NilsK

Moin, wenn du so willst, liegen die brach. Das ist allerdings die superverknappte Antwort, in Wirklichkeit steckt eine Menge mehr hinter dem Scheduling eines Hypervisors. Wenn du uns den Zusammenhang deiner Frage nennst, können wir vielleicht mehr dazu sagen. Gruß, Nils

Moin, wie, hast du jetzt etwa auch graue Haare? Gruß, Nils Moin, Full Ack, wie man hier so schön sagt! Gruß, Nils

Ätsch. :cool: Gruß, Nils

Moin, interessant ... ich mag mir lieber nicht ausmalen, wie sehr man sich auf solche Hardware hätte verlassen können. Ich sag mal so: Wenn es schon "nur für das Clustering" heißt, dann braucht man es ganz offenkundig auch nicht. Tja, Moment. So leicht ist es nicht. Da befindest du dich eben schnell in einer der Situationen, die du selbst ausschließen wolltest, nämlich einem Lizenzverstoß. Wenn du zwei Hosts je eine Standard-Lizenz zuweist, darfst du auf jedem Host genau zwei VMs betreiben. In einem Cluster könnte jede VM aber von einem Host auf einen anderen wechseln - also dürfte der Cluster bei den hier betrachteten Lizenzen genau zwei VMs umfassen (die dritte und vierte dürfte ja nicht parallel zur ersten/zweiten auf demselben Host laufen, wenn ein Failover oder eine Live Migration eintritt). Eine einzelne Standard-Lizenz zuzukaufen, würde nicht reichen, du müsstest zwei zukaufen, nämlich eine pro Host. Damit kämst du dann auf ingsesamt vier VMs, die in dem Cluster laufen dürften. Und jetzt rechne bitte noch mal ... Das ist auch völlig legitim. Nur müssen solche Kunden eben auch einsehen, dass Clustering nun mal gewisse Budgets erfordert, wenn man sich darauf verlassen können will. Kann ich mich nicht darauf verlassen, dann sollte ich mit einer einfacheren Lösung arbeiten und für mögliche Ausfälle Wiederanlaufpläne bereitlegen. Eben. Genau deshalb reite ich darauf herum. Die beiden Themen haben nichts miteinander zu tun. Hyper-V Replica ist keine Lösung für Datenreplikation. Gruß, Nils [EDIT: Hatte mich vertippt, nun müssten die Lizenzzahlen richtig sein.]

Moin, ich ergänze mal: Im Cluster ist Windows Server Backup auch in Version 2012 eingeschränkt. Man muss es auf jedem einzelnen Host einrichten, eine Multi-Server-Sicherung gibt es nicht. Und: Die Frage nach einer geeigneten Backup-Lösung kann man nur beantworten, wenn die Frage vollständig geklärt ist, was in welcher Situation und in welcher Qualität wiederherstellbar sein soll. Image-basierte Produkte wie Veeam, Altaro usw. kommen längst nicht für jedes Szenario in Betracht. Gruß, Nils

Moin, eine seltsame Argumentation. Auch bislang waren in einem Cluster, der sinnvoll aufgebaut war, die Mehrkosten für die Enterprise Edition wirklich kein entscheidender Faktor. Gemeint ist "Hyper-V Server"? Oder "Windows Server 2012 mit Hyper-V"? Also als geclusterte VM? Selbst wenn es technisch ginge, sehe ich beim besten Willen den Sinn nicht. Verstehe ich nicht. Wieso sollte das so sein? Äh - dann sprichst du aber von der Datacenter Edition, oder? Hier verlässt du mich technisch endgültig. Worin soll sich ein CSV unterscheiden, wenn Exchange, Hyper-V oder SQL Server dort Daten ablegt? Mit solchen Kunden sollte man dann aber auch nicht über Verfügbarkeit reden ... Gruß, Nils

Moin, gar nichts. Der Server zeigt an, welche nominelle Bandbreite sein NIC erlaubt. Dass der Port auf dem vSwitch begrenzt ist, weiß er nicht - darf er ja auch nicht, schließlich findet die Begrenzung je nach Szenario absichtlich außerhalb des VM-Betriebssystems statt. Gruß, Nils

Moin, grummel ... warum können die Leute nicht mal richtig und deutlich antworten? Mit "Genau das soll das skript aber machen" meinst du: "Wenn es darum geht, Aktionen abhängig davon auszuführen, ob jemand in einer bestimmten Gruppe ist"? Dann ist der Ansatz des Skriptes ohnehin falsch, denn die Gruppen im AD sind nicht notwendig die Gruppenmitgliedschaften, die in der jeweiligen Anmeldesitzung gültig sind. Darüber entscheidet das Anmeldetoken, das bei der Anmeldung erzeugt wird. Die Gruppen im AD könnten Änderungen enthalten, die nach der Anmeldung erfolgt sind und daher in der aktiven Session gar nicht gültig sind. Ein effizienter Weg, um zu prüfen, ob jemand Mitglied in der Gruppe "Gruppe47" ist: whoami /groups | find /i "Gruppe47" Für Druckerverbindungen geht es aber noch besser, schneller und fehlerärmer, und zwar über GPP (Group Policy Preferences). Dazu gibt es eigentlich einen super Artikel bei gruppenrichtlinien.de, aber den finde ich gerade nicht. Falls ich ihn wiederfinde, gebe ich Bescheid ... Gruß, Nils

Moin, und damit hast du eine nicht supportete Konfiguration. vSphere/ESXi 5.1 ist nicht Teil des SVVP und damit nicht Teil der Support-Policy von Microsoft. Wollte ich auch nicht glauben. Ist aber leider so. Gruß, Nils

Moin, das ist sehr zu empfehlen. Gruß, Nils

Moin, gut, und was ist deine Antwort auf meine Frage? Vielleicht können wir zur Lösung deines eigentlichen Problems ja auch noch was beitragen. Gruß, Nils

Moin, OK, wieder was dazugelernt. ;) Gruß, Nils

Moin, das bringst du dem IE (und anderen Browsern) gar nicht bei. Ein Einzelwort wird er nie als möglichen Domänennamen akzeptieren. Setze http:// davor, dann geht es. Wenn man DNS nutzt, sollte man sich auch an die DNS-Gepflogenheiten halten. Zonen der ersten Ebene gibt es nicht (bzw. nur als Verweis auf die zweite Ebene, aber nicht für die Pflege von Hostnamen). Gruß, Nils

Moin, oh, tatsächlich. Na sowas. Scheint wohl ein Fehler in der Skriptlogik zu sein, denn manchmal sieht man, dass der Text zunächst "roh" dargestellt wird und dann ins Syntax Highlighing wechselt. Anscheinend erzeugt das Code, den der IE10 nicht richtig interpretiert. Gruß, Nils

Moin, dafür kann er nichts - leider stellt die neue Boardsoftware längere Listings immer so dar. @jpanse: Was genau ist das Ziel deines Codes? Wenn es darum geht, Aktionen abhängig davon auszuführen, ob jemand in einer bestimmten Gruppe ist, geht das viel effizienter. Dafür braucht es keine AD-Abfragen im Logonskript. Gruß, Nils

Moin, ich rate von automatischen Kennwortsperren grundsätzlich ab. Es ist in Umgebungen mit aktivierter Sperrung sehr einfach, Denial-of-Service-Angriffe auszuführen, indem man mutwillig falsche Kennwörter eingibt. Mir juckt es schon seit Jahren in den Fingern, ein sehr simples Batch zu publizieren, das eine ganze Domäne und vor allem alle darin befindlichen Dienstkonten innerhalb von Sekunden oder Minuten lahmlegt. Gruß, Nils

Moin, nein, das heißt es nicht automatisch. Der DNS-Server, der die nslookup-Anfrage beantwortet, kann dies auch aus seinem Cache tun. Es könnte also durchaus eine gültige Antwort kommen, obwohl der DNS-Server keinen Kontakt zu einem übergeordneten Server hat. Gruß, Nils

Moin, och, dazu kann es schon Gründe geben. Exchange beispielsweise oder der Active Directory Connector, den man früher für Exchange brauchte, haben durchaus die DS-ACLs im Configuration-NC manipuliert. Wenn es tatsächlich eine Auswertung dieser Art sein soll, wird man vermutlich an kommerziellen Tools nicht vorbeikommen. Konkrete Empfehlungen dazu kann ich keine nennen, aber eine Handvoll sollte es geben. Man muss dabei abwägen, ob der Aufwand gerechtfertigt ist. Beispiel: Ein gelöschter oder gesperrter Account oder eine Gruppe ohne Mitglieder stellen als Berechtigte in ACLs praktisch kein relevantes Risiko dar. Gruß, Nils

Moin, schön, aber das beantwortet ja noch nicht, warum, das gut sein sollte. Welches Problem würde man damit lösen oder vermindern wollen? Gruß, Nils

Moin, schwierig bei Hyper-V ... Gruß, Nils

Moin, du suchst LIZA. Das beantwortet dir deine Fragen (soweit ich sie richtig verstehe) ohne Export. [LIZA - Active Directory Security, Permission and ACL Analysis] http://www.ldapexplorer.com/en/liza.htm Gruß, Nils

Moin, sicher, wenn man das nötige Kleingeld hat ... da man für P2V aber vermutlich nicht höhere vierstellige (oder sogar fünfstellige) Beträge ausgeben will, gibt es durchaus Alternativen am Markt. Am besten ist aber: Kein P2V. (Wie Dukel schon zutreffend betont.) Gruß, Nils

Moin, nslookup hat noch nie anders gearbeitet. Es fängt, genau anders als der Client-Resolver, immer beim maximal mit Suffizes ausgestatteten Namen an und arbeitet sich dann bei Misserfolg "nach unten". Das ist auch dokumentiert, ich habe nur gerade die Links nicht bei der Hand. Eine Web-Recherche sollte dir das aber schnell bestätigen. Was sich hingegen geändert haben könnte, ist das Verhalten des DNS-Servers, der zu der externen Domain gehört, deren Namen ihr intern verwendet. Wie in dem von mir geschilderten Beispiel könnte es sein, dass dieser DNS-Server für jeden Host, den er nicht kennt, dieselbe IP-Adresse zurückgibt. (Es könnte sein, dass der Domain-Inhaber damit auch Besucher auf seine Webseite bekommen will, die sich beim Hostnamen vertippen.) Damit ist die DNS-Antwort für nslookup gültig, wenn sie natürlich eben auch unsinnig ist. Eine Möglichkeit, das "von innen" zu ändern, ist mir nicht bekannt. Naja, abgesehen von: DNS-Namen des AD ändern ... Du kannst aber nslookup zwingen, genau den von dir gewünschten Eintrag abzufragen, ohne Suffizes anzufügen: Hänge einen Punkt hinten an, also z.B. nslookup www.heise.de. Gruß, Nils

Moin, nslookup verhält sich immer so. Das Verhalten ist völlig normal. Das Problem liegt in eurer ungünstigen DNS-Konfiguration. nslookup ist, anders als viele glauben, NICHT geeignet, um die Namensauflösung eines Clients zu überprüfen. Dazu ist ping besser geeignet (oder ein Browser). nslookup ist das richtige Tool, um in die DNS-Datenbank zu sehen. Ich hatte einen sehr ähnlichen Fall vor ein paar Monaten bei einem Kunden. Dort kam noch hinzu, dass dessen Domainname im Internet von einem falsch konfigurierten DNS-Server bedient wurde, was wir aber erst nach einiger Zeit herausgefunden haben. Hier ein Zitat unserer damaligen Ergebnisse: Schöne Grüße, Nils

Moin, mir erschließt sich dabei allerdings auch nicht, wozu so eine Funktion gut sein sollte. Gruß, Nils