NilsK

Moin, willkommen an Board - schön, dass du uns gefunden hast! Grundlegende Designfragen sind in einem Forum nur schwer zu diskutieren. Da empfiehlt sich einerseits Know-how-Aufbau und andereseits ein Beratungsgespräch mit einem kundigen Berater. Zunächst solltest du dir über die Anforderungen Gedanken machen, zu denen sagst du nämlich überhaupt nichts. Also kann es auch keine Lösung geben, weil das "Problem" ja nicht bekannt ist. Ob die Hardware, die du beschreibst, "geeignet" ist, kann man so also gar nicht sagen, weil wir ja nicht wissen, wofür sie denn geeignet sein soll. Eine konkrete technische Anmerkung aber: Xen ist praktisch tot. Schau dir lieber Hyper-V oder notfalls auch VMware an, auch dort gibt es "kostenlose" Hypervisoren - bei Hyper-V sogar ohne funktionale Einschränkung. Mit Xen tust du dir auch deshalb keinen Gefallen, weil es kaum noch kundigen Support dafür am Markt gibt. "Kostenlos" ist Virtualisierung allerdings nie, denn du wirst immer die Windows-Lizenzen brauchen (im Fall von Hyper-V hast du dann auch schon alles dabei, was du für die Virtualisierung als solche benötigst). Gruß, Nils

Moin, wenn ich nicht ganz falsch liege, lässt BitLocker bei der Pre-Boot-Authentisierung nur PINs zu, keine alphanumerischen Kennwörter. Gruß, Nils

Moin, das, was dein Skript macht, bekommst du ja auch mit GPP hin. Dadurch löst du das Problem zwar nicht, erreichst das eigentliche Ziel aber durchaus "besser". Gruß, Nils

Moin, zumindest gibt es solche Zusammenhänge nicht pauschal. Dass Windows-Updates solche Phänomene verursachen, ist mir nicht zu Ohren gekommen. Ich tippe daher eher auf was Individuelles. Gruß, Nils

Moin, ich wollte auch nicht in Abrede stellen, dass es Gründe für die Netztrennung gibt. Der flapsige Hinweis war eher der Tatsache geschuldet, dass Admins sich oft sehr viele Gedanken machen, ohne dass es einen definierten Nutzen dafür gibt. Wenn das bei euch nicht so ist, um so besser. Auf eure Situation dürfte diese Darstellung zutreffen, die ich ganz gut finde: [Active Directory Sites and Services – Bridge all site links - Active Directory FAQ] http://www.active-directory-faq.de/2012/12/active-directory-sites-and-services-%E2%80%93-bridge-all-site-links/ Gruß, Nils

Moin, "kann", "soll" oder "darf"? Das ist ja ein Unterschied. Wenn die Netzwerke die Kommunikation "überall" zulassen, aber die Replikation etwa zwischen Frankfurt und München nicht direkt stattfinden "darf" (warum auch immer), dann wirst du mit dem Automatic Site Link Bridging dein Ziel nicht erreichen. In dem Fall müsstest du mit manuellen Bridges arbeiten - um das "darf nicht" sicherzustellen (auch im Fall von Konfigurationsfehlern usw.) müsstest du das "kann" im Netzwerk aber noch unterbinden, etwa per Firewall. Martin beschreibt das "kann" - die Automatik sollte dir eine funktionierende Lösung aufbauen, wenn die Site Links tatsächlich funktionierende Verbindungen beschreiben. Wenn in dem Fall aber eben eine Kommunikation zwischen den Standorten faktisch möglich ist, dann kann es gut sein, dass du dort auch Replikationstraffic siehst. Gruß, Nils

Moin, also, sagen wir es kurz: "einfach" ist das nicht zu haben. Wenn man eine "harte" Anforderung hat, kriegt man das hin. Dann muss man aber realistisch noch an -zig andere Ecken ran, aus denen ein "nicht vertrauenwürdiger Externer" tiefen Einblick in das Netzwerk nehmen könnte: neben Exchange gibt es ja auch noch andere Applikationen, die Daten aus dem AD per Proxykonto abgreifen ... Gruß, Nils

Moin, das ist auch alles andere als trivial ... Du hast es an der Stelle schon mit stark erweiterten Anforderungen an die Berechtigungen zu tun. Einen User derart stark in seinen Berechtigungen einzuschränken, ist möglich, aber sehr aufwändig. Du bewegst dich damit außerdem schnell in einem Bereich, der nicht oder "nicht mehr richtig" durch Microsoft supportet werden wird. Mit Verweigerungen solltest du nicht arbeiten, weil dadurch schnell unkontrollierbare Situationen entstehen. Das gilt nicht nur im AD, sondern für alle Berechtigungen. Du benötigst für sowas viel Zeit, eine separierte Laborumgebung, grundlegende Scripting-Kenntnisse (niemals manuell einstellen, nur per dsacls) und ein Werkzeug, das dir die Berechtigungen sinnvoll anzeigt (z.B. LIZA von Philipp Föckeler). [Liza: Berechtigungen in Active Directory analysieren | faq-o-matic.net] http://www.faq-o-matic.net/2010/04/06/liza-berechtigungen-in-active-directory-analysieren/ [ice:2010 AD-Delegation – die Folien und Skripts | faq-o-matic.net] http://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/ [berechtigungen in Active Directory dokumentieren | faq-o-matic.net] http://www.faq-o-matic.net/2013/05/27/berechtigungen-in-active-directory-dokumentieren/ [AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net] http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/ Gruß, Nils

Moin, ja, das wäre nett ... hat mit dem Thema ja nun so gar nichts zu tun. Gruß, Nils

Moin, was heißt denn "mag das Windows aber nimmer und auch Office scheint ebenso seine Mühe damit zu haben"? Fehlermeldung? Was passiert? Gruß, Nils

Moin, es gibt durchaus kompetente Berater für sowas. :D Gruß, Nils

Moin, nicht alles, was man theoretisch oder technisch tun kann, ist auch sinnvoll. Vieles davon führt zu Fehlfunktionen. Ein DNS-Namensraum, der vom AD-Namensraum abweicht, wird mit allergrößter Sicherheit zu großen Problemen führen. Lasst das bleiben. AD ist nicht dafür gebaut, dass das funktioniert. Mit DNS-Aliasnamen könnte man evtl. das eine oder andere erreichen. Man sollte sich aber auch hier auf Aufwand und Fehler gefasst machen. Und die Fehler, die zu erwarten sind, werden ziemlich sicher zu der Kategorie "schwer zu finden und schwer zu lösen" gehören. Ich kann nur davon abraten. Falsche oder nicht standardgemäße DNS-Konfigurationen sind mit großem Abstand die Top-1-Fehlerquelle in AD-Umgebungen. Gruß, Nils

Moin, prima, sehr gerne! :) Danke für die Rückmeldung. Gruß, Nils

Moin, ein AD nutzt einen durchgehenden DNS-Namensraum. Unter-Namensräume ohne eigene AD-Domäne sind nicht möglich. Euer Dateiserver-Konstrukt könntet ihr ggf. mit DFS-N nachbilden. Dann haben alle Dateiserver unterschiedliche Namen, aber die Anwender können über einen gemeinsamen Namespace darauf zugreifen, müssen also die einzelnen Namen nicht kennen. Das sieht dann nicht genauso aus wie jetzt, man könnte es aber in gewisser Weise ähnlich machen. Gruß, Nils

Moin, ich hatte mich vertippt. Als ich im zweiten Absatz "NIC4" schrob, meinte ich NIC2: Du definierst einen "externen" vSwitch mit NIC2 als Netzwerkkarte. Dadurch wird NIC2 ein Teil des vSwitch und entfernt alle Protokollbindungen (bis auf das Switch-Protokoll). NIC2 hat dann keine IP-Adresse mehr und besorgt sich auch per DHCP keine - es ist ja kein IP mehr an die Karte gebunden. Die DNS-Einträge, die zu NIC2 gehörten, entfernst du dann, sofern noch welche da sind. Einen vorhandenen DHCP-Lease auf dem DHCP-Server lässt du einfach auslaufen, stört ja nicht. Die IP-Konfiguration der VMs nimmst du im OS der VMs vor. Genau wie du es bei einem physischen Server ja auch machen würdest. Der Host hat mit diesen Konfigurationen nichts zu tun - es handelt sich ja um separate OS-Instanzen. Gruß, Nils

Moin, "ausschließlich für den Hyper V Host" interpretiere ich mal als: Anbindung des Management OS (=Parent Partition oder das, was man oft eben als "Host" bezeichnet) an das LAN, das AD und WSUS. Ja, dann kannst/solltest du nur diese Karte (NIC4) mit IP konfigurieren und daran später keinen vSwitch anbinden. NIC2 wird dann Teil deines vSwitch. Die konfigurierst du auf der Host-Ebene gar nicht. Sprich: Auf DHCP lassen, den DNS-Eintrag entfernen. Sobald du sie in Hyper-V als Teil des vSwitch definierst, verschwinden alle anderen Protokollbindungen und damit auch die IP-Konfiguration für NIC4 im Host. (Dann noch mal DNS prüfen und ggf. den Eintrag dafür entfernen.) So hättest du erst mal eine einfache Konfig. Damit laufen dann eben alle VMs nur über eine Gigabit-Karte. Das ist bei 2 VMs völlig OK. Wenn der Host später mehr VMs hosten soll, wäre ggf. Teaming eine interessante Alternative. Das lasse ich hier aber mal weg, weil das für einen Anfänger in einem Forums-Post dann doch etwas viel ist. Wenn du umfassende Starthilfe brauchst, findest du im Buchhandel ein deutschsprachiges Buch zu Hyper-V in Windows Server 2012 R2 - man verzeihe mir diesen nur gering eigennützigen Hinweis. :) Gruß, Nils

Moin, wie gesagt, ich habe keinen SQL Server bei der Hand. Aber auffindbar sollte das schon sein. Anders als ich es in Erinnerung hatte, wohl doch nicht in den einzelnen Steps, sondern für den Plan als ganzen. [Maintenance Plan (Reporting and Logging Page)] https://msdn.microsoft.com/en-us/library/ms180370%28v=sql.110%29.aspx Gruß, Nils

Moin, RAID 5 als VM-Storage für einen Virtualisierungs-Host? Hoffentlich betreibst du darauf keine I/O-lastigen Applikationen in den VMs. Gruß, Nils

Moin, man sollte ausführbare Dateien nicht aus einem Logonskript über das Netzwerk ausführen. Das führt immer mal wieder zu Problemen. Besser ist es i.d.R., die betreffende Datei in einen lokalen Ordner zu kopieren und dann von dort auszuführen. Gruß, Nils

Moin, du solltest dich dringend mit den Grundlagen des Netzwerks in Hyper-V beschäftigen. Was du dort beschreibst, klingt nach grundlegenden Missverständnissen. Eine pysische Karte, über die du (später) VMs ans LAN bringen willst, konfigurierst du auf Host-Ebene gar nicht. Sie dient später nur noch als "Uplink" für einen virtuellen Switch. Die Karten wiederum, die der Host braucht (Management, Storage, ggf. Cluster-Netzwerk) richtest du nicht als virtuellen Switch ein, dort kommen also keine VMs dran. [Hyper-V und Netzwerke | faq-o-matic.net] http://www.faq-o-matic.net/2012/04/23/hyper-v-und-netzwerke/ (der Artikel bezieht sich noch auf Windows Server 2008 R2, ist aber in den Grundlagen immer noch zutreffend) Bitte erst sauber planen und dann sorgfältig einrichten: Wozu soll welche Karte genau dienen? Welcher Netzwerk-Traffic soll darüber laufen? Wie viele Karten sollen den VMs zur Verfügung stehen (möglichst: Exklusiv nur den VMs)? Soll Teaming für Failover- und Load-Balancing-Zwecke genutzt werden? ... Gruß, Nils

Moin, ich habe gerade keinen SQL Server da. Aber im Baum links solltest du die Wartungspläne finden und zum Bearbeiten öffnen können. In den Eigenschaften der einzelnen Steps solltest du dann auch den Protokollpfad festlegen können. Es handelt sich ja um das Protokoll des Wartungsplans. Gruß, Nils

Moin, das sollte in den Eigenschaften des Wartungsplans bzw. des betreffenden Steps stehen. Gruß, Nils

Moin, dann gibt es netzwerkseitig mehrere Wege zwischen den beiden Hosts (logisch in einem Cluster), und der Server entscheidet sich eben für das Management-Netz. Die IP-Adresse, die du angibst, dürfte dabei nur die initiale Verbindung herstellen, Authentisierung und SMB-Traffic geht dann über das aus Sicht des Servers bestgeeignete Netz. Das ist einer der Gründe, warum Dateikopien als Leistungstest nur selten geeignet sind. In der Praxis wirst du ja selten große Datenmengen zwischen den Hosts kopieren. Für die Live Migration etwa kannst du die zu verwendenden Netze ja direkt angeben. Da im Normalfall über das Management-Netz so gut wie keine Daten fließen (höchstens mal bei Updates), könnte man sich auch überlegen, die Konfig zu vereinfachen: Die Gigabit-Karten gar nicht nutzen und deaktivieren, das Management-Netz auch per vNIC an den "ConvergedSwitch" anschließen. (Nebenbei ist der Name nicht treffend, denn den Storage-Verkehr leitest du ja gar nicht darüber - wirklich "converged" ist das nicht.) Gruß, Nils

Moin, dazu sagst du zu wenig darüber, wie der Datenbankzugriff denn funktioniert. Befindet sich davor eine Webanwendung? Ohne das Szenario genau zu kennen, kann man auf solche Fragen keine sinnvollen Antworten geben. Gruß, Nils

Jaja, die wissen mittlerweile auch, wo der Barthel den Most holt. Dass Microsoft sich über die überzogenen Lizenzpreise von Oracle mokiert hat, ist lange her ... Gruß, Nils