magheinz

Jetzt würde mich aber schon mal interessieren wie die Leute das dann in einer Windows-Only-Umgebung machen wenn sie Fileservices über sagen wir mal 200TB anbieten sollen. Z.B. ein Share für 150TB oder kommt das bei euch nicht vor?

Für den VPN-Fall musst du nichts online stellen. Es genügt wenn dein VPN-Endpunkt die Sperrliste hat. Du brauchst die Liste nur online wenn es Geräte oder Anwendungen gibt welche auf eure Zertifikate vertrauen und welche NICHT unter eurer Kontrolle sind oder wenn du davon ausgehst Zertifikate wie z.B. vom VPN-Endpunkt zurückziehen zu müssen.

Der Stiftung Warentest ist das sicherlich nicht egal! Denen gehört test.de. 1Jahr Laufzeit finde ich ganz gut. Da bleibt man etwas in Übung beim Zertifikatswechsel am Exchangeserver. :D Hostnamen sind nach RFC1035 und RFC4343 caseinsensitive. Es empfiehlt sich aber bei Kleinschreibung zu bleiben da man sich da nicht ganz drauf verlassen kann. Es fehlt das MUST. https://developers.google.com/speed/public-dns/docs/security?csw=1#randomize_case Manche Nameserver antworten immer so wie sie gefragt werden und damit kann nicht jeder client umgehen. BTW am Rande und OT: der Mailboxport in E-Mailadressen ist nach RFC eigentlich casesensitiv, ich habe allerdings noch keinen mailserver gesehen der darauf Rücksicht genommen hat.

Ah verstehe. Das war bei uns der Grund uns gegen Veeam zu entscheiden. Die hier genannte Lösung ist so von hinten durch die Brust ins Auge, wurde uns aber von HP vorgeschlagen als wir uns die 3PAR als Netapp-Alternative angeschaut hatten. Das ist aber echt die reinste Symptombekämpfung die eure Kunden da treiben. Eventuell sollten die mal überlegen ob Veeam das richtige ist: Erst werden VMs eingesetzt weil man mit Veeam kein NAS sichern kann. Jetzt werden dynamische Datenträger eingesetzt weil die eingesetzte Veeam-Edition nicht mir der Anzahl? der Platten umgehen kann. Oder was auch immer die genaue Einschränkung ist. Das heisst die Arbeitsweise wird durch die Backuplösung vorgegeben obwohl es anders herum sein sollte. Commvault hatte ich mir letztes Jahr angeschaut, erst mal in der abgespeckten Variante von Netapp. Das ist dann ja schon der Mercedes des Backups. Wir hatten früher Legato Networker, grauenvoll und grauenvoll teuer + die üblichen EMC-Probleme. Ich habe durchaus schon mit so großen dynamischen

Wie schaut das mit den Lizenzen aus. Kann man die CALs problemlos für Firmenfremde verwenden?

Darf man nach Hersteller und Produktbezeichnung fragen?

Und erst die rechtliche Problematik E-Mails rauszufiltern die man schon angenommen hat. SINd private E-Mails erlaubt oder geht es eh nur um private Postfächer?

Ok, da war mein Tellerrand jetzt etwas hoch. Ich habe tatsächlich noch nie in einer reinen MS-Welt gearbeitet. Bei mir ist immer noch mind. Linux im Spiel gewesen. Wenn natürlich ein Windows-Fileserver den Platz für die HV-VMs bereitstellt sieht es etwas anders aus. Aber auch da würde ich schauen ob nicht dieser Fileserver auch die Clients bedienen kann um eine VM zu sparen. Mag aber sein das es da zu anderen Schwierigkeiten kommt. Das NTSF-Berechtigungen auf Storage adaptiert werden muss war bei uns halt schon immer der Fall. Früher Novell, heute Netapp. Nebenbei noch Solaris und Samba unter Linux. Das ist dadurch einfach "mein Normalfall". Du kannst dir vermutlich vorstellen wie lange und laut ich geflucht habe als ich da das Konzept zur Migration angefangen habe und gemerkt habe was Novell da so treibt und was Netapp anders macht.

Bei uns bauen die Hausmeister auch die Büros um. Danach stecken dann die Geräte auf den falschen Switchports. Wir haben in jedem Büro einen kleinen Switch bei denen die Ports feste als Drucker, WLAN-AP oder halt PC-Port konfiguriert sind. Abgebrochene LC-Stecker hatten wir auch schon...

eine VM weniger und man kann dem Gerät welches eh den Speicher verwaltet genau das machen lassen: den Speicher verwalten ohne zusätzliche Komplexität. Gegenfrage: welchen Sinn hat ein virtueller Fileserver wenn die selbe Aufgabe das darunterliegende Storage erfüllen kann?

In diesen Größenordnungen würde ich persönlich über ein SAN nachdenken. Im Idealfall macht das noch NAS und der WindowsFileserver fällt ganz weg :D Entweder Selbstbau mit z.B. freeNAS oder halt einer der etablierten Hersteller. Bei VMware würde NAS was NFS macht ausreichen, auf blockbasierte Zugriffe könnte man verzichten. Bei HV müsste SMB3.0 reichen. ISCSI, FC o.ä. sind also nicht unbedingt notwendig.

Irgendwie glaube ich dir das du so etwas weisst, aber das geht mir nicht bei allen hier so. Viele kennen nur ihren eigenen Tellerrand und alles darüber hinaus ist falsch, unmöglich oder einfach nur eine dumme Idee. Bisher hatten wir noch nie ein Lizenzaudit da es per Vertrag ausgeschlossen war. Im neuen Select Plus ist das jetzt erlaubt, auf den neuen EDU-Rahmenvertrag warten wir noch, der wird aber vermutlich dann auch Audits erlauben.

Gerade der zusätzliche Arbeitsplatz im Lager: Entspricht der den Anforderungen des Arbeitsschutzes und der Bildschirmarbeitsplatzverordnung?

Das möchte ich nicht so kommentarlos stehen lassen. Wir haben z.B. einige Anwendungen die auf Applikationsebene geclustert sind. z.B. wäre ein HV-Cluster auf dem zwei Domaincontroller, ein WSUS, ein AbteilungsMusikServer., ein Terminalserver und jeweils ein Oracle RAC-Knoten läuft mit zwei Mal enterprise durchaus ausreichend lizensiert da man den RAC-Knoten nicht migrieren müsste. Auch gibt es Anwendungen die man einfach nicht Hochverfügbar braucht und bei denen man auch mal zwei Wochen mit einer Downtime leben kann, z.b. der AbteilungsMusikserver o.ä. Ob man bei Microsoft dafür sorgen kann das einzelne VMs hochverfügbar laufen sollen und andere nicht kann ich aber nicht sagen. Aber prinzipiell fallen mit viele Möglichkeiten ein warum man das haben will.

Wenn die E-Mails beim Provider schon angenommen wurden, also der Absender den Empfang im STMP-Dialog bestätigt bekommen hat ist eine spätere Filterung höchst problematisch. Dir bleibt dann nur noch das erzeugen von Bounces was , ums mal vorsichtig auszudrücken, äusserst ungern gesehen wird und im Zweifel für eine Eintrag auf einer blacklist führt. Der Provider wird dir auch einen Vogel zeigen wenn die Bounces zu viel werden. Also musst du beim Provider filtern damit der das Filterergebnis schon im SMTP-Dialog verwenden kann.

Finde mal raus was die lahme VM so macht. Hängt die im wait weil keine IOPs durchgehen? Dann den HBA, die Verkabelung und den Port am Storage überprüfen. Du könntest da auch mal die HBAs der beiden Server tauschen. Ist es das alles nicht kann noch das systemboard des Servers die Ursache sein.

das war trotzdem eine extrem hohe Ausfallrate. Die grossen Server-/Storagehersteller reagieren eiegntlich recht flott auf solche Serienfehler. Netapp z.b. nimmt eine neue Kapazität erst ins Programm wenn mind. 3 Hersteller damit am Markt sind. Ok, seit den letzten Aufkäufen reichen jetzt wohl 2 Hersteller.

Und die SATA-Platten waren so vom Hersteller aus freigegeben? Oder ist das ein Selbstbauserver?

das dürfte aber auch auf die Platten ankommen. in umseren Nas/Sans sind nur Sata-Platten. In Summe 144 Stück. Ausfälle in 5Jahren: 3Platten. Eine Pizzabox miT 14*SAS. Ausfälle in 5Jahren: 1 Platte. Der nächste Storage bekommt SSDs als cache und SATA Platten. da kann SAS auch in Sachen Geschwindigkeit nicht mehr mithalten...

wenn es bei Fastethernet schon Probleme gab, nur seltener und die jetzt bei Gigabit sich häufen wüsste de ich auf die Verkabelung ider die Netzwerkkarte tippen. Gibts zu dem Switchinterfacen irgendwelche Statistike, Fehlerzähler etc?

Zum Lenovosupport habe ich eigene Erfahrungen was Server angeht. Ich weiss z.B. auch das es letztes Jahr erst eine Krisensitzung zwischen dem Bundesamt für Beschaffung und Lenovo gab da viele Bundesbehörden über einn gemeinsamen Rahmenvertrag einkaufen und mit dem Support massiv unzufrieden sind. Sind Hardwarefehler von Komponenten klar identifizierbar geht der Austausch am nächsten Tag. Sind die nicht klar identifizierbar kann sich das Katzemausspiel (firmwareupdate und auf nächsten Fehlerfall, RAMriegelwechsel und auf nächsten Fehlerfall warten etc) durchaus auch üner ein halbes Jahr hinziehen. In der Zeit ist so ein Server dann nicht wirklich produktiv nutzbar. Das ist eine direkte eigen Erfahrung. Ob der langsame Server im Fall des Falles zu langsam ist kannst leider nur du wissen. Beim Mixen hilft nur ein Blick in die Kompatibilitätsmatrizen. Da wir auf Bladesysteme setzen ist das sogar sehr streng. Unsere NAS/SAN ist so dimensioniert das wir da nix mixen und sie ist bei VMware in der Komaptibilitätsliste, genau wie die Server und teilweise die Switche.

weil dann der user auch aus allen Securitygruppen rausfliegt...

Das ist halt eine Frage der Anforderung ob man das akzeptieren kann. Ein ISCSI-Nas muss nicht unbedingt viel teurer sein Serverinterne Platten...

gibts eine Namenskonvention mit der du jetzt die Verteilergruppen identifizieren kannst?

schau doch mal in den Attributen des Users ob es eines gibt in dem die Liste der Gruppen als Wert hinterlegt ist. Falls nein gejt nur dein jetziger Weg, falls doch kannst du eine Schleife diese Liste durchlaufen lassen.