monstermania

Moin, etwas Off Topic. Also grundsätzlich habe ich kein Problem damit eine UTM als VM zu betreiben. Allerdings würde ich so eine UTM immer exklusiv auf einer dedizierten HW betreiben und auch mehrere NIC's dafür einsetzten. Die UTM auf einem Host laufen zu lassen auf dem auch produktive Maschinen laufen. Noch dazu mit nur 1. echten NIC und rein über virtuelle Switche wäre mir einfach zu heikel! Da braucht es dann nur 1 Sicherheitslücke im Host-BS (HyperV) oder eine Fehlkonfiguration der vSwitche und schon hängen die Produktivsysteme im Internet... Wir haben hier auch unsere UTM auf VMWare am laufen. Allerdings mit dedizierten NIC's für VM-Management, Inet, DMZ1, DMZ2 und LAN. Gruß Dirk

Moin, ist schon richtig so! Du darfst als Endkunde von 2012R2 auf eine beliebige vorherige Serverversion downgraden, sofern Du im Besitz der entsprechenden Lizenzkeys und Datenträger bist. OB OEM oder Volumenlizenz ist dabei egal. Der Satz den Du zitierst bezieht sich darauf, dass Datenträger und Lizenz übereinstimmen müssen. Also wenn Du von einer OEM-DVD installierst muss auch der Lizenzkey ein OEM-Key sein. Gruß Dirk

Kommt darauf an... Je nachdem wie viele Maschinen gesichert werden müssen. Bei 20-30 ist der Unterschied noch nicht sehr groß. Wenn Du aber 100'te von Servern sichern musst macht das schon einen Unterschied, ob Du jedes Mal das Betriebssystem mitsicherst oder eben nur die Nutzdaten. Und das hängt auch davon ab welche Backupsoftware eingesetzt wird. BE2010R3 kann z.B. VM's die per VM-Agent gesichert werden bei der Sicherung nicht komprimieren. Da werden die 450 GB vdmk's eines Servers dann komplett so auf den Backupserver geschrieben. Veeam macht aus der gleichen Maschine eine 200 GB Sicherung. Wenn Du jetzt mit BE über den BE-Agent auf dem Server sicherst kann BE auch gleich komprimieren. Bei uns hat sich die Größe des Wochenbackup nach der Umstellung von BE2010R3 auf Veeam fast halbiert. Bei Veeam muss im Prinzip eh nur noch einmalig ein Vollbackup erstellt werden. Alle weiteren Backups laufen dann eh inkrementel. Und Veeam erzeugt dann automatisch wöchentlich ein neues synthetisches Vollbackup. Gruß Dirk

Moin, grundsätzlich finde ich es immer gut, wenn sich jemand Gedanken um das Backup macht. M.E. wäre jedoch als grundsätzliche Frage zu klären welchen Datenverlust sich Euer Unternehmen leisten kann. So wie ich Eure Strategie lese habt Ihr einen akzeptablen Datenverlust von 1 Woche. Sprich, wenn Freitag früh der Blitz einschlägt und Eure IT killt habt Ihr eine Woche Datenverlust, sofern sich Euer 1. externes Backup problemlos lesen lässt! Fände ich schon eine ziemlich heiße Kiste! Was ist denn, wenn just in dem Augenblick noch Jemand Eurer Backup vom Schreibtisch fallen lässt? Idealerweise sollte man Zugriff auf mehrere unabhängige Backupmedien haben. Wie lange könnte Ihr Daten rückwirkend wieder herstellen? Habt Ihr nur immer 1 Woche im Zugriff? Schon mal in der Fima mit den Kollegen besprochen wie lange bestimmte Daten wieder hergestellt werden müssen (taggenau)? Bei uns kommt es leider häufiger mal vor, dass Jemand z.B. eine CAD-Zeichnung versehentlich überschreibt. Da mussten wir schon Daten von vor 2-3 Monaten aus dem Backup taggenau wieder herstellen. Andere Systeme werden z.B. ausschließlich wöchentlich gesichert. 1. Erstmal genau überlegen, welche Daten wie lange vorgehalten werden müssen und welchen Datenverlust sich das Unternehmen leisten kann. Das sollte auch mit den Kollegen und dem Chef abgeklärt sein. 2. Dann Erarbeiten mit welchen Lösungen kann das umgesetzt werden (Hard- und Software) 3. Umsetzten 4. Testen des Backups Gruß Dirk

Moin, vielen Dank für die Infos. Das Surface3 scheidet für uns aus, da der Business-Support von MS ein Witz ist. Bei Notebooks/Tablets schließen wir grundsätzliche einen weltweiten Vor-Ort-Service ab. Gerade auch, weil die Personen die das Betrifft auch häufig mal in den USA/Asien unterwegs sind. Dell hatten wir mit dem Venue Pro schon in der engeren Auswahl. Nur konnte Dell einfach seinerzeit die gewünschte Konfiguration nicht liefern. Derzeit haben wir hier HP Elitetab, HP Revolve (mit Tastatur) und demnächst 2 Lenovo Helix im Einsatz. Problematisch ist eben das Elitetab (reines Tablet) und auch die Helix, da hier der Tastaturdock bei 1-Tages Kurztrips gerne im Büro verbleibt. Das mit dem zusätzlichen Sicherheitsgewinn bei Tablets durch eine Pin-Eingabe ist natürlich ein gutes Argument. Wichtig ist uns ja im Prinzip, das die Daten bei Verlust des Gerätes hinreichend geschützt sind. Das wäre ja prinzipiell auch mit dem Bitlocker ohne PIN gewähreistet, da bei Ausbau der Platte die ein einem anderen Rechner nicht lesbar wäre. Habe gestern noch eine Lösung der Fa. becrypt gefunden. Die bieten mit Ihrer Lösung ebenfalls ein Pre-Boot Keyboard bei Tablets an. Der Vorteil wäre, dass wir diese Lösung bei allen unseren mobilen Geräten wie Laptops und Tablets (Windows7 und 8) einsetzten könnten. Gruß Dirk

Moin, wir haben seit einigen Wochen die ersten Windows 8.1 Tablets im Einsatz. Natürlich möchten wir auch bei den Tablets die Festplattenverschlüsselung nutzen. Einfach um im Falles eines Verlustes des Gerätes unsere Daten auf der HDD zu schützen. Bei Laptops (Windows 7 Pro) nutzen wir bisher DiskCryptor. Bei Windows 8.1 Tablets haben wir jetzt das Problem, dass ja bei der Eingabe des Kennwortes vor dem Booten von Windows die Tastatur noch nicht vorhanden ist. Wie löst Ihr das Problem? USB-Dongle wollen wir nicht! Selbst mit Bitlocker von MS scheint es bei Tablets keine Möglichkeit zu geben eine Kennworteingabe vor dem Booten der Systemplatte zu erreichen. Hat einer einen Vorschlag? Gruß Dirk

Moin, mir ging es auch nicht um den Sinn eines DC der unabhängig von der übrigen VM Infrastruktur läuft, sondern nur darum auch einen Weg aufzuzeigen, wie man weitgehende Redundanz auch mit einem virtuellen DC hinbekommt. Unsere Vorgehensweise spart den Platz für einen weiteren Server im Rack und eine zusätzliche Windows Serverlizenz ein (weil sowieso 2012DC Lizenz auf dem VM Host). Das Ganze läuft weitgehend unabhängig von der übrigen VM Infrastruktur. Klar, wenn jetzt der VM-Host ausfällt auf dem der DC lokal läuft und dann gleichzeitig noch das SAN weg fliegt... Bietet sich doch prinzipiell auch bei Euch an. In einen der VM-Hosts ein lokales Raid-1 und darauf eine VM als DC. Fertig! Das kann man seinem Chef gegenüber auch viel besser verkaufen. :cool: Gruß Dirk PS: Klar, wenn ich eine 2. Serverraum in einem anderen Brandabschnitt hätte... Ach man wird ja wohl noch mal träumen dürfen :D

Also, wenn es um Betriebsfremde geht kann man so etwas recht Simpel mit einem Managed Switch erledigen. Einfach eine MAC ACL hinterlegen. Kommt jemand mit einer unbekannten MAC und schließt sich an NW an, so wird einfach der entsprechende Port im Switch gesperrt und es gibt eine Mail an den Admin! Habe ich schon häufiger in z.B. Krankenhäusern erlebt. Aber Du weißt schon, dass man eine MAC recht einfach fälschen kann, oder? Richtige Profis schreckt das nicht wirklich! Gruß Dirk

Moin, also über MS Windows geht da m.E. nichts. Weil, was soll der Server machen, wenn die Clients mit einer festen IP (evtl. Doppelt) ins Netz kommen? Der Client meldet sich ja dann gar nicht am DHCP. Müsste man über die Switsche realisieren. Also so, dass wenn eine bestimmte MAC und die zugehörige IP nicht übereinstimmen das Gerät geblockt wird... Weiß jetzt nicht, ob es so eine Funktion gibt. MAC ja, aber feste Bindung an MAC und IP weiß ich jetzt nicht. Gruß Dirk

Moin, m.E. braucht es in einer virtuellen Umgebung nicht zwingend einen physikalischen DC. Das hängt halt stark von den örtlichen Gegebenheiten ab, weil schließlich geht es immer um Redundanz im Fehlerfall. So macht ein pysikalischer DC m.E. nur dann wirklich Sinn, wenn man den auch in einem 2. Brandabschnitt getrennt von der restlichen VM-Infrastruktur stehen hat. Es muss halt sichergestellt sein, dass mit größtmöglicher Ausfallsicherheit noch ein DC in Netz laufen kann. In unserer VMWare-Umgebung haben wir einen DC als VM auf dem lokalen Storage eines VM-Hosts am laufen. Dazu hat ein VM Host extra ein RAID-1 aus 146GB SAS, während die anderen VM-Hosts nur per SD-Karte laufen. Leider haben wir durch die örtlichen Gegebenheiten nur 1. zentralen Serverraum. Beim Ausfall der VMWare-Umgebung (z.B. defektes SAN) kann der 1. virtuelle DC immer noch laufen und das Netz mit DHCP, DNS, usw. versorgen. Die User könnten sich zumindest noch anmelden und ins Internet. Das wäre es dann aber auch. Im Falle z.B. eines Brandes im Serverraum wäre eh die Ganze Firma betroffen. Dann braucht es auch keinen DC mehr. Da wäre eh auch die Netzwerkinfrastruktur futsch! Ach ja, einen physikalischen Backupserver haben wir auch. Den haben wir aber bewusst nicht zu einem DC gemacht. Gruß Dirk

Moin, bezüglich des Themas User- oder Device-Cal würde ich wirklich gut überlegen. Bei einer Device-Cal-Lizenzierung braucht wirklich jedes netzwerkfähige Device, dass irgendwie auf einen Windows-Server zugreift auch eine Windows Device-CAL (z.B. Netzwerkdrucker, ggf. W-LAN Access-Point, ggf. Firewall). Uns wurde seinerzeit von einem Systemhaus zu Device-Cals geraten (Schichtbetrieb). Bei genauem nachrechnen haben wir nun festgestellt, dass eine User-Cal Lizenzierung billiger ist. Wir stellen jetzt Alles auf User-Cal um! Bitte auch daran denken, dass Alles was eine Email über den Exchange verschickt auch eine Exchange Device CAL benötigt. Auch hier gilt: Haben alle User eine Exchange User CAL, wird keine extra Device-Cal mehr benötigt! Gruß Dirk

Moin, etwas Off Topic und nur zur Erklärung. Wir haben hier VM-Ware Hosts im Einsatz. Jeder der Hosts hat eine Windows 2012 DC-Lizenz. Wir dürfen somit beliebig viele virtuelle Serverinstanzen auf unseren VM-Ware Hosts betreiben. Hierbei gilt auch ein Downgraderecht auf beliebige vorherige Microsoft Serverversionen. Allerdings muss man im Besitz zumindest einer Lizenz der betreffenden Vorversionen sein. Daher die Ausgangsfrage, wie man den Besitz einer 'alten' Serverversion nachweisen kann. Mit Lizenzmobilität hat das zunächst mal nichts zu tun. Das wird erst interessant, wenn man z.B. ein HA-System betreibt und die Maschinen im laufenden Betrieb zwischen den Hosts hin- und herschieben kann. Dafür benötigt man in den VM's auch eine entsprechende MS Serverbetriebsystemlizenzen. Noch etwas komplizierter wird es dann, wenn man auch noch Exchange und/oder SQL Server betreibt. Auch hier benötigt man entsprechende Versionen, die die Lizenzmobilität erlauben. Gruß Dirk

Moin, ich möchte hier noch mal einen wirklich nicht zu unterschätzenden Aspekt in die Diskussion pro/contra Exchange online einbringen, der m.E. immer viel zu kurz kommt. Wenn bei einem Exchange online die Internetverbindung der Fa. nicht da ist war es dass mit der internen Unternehmenskommunikation. Da hat man zumindest bei einem Inhouse Exchange die Gewährleistung, dass die interne Firmenkommunikation weiterhin sauber läuft. Auch ist der Bandbreitenbedarf für eine Exchange online Lösung nicht zu vernachlässigen. Kommt immer darauf an, was der Kunde vor Ort bekommen kann. So gibt es leider heute noch Gegenden, wo man als Kunde froh wäre eine stabile 6000'er DSL-Leitung zu bekommen. Allein das Kriterium kann für einen Kunden im ländlichen Gebiet schon ein Grund sein auf Cloud-Systeme soweit möglich zu verzichten! Auch die Anbindung einer 3'rd Partylösung an Exchange (z.B. Archivsystem, CRM, usw.) kann ein Killerkriterium gegen den Einsatz einer Cloud-Lösung sein. Weil da sieht es m.W. nach noch nicht sehr rosig aus. Gruß Dirk

Na ja, das halte ich schon für recht weit hergeholt. Schließlich reden wir hier von 7-12 Jahre alten Lizenzen (Server 2000 und 2003)! Da würde man sich sicher fragen, wer so etwas heute noch neu einsetzen würde... Ist ja bei uns auch nur noch so lange im Einsatz, bis wir die alte PPS im Einsatz haben. Anhand der Lizenzkeys könnte ja MS sehr leicht prüfen, ob diese Lizenzen noch woanders aktiviert wurden. Wie bereits geschrieben. Warten wir es doch einfach alle ab, wie MS reagiert! Ich werde das auf jedem Fall hier im Forum posten. Gruß Dirk

Moin, wie ich bereits schrieb stimme ich Euch im Sinne des MS Lizenzrechtes ja auch zu. Die Frage die von viel größerer Bedeutung für uns ist aber doch, wie MS selbst die eigenen Bedingungen im Rahmen einer MS SAM Prüfung auslegt. Fakt ist, dass wir hier bei mehreren OEM-Server-Lizenzen keine Lizenzaufkleber mehr haben, da die zugehörige Serverhardware inzwischen entsorgt wurde. Wir können durch Rechnungen belegen, dass wir Serverhardware seinerzeit mit betreffenden Serverlizenzen erworben haben. Und genau das werden wir so im MS Lizenzaudit angeben! Und nun warten wir doch alle einfach mal ab, was MS im Rahmen des Audits dazu sagt. Im schlimmsten Fall müssten wir halt die 'fehlenden' Lizenzen nachkaufen. Gruß Dirk

Tut mir echt leid für Euch und ich hoffe, dass Du Alles wieder ans laufen bekommst. Spätestens jetzt wäre aber der Punkt da, wo man Eure Backupstrategie überdenken sollte! Und mal ehrlich, 8 TB sind jetzt nicht so eine riesige Datenmenge. Wir setzten auch im ersten Schritt auf Online-Backup (B2D). Im 2. Schritt wird das Backup auf Band geschrieben. Mit LTO-5 schaffen wir ca. 2 TB Daten pro Band. Mit dem von uns eingesetzten Quantum Superloader (16 Slots) ist da also auch noch einige Luft nach oben. Ja, das Rücksichern von Band dauert. Aber wir sind froh, dass wir im Falle des Falles auch mal auf Daten von vor 6 Monaten zugreifen können! Gruß Dirk

Moin, also so ganz kann ich Eurer Argumentation nicht folgen. Ich nehme das jetzt aber mal so hin, da Ihr rein lizenztechnisch (MS EULA) bestimmt auch recht habt. Man erlaube mir aber den Hinweis, dass MS bei Desktop OEM's mittlerweile selbst die Praxis des Lizenzaufklebers abgeschafft hat. Gibt es ja nicht mehr, da die Lizenz an das Mainboard/BIOS des Rechners gekoppelt wurde. Hier dient lt. MS die Rechnung des Händlers als Lizenznachweis. Klar, als Grundlage dient sicherlich ein anderer Lizenzvertrag. Außerdem hat MS selbst in Ihrem eigenen Excel-Fragebogen zur SAM explizit auch die Möglichkeit des Lizenznachweises der OEM, FPP, SB-Versionen per 'Rechnung' angegeben. Wäre m.E.in der Praxis auch gar nicht anders umsetzbar, da mit Sicherheit viele Unternehmen Ihre Altsysteme zwischenzeitlich virtuell betreiben. Wir werden das auf jedem Fall auch so bei der MS SAM so angeben und mal abwarten, wie MS darauf reagiert. Schauen wir mal! Gruß Dirk

Moin, wie weißt man den Erwerb bzw. den Besitz von MS Serverlizenzen nach, wenn es die Lizenzaufkleber nicht mehr gibt? Konkret geht es um alte 2000 und 2003er Serverlizenzen (OEM bzw. SB), die zwischenzeitlich in einer virtuellen Umgebung laufen. Die betreffende Originalhardware mit den Lizenzaufklebern drauf wurde zwischenzeitlich entsorgt. Daher sind im Unternehmen jetzt nur noch die originalen Datenträger nicht aber die zugehörigen Lizenzaufkleber vorhanden. Reichen die Rechnungen der Beschaffung der Hardware / Lizenzen als Nachweiß des Besitzes aus? Gruß Dirk

Moin, der Faxserver (GFI Faxmaker) sendet die empfangenen Faxe per Email (SMTP) an die eingerichteten Benutzer. Alle in Faxmaker eingerichteten Benutzer verfügen selbstverständlich über eine Exchange User Cal. Von daher dürfte ja keine Exchange Device Cal für den Faxserver nötig sein, oder? Gruß Dirk

Moin, das mit der Geräte CAL ist klar. Sowohl bei den Druckern als auch beim Faxserver. Nur das mit der Exchange CAL war mir nicht 100ig klar, da ja alle möglichen Empfängeruser bereits eine Exchange User CAL haben. Multifunktionsgeräte leuchten mir jetzt ein und habe ich verstanden. Wie sieht es denn beim Faxserver aus? Sender ist ja nur der Faxdienst. Dort müsste dann ja keine Exchange Device Cal mehr notwendig sein, da alle Nutzer ja eine Exchange User Cal haben. Gruß Dirk

Moin, wir haben einen Faxserver sowie diverse Multifunktionsdrucker im Unternehmen. Alle User, die ein Fax (per Mail) und einen Scan (per Mail) von den Geräten bekommen können haben natürlich auch eine Exchange User CAL. Es kommt natürlich vor, dass ein Mitarbeiter ohne Exchange User CAL (z.B. aus der Fertigung) etwas Einscannt und an einen Mitarbeiter in der Verwaltung versendet. Brauchen die Geräte zusätzlich noch eine Exchange Device CAL? Oder ist dadurch, dass eine Mail eh nur an einen User mit Exchange User CAL gehen kann das Gerät eh schon lizenziert? Gruß Dirk

Danke für die Informationen Daniel, da muss ich mal genau schauen welche Lizenzversion wir genau haben. Wichtig ist ja auf jedem Fall, dass das 2. Gerät aber auf jedem Fall auch eine Volumenlizenz benötigt damit der User damit auch auf den Citrix-Server zugreifen darf. Du schreibst, dass bei einem RDP/Citrix die gleiche Office Version wie auf dem Gerät von dem aus zugegriffen wird vorhanden sein muss. Wie sieht es dann aus, wenn auf dem Tablet eine Office 2013 Volumenlizenz installiert ist und der User damit auf den Citrix-Server mit der Office 2010 zugreift. Wäre das lizenztechnisch sauber, weil ja mit der Office 2013 Volumenlizenz auch das Recht auf Lizenzdowngrade verbunden ist? Office 2013 lässt sich halt mit einem Tablet besser bedienen als Office 2010... Gruß Dirk

Moin, auf wie vielen Geräten eines Nutzers darf ein darf eine Office 2010/2013 Volumenlizenz installiert bzw. genutzt werden? Ich bin bisher immer von 2 Geräten ausgegangen. Wird ein Citrix-Server auch als Gerät gezählt? Hintergrund: Ein User hat neben seinem Notebook noch ein Win 8.1 Tablet bekommen. Da der Notebookuser aber bereits Office auf unserem Citrix-Server nutzen kann, wären das denn ja 3 Geräte. Benötigt der User jetzt für die Office Nutzung auf dem Win 8.1 Tablet eine weitere Office Volumenlizenz oder tut es da auch eine OEM? Gruß Dirk

Moin, ich schon wieder :p Hat MS die Lizenzierung von SQL 2012 Runtime CAL's gegenüber SQL2008R2/2008/2005 geändert? Hintergrund der Frage ist folgender: Wir setzten hier Microsoft NAV mit entsprechenden SQL 2012 Runtime Lizenzen ein. Im Zuge eines MS Lizenzaudits sollen wir nun alle von uns verwendeten MS-Lizenzen angeben. Nur gibt es eben im MS Excel-Sheet, dass wir zum Ausfüllen geschickt bekommen haben gar kein Eingabefeld für SQL2012 Runtime CAL's mehr. Bei allen anderen SQL-Versionen gibt es die Eingabemöglichkeit für die Anzahl der SQL Runtime-CAL's. Nach Rücksprache mit unserem zuständigen 'Microsoft SAM Inside Engagement Manager' bin ich jetzt auch nicht richtig schlauer... Der wusste das nämlich auch nicht und hat mir geraten die Anzahl der Lizenzen irgendwo in ein Textfeld der Excel-Liste zu schreiben... :suspect: Gruß Dirk

Moin Dukel, das mag ja stimmen. Aber wenn ich alle PC's in der Fertigung mit einer Device-CAL ausstatte brauchen doch auch alle Drucker auf den diese PC's drucken können auch eine Device CAL, oder? Wie kannst Du sicherstellen, dass ein Benutzer aus der Fertigung nicht doch an einen Kopierer aus dem Bürotrakt geht um z.B. etwas ins Netz u scannen? Klar, man kann auch alle Gerät mit einem PIN-Schutz versehen... Fakt ist, dass eine gemischte User- und Device-CAL Lizenzierung schnell sehr komplex wird. Siehe meine Fragen bezüglich Firewall, VM-Hosts und WLAN AP hier im Fred. So viel Teurer ist da eine reine User-Cal Lizenzierung dann auch nicht! Und macht viel weniger Streß! Gruß Dirk