situation durchaus erheblich. Die fehlen dann natürlich der eigentlichen Aufgabe des Hosts, die VMs zu betreiben. Und: Ist der Host weg, kommst du auch nicht an dein Backup. Gruß, Nils

Moin, ist der zweite Server Domänenmitglied? Gruß, Nils

Moin, okay, also, ein Datev-Server für 40 Personen braucht ganz bestimmt nicht "das Maximum" an Performance. Wenn du die Hyper-V-Umgebung sinnvoll aufbaust, kannst du das problemlos darauf betreiben. Klär das aber vorher mit Datev ab, die sind da oft pingelig. Den DC solltest du auf jeden Fall davon trennen. Gruß, Nils

Moin, du kannst auf deinem Exchange gar keine Mailadresse einrichten, die zu einem anderen Unternehmen gehört. Bitte kläre noch mal genau, was die wollen. Gruß, Nils

Moin, diese Eigenschaft gibt es so nicht. Der Wert wird im Moment der Abfrage berechnet. Solche "computed attributes" gibt es viele, aber die tauchen nicht in der Liste der Attribute auf, weil es ja eigentlich keine Attribute sind. Gruß, Nils

Moin, hm, irgendwie hatte ich mit so einer Antwort gerechnet. Das ist sozusagen prototypisch. Nimm es mir nicht übel, aber: Das ist völlig illusorisch. Ich hatte nach der maximal tolerierbaren Ausfallzeit gefragt. Wenn du sagst, die liegt bei 30 Minuten - dann heißt das: Ab Minute 31 beginnt der Schaden für euer Unternehmen so groß zu werden, dass das Unternehmen in seiner Existenz bedroht sein könnte. Wirklich? Wenn das so ist, wie kommt es dann, dass für eine Vorkehrung dagegen kein ausreichendes Budget zur Verfügung steht? Ist euer Unternehmen weniger wert als ein paar 10.000 Euro? Hier passen also ein paar Dinge nicht zusammen. Um es deutlich zu sagen: Eine Ausfallzeit von unter 30 Minuten ist absolute Königsklasse. Dafür geben Unternehmen, die sowas brauchen, siebenstellige Summen aus. Wir verlassen hier den Bereich, den man in einem Forum sinnvoll behandeln kann. Meine Empfehlung ist: Lass dir einen kundigen Berater kommen, der mit euch in Ruhe die Anforderungen entwickelt und Möglichkeiten und Grenzen aufzeigt. Gruß, Nils

Moin, wollen wir jetzt noch weiter diskutieren? :rolleyes: Okay, wenn es sein muss: Wir haben hier sehr oft Anfragen der Art "Ich habe XY probiert und das geht nicht". Alle stürzen sich darauf und suchen nach Lösungen, wie man XY machen kann. Irgendwann nach -zig Beiträgen stellt sich dann heraus, dass der Fragende eigentlich gar nicht XY machen wollte, sondern ABCDE. Während seiner Arbeiten war er dann der Meinung, dass er dafür XY braucht, was aber eigentlich gar nicht nötig wäre. Stattdessen könnte man auch ZY oder MNO machen - das hätte man dann auch gleich vorschlagen können, wenn man gewusst hätte, dass das Ziel ABCDE heißt. Im konkreten Fall hast du angegeben, dass du "www.beispieldomain.de" erreichen kannst, aber nicht "beispieldomain.de" oder "test.beispieldomain.de". Du hast aber nicht angegeben, ob es sich dabei um eine eigene Webseite handelt ob es eine interne Webseite ist oder eine externe ob du "beispieldomain.de", "test.beispieldomain.de", "<beliebig>.beispieldomain.de" erreichen willst oder nur einzelne davon ob auf diesen Adressen immer dasselbe antworten soll oder unterschiedliche Dienste wie es derzeit eingerichtet ist was du schon versucht hast Kurz: Was du eigentlich vorhast Manchmal funktioniert es, dass man einfach rät, was denn der Fragesteller vorhaben könnte. Allzu oft funktioniert es aber nicht, und dann machen sich alle unnötig viel Arbeit. Oft auch noch garniert mit ungeduldigen Kommentaren des Fragestellers. Muss nicht sein, oder? Gruß, Nils

Moin, welche Anforderungen bestehen genau an die Verfügbarkeit? Welche Ausfallzeiten sind für das Unternehmen tolerierbar? (Damit meine ich nicht: Wann wird es unbequem, sondern: Wann entsteht ein gravierender Schaden?) Eine Antwort wie "es soll immer laufen" oder "es darf halt nicht ausfallen" ist hier nicht zielführend. Failover-Clustering wird häufig deutlich unterschätzt, das scheint mir auch hier der Fall zu sein. Damit ein Cluster wirklich das leistet, was man (üblicherweise) von ihm erwartet, muss er sorgfältig aufgebaut werden und ist alles andere als ein preisgünstiges Konstrukt. Für einen Hyper-V-Cluster braucht es neben den Hosts ein zentrales Storage und eine Netzwerk-Infrastruktur. Beide müssen so beschaffen sein, dass sie selbst nicht zum Ausfallpunkt werden. Und selbstverständlich wird zwischen den Hosts und dem Speichersystem erheblicher Netzwerktraffic entstehen - nicht zuletzt deshalb braucht es dafür ein separates Netzwerksegment. Windows Server 2008 R2 ist bereits aus dem Mainstrem-Support gelaufen - das ist ungünstig für ein System, auf das ihr euch künftig verlassen können wollt. Zudem hat 2008 R2 sowohl für Hyper-V als auch fürs Clustering einige Einschränkungen, die heute nicht mehr zeitgemäß sind. Wenn das Budget begrenzt ist, lassen sich die Anforderungen ja vielleicht auch ohne Cluster erfüllen, etwa durch ein gut aufgebautes Recovery-Konzept oder Cold-Standby-Konstrukte. Gruß, Nils

Moin, ach ja, IT-Leute können einfach nicht formulieren, was sie wollen. Sie denken immer nur in Fehlern. Du hast anhand von zwei sehr unterschiedlichen Beispielen angegeben, was nicht funktioniert. Du hast aber nicht angegeben, was du denn genau erreichen willst. Nächstes Mal wäre es schön, wenn du das Ziel nennst, sonst wird es erfahrungsgemäß einfach unnötig schwer, eine Lösung zu finden. Gruß, Nils

Moin, dazu solltest du erst mal kundtun, was du denn erreichen willst. Sonst können wir dir nicht sagen, was du noch machen "musst". Gruß, Nils

Moin, bei solchen Fragen wird immer ziemlich viel herumorakelt. Ich habe in über 20 Jahren IT im Mittelstand noch sehr selten Systeme gesehen, bei denen es tatsächlich auf "das letzte bisschen" Performance angekommen wäre. Wenn es bei dir tatsächlich so wäre, würdest du vermutlich nicht in einem Freizeitforum deine Nachforschungen anstellen, denn dann hättest du entsprechende Ressourcen. Bei solchen Systemen sprechen wir i.d.R. von "richtigen" Budgets, und bei Messungen von Wochen an Aufwand. Dass Virtualisierung heute bei Standardsystemen keine gravierenden Nachteile in Bezug auf die Leistung erzeugt, weißt du ja jetzt. Alles Weitere könnte man jetzt höchstens noch auf der Ebene exakter Spezifikationen diskutieren, aber dafür ist so ein Board dann nun wirklich nicht die richtige Stelle. Wo du die weiteren Features von Virtualisierung ins Spiel bringst - da wird es dann wieder interessant. Einerseits in Bezug auf die Vorteile in der Handhabung, andererseits aber vielleicht auch bezüglich der Performance. Replikation beispielsweise erzeugt schnell eine ganze Menge an Overhead ... aber auch da kommt es wieder auf die genauen Umstände an, ob das überhaupt relevant ist. Gruß, Nils

Moin, vielleicht zäumen wir das Pferd einfach mal von vorn auf ... was soll denn genau erreicht werden? Bislang ist das "Problem" (im Sinne der Anforderung) ja noch nicht beschrieben worden, also können wir auch schlecht eine Lösung finden. Gruß, Nils

Moin, Sammelkennungen können OK sein, wenn man sie auch als solche behandelt. In den meisten Umgebungen wird man sie drastisch einschränken wollen. Die Argumente der Mitarbeiter sind ja nicht von der Hand zu weisen. Vielleicht finden sich bessere Lösungen, oft aber nicht. Gruß, Nils

Moin, so auch nicht mit Windows Server 2012 R2 umsetzbar. So gar nicht sinnvoll umsetzbar. Abgesehen von speziellen Hardware-Systemen sind für VM-Cluster sowohl unter Hyper-V wie auch unter vSphere und allen anderen Hypervisoren immer zentrale Storage-Systeme nötig. Warum genau willst du das nicht mit eurem NetApp-System umsetzen? Genau sowas nutzt man in der Regel dafür. Und warum soll es ein veraltetes Betriebssystem sein? Gruß, Nils

Moin, in solchen Fragen gilt immer: Wer misst, misst Mist. :D Allgemein geht man heute davon aus, dass aktuelle Virtualisierungssysteme einen Overhead von weniger als fünf Prozent erzeugen, was "die Performance" angeht. Da es dabei aber ungefähr 5000 mögliche Abhängigkeiten, Parameter und vor allem Möglichkeiten für Konfigurationsfehler gibt, kann man das beim besten Willen nicht genauer sagen. Alle seriösen Benchmarks der letzten Jahre haben im Wesentlichen festgestellt, dass die verschiedenen Bare-Metal-Hypervisoren sich in der Performance nicht grundsätzlich unterscheiden. Gruß, Nils

Moin, solche Konstrukte sind schnell sehr komplex und führen noch schneller in die Irre. Im Labor mag man sowas technisch hinbekommen, in der Praxis ist es meist ein Apltraum. Der bessere Weg ist, die Strukturen (und Prozesse) so aufzubauen, dass solche Klimmzüge nicht nötig sind. Gruß, Nils

Moin, das ADFS-Token ist ein XML-Dokument im SAML-Standard. Es hat mit Kerberos oder NTLM nichts zu tun. Man kann es auch nicht dadurch ersetzen. In Wirklichkeit ähnelt das SAML-Token auch nicht dem Kerberos-Ticket, nur der Protokollablauf basiert an einigen Stellen auf ähnlichen Ideen. Das Token kann je nach Konfiguration der Anbindung verschiedene Daten enthalten. Der interne Username gehört normalerweise nicht dazu. Das Kennwort ist nie im Token enthalten, auch nicht der Windows-Kennworthash. Das ist ja gerade der Witz an SAML. Manche Provider erfordern allerdings zur Identifikation des Users "personenbezogene" Daten wie die Mail-Adresse (sehr häufig) oder auch den Usernamen (eher selten). Das ist aber eine Sache zwischen Kunde und Provider und hat mit ADFS oder SAML an sich nichts zu tun. Ein Hacking interner Daten ist durch das Verfahren weitgehend ausgeschlossen. Man sollte aber im Auge behalten, dass ADFS/SAML kein Ersatz für die interne Authentisierung sind, sondern im Wesentlichen zur Anbindung externer Dienste dienen. [ADFS: Grundlagen und Architektur | faq-o-matic.net] http://www.faq-o-matic.net/2014/04/02/adfs-grundlagen-und-architektur/ Gruß, Nils