NilsK

Moin, das Verhalten ist (leider) normal. Und es ist, wie du schon richtig bemerkst, hochgradig unsinnig. Der Hintergrund ist tatsächlich die UAC. Ist diese aktiv, dann hat das User-Token keine Mitgliedschaft in administrativen Gruppen. Leider kann ausgerechnet der Explorer nicht richtig damit umgehen, daher gibt es keinen Weg, die (eigentlich ja vorhandenen) Admin-Berechtigungen an den Explorer weiterzugeben. Zur Berechtigungsverwaltung auf Windows-Servern empfehle ich daher entweder einen anderen Dateimanager oder den "Mercedes": SetACL Studio. [setACL Studio - Intuitive Permission and ACL Management • Helge Klein] http://helgeklein.com/setacl-studio/ Zum Weiterlesen: [benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net] http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/ Gruß, Nils

Moin, wobei das nur dann etwas bringt, wenn du per GPP einen anderen Eintrag in der Registry manipulierst, als es das GPO tut. Falls es ein Eintrag im Policies-Zweig ist, auf den die Applikation so reagiert, dass sie die Einstellung hinterher nicht mehr manuell zugänglich macht, dann ändert sich daran auch nichts, wenn du diesen Wert per GPP oder manuell setzt statt "herkömmlich" über das GPO. Die Applikation schaut ja nur nach, ob eine bestimmte Konfiguration gesetzt ist. Wie diese zustandekommt, ist der Applikation egal. Gruß, Nils

Moin, hm, das ist zumindest originell. ;) Sind denn die Programmdateien im Programme-Ordner zu sehen? Lässt sich der SQL Server von dort manuell als Applikation starten? Zeigt der Taskmanager SQL-Server-Tasks an? Zeigt "tasklist" sie an? Ich würde jetzt nicht ausschließen, dass auf dem Rechner was nicht koscher ist, z.B. ein Rootkit, das dir die Prozesse und Dienste nicht anzeigt. Gruß, Nils

Moin, ob eine Einstellung, die per GPO geändert wurde, hinterher manuell änderbar ist, ist von Einstellung zu Einstellung unterschiedlich. Du müsstest also bitte genauer beschreiben, worum es geht. Gruß, Nils

Moin, dein Screenshot zeigt den interessanten Bereich nicht - die Dienste des SQL Server fangen mit "SQL" an, nicht mit "Microsoft". Du kannst auch mit "net start" im CMD-Fenster nachsehen, ob die Dienste laufen. Dass du dich mit dem SSMS nicht ohne Weiteres verbinden kannst, könnte auch daran liegen, dass du eine Named Instance installiert hast und deren Namen nicht korrekt bei der Verbindung angegeben hast. Gruß, Nils

Moin, ich hab auch noch einen: [Die Anwendung von Gruppenrichtlinien steuern | faq-o-matic.net] http://www.faq-o-matic.net/2014/04/07/die-anwendung-von-gruppenrichtlinien-steuern/ Gruß, Nils

Moin, solange du kein ORDER BY angibst, kommen die Daten sozusagen in "zufälliger" Reihenfolge zurück. Das ist normal. Gruß, Nils

Moin, ja, weiß ich: Nein, es geht nicht. ;) Für sowas müsstest du dir selbst was bauen oder ein Drittanbietertool nehmen. "Selbst was bauen" kann dabei im Zweifel schon bei Excel beginnen, schau mal hier: [Excel: Admins unbekannter Liebling | faq-o-matic.net] http://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/ Gruß, Nils

Moin, VLANs sind keine Sicherheitsfunktion, sondern sollen nur eine Trennung von logischen Segmenten, Broadcast-Domains usw. erlauben, ohne dass man gleich mehrere separate physische Netzwerke aufbauen muss. Eine Firewall arbeitet auf einer anderen Ebene. Gruß, Nils

Moin, grundsätzlich kann ein schnelleres Plattensubsystem eine SQL-Datenbank schon sehr beschleunigen. Die von dir genannten Werte lassen durchaus den Schluss zu, dass die Platten den Server ausbremsen. Es kann aber durchaus noch -zig andere Stellen geben, die eine Datenbank oder eine datenbankbasierende Applikation langsam machen, und nur wenige davon lassen sich durch Hardware-Upgrades lösen. Von RAID5 auf RAID10 umzusteigen, kann etwas bringen. Sofern deine Datenbank nicht viel größer wird, könntest du bei der angegebenen Größe durchaus auch über SSD nachdenken. Ob das allerdings wirklich dein Problem löst, lässt sich ohne eine intensive Analyse nicht vorhersagen. Gruß, Nils

Moin, sind da Mobilgeräte im Spiel (iOS, Android, Windows Phone)? Dann ist das Problem mit ziemlicher Sicherheit dort zu suchen. Eine richtige Lösung gibt es dann aber leider nicht ... Gruß, Nils

Moin, neuen Exchange-Server installieren und die Mailboxen dorthin migrieren. Gruß, Nils

Moin, der Designfehler in deinem Beispiel liegt eher darin, dass die Anwenderfreigaben auf dem Domänencontroller liegen. In einem Testnetz ist das OK, in einem echten Netzwerk sollte man das nicht machen. Ein DC ist ein DC, und ein Dateiserver ist ein Dateiserver. SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten. Gruß, Nils

Moin, von welchem Betriebssystem reden wir überhaupt? Wenn 2012 oder 2012 R2, dann lege ich dir wirklich (m)ein Buch ans Herz. Du hast das typische Missverständnis, dass der vSwitch eine IP-Adresse hätte. Hat er nicht. Kein Switch hat eine IP-Adresse, auch ein physischer nicht. (Höchstens dessen Management-Interface hat eine, aber eben nicht der Switch als solcher.) Was du dort siehst bzw. was du meinst, ist eine virtuelle Netzwerkkarte, die im Host (genauer: im Management OS bzw. in der Parent Partition) erzeugt wurde und die an den vSwitch angeschlossen ist. Dadurch hat der Host eine Verbindung zu dem betreffenden Netzwerk. Ob er die braucht, kann ich von außen nicht beurteilen, das ist eine Frage eures Netzwerkdesigns. Da ich die Anforderungen eures Netzwerks und das Netzwerk-Design nicht kenne, kann ich auch zu deiner VLAN-Frage nichts sagen. Man kann das so machen, man muss es aber nicht. @Doso: Es ist richtig, dass NIC-Teaming vor 2012 von Microsoft nicht unterstützt ist. Deshalb muss man aber noch lange nicht davon abraten. Wenn man es richtig macht, klappt es hervorragend (und ist auch unter 2008/R2 durchaus von Microsoft empfohlen, nur supporten die es eben nicht selbst). In jedem Fall richtet man das Teaming ein, bevor man Hyper-V einrichtet und die vSwitches erzeugt. Vor 2012 kommt es sonst zu gravierenden Fehlern. Ob es die auch in 2012/R2 gibt, ist mir gerade nicht geläufig, aber ich würde es auch dort nicht ohne Weiteres nachträglich einrichten. Gruß, Nils

Moin, vor allem musst du die Netzwerkkonfiguration des Hosts von der der VMs getrennt betrachten. Die haben nichts miteinander zu tun. Als Einstieg empfehle ich: [Hyper-V und Netzwerke | faq-o-matic.net] http://www.faq-o-matic.net/2012/04/23/hyper-v-und-netzwerke/ Oder noch ausführlicher in meinem Buch. ;) Bei 4 NICs könnte man die Netzwerkkarten auf einem alleinstehenden Host logisch so aufteilen: 1. Karte Management für den Host - hieran wird dann kein vSwitch gebunden 2. - 4. Karte: Ein Team bilden, einen vSwitch daran binden, über diesen vSwitch kommen die VMs ins Netz Nutzen: Für die VMs stehen nominell 3 GBit zur Verfügung (bei Gigabit-Ethernet). Das Host-Management ist davon getrennt. Wenn die VMs auf physisch getrennte Subnetze zugreifen sollen, müssen im Host auch Karten für jedes der Segmente vorgesehen werden. Diese müssen dann physisch bzw. per VLAN in diesen Netzen sein. Dann könnte man es so machen: 1. Karte Management für den Host - hieran wird dann kein vSwitch gebunden 2. Karte LAN1, vSwitch für LAN1, hieran kommen die VM-NICs, die auf LAN1 zugreifen sollen 3. Karte LAN2, vSwitch für LAN2, hieran kommen die VM-NICs, die auf LAN2 zugreifen sollen 4. Karte LAN3, vSwitch für LAN3, hieran kommen die VM-NICs, die auf LAN3 zugreifen sollen Dies könnte man aber auch mit dem ersten Modell machen, indem man an den vSwitch die VM-NICs bindet und dort dann die VLAN-IDs setzt. Dann müssen die drei Ports natürlich auf alle benötigten VLANs zugreifen können. Ist nicht ganz einfach, vor allem weil das GUI so unübersichtlich ist. In einem Host-Cluster sieht es grundsätzlich anders aus, weil du dort auch physische Netze für den Cluster und für das Storage brauchst. Da wären 4 NICs dann eigentlich zuwenig; man könnte es aber so machen: 1. Karte Management 2. Karte Cluster 3. Karte Storage 4. Karte VM-LAN; nur hier wird ein vSwitch erzeugt Hierbei gäbe es aber keine Redundanz auf Netzwerkebene. Das wiederum könnte man in dem Fall mit einem Team über alle Karten sowie mit VLANs und Bandbreitenreservierungen erreichen. Das ginge aber über das hinaus, was man in einem Forum sinnvoll beschreiben kann. Gruß, Nils

Moin, das Problem ist die "virtuelle" MAC-Adresse, die NLB benötigt. Das funktioniert nicht nach einer Live Migration. Seit Windows 2008 R2 gibt es dafür eine Konfigurationsoption in Hyper-V, das "MAC Address Spoofing". [New in Hyper-V Windows Server 2008 R2 Part 2 – MAC Spoofing - John Howard - Senior Program Manager in the Hyper-V team at Microsoft - Site Home - TechNet Blogs] http://blogs.technet.com/b/jhoward/archive/2009/05/21/new-in-hyper-v-windows-server-2008-r2-part-2-mac-spoofing.aspx Das ist kein reines Hyper-V-Problem, sondern ein NLB-Problem. In VMware funktioniert das auch nicht ohne Weiteres. EDIT: Hier ist noch ein Artikel, der nötige Konfigurationsschritte und Einschränkungen für 2008 (ohne R2) beschreibt. Sinnvoll wäre aber ein Wechsel auf R2 oder neuer. [Network Load Balancing (NLB) and Virtual Machines - Clustering and High-Availability - Site Home - MSDN Blogs] http://blogs.msdn.com/b/clustering/archive/2009/03/09/9468109.aspx Gruß, Nils

Moin, nein, lässt es nicht. Und du kommst über ein LDAP-Verzeichnis ohnehin nicht an Zertifikate. Gruß, Nils

Moin, glaubst du wirklich, dass die andere Seite eine Lösung zulassen würde, in der Kennwörter mit einem Skript übergeben würden? Da wäre ein Trust doch wesentlich sicherer und wesentlich einfacher. Gruß, Nils

Moin, in dem Szenario wirst du keine zentrale Lösung ohne Vertrauensstellung finden. Gruß, Nils

Moin, diese Fragen kann man ohne Detailanalyse nicht seriös beantworten. Das Betriebssystem selbst "frisst" nicht mehr an Ressource als seine Vorgänger, jedenfalls nicht in dem Sinn, dass man nur wegen des Betriebssystems pauschal nennenswert "mehr" bräuchte. Neue Applikationsversionen hingegen können durchaus "mehr" brauchen als alte, weil meist ja auch eine Reihe neuer Funktionen dabei ist. Alles Weitere kann man nur beantworten, wenn man die genauen Anforderungen kennt, und das ist in einem Forum nicht sinnvoll zu leisten. Gruß, Nils

Moin, gekannt habe ich es bislang nicht, aber es klingt plausibel. Derartige Ansätze werden ja alle Nase lang irgendwo beschrieben, und diese Distribution setzt das einfach um. Gruß, Nils

Moin, Full Ack. :) Gruß, Nils

Moin, ein automatisiertes Management der Zertifikate wirst du nur über eine Zusatzlösung hinbekommen. Meist sind das Produkte, die als Gateway in die Mailkette eingebaut werden. Ohne Zusatztools wird es beim individuellen Austausch der Zertifikate bleiben müssen. Per LDAP kann man sich die nicht "besorgen". Gruß, Nils

Moin, also: Das CMD-Fenster musst du ausdrücklich als Admin öffnen, weil die UAC es sonst nur mit Benutzerrechten startet. Dazu nach "cmd" suchen, Rechtsklick auf die Fundstelle, "Als Administrator ausführen". Das Kommando muss dann in etwa so aussehen: net share hurz=C:\Daten /grant:dom\user,Change Gruß, Nils

Moin, ... hat er doch ... Was er noch nicht beantwortet hat, ist, ob er die Syntax "Domäne\Benutzer" in seinem Grant-Statement jetzt schon verwendet hat. Ebenso ist unbeantwortet, ob das CMD-Fenster mit Adminrechten lief. @daspossum: Bitte beantworte das. Gruß, Nils