NilsK

Moin, noch mal langsam, bitte. Wer liegt genau wo, und wer sagt was? Ist es eine VHD oder eine Pass-through-Disk? Wie groß? Und welche Disk ist dynamisch? Gruß, Nils

Moin, meines Wissens leitet der vSwitch Traffic, der nur die über einen virtuellen Port angeschlossenen, "internen" virtuellen NICs betrifft, nicht nach außen weiter. Einen Beleg dafür habe ich allerdings nicht. Es würde mich aber sehr wundern, wenn es anders wäre, denn es handelt sich ja um einen virtuellen Switch und nicht um einen virtuellen Hub - ein Switch weiß, welche MAC-Adressen an welchem Port hängen und kann den Traffic daher gezielt an die Ports leiten. Kennt er die MAC-Adressen als lokal konnektiert, so wird er den Uplink nicht nutzen. Wenn du wissen willst, ob dein physischer Switch überlastet ist, solltest du das allerdings auf dem physischen Switch prüfen. Mutmaßungen über andere Switches bringen dich dann nicht weiter. Gruß, Nils

Moin, csvde ist nicht geeignet, wenn man User importieren will. Der einfachste Weg, ohne großes Coding aus Excel-Daten User zu erzeugen, ist dieser: [faq-o-matic.net » Excel: Admins unbekannter Liebling] http://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/ Gruß, Nils

Moin, du kannst davon ausgehen, dass kein Hoster mit solchen Informationen hausieren gehen wird. I tend to disagree. ;) Aidan betrachtet hier nur die Netzwerkkarten und den Virtual Switch. Das ist aus meiner Sicht aber zu kurz gesprungen - es hat mehrere erfolgreiche Angriffe gegen die VM-Infrastruktur als ganze gegeben. Bei VMware beispielsweise gab es mal einen Angriff über den Treiber der virtuellen Grafikkarte. Da nützt mir ein noch so guter virtueller Switch rein gar nichts. Gruß, Nils

Moin, so ganz geklärt ist das leider immer noch nicht. Es gibt ein FAQ-Dokument von Microsoft, in dem das Mischen ausdrücklich erlaubt wird, um zusätzliche Virtualisierungsrechte zu erhalten. Leider alles sehr unübersichtlich. Wieso? Mit einer 2012-Standard-Lizenz darf er zwei VMs betreiben. Eine davon darf die 2003-VM sein, denn das Downgrade-Recht ist ausdrücklich vorhanden. Nö, warum? Bei 2008 R2 Standard hat er nur eine VM inkludiert, die er betreiben darf, nicht zwei. Abgesehen davon, wirst du heute keine 2008-(R2)-Lizenz mehr kriegen und unterliegst dann denn 2012er-Lizenzregeln. Abgesehen davon, hat deine Frage mit dem ursprünglichen Thread nichts zu tun, also bitte beim nächsten Mal einen neuen Thread eröffnen. Gruß, Nils

Moin, aus Erfahrung wäre es sinnvoller, wenn ihr euch gerade an dieser Stelle um eine möglichst genaue Ausdrucksweise bemüht. Aufgrund der nicht besonders offensichtlichen Technik und der sehr schlechten Benutzeroberfläche redet man sonst schnell aneinander vorbei. Nicht umsonst habe ich irgendwann den bereits zitierten Artikel geschrieben, um etwas Licht ins Dunkel zu bringen. Und auch der enthält längst nicht alles dazu. Gruß, Nils

Moin, es geht um grundsätzliche Erwägungen. Es hat in der Vergangenheit schon mehrere erfolgreiche Angriffe gegeben, mit denen aus VMs "ausgebrochen" werden konnte, sodass ein Übergriff auf andere VMs oder den Host möglich war. Auch wenn das natürlich nicht trivial ist, ist es etwas, was man vermeiden will - insbesondere wenn es um unterschiedliche Sicherheitszonen geht. In einem Hosting-Szenario kommen noch erheblich mehr Techniken zum Einsatz, um solche und andere Risiken zu verringern. Das kannst du nicht auf ein normales Design übertragen. Gruß, Nils

Moin, das kann man ohne genaue Analyse der VMs und ihres Lastprofils kaum beantworten. Lass es mich aber so sagen: In praktisch allen mittelständischen Umgebungen, die ich betreue, reichen zwei Gbit-Karten für die auf den Hosts laufenden VMs völlig problemlos aus. Wir sprechen ja hier nur noch über zwei Karten. Da der Cluster-Interconnect für den Cluster existenzkritisch ist und noch dazu auch Live Migration und CSV darüber laufen, sehe ich da keine Verschwendung. Für zwei Hosts? Überleg dir das gut. Der Overhead ist nicht zu verachten. Gruß, Nils

Moin, wenn es um Gbit-Karten geht, würde ich zumindest für iSCSI immer dedizierte Karten nehmen und diese weder in einem Team noch über vNICs ansprechen. Das ist unter anderem eine Supportfrage - die meisten iSCSI-Systemhersteller werden das nicht akzeptieren. Bei sechs Gigabit-Karten würde ich bei einem klassischen Design bleiben: Ein Team mit 2 Karten für die VMs, zwei separate Karten (kein Team) für die Clusternetze und zwei Karten (kein Team) mit MPIO für iSCSI. Um das Management zu separieren (was in den meisten kleinen und mittleren Umgebungen keinen Sinn hat, weil es dort in Wirklichkeit keine Management-LANs gibt), bräuchte man noch mindestens eine weitere Karte. LAN-Separation mit vNICs im Management OS würde ich nur mit 10GE machen. Gruß, Nils

Moin, als du den Server zum DC hochgestuft hast, hat Windows die lokalen Konten in die Domäne übernommen. Beim Herunterstufen zu einem Standalone-Server musste Windows aber ein neues Konto und damit ein neues Profil erzeugen. Da der Name des Profils schon vergeben war, hat Windows zur Unterscheidung das Suffix angehängt. Der einfachste Weg besteht darin, dass du die Dateien aus dem "alten" Profil in das neue hinüberkopierst, die du noch brauchst. Gruß, Nils

Moin, meist ist DNS falsch konfiguriert, wie Dukel ja auch vermutet. [faq-o-matic.net » Was muss ich beim DNS für Active Directory beachten? (Reloaded)] http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Darüber hinaus sollte man Exchange nicht auf einem DC installieren. Und natürlich ist ein einzelner DC zu wenig für eine Produktionsumgebung. Gruß, Nils

Moin, ich verstehe weder das Problem noch die Frage. Kannst du das bitte noch mal formulieren? Gruß, Nils

Moin, Aber gern. Allerdings ändert sich dadurch meine Antwort nicht. Wie ich schon sagte: Belege liegen mir nicht vor. Angesehen davon, verstehe ich deine Fragen syntaktisch nicht. Gewollt. Bei Betriebssystemen gibt es keine Lizenzmobilität. Microsoft will die Datacenter-Lizenz verkaufen. Standard ist eigentlich nur für Standalone-Hardware-Server gedacht. Hätte man die VOSE-Lizenzen aber ganz weggelassen, so hätten alle aufgeschrien. Daher hat man formell betrachtet die Standard-Lizenz sogar aufgewertet (auch als Kompensation für die wegfallende Enterprise-Lizenz). Naja, an der Stelle hat sich gegenüber 2008 eigentlich nichts geändert. Neu ist nur das Verbot des "Mischens" (wenn es denn existiert und kein Missverständnis ist). Und um ein offizielles Statement müsstest du Microsoft schon direkt bitten. Hier liest bestimmt keiner mit, der so was äußern dürfte ... Gruß, Nils

Moin, nein, aber ein hilfreicher Hinweis. Dukel kann ja nicht ahnen, dass du an besseren Vorschlägen nicht interessiert bist. Ein simples "Danke" hätte ihm sicher gereicht. Hier die Antwort auf deine Frage: Nein. Gruß, Nils

Moin, prima, danke für die Rückmeldung! Gruß, Nils

Moin, zu den Grundlagen und Fundstellen kann ich leider nichts sagen, weil mir die auch nicht vorliegen (und selbst wenn, würde mir die "Denke" dazu abgehen). Ich habe wiedergegeben, was mir (und meinem Kunden) der Lizenzberater gesagt hat. Da es nach meinem Verständnis mit dem übereinstimmt, was Franz hier gepostet hat, habe ich es als Bestätigung verstanden und daher hier angefügt. Also wie immer nur Illustration meines Verständnisses, keine rechtlich relevanten Aussagen. Gruß, Nils

Moin, sorry, hat etwas gedauert ... mittlerweile hat die Lizenzberatung bei meinem Kunden stattgefunden. Der Berater machte einen sehr gut informierten Eindruck. Um es kurz zu machen: Ich sehe die Darstellung von Franz aus dem Post #63 als bestätigt an. In der Tat beruht das neue Lizenzmodell von Windows 2012 auf zwei (derzeit) unverrückbaren Grundsätzen: Die Lizenz wird immer der Hardware zugewiesen (das war in Wirklichkeit vorher auch schon so, ist aber oft von Kunden und Beratern ignoriert worden) Lizenzen für Windows 2012 dürfen auf derselben Hardware nicht mit älteren Lizenzen gemischt werden (das ist der eigentliche Knackpunkt) Das bedeutet: Wenn ich einen Host mit Windows 2012 installiere, um ihn mit Hyper-V zu betreiben, dann darf ich keine 2008-R2-Lizenzen (oder ältere) auf diesem Host zuweisen. Wenn ich dort also "alte" VMs mit 2008 R2 (oder älter) betreiben möchte, dann brauche ich für diese VMs auch 2012-Serverlizenzen und nutze für diese das Downgrade-Recht. Die Lizenzen, die ich vorher bereits für diese "alten" VMs hatte, sind damit überflüssig (die könnte ich verkaufen oder anderweitig nutzen - das Risiko, ob man diese Lizenzen "gebraucht" nutzen darf, liegt am Ende beim Käufer). Kritisch dabei auch: Einen Host-Cluster, in dem VMs dynamisch von einem auf einen anderen Host wechseln können, sieht Microsoft als Einheit an. Jeder einzelne Host muss so lizenziert sein, dass er alle Windows-Server-VMs betreiben darf. Habe ich drei Hosts und zehn Windows-VMs, so muss jeder Host alle zehn VMs lizenziert haben (also entweder je Host einmal Datacenter oder je Host fünfmal Standard - letzteres wäre aber nicht sinnvoll). Auch kritisch: Das ist kein Hyper-V-Thema, sondern ein Windows-2012-Thema, es betrifft also Kunden mit VMware, XenServer usw. genauso, sobald sie die erste VM mit Windows 2012 betreiben wollen (und VMotion bzw. XenMotion usw. nutzen, aber wer würde das nicht wollen). Es bleibt also auch bei meiner Einschätzung der erwartbaren Folgen 1 bis 3 aus meinem Post #64 weiter oben. Gruß, Nils ... und danke noch mal an dich, Franz - auch wenn der Inhalt niederschmetternd ist ...

Moin, du hast dich nach der Änderung der Gruppenmitgliedschaft neu angemeldet? Gruß, Nils

Moin, das hängt davon ab, wie viele Monitore die Karte verwalten kann. In deinem Fall offenbar nur zwei. Schöne Grüße, Nils

Moin, es sollte eine Gruppe "Hyper-V-Administratoren" geben. Die ist genau dafür gedacht. http://technet.microsoft.com/en-us/library/hh831410.aspx#BKMK_simpleauth Schöne Grüße, Nils

Moin, Hyper-V-VMs einer höheren Version kannst du nicht in einer niedrigeren Version importieren. Schöne Grüße, Nils

Moin, nein. Es gibt einen ganzen Markt für Provisioning-Tools, aber die liegen meist im Enterprise-Segment und können eine ganze Menge mehr, als hier gefordert ist. Öffne ein CMD-Fenster und gib ein "net user /domain". Öffne den Explorer, mach einen Rechtsklick auf eine Datei, bearbeite die Sicherheitseinstellungen. Und, und, und. Schöne Grüße, Nils

Moin, wenn der User nur die Gruppenmitgliedschaften ändern können und durch das Tool nicht "verleitet" werden soll, irgendwo zu gucken (wo er gucken kann, aber nicht gucken soll), dann ist die MMC in jeder Variation das falsche Werkzeug. In dem Fall sollte ein eigenes, kleines Tool gebaut werden, was natürlich Skript- oder Programmieraufwand erzeugt. Ich weise aber noch mal darauf hin, dass all das nur Versteckspiel ist. Wenn der User gucken will, dann kann er das, und zwar auch ohne RSAT. Schöne Grüße, Nils

Moin, prima, danke für die Rückmeldung! Schöne Grüße, Nils

Moin, aha. Wie ist denn das gesperrt? Sei dir bewusst, dass das Entfernen von Leserechten auf AD-Objekte die Funktion stören oder verhindern kann und dass du dich damit u.U. in einer nicht konfigurierten Konstellation befindest. Falls du hingegen die Leserechte gar nicht entzogen hast, ist das Browsen natürlich nicht gesperrt, sondern höchstens erschwert. Schöne Grüße, Nils