NilsK

Moin, zu der Frage mit dem "Nachfolger" von Windows Server 2012 R2 folgende Anmerkungen: Release ist im Spätsommer 2015 zu erwarten Tatsächliche Verfügbarkeit außerhalb von VL-Programmen dauert dann erfahrungsgemäß noch mehrere Wochen Wenn man gleich vom Start weg das neue OS produktiv einsetzen will, muss man genau wissen, was man tut. Man sollte es dann schon gut kennen und auch die Kompatibilität und vor allem den Support der Anwendungen, Treiber und Hardware klären. In deiner Situation könnte Software Assurance vielleicht durchaus eine gute Idee sein Gruß, Nils

Moin, 30 Sekunden klingt verdächtig nach einem Netzwerk-Timeout. Probleme mit der Namensauflösung? Gruß, Nils

Moin, dann geht es um die Ablage der Recovery-Keys im Active Directory. Da dies i.d.R. nur eine Zusatzoption ist (man kann den Key auch noch separat zur Dokumentation ablegen, soweit ich weiß), kommt es vor allem auf die Management-Prozesse im Unternehmen an. Es ist daher nicht zu erwarten, dass das Feature als solches zu Problemen führt. sicher. Aber dann muss man eben noch ins Betriebssystem einbrechen. Das könnte man in dem Szenario ja auch gleich direkt tun. Bitlocker mit PIN deckt noch ein zusätzliches Szenario ab, unbestritten. Dadurch wird Bitlocker ohne PIN aber nicht automatisch nutzlos. Kommt halt aufs Konzept an, wie immer in der IT-Security. Dem TO ging es ja aber dann doch um was anderes. Gruß, Nils

Moin, na, das ist so ja nicht richtig. Bitlocker "hilft" in jedem Fall nur gegen Offline-Angriffe. Das laufende System muss man separat absichern. Wenn das Betriebssystem selbst ordentlich abgesichert ist, dann ist Bitlocker mit TPM und ohne PIN durchaus ein sinnvoller Schutz - eben gegen Offline-Angriffe. Mein Lieblingsbeispiel ist der Utilman-Angriff, den man (fast) nur so sinnvoll umgehen kann. @Thomas: "Grundsätzlich" sollte es kein Problem geben, wenn Bitlocker richtig konfiguriert ist. Gerade beim AD würde ich aber versuchen, immer mindestens einen nicht verschlüsselten DC in Betrieb zu haben. Der muss dann natürlich ausreichend physisch abgesichert sein. Dass es im laufenden Betrieb Probleme gibt, ist auszuschließen. Es könnte aber natürlich sein, dass der DC nicht hochfährt ... Gruß, Nils

Moin, nein, Nils meinte schon den Agenten. :) In früheren Versionen von SQL Server Express konnte man den Agenten tatsächlich einfach durch Start des Dienstes nutzen. In der 2012-Fassung, die ich hier gerade ausprobieren kann, geht das auch noch, allerdings fehlen dort dann sämtliche Verwaltungsfunktionen (auch die Stored Procedures dafür sind nicht vorhanden). Ist also offenbar ab 2012 nutzlos. Also ging es mal, geht aber nicht mehr. Ist aber in Wirklichkeit kein Beinbruch, weil man zur Not die Automatisierung auch über den Windows-Taskplaner hinbekommt. Das erfordert in den üblichen Fällen nur wenig mehr Aufwand- Gruß, .Nils

Moin, für genau deinen Zweck ist lastLogonTimestamp gebaut worden. Das empfiehlt man normalerweise dafür. Welche "Unstimmigkeiten" hast du da denn festgestellt? Wenn lastLogon gleich 0 ist, hat sich das Konto noch nicht angemeldet. Trifft das nicht zu? Übrigens brauchst du dir für die Aufgabe kein Skript zu bauen, OldCmp von Joe Richards erledigt die Aufgabe sehr gut. [OldCmp] http://joeware.net/freetools/tools/oldcmp/index.htm Gruß, Nils

Moin, das hinter der Mailbox liegende AD-Konto kannst du mit einem Ablaufdatum versehen. So ist schon mal die Anmeldemöglichkeit "auf Termin" berücksichtigt. Um die Mailbox selbst abzuschalten (= die Verknüpfung zu dem Konto zu entfernen), kannst du das Cmdlet "Disable-Mailbox" verwenden. Dazu könntest du z.B. einen geplanten Task einrichten. Eine eigene Zeitsteuerung sieht Exchange dafür nicht vor. [Disable-Mailbox: Exchange 2013 Help] http://technet.microsoft.com/en-us/library/aa997210%28v=exchg.150%29.aspx Gruß, Nils

Moin, die sinnvollste Option ist, die Mitgliedschaft in der lokalen Gruppe "Remotedesktopbenutzer" zu kontrollieren. Gruß, Nils

Moin, nein, das geht nur auf dem Server. Gruß, Nils

Moin, OWA Light wird angezeigt, wenn Exchange den Browser nicht als aktuell erkennt oder wenn der User es explizit bei der Anmeldung auswählt. Vor einiger Zeit war Exchange 2010 noch nicht in der Lage, den IE11 zu erkennen und hat diesem immer OWA Light gezeigt. Das ist mit neueren Patches aber behoben. Bleiben also noch ein nicht erkannter Browser oder die manuelle Auswahl als übliche Gründe. Gruß, Nils

Moin, also ... selbstverständlich behandelt das Buch in der ersten Auflage "Hyper-V 3.0", also Windows Server 2012. Steht ja auch irgendwie drauf, ne? Das betreffende Kapitel habe ich zufällig selbst geschrieben :) und kann dir versichern, dass die einschlägigen Argumente für meine Empfehlung dabei stehen. Und ja, die sind alle auch mit Windows Server 2012 R2 gültig, sowohl den Host als auch die DC-VM betreffend. Ach so, und: Ja, ich kenne mich neben Hyper-V auch mit dem AD aus. :) Das AD-Kapitel hat sich in der zweiten Auflage nicht geändert, und zwar nicht, weil ich keine Lust hatte, sondern weil sich eben nichts diesbezüglich geändert hat. Im Wesentlichen stehen die Argumente auch in meinem faq-o-matic.net-Artikel, der oben schon verlinkt wurde. Zu dem angeblich nicht vorhandenen Henne-Ei-Problem: Ein Cluster startet auch, wenn das AD gerade nicht erreichbar ist. Er muss dazu aber Mitglied im AD sein und sich vorher erfolgreich dort angemeldet haben. Und nur weil der Cluster läuft, heißt das ja ncoh lange nicht, dass auch alle VMs laufen ... b***d, wenn gerade die beiden virtuellen DCs nicht wollen und man keinen physischen daneben hat. Und: Wenn das AD nicht erreichbar ist, kann es immer noch (bzw. gerade deswegen) Probleme mit der Namensauflösung geben. Muss man alles nicht haben, wenn man einen DC unabhängig vom Cluster hat. Und zu den Kosten: Ein pysischer DC ist für unter 1500 Euro zu haben, inklusive Lizenz. Daran soll es scheitern? Gruß, Nils EDIT: Hatte das mit der 1. Auflage übersehen, stimmte aber inhaltlich trotzdem alles.

Moin, wieso, Norbert und ich haben doch berichtet? Gruß, Nils

Moin, ganz egal, um wieviel Geld es geht: Aus deinen Angaben bist du als Person hier schnell für Insider erkennbar. Du tust dir keinen Gefallen damit, so viele Details und dazu eine Unzufriedenheit mit deinem Job sowie die implizite Bereitschaft, den Job aufzugeben, hier kundzutun. Sowas kann zu einer fristlosen Kündigung führen, wenn es dumm läuft. An deiner Stelle würde ich deinen Eröffnungspost noch mal grundlegend überarbeiten. Inhaltlich: Bei allen Vergleichen solltest du berücksichtigen, dass das tatsächliche Gehalt regional, nach Branche, nach Berufserfahrung usw. sehr unterschiedlich sein kann. Man ist dann schnell dabei, Äpfel mit Kürbissen zu vergleichen. Ich habe z.B. oft Bewerber aus der Region Frankfurt oder aus dem Raum München, die mit Gehaltsvorstellungen ankommen, die hier in Hannover völlig aberwitzig sind. Rein aus dem Bauch finde ich die Summe, von der du sprichst, für einen Junior, der erst vor zwei Jahren ausgelernt hat, so übertrieben niedrig nicht. Aber kommt halt auf die Umstände an. Gruß, Nils

Moin, die Firewall abzuschalten, wenn der Rechner am Internet hängt, ist keine gute Idee. Sollte man also nicht dauerhaft so lassen, maximal kurz zum Testen. Hast du denn nun auch mal versucht, den Virenscanner abzuschalten? Insgessamt allerdings tippe ich auf ein Hardwareproblem - Netzwerkkarte oder Router. Ist dazwischen noch was, ein Switch etwa? Dann ist der auch verdächtig. Verhält sich derselbe Rechner ohne Hyper-V normal? Gibt es noch weitere Rechner, die auf demselben Weg auf den Router zugreifen? Kannst du an der Anbindung zwecks Überprüfung etwas verändern - anderer Switchport, anderer Switch, anderer Router? Gruß, Nils

Moin, hm, wird wohl mal Zeit für einen SQL-Grundkurs, oder? SELECT A1.ID, A1.User, T1.Abo FROM ... sollte ausreichen. Gruß, Nils

Moin, ersetze die beiden Anführungsstriche mal durch Apostrophe (das Zeichen über der #-Taste, nicht den Akzent). Gruß, Nils

Moin, jaja, deswegen brauchst du ja nicht so zu brüllen. ;) Also, mir erschließt sich das gerade nicht. Warum kannst du nicht ins Eventlog schauen? Wie führst du dann deine Tests durch? Und: Wenn sich der Host und die VMs "aufhängen", wie können sie dann "Internet haben"? Was sind "gewöhnliche Einstellungen" bei einem Virenscanner? Hast du den schon mal abgeschaltet und dann getestet? Ist das eine Testumgebung oder irgendwie produktiv? Wäre es eine Option, den ganzen Host noch mal sorgfältig neu aufzusetzen? Gruß, Nils

Moin, was sollte das bringen? Ein DOS-Rechner kann sowieso nicht Domänenmitglied werden. Wenn er auf einen Share zugreifen soll, kann man das konfigurieren. Das würde aber auch in der aktuellen Domäne gehen (bzw. besser direkt auf dem betreffenden Dateiserver). Gruß, Nils

Moin, benutzerbezogene Skripte laufen (selbstverständlich) im Kontext des Users ab, der sich anmeldet bzw. angemeldet ist. Wenn du für GPO-Skripte höhere Rechte brauchst, musst du sie als Computerskript laufen lassen. Vorsicht aber: Die laufen als "Local System", sind also unbeschränkt. Die Skripte sollten also gut getestet und kontrolliert sein. Denke dabei auch daran, den Speicherort der Skripte per Berechtigung so einzuschränken, dass nur Admins sie ändern können, sonst jubelt dir schnell jemand was unter. VBScripts kannst du auch direkt als Skripte einbinden, den Aufruf von cscript.exe kannst du dir dann sparen. (Wobei es mir seltsam vorkommt, dass cscript Adminrechte brauchen sollte ...) Gruß, Nils

Moin, die Lösung für das Import-Problem ist in dem oben verlinkten faq-o-matic.net-Artikel beschrieben. Gruß, Nils

Moin, irgendwas im Eventlog? Wie viele Netzwerkkarten hat der Host? Laufen sonst noch Applikationen auf der Host-Ebene? Ist ein Virenscanner aktiv? Gruß, Nils

Moin, in der Regel führen solche Neuinstallationen nur zu viel mehr Aufwand. Ich habe bislang noch keine einzige Umgebung gesehen, die sich nicht hätte korrigieren lassen. Zudem hättest du mit einer neuen Domäne deine vorhandenen Probleme ja nicht gelöst, sondern im Zweifel nur neue hinzugefügt. Ich sehe nicht, wie dir eine Vertrauensstellung helfen sollte. Zu einer Subdomäne kannst du die bestehende Domäne auch schon technisch nicht machen. Empfehlung: Hol dir jemanden ins Haus, der Ahnung vom AD hat und erarbeite einen Plan, wie man die vorhandenen Einschränkungen beheben kann. Gruß, Nils

Moin, prima, danke für die Rückmeldung. Dass die Prüfungen bei dem neuen Anbieter andere sind, ist übrigens nicht anzunehmen. Die macht ja Microsoft selbst. Früher waren auch beide Anbieter parallel im Geschäft. Gruß, Nils

Moin, du könntest die User, über die bereits benachrichtigt wurde, in einer Liste hinterlegen. Das Skript könnte die Liste dann prüfen und nur über die Objekte informieren, die dort nicht drinstehen. Das könnte man dann noch weiter verfeinern, indem man in der Liste einen Zeitstempel hinterlegt und nach einer gewissen Zeit die Einträge automatisch entfernt. Oder du liest das Attribut "lockoutTime" mit aus, das den Zeitpunkt der Sperrung angibt, und berücksichtigst nur die Sperrungen seit dem letzten Durchlauf - das wäre sicher am elegantesten. Allerdings gibt es in manchen Umgebungen bzw. Situationen Probleme beim Zugriff auf dieses Attribut. Noch ein Ansatz: Du liest nicht das AD aus, sondern die Eventlogs der DCs und suchst dort nach der Event.ID 4740. Dazu musst du allerdings die Überwachungsrichtlinie der DCs bearbeiten. Insgesamt dürfte das aber der beste Weg sein. [Event ID 4740 - A user account was locked out] http://www.morgantechspace.com/2013/11/Event-ID-4740-A-user-account-was-locked-out.html Gruß, Nils

Moin, ein Skript, das 207-mal praktisch dieselbe Zeile hat, ist für mich durchaus "unkompliziert". Hier ein Beispiel für das Detach-Skript: use master go sp_detach_db 'Eine DB' go sp_detach_db 'Noch eine DB' go sp_detach_db 'Und noch eine DB' go Und hier das Gegenstück: use master go sp_attach_db 'Eine DB','X:\Pfad\Ordner\einedbdata.mdf','Y:\Ordner\Pfad\einedblog.ldf' go sp_attach_db 'Noch eine DB','X:\Pfad\Ordner\nocheinedbdata.mdf','Y:\Ordner\Pfad\nocheinedblog.ldf' go sp_attach_db 'Und noch eine DB','X:\Pfad\Ordner\undnocheinedbdata.mdf','Y:\Ordner\Pfad\undnocheinedblog.ldf' go Die Skriptlogik ist jetzt nicht übermäßig komplex. Gruß, Nils