NilsK

Moin, so auch nicht mit Windows Server 2012 R2 umsetzbar. So gar nicht sinnvoll umsetzbar. Abgesehen von speziellen Hardware-Systemen sind für VM-Cluster sowohl unter Hyper-V wie auch unter vSphere und allen anderen Hypervisoren immer zentrale Storage-Systeme nötig. Warum genau willst du das nicht mit eurem NetApp-System umsetzen? Genau sowas nutzt man in der Regel dafür. Und warum soll es ein veraltetes Betriebssystem sein? Gruß, Nils

Moin, in solchen Fragen gilt immer: Wer misst, misst Mist. :D Allgemein geht man heute davon aus, dass aktuelle Virtualisierungssysteme einen Overhead von weniger als fünf Prozent erzeugen, was "die Performance" angeht. Da es dabei aber ungefähr 5000 mögliche Abhängigkeiten, Parameter und vor allem Möglichkeiten für Konfigurationsfehler gibt, kann man das beim besten Willen nicht genauer sagen. Alle seriösen Benchmarks der letzten Jahre haben im Wesentlichen festgestellt, dass die verschiedenen Bare-Metal-Hypervisoren sich in der Performance nicht grundsätzlich unterscheiden. Gruß, Nils

Moin, solche Konstrukte sind schnell sehr komplex und führen noch schneller in die Irre. Im Labor mag man sowas technisch hinbekommen, in der Praxis ist es meist ein Apltraum. Der bessere Weg ist, die Strukturen (und Prozesse) so aufzubauen, dass solche Klimmzüge nicht nötig sind. Gruß, Nils

Moin, das ADFS-Token ist ein XML-Dokument im SAML-Standard. Es hat mit Kerberos oder NTLM nichts zu tun. Man kann es auch nicht dadurch ersetzen. In Wirklichkeit ähnelt das SAML-Token auch nicht dem Kerberos-Ticket, nur der Protokollablauf basiert an einigen Stellen auf ähnlichen Ideen. Das Token kann je nach Konfiguration der Anbindung verschiedene Daten enthalten. Der interne Username gehört normalerweise nicht dazu. Das Kennwort ist nie im Token enthalten, auch nicht der Windows-Kennworthash. Das ist ja gerade der Witz an SAML. Manche Provider erfordern allerdings zur Identifikation des Users "personenbezogene" Daten wie die Mail-Adresse (sehr häufig) oder auch den Usernamen (eher selten). Das ist aber eine Sache zwischen Kunde und Provider und hat mit ADFS oder SAML an sich nichts zu tun. Ein Hacking interner Daten ist durch das Verfahren weitgehend ausgeschlossen. Man sollte aber im Auge behalten, dass ADFS/SAML kein Ersatz für die interne Authentisierung sind, sondern im Wesentlichen zur Anbindung externer Dienste dienen. [ADFS: Grundlagen und Architektur | faq-o-matic.net] http://www.faq-o-matic.net/2014/04/02/adfs-grundlagen-und-architektur/ Gruß, Nils

Moin, so kenne ich das Verhalten an Domänencontrollern nicht. Da ein DC ja gar keine lokale Benutzerdatenbank hat, kann man sich dort auch gar nicht mit einem lokalen Konto anmelden. Funktioniert es denn in solchen Fällen, wenn du die Anmeldung einfach fortsetzt? Jedenfalls dürfte das Phänomen nur auftauchen, wenn man sich mit "dem" Administrator-Konto anmeldet, bei anderen (eher) nicht. Windows erkennt nämlich, wenn es auf dem lokalen Rechner ein gleichnamiges Konto gibt wie in der Domäne und schaltet in solchen Fällen auf lokale Anmeldung um. Will man das verhindern, dann muss man ausdrücklich angeben, wo man sich anmelden will. Für eine Domänenanmeldung also: DOMÄNE\Username Und für lokale Anmeldung: RECHNERNAME\Username oder einfacher: .\Username (Punkt-Backslash) Gruß, Nils PS. Und allgemein sollte man nicht mit "dem" Administrator-Konto arbeiten. Das ist nur für Notfälle da.

Moin, ein Laufwerksmapping bezieht sich immer auf den User, der es ausführt. Wenn du dein Batch also als Admin ausführst, wird das Laufwerk für den Admin gemappt, nicht für den User, der gerade angemeldet wird. Ebenso startest du dann Word und Excel als Admin, damit sind diese aber nicht auf dem Desktop des Users zu sehen. Gruß, Nils

Moin, ein Authoritative Restore ist immer manuell. (Es sei denn, du deklarierst das ganze AD als autorisierend, aber das willst du nicht.) Das Schema lässt sich nicht zurücksetzen. Das ist aber auch eigentlich überall dokumentiert, wo es um das AD-Schema geht. (Ganz nebenbei gibt es dafür aber auch praktisch keinen Grund - außer man hat unter Missachtung der Regeln im Schema manuell rumgefummelt und Attributkonflikte verursacht; wobei auch die sich größtenteils korrigieren lassen.) Gruß, Nils

Moin, vielleicht war nicht ganz klar, dass SetACL ein Zusatztool ist: http://helgeklein.com/setacl/ Gruß, Nils

Moin, nimm lieber SetACL. Gruß, Nils

Moin, sehe ich auch so. Die angegebene Größe ist noch lang nicht "riesig", aber sie kommt in Dimensionen, die beginnen können, unhandlich zu werden. Da die Datenbank eine übliche Einheit für Backup und Recovery ist, sollte sie nicht "zu groß" werden - was das heißt, muss man von den individuellen Gegebenheiten abhängig machen. In KMU-Umgebungen sollten es nicht mehr als niedrige dreistellige Werte sein. Beachte aber, dass die Zahl der Datenbanken in der Standard Edition auf fünf begrenzt ist, wobei die Öffentliche-Ordner-DB mitgezählt wird. Größenbeschränkungen sind sehr zweischneidig, weil sie diverse Folgeprobleme erzeugen (vor allem unkontrollierte Ablage von PST-Exports, viel Zeitaufwand für die einzelnen User). Muss man abwägen. Gruß, Nils

Moin, dir ist schon klar, dass ein User mit dem System anstellen kann, was er will, sobald er lokaler Admin ist? Und dass er das auch tun kann, wenn wer nur kurz Admin ist? Und dass er dann z.B. die Anwendung der Gruppenrichtlinie verhindern kann, die ihm die Adminrechte wieder nehmen will? Kopfschüttelnd, Nils

Moin, schtasks /? sollte dir den Weg weisen. Ob es für dein Vorhaben auch noch bessere Wege gibt, kann ich mangels Detailkenntnissen der Provisioning-Technik nicht sagen. Gruß, Nils

Moin, am Ende wäre ein Test die aussagekräftigste Variante. Die meisten Replikationen basieren ja auf Snapshots - interessant ist also nicht die Änderungsrate auf Blockebene, sondern das Block-Delta zwischen zwei Snapshots. Das kann je nach Applikation deutlich geringer sein. Perfmon mit einer Überwachung der geschriebenen Bytes oder Schreibvorgänge pro Sekunde? Die letzten Backups vergleichen und als Grundlage nehmen? Andere Quellen geben auch nur grobe Hinweise, z.B.: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2037268 http://read.virtualizeplanet.com/?p=91 http://blogs.technet.com/b/tommypatterson/archive/2012/10/10/replication-with-hyper-v-replica-part-ii-restricted-bandwidth-replication-step-by-step.aspx http://jpaul.me/?p=1316 Gruß, Nils

Moin, Überwachen des Storage-Systems ...? Wozu brauchst du die Daten? Gruß, Nils

Moin, der einfachste Weg ist i.d.R. tatsächlich, die Ausgabefunktion in Out-File umzuändern und die nötigen HTML-Tags in die Ausgabestrings mit einzuarbeiten. Beispiel: $OutputFile = 'C:\Pfad\Datei.html' '<html><body><table>' | Out-File $OutputFile [...] if ($EntryDate -lt $Date) { "<tr><td>Alarm</td><td>" $entry.DisplayName "</td><td>" $Entry.Mail "</td><td>" $EntryDate "</td></tr>" | Out-File $OutputFile } else { "<tr><td>OK</td><td>" $entry.DisplayName "</td><td>" $Entry.Mail "</td><td>" $EntryDate "</td></tr>" | Out-File $OutputFile } [... unten nach der Schleife] '</table></body><html>' | Out-File $OutputFile Ungetestet. Gruß, Nils

Moin, 32 GB braucht dein Exchange in der Umgebung auch beim besten Willen nicht. Gut, du hast sie übrig, aber nicht dass noch jemand denkt, das sei sinnvoll so. ;) Backup: Für AD auf jeden Fall ein Systemstate-Backup innerhalb der VM, auch wenn du auf VM-/Host-Ebene noch Backups machst. Ansonsten können wir dir selbstverständlich kein fertiges Backupkonzept liefern. Das wäre in Wirklichkeit ein Recovery-Konzept, und das hängt erstens von den Anforderungen des Kunden ab und ist zweitens eine hochwertige Dienstleistung. Falls du vorhast, mit hostbasierten VM-Backups zu arbeiten, kommen die Produkte von Veeam und von Altaro in Frage. Gruß, Nils

Moin, ActiveSync braucht keine Exchange Enterprise CAL. Gruß, Nils

Moin, sind die anderen oben genannten Probleme denn jetzt weg? Dienste, die mit "Access denied" nicht starten, will man nicht als Ausgangsbasis. Gruß, Nils

Moin, exakt. NIEMALS Hyper-V als Rolle zu einem bestehenden System hinzufügen, das irgendwas anderes macht. Gruß, Nils

Moin, aufgrund der übermittelten Daten kann man das Problem nicht identifizieren. Vielleicht einfach noch mal neu installieren. Gruß, Nils

Moin, ah, jetzt komme ich langsam dahinter ... bei deinem Beispiel oben ging es nicht um ein einzelnes Userobjekt, das auf vier Arten dargestellt wird, sondern um vier Objekte, bei denen dasselbe Feld unterschiedlich zusammengesetzt ist? OK, ja, dann ist die Antwort einfach, und Norbert hat sie schon gegeben. Gruß, Nils

Moin, es ist nicht ganz klar, wovon du redest. Was meinst du mit "Anzeigename in der Benutzerübersicht"? AD hat für die Namen sehr viele einzelne Attribute, die an unterschiedlichen Stellen genutzt werden. Da müssten wir jetzt erst mal klären, von welchen Attributen und welchen Ansichten hier die Rede ist. Gruß, Nils

Moin, wobei man hier auch ruhig die Kirche im Dorf lassen darf. Bei 20 Usern/Postfächern sind erfahrungsgemäß 2 vCPU kein ernsthaftes Problem. Auch ein Fileserver braucht erfahrungsgemäß in so einer Umgebung nicht unbedingt mehr als eine CPU, ein DC schon gar nicht. Auch in Kombination sehe ich da nicht pauschal ein Problem - der DC hat dann ja in so einer Umgebung praktisch nichts zu tun. Wenn sich hier mit schmalem Budget die Zahl der Cores (notfalls die der Threads) erhöhen lässt, ist das einen Gedanken wert. Ich würde aber wirklich nicht erwarten, dass man da einen Unterschied messen, geschweige denn spüren würde (bei 20 Usern, wohlgemerkt). Bei den Platten sehe ich ehrlich gesagt bei so einer Umgebung auch nicht so das Problem. Sicher geht es schneller und toller, aber 20 User werden ja vermutlich keine High-End-Anforderungen haben. Viel kritischer sehe ich die Frage, ob denn hier auch an ein vernünftiges Backup gedacht wurde - und vor allem an die Frage, wie und wo man das denn im Fall des Falles wiederherstellen will. Das ist in SMB-Umgebungen viel eher das Problem. Gruß, Nils PS. Auch wenn viele das immer wieder zu vermuten scheinen, ist Leasing ja nicht billiger, sondern teurer. Die Kosten verteilen sich halt nur.

Moin, da Microsoft (meines Wissens) für die Nutzung von ActiveSync in einer Client-Software Geld verlangt (vom Anbieter der App bzw. des Geräts, soweit ich weiß), wirst du außerhalb der im Betriebssystem mitgelieferten Apps wohl nicht viel finden. Ab Windows 8 kann Windows Mail ActiveSync, bei den Mobilgeräten ist i.d.R. ja eine App dabei, die das auch kann. Gruß, Nils

Moin, die Browserliste kann auch schon mal über eine Stunde brauchen, bis sie einigermaßen aktuell ist. Du wirst sie aber doch auch gar nicht brauchen - die Liste der Rechner dürfte doch ziemlich statisch sein, oder? Also einmal anlegen, fertig. Bei Bedarf manuell aktualisieren. Die Lösung mit dem lokal laufenden Skript und der Flag-Datei fände ich auch besser. Gruß, Nils