wznutzer

In meinen schon. Auf Bandbreite, Videokonferenzen zu verzichten oder Firma umziehen sind in meinen Augen keine sinnvollen rentablen Gründe. Richtfunk, Viprinet usw. ist alles bekannt und SkyDSL ist grauenhaft und sehr viel teurer als SDSL / ADSL. Deswegen streiten wir jetzt aber nicht. Allerdings bin ich wirklich offen für andere Wege und auch aktiv auf der Suche nach Alternativen. Nur sind die ADSL 16000 Anschlüsse hier für knapp 30 € von Verhältnis Kosten/Nutzen unschlagbar. SDSL 10 Mbit für ca. 600€ würde technisch gehen, aber siehe oben Kosten/Nutzen.

Ich muss mich selber korrigieren. Bei der SG zahlt man pauschal für das was die Sophos-Hardware kann, userunabhängig. Die XG ist von Anzahl RAM und Core abhängig. Nur bei der Softwarevariante der SG ist es streng nach IP-Adressen. Wir sprechen hier wahrscheinlich von unterschiedlichen Dimensionen. Einen Dienstleister würde ich erst gar nicht beauftragen. In schlecht versorgten ländlichen Gebieten gibt es diese sinnvollen Gründe. Meine Meinung zur Auswahl hat sich nochmals geändert. Werde doch eine Sophos SG230 nehmen.

Guten Abend, Ich habe mich nun mit dem Thema beschäftigt. Sophos und Securepoint sind in der Auswahl geblieben. Das Lizenzsystem ist bei den XG-Firewalls meine ich leistungs- und nicht mer von userabhängig. Das hat sich wohl von der SG zur XG Serie geändert. Trotzdem wird es wahrscheinlich eine RC300 von Securepoint werden. Ja, ganz genau. Ich muss den initial ausgehenden Traffic über 4 in Zukunft vielleicht auch 6 Leitungen abwickeln.

Guten Morgen, Inzwischen habe ich gelesen, dass du damit ganz auf Linie von Microsoft ist. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so. https://blogs.technet.microsoft.com/exchange/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think/ Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht." Wenn ich das richtig verstehe, ist die Reverse-Proxy-Funktion eine URL-Filterung. Das würde mir gefallen, auch wenn es in dem MS Blog etwas anders gesehen wird. Der Markt an Security-Systemen ist ja nahezu unüberschaubar. Was setzt ihr den ein? Könnt ihr mir was empfehlen. Meine Anforderungen wären: Netzwerk mit 75 Clients Firewall / Packetfilter, Router / Gateway in einem Gerät Loadbalancing über 4 - 6 WAN-Leitungen Port-Freigabe mit URL-Filterung (Reverse-Proxy :) ) VLAN-Routing zwischen einzelnen VLANs DHCP-Server für verschiedene VLANs bereitstellen Möglichkeit ein VPN zwischen zwei Standorten aufzubauen Die Geräte von Lancom können das (Reverse-Proxy weiß ich nicht genau), deren Interface und Konfiguration finde ich allerdings nicht so gut. Ich glaube Citrix NetScaler sind etwas oversized. Edit: Die Hersteller der Geräte die ihr einsetzt würden mir reichen. Danke und Grüße

Guten Abend, aus einem anderen Thread hier ging hervor, dass Exchange OWA die Lösung für ein Problem bei mir sein kann. Dazu muss natürlich OWA extern veröffentlich werden. Mir geht es nicht um eine Step-by-Step Anleitung sondern eher um Meinungen was als, sagen wir, best practice angesehen wird. gegeben (alles W2K12 R2): - DC, Exchange 2016, RDSH, RDGW mit Azure MFA - alle verfügbaren CUs, Updates installiert. - gute, lange, komplexe Passwörter im AD vorhanden - kleine Umgebung 75 Clients Möglichkeit 1: Port 443 wird einfach veröffentlicht. Schmeckt mir irgendwie nicht so ganz. Möglichkeit 2: Port 443 wird über einen separaten IIS mit aktiviertem Application Request Routing veröffentlicht. So könnte ich z. B. nur /owa und/oder Active-Sync freigeben, aber nicht /ecp. Somit steht aber ein IIS in der Domäne an erster Reihe, wäre aber auch bei Möglichkeit 1 so. Möglichkeit 3: Veröffentlichung mit der Kombination Web Application Proxy / ADFS. Pre-Auth, URL-Filterung soll alles gehen. Es gibt lt. Doku auch die Möglichkeit abgelaufene Passwörter zu ändern und es kann die Azure MFA für OWA integriert werden. Wie macht ihr das so? Hat jemand das im Einsatz. Der TMG ist ja abgekündigt. In der Theorie hört sich Möglichkeit 3 (WAP/ADFS) am besten an. Allerdings stelle ich mir die Frage warum der Web Application Proxy besser und sicherer authentifizieren kann als der Exchange? Danke und Grüße

Hi, OWA setzen wir nicht ein. OK, das wäre eine Lösung. Gefällt mir besser als RD WebAccess. Ich muss mich mal mit der sicheren Veröffentlichung von OWA beschäftigen. Bei Fragen dazu werde ich einen neuen Thread beginnen. Danke und Grüße

Hi, funktioniert denn die Kennwortänderung beim Pre-Auth über WAP? Grüße

Guten Abend, folgende Situation: - RDP-Server werden mit RD-Gateway veröffentlicht. - abgesichert per Azure MFA - Passwort-Richtlinie, alle 90 Tage muss das Passwort geändert werden. Problem: User die sich immer nur extern einwählen, können per RDP ihre Passwörter nicht mehr ändern wenn diese abgelaufen sind. Die Ursache ist klar, es ist NLA aktiviert und soll auch nicht deaktiviert werden. Nun könnte man die Passwortänderung per RD WebAccess konfigurieren. Mir gefällt aber nicht, dass RD WebAccess für jeden erreichbar ist. Ich würde das gerne nur für bestimmte User zulassen. Eine Vorabauthentifizierung könnte ich per WAP (Web Application Proxy) machen, aber diese Authentifizierung funktioniert ja nicht, wenn das Passwort abgelaufen ist. Wie habt ihr das gelöst? Klar könnte man das auch organisatorisch lösen (Erinnerung usw.) aber technisch wäre mir lieber. Grüße

Ich kann keine konkrete Grenze nennen. Ich habe Bedarf an zuverlässigen ca. 20 MBit up und 50 MBit down. Mehr ist immer besser, das wäre akzeptabel/OK. Wenn ich das für monatlich 300 - 400 Euro und von mir aus einmaligen Anschaffungskosten von 10K Euro bekommen kann ist das zwar kein Schnäppchen aber denkbar. Wenn das gar nicht geht, muss man halt auch über mehr nachdenken. QSC und Versatel werde ich mal kontaktieren, ohne große Hoffnung. Alle Angebote von "Wettbewerbern" der Telekom sind nur weitervermietete Telekomleitungen. Entweder Richtfunk oder DSL-Bonding, da wird es wohl drauf hinauslaufen. Loadbalancing macht keiner von euch? @lefg Kannst du mir den Anbieter nennen der das individuell für euch gemacht hat? 70 Mitarbeiter in einem Wohngebiet. Somit keine Kooperation mit anderen Firmen möglich. DSL-Bonding mit Viprinet macht keiner von euch? Wenn die Werbung stimmt kauft man 2 Geräte für ca. 5000 Euro. Ein Gerät (VPN-Hub) kommt an einen Standort mit schneller Anbindung (vorhanden) ein anderes (Multichannel VPN Router) an den Standort mit langsamer Anbindung. Wenn man 6 Leitungen bündelt kommt man auf brutto 14,4 up und 96 MBit down für monatlich ca. 250 Euro (6 x ADSL + 1 x Kabeldeutschland). Wenn das sicher und zuverlässig funktioniert ist das nicht Spitze aber brauchbar.

Hi, das Loadbalancing wird nicht vom Provider unterstützt. Das macht mein Router selber. Ich sitze auf dem Land. Zur Telekom oder Kabeldeutschland gibt es keine Alternative. Kabeldeutschland gibt es aber nur in Sichtweite, bleibt also nur die Telekom. In 2 -3 Jahren gibt es von der Telekom evtl. VDSL, bis es soweit ist muss ich das irgendwie überbrücken. Aber wenn ich in 3 Jahren VDSL 10 MBit up / 50 MBit down bekomme ist das dann evtl. auch schon wieder zu langsam. @lefg Benutzt du deine "Leitungen" per Loadbalancing oder für voneinander getrennte Bereiche? Wenn du Loadbalancing oder sogar Bündelung betreibst würde mich dein Equipment interessieren. Das ich das nicht zum Preis einer Fritzbox lösen kann ist klar. Aber wenn ich Geld in die Hand nehme, sollte es auf eine Sicht von 3 Jahren gut angelegt sein. Dann bietet mir die Telekom vielleicht eine akzeptable Anbindung.

Guten Tag, ich habe hier das Problem, dass ich nur Leitungen der Telekom mit maximal 2,4 MBit up/16MBit down bekommen kann. Alternativ gibt es auch noch SDSL-Leitungen bis 10 MBit für 629,00. Davon abgesehen, dass 10 MBit down die Situation verschlechtern würden, ist die gebotene Leistung zu gering. Der Preis selber ist nicht unbedingt das Problem wenn die Leistung stimmen würde. Derzeit verwende ich 4 Leitungen per Loadbalancing (3xADSL, 1 x SDSL2000). Das funktioniert bis auf die maximale Performance (fast) ganz gut. Hin und wieder (1-2 x/Monat) verschluckt sich der Loadbalancer, dann müssen die Leitungen neu gestartet werden. Die Behauptungen im Internet, dass es ständige Probleme mit HTTPS Verbindungen gibt, kann ich nicht bestätigen. Mich würde interessieren wie ihr solche Probleme löst und welches Equipment ihr einsetzt. Möglichkeit 1 - Loadbalancing mit mehr Leitungen weiter betreiben und versuchen den monatlichen Hänger wegzubekommen. Welche Geräte setzt ihr für Loadbalancing ein? Kennt ihr Geräte um mehr als 4 Leitungen einzusetzen, oder macht das bereits jemand? Lancom hat mich leider nicht so überzeugt. Vom Support erhalte ich unterschiedliche Aussagen was geht/empfehlenswert ist und was nicht. Das macht keinen allzu kompetenten Eindruck. Möglichkeit 2 - SkyDSL Versucht, Latenzen grauenhaft, abgehakt. Möglichkeit 3 - Richtfunk (optisch oder Mikrowelle) Ich hätte Sichtverbindung zu einem Standort mit Kabel-Deutschland Anschluss. Recht einfach hört sich da die Kategorie WLAN-Richtfunk an. Auch da gibt es was von Lancom (OAP 821 Bridge Kit). Aber Sichtkontakt ist ja nicht gleich auch freie Fresnelzone. Hat jemand von euch schon so etwas eingerichtet/beauftragt? Mit welchem Ergebnis und welcher Technik? Möglichkeit 4 - Bündelung, SD-WAN, DSL-Bonding Viprinet, Peplink sind wohl hier die bekannten Namen. Hat das jemand im Einsatz? Mit welcher Erfahrung? Natürlich erarbeitet man in einem Forum für solche ein Thema keine Lösung. Ich habe mir das eher als Erfahrungsaustausch gedacht. Danke für eure Anmerkungen und viele Grüße

Guten Abend, das mit den Energieeinspareinstellungen hatte ich auch mal ertestet. Tatsächlich bin ich mit meinen Ergebnissen und der Empfehlung das alles abzuschalten bisher immer nur belächelt worden. Schön, dass das hier bestätigt wurde. Vielen Dank.

Guten Abend, bezüglich Systeme clonen, sysprep und SID, ist folgender Artikel von Mark Russinovich lesenswert: https://blogs.technet.microsoft.com/markrussinovich/2009/11/03/the-machine-sid-duplication-myth-and-why-sysprep-matters/ Grüße

Funktioniert leider nicht. Beim Terminall-Server wirkt sich das nicht aus. Irgendwie setzt sich die Einstellung der Remotedesktopverbindung darüber hinweg oder es ist eine andere Einstellung. Das ist jetzt nicht schlimm, aber abschalten würde ich das schon gerne. Ich meine die Option Menü- und Fensteranimation in den RDP-Optionen. Grüße und ein schönes Wochenende

Guten Abend, jedes mal wenn ein Backup einer VM läuft wird im Eventlog des Host folgender Fehler geloggt. Von den VSS-Writern auf dem virtuellen Computer "XXX" konnte der BackupComplete-Vorgang für den Schattenkopiesatz (VSS-Momentaufnahme) nicht ausgeführt werden: Schwerwiegender Fehler (0x8000FFFF). (ID des virtuellen Computers: 297BAD57-9EF9-4846-B513-80A436D34A08) Das Standardrepertoire zur Fehlersuche bei Schattenkopieen ist komplett abgehakt. Die VSS Writer in der VM stehen auf "kein Fehler", aber "warten auf Fertigstellung". Die Backups laufen korrekt, lassen sich wiederherstellen und die enthaltenen Datenbanken sind konsistent. Der Fehler wird nur geloggt wenn in den Einstellungen von Veeam "applicationaware copy only" aktiviert ist, sonst nicht. Das copy only will ich so haben. Mich würde interessieren ob ihr diesen Fehler kennt? Lt. diesem Post ist es wohl so, dass Veeam bei copy only dem VSS Writer im Gast einfach mitteilt, dass das Backup nicht geklappt hat und somit werden die Logfiles nicht abgeschnitten. Wenn das so ist, gehört das aber ganz klar und eindeutig dokumentiert. https://forums.veeam.com/veeam-backup-replication-f2/replication-exchange-server-vss-writer-error-event-logs-t30958.html#p167194 Könnt ihr das bestätigen? Grüße Edit: Es hat ein *nicht* gefehlt.

Vielen Dank für eure Mühe und entschuldigt meine verspätete Antwort. Backup to Disk bei Active-Full läuft lt. Veeam Statistik mit 600 - 900 MB/s auf das SAN (10GB Ethernet). Davon bin ich noch immer beeindruckt. Das File2Tape Problem hat sich aufgelöst und war ein klarer Fall von Selbstve******ung. Auf dem Volume das ich auf das Band schreibe hatte ich mal mehr als 250.000 kleine Files. Diese Files habe ich zum F2T in eine VHDX gepackt und gelöscht. Danach den Papierkorb geleert und mich auf das leere Papierkorb-Symbol auf dem Desktop verlassen. Im versteckten Ordner $Recycle.bin waren aber noch immer über 160.000 Files vorhanden die auf das Band gesichert wurde. Oben rechts im F2T Protokoll von Veeam steht ja die Zahl. War mir nur nicht gleich aufgefallen. Jetzt läuft das mit 160 MB/s. Da bin ich jetzt mal zufrieden. Danke und schönes Wochenende.

Wegen dem einzelnen HBA habe extra beim Presales-Support von Lenovo meine Konfig bestätigen lassen. Ein weiterer HBA hätte eine zweite CPU erfordert. Aber schauen wir weiter. Veeam 9 ist auf dem Blech installiert (simple deploy), Backupserver ist gleichzeitig Tapeserver. Das Backuprepository ist einfach ein Volume auf einem separaten LUN des SAN mit einem SAS HBA angebunden. Der Veeam Proxy läuft auf dem Hyper-V Host der die VMs hostet. Alles recht einfach. Die zu sichernden Files liegen auf dem gleichen SAN (anderes LUN). Ab welcher größe sind Files eigentlich groß genug für schnelles File2Tape? Grüße und Danke

1) Die VM mit Veeam 9. 2) Für einen File2Tape Job aus der VM heraus mit *vorsicht uncool* wbadmin (Windows Server Sicherung). Wenn man das ganze Volume sichert kann man die Anwendungswiederherstellung benutzen. Man kann aber auch "nur" die DB sichern *hüstel/duck*. In beiden Fällen werden die Logfiles korrekt gelöscht (vssFull). Wenn man nur die DB sichert sollte man vielleicht die Wiederherstellung mal üben. https://technet.microsoft.com/en-us/library/dd876854%28v=exchg.160%29.aspx Bevor ihr mich haut. Professionell ist natürlich 1, 2 geht aber halt auch. Grüße

Hi, mit größeren Dateien steigt die Performance bei File2Tape mit Veeam auf knapp 70 mb/s. Das Storage schafft beim kopieren über das Netzwerk der gleichen Daten gut 700 mb/s (10GB). LTO6 sollte aber schon 160 mb/s schaffen. Das Laufwerk ist über einen LSI 9300 12Gb SAS HBA an den Server angebunden. Das SAN ist über den gleichen Adapter an einem anderen Port angebunden, da sind deutlich über den 70 mb/s des Laufwerks drin. Als Bottleneck zeigt Veeam das Target mit 99% an. Erreicht jemand von euch z. B. deutlich über 100 mb/s mit Veeam File2Tape? Firmware / Treiber ist natürlich alles aktuell. Grüße

Hi, danke euch. Grüße

Hallo, ich habe hier ein AD das lt. meinen Vorgängern bereits seit Windows 2000 existiert und über die Jahre immer wieder migriert wurde. Die letzte Migration von 2008R2 auf 2012R2 habe ich selber durchgeführt. Beim installieren des AD muss man ein Wiederherstellungspasswort angeben. Gilt dieses Passwort für die gesamte Domäne oder nur für den jeweiligen DC an dem das eingegeben wurde? Bei einem Restore des AD von einem Backup, gilt das Passwort von dem DC das ich bei der Installation eingegeben habe oder muss ich das Passwort der ersten Installation des AD wissen? Danke und Grüße

Hi, kleiner Nachtrag zur Performance von File2Tape von Veeam. Die Performance von File2Tape Jobs ist nicht wie teilweise berichtet "nur" kb/s sondern schon mb/s. Aber noch immer deutlich schlechter als z. B. bei BackupExec. BackupExec ist bei vielen Dateien auf ein Tape um ein vielfaches schneller. Vergleich BackupExec 80-90 mb/s auf ein LTO4 Band vs. Veeam 20 mb/s (teilweise nur 12 mb/s) auf ein LTO6 Band. Ich umgehe das, indem ich die vielen kleinen Dateien in eine über einen UNC-Pfad gemountete vhdx per robocopy kopiere und diese dann auf das Band sichere. Dann ist es wieder OK. Auch bietet Veeam keine Option die auf Band geschriebenen Daten zu prüfen. Die Vorteile beim Backup von VMs überwiegen aber, trotzdem ist es eine Info die in diesen Thread gehört. Grüße

Guten Morgen, ich will die Fensteranimation am Remotedesktop-Sitzungshost deaktivieren. Windows Server 2012 R2 Was habe ich gemacht? Lokale Gruppenrichtlinie - gpedit.msc Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Desktopfenster-Manager / Fensteranimation nicht zulassen aktiviert Computerkonfiguration / Administrative Vorlagen / Remotedesktopdienste / Umgebung für Remotesitzung / Desktopgestaltung für Remotedesktopsitzungen zulassen deaktiviert Neustart - gpresult --> Einstellung aktiv Feature Desktopdarstellung deinstalliert Neustart Die Fenster sind noch immer animiert. Man kann das natürlich am Client deaktivieren, ich würde das aber gerne zentral abschalten. Könnt ihr mir einen Tipp geben, wie das zu konfigurieren ist? Schönen Tag noch und Grüße

Das weiß ich nicht. Bisher habe ich bei Gesprächen nur immer die Erfahrung gemacht, dass viele ein SAN nur mit iSCSI oder Fibre Channel und passenden Switche als eine professionelle Lösung ansehen. Ich sehe das nicht so, deshalb benutze ich SAS. Ich kann dann halt nur so viele Hosts anschließen wie der Controller hergibt. Die Performance-Sorge habe ich nicht. Meine Sorge galt der Sicherheit der Daten mit SATA HDDs. Aber zwischenzeitlich weiß ich, dass es SATA HDDs mit einer Lesefehlerrate von 10^16 gibt. Da ist dann allerdings der Preisunterschied zu SAS HDDs nicht mehr groß. Danke für eure Mühen

Hallo, ja, das ist so. Nur das ich auf dem Backupserver (ich nenne den halt mal so) noch eine VM als zweiter DC und zwischenzeitlich noch eine VM als File und Printserver darauf laufen lassen will. Als Backup-Software will ich VEEAM verwenden. Das soll lt. Doku aus dem Backup heraus eine VM starten können. Um das Backup konsistent zu halten werden Änderungen in einer Differenz-Disk gespeichert. So jedenfalls die Doku. Wenn du mit Standby nicht ausgeschaltet, sondern "läuft hat aber nicht viel zu tun" meinst, dann stimmt auch das. Ich habe mich inzwischen für ein kleines Einsteiger-SAN mit NL SAS HDDs von Lenovo entschieden. Mit dem SAN kann ich noch an anderer Stelle an der etwas Platz benötigt wird, diesen bereitstellen. Das SAN werde ich per SAS anschließen. Ich weiß, das ist uncool, aber für eine nicht zu große Umgebung für mich praktikabel, schnell und halbwegs kostengünstig. Deine Meinung wegen SAS/SATA und natürlich allgemein interessiert mich trotzdem. Grüße und Danke