NilsK

Moin, das heißt genau was? Wie groß ist denn die Domäne? In kleineren und mittleren Umgebungen ist eigentlich nie mehr als eine CPU für einen DC nötig. Gruß, Nils

Moin, du kannst nicht mehr Logische Prozessoren (LP) an eine VM zuweisen, als der jeweilige Host hat. Heißt: Dieselbe VM kann nicht mehr vCPUs (das sind die CPUs, die die VM als "virtuelle Hardware" bekommt) zugeteilt bekommen, als LPs im Host sind. Du kannst aber durchaus mehrere VMs betreiben, deren vCPU-Summe über der LP-Summe des Hosts liegt ("Überbuchung"). Das ist ja der Witz an der Virtualisierung: Die VMs kommen "abwechselnd" an die Reihe. LPs sind im Wesentlichen Cores - falls Hyperthreading aktiv ist, auch noch die HTs. Ob HT für die Virtualisierung "gut" ist oder nicht, kann man nicht pauschal sagen. In den meisten Umgebungen stört es zumindest nicht; in High-Performance-Umgebungen verzichtet man eher darauf, weil es ja keine echten Cores sind. In dem Grenzbereich sind aber nur wenige Umgebungen. Grundsätzlich empfehle ich, vCPUs konservativ zuzuweisen, also immer mit einem geringen Wert pro VM zu starten (sprich: oft mit einer vCPU). Sollte sich tatsächlich für eine VM die CPU-Leistung als Engpass herausstellen, kann man das ja schnell beheben. Generell stellt die CPU fast nie den Engpass eines Hosts dar, aber man sollte es nicht übertreiben. Deine CPU (nur eine?) hat 6 Cores, ohne HT also 6 LPs und mit HT 12 LPs. Deine Zuordnung von vCPUs sieht für die (mutmaßlichen) Aufgaben der VMs völlig OK aus. Du hast dann noch zwei LPs frei, ohne die CPU zu überbuchen. Dabei ist eine CPU-Überbuchung in fast allen Fällen normal und in Ordnung. Man sieht oft VM-Hosts mit vier-, fünfmaliger Überbuchung, und die laufen meist super. In deinem Beispiel wären das 24 bzw. 30 vCPUs, die du an die VMs vergeben könntest. Einige Anwendungen empfehlen ein bestimmtes Höchstverhältnis, z.B. ist bei Exchange eine maximale Überbuchung von 2:1 unterstützt (was aber nicht heißt, dass es bei höherer Überbuchung nicht laufen würde). [Hyper-V-Sizing: Virtuelle und echte CPUs | faq-o-matic.net] http://www.faq-o-matic.net/2011/01/26/hyper-v-sizing-virtuelle-und-echte-cpus/ Gruß, Nils

Moin, seit einiger Zeit stellen kommerzielle CAs keine Zertifikate mehr aus für Namen, die nicht öffentlich erreichbar sind. Ab November 2015 dürfen sie es auch nicht mehr. https://www.digicert.com/internal-names.htm (dort ist ganz unten auch ein Tool verlinkt, das die Exchange-Konfig anpassen kann, getestet habe ich das aber noch nicht) Grundsätzlich ist der empfohlene Weg, nur mit öffentlichen URLs zu arbeiten und diese intern ggf. per Split-DNS auflösbar zu machen. Da das im Einzelnen etwas Designarbeit erfordern kann, gebe ich in diesem Rahmen keine näheren Hinweise dazu. Welche Namen im Zertifikat stehen sollten, sagt dir ein guter Assistent in Exchange 2013 (sofern du dir über dein Grunddesign im Klaren bist). Gruß, Nils

Moin, so einfach, wie du dir das anscheinend vorstellst, ist es nicht. Es gibt nicht ein Tool, das dir quasi als Checkliste zeigt, was wo fehlt. Dafür sind IT-Umgebungen zu komplex. Schwachstellenscanner und Tools dieser Art gibt es viele, auch Open Source. Du wirst dich aber immer intensiv einarbeiten müssen. Und du musst eine ziemlich genaue Idee davon haben, was du überhaupt finden willst, welche Szenarien überhaupt relevant sind und wie die Umgebung "funkltioniert". Gruß, Nils

Moin, ja, Windows Server Backup unterstützt die Online-Sicherung von Hyper-V-VMs. Gruß, Nils

Moin, jein. ;) Da der neue DC sich die Rollen ja nicht automatisch "nimmt", wollte ich einfach darauf hinweisen, dass es u.U. von Vorteil ist, sie ihm mindestens temporär zu geben. Absichtlich sozusagen. Vielleicht ist das bei 2008 R2 zu 2012 R2 auch nicht nötig, aber das lässt sich ja recherchieren. Hab ich nur keine Zeit zu. Gruß, Nils

Moin, mag ja sein, dass es einen Anwendungsfall gibt. Der TO hat keinen genannt. Dein Skriptbeispiel überzeugt mich jetzt beim besten Willen nicht - da stehen Aufwand und Nutzen doch in einem eher eigenwilligen Verhältnis. :D Worauf ich hinauswill: Die diskutierte Konfiguration ist weit fernab üblicher Konfigurationen und Empfehlungen. DNS ist mit großem Abstand die wichtigste Fehlerquelle für das AD. Man sollte also, wenn man eine komplexe Konfiguration betreibt, schon sehr sattelfest sein. Dass du das bist, bezweifle ich keinen Moment. Wer aber bislang gar kein AD betreibt, hat u.U. nicht ganz so viel Know-how und Erfahrung. Und da rate ich von solchen Konstellationen eben ausdrücklich ab. Ich habe genügend Kunden beraten, nachdem sie interessante Ideen umsetzen wollten und dann auf enorme Probleme gestoßen sind ... Daher empfehle ich in solchen Fällen dringend, den eigentlichen Anwendungsfall zu definieren und nach möglichst wenig komplexen Lösungsansätzen zu suchen. In diesem Thread diskutieren wir nicht die Lösung eines Problems (das ist ja gar nicht bekannt), sondern die Probleme einer Lösung (um mal wieder meine Lieblingsformulierung anzubringen). Gruß, Nils

Moin, naja, eine geeignete Löschroutine könntest du ja nun auch in das Skript einbauen, oder? Gruß, Nils

Moin, ich kann mir vorstellen, dass Norbert sowas auch sagt. :D Gruß, Nils

Moin, es wäre allerdings zu beachten, dass man die FSMO-Rollen in so einem Szenario so bald wie möglich auf einen DC mit dem höchsten Betriebssystem übertragen sollte, zumindest temporär. Es gibt nämlich oft in solchen Fällen Vorgänge, die das AD erst dann durchführt, wenn die FSMO-Rollen erstmals auf dem neuen OS laufen. Das ist nicht bei jedem OS-Upgrade so, und es ist auch nicht zwingend nötig, das sofort zu tun. Empfehlenswert ist es trotzdem. Zur Illustration hier ein Artikel, der sich auf WIndows 2003 beziegt. Das ist in deinem Szenario zwar nicht zutreffend, aber Aktionen dieser Art gibt es m.W. auch bei anderen Versionssprüngen. [Wichtige Betriebsmaster während der Domänenaktualisierung | faq-o-matic.net] http://www.faq-o-matic.net/2005/12/19/wichtige-betriebsmaster-waehrend-der-domaenenaktualisierung/ Gruß, Nils

Moin, ich sehe gerade, dass du anscheinend das Skript direkt vom Netzwerkpfad aufrufst. Sowas kann immer mal zu Problemen führen. Es muss nicht unbedingt eine Verbesserung ergeben, aber versuch doch mal, das Skript zunächst in einen lokalen Ordner zu kopieren und es dann von dort aufzurufen. Gruß, Nils

Moin, in Zeile 84 gibt es bei den betreffenden Clients das Problem, dass die angesprochene Komponente nicht das kann, was das Skript von ihr verlangt. Es scheint sich dabei um objSignatureObject zu handeln, was wiederum ein Word-Objekt zu sein scheint. Sind dort vielleicht unterschiedliche Word-Versionen im Einsatz? Gruß, Nils

Moin, technisch mag das gehen. Vielleicht sogar "einfacher", als ich annahm. Trotzdem bin ich ja ein Freund der Sinnfrage. Damit das funktioniert und irgendeinen Vorteil hat (Anwender nutzen den Hostnamen und kommen auf ihren standortlokalen Server), müssten die Clients zusätzlich ja das Standortsuffix als primäres DNS-Suchsuffix bekommen. Geht doch, wirst du sagen. Klar, geht auch, kriegt man bestimmt hin. Und schon haben wir wieder eine Besonderheit in der Umgebung, um nicht zu sagen, eine exotische Konfiguration. Die vielleicht diesen einen Anwendungsfall vereinfacht, dafür viele andere komplizierter macht. Und nun komme ich noch mal und frage: Warum nicht einfach gleich die Server mit standortspezifischen Hostnamen versehen? Wo könnte ein ernsthafter Vorteil liegen, wenn die Server "gleiche" Hostnamen haben, wo sie ja in Wirklichkeit doch unterschiedliche FQDNs haben? Außer "weil es geht" kommt mir da zumindest bislang nichts in den Sinn. Einen Business Case hat der TO bislang ja auch nicht benannt. Und ganz am Ende werfe ich dann einfach mal das Windows-Feature ein, das für solche Fälle gedacht ist: DFS-N. Gruß, Nils

Moin, "Standardserver: Unknown" bedeutet normalerweise, dass die IP-Adresse in der Reverse-Lookup-Zone nicht in einen Namen aufgelöst wird. Schau also mal nach, ob der DNS-Server dort auftaucht. Auf die Funktion von DNS und nslookup hat das keine Auswirkung. Gruß, Nils

Moin, schau dir mal dies hier an: http://www.faq-o-matic.net/2011/01/03/sql-server-wie-datenablage-backup-und-recovery-funktionieren/ Gruß, Nils

Moin, das hängt davon ab, wie das Replikationsintervall auf der Standortverknüpfung eingestellt ist. Standardmäßig sind das 180 Minuten. Man kann es in 15-Minuten-Schritten zwischen 15 Minuten und einer Woche (meine ich) konfigurieren. Gruß, Nils

Moin, wie immer bei solchen Fragen lautet die Antwort: Kommt drauf an. Gruß, Nils

Moin, dann lies bitte die ursprüngliche Idee noch mal: Er will denselben Hostnamen für mehrere Hosts, aber unterschiedliche DNS-Suffizes. Das gibt beim besten Willen kein brauchbares Konzept in einem AD. Mag sein, dass man das hinbekommt. In Fehlersituationen ist sowas ein Alptraum. Und da es ein vermeidbarer Alptraum ist, bin ich fürs Vermeiden. Gruß, Nils

Moin, lies noch mal den (kurzen) Absatz zum Non-authoritative Restore aus meinem Artikel. :) Gruß, Nils

Moin, ja, das ist im Prinzip beides richtig. Aber: Wenn du NetBT abschaltest, dann gibt es auf NetBT-Anforderungen eben auch keine Antwort. Und in der Praxis gibt es nun mal immer noch viel, was über NetBT eine Liste zusammenstellen will und gar nicht auf die Idee kommt, dass man auch DNS nutzen könnte. Wenn solche Funktionen also gewünscht sind, sollte man NetBT nicht abschalten (und die WINS-Infrastruktur auch nicht). Gruß, Nils

Moin, für euren Anwendungsfall dürfte Office 365 (oder etwas in der Art) vermutlich viel besser geeignet sein. Deine Überlegungen sind jedenfalls ein großes Missverständnis. So fuktioniert das nicht. Gruß, Nils

Moin, immer sehr gerne. Danke für die Rückmeldung! :) Du wirst sicher noch einige passende Ressourcen zu den Hintergründen finden. Wenn sich dann konkrete Fragen auftun, sehen wir uns hier einfach wieder. :) Schöne Grüße, Nils

Moin, ist das ein Terminalserver? [Application Compatibility with INI File Mapping] http://dille.name/blog/2015/03/24/application-compatibility-with-ini-file-mapping/ Gruß, Nils

Lieber Thomas, mal ganz ehrlich - ich schätze einen informellen Umgangston. Da wir uns hier aber in einem technischen Troubleshooting-Prozess befinden, wäre es nett von dir, wenn du deine Beiträge so formulierst, dass man eine Chance hat, sie nachzuvollziehen. Vor lauter Kraftausdrücken und Ausrufezeichen findet man bei dir den Inhalt kaum wieder. Das ist jetzt das zweite Mal, dass ich dich darauf aufmerksam mache. Bitte gib uns eine Chance. Zudem: Wenn wir dir Fragen stellen, dann haben die einen Hintergrund. Wir wollen dich nicht bloßstellen oder so, sondern im Gegensatz zu dir kennen wir die Umgebung nicht und sitzen nicht davor. Was die Betriebsmaster/FSMO angeht: Die hast du offenbar gründlich missverstanden. Es gibt für nahezu alle Vorgänge im AD keine Abhängigkeit von einem bestimmten DC. Das ist ja gerade der Witz an der Multi-Master-Replikation. Sind die Betriebsmaster nicht erreichbar, dann stört das im Tagesbetrieb praktisch überhaupt nicht. Siehe hierzu: [AD: Betriebsmaster-Ausfall – was tun? | faq-o-matic.net] http://www.faq-o-matic.net/2010/09/09/ad-betriebsmaster-ausfall-was-tun/ Zu deinen Grundlagenfragen: Wirklich, das ist in einem Forum nicht zu leisten. Investiere etwas Zeit und Recherche, dann wirst du Informationen zu den Grundlagen finden. Wie schon mehrfach erwähnt, ist das Normalverhalten, dass Clients es nicht bemerken, wenn einer von mehreren DCs ausfällt. Genau darum hat man ja mehrere. Da das bei dir nicht funktioniert, machen wir uns ja hier den Aufwand. Wenn du deinen DC tatsächlich per Export/Import erzeugt hast, kann das tatsächlich ein Grund für die Fehler sein. Sowas sollte man nicht tun. In solchen Fällen ist es z.B. oft so, dass die Netzwerkkarte und deren Konfiguration aus der ursprünglichen VM noch im System vorhanden sind. Durch das Neuerzeugen auf Basis des Exports hat die neue VM eine neue Netzwerkkarte, die sich aber manchmal mit der Konfiguration der alten Karte nicht verträgt. Da es sich um eine Testumgebung handelt, ist meine Empfehlung: Mach die platt und setze sie koordiniert neu auf. Ohne VM-Exporte, VM-Kopien, VM-Vorlagen oder was auch immer. Gruß, Nils

Moin, guckstu: [Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net] http://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/ Gruß, Nils