cj_berlin

Moin, soweit ich weiß, hat Linux nur einen "quiescing"-Mechanismus für Dateisysteme, womit Puffer auf Platten geschrieben und neue Schreiboperationen zurückgehalten werden. Für mySQL braucht es dafür Skripte (findet man tonnenweise im Netz) zum Einfrieren und Wiederauftauen. Das Problem ist das Triggern dieser Skripte vom Host aus - automatisch durch den Snapshot passiert es nicht. Hier ist etwas von Veeam zum Ausmaß der Misere: https://www.veeam.com/blog/backing-up-mysql-on-a-linux-vm.html

Und ist die Performance dann besser? Oder haben sie bei sich in der Entwicklung ein RFC1149-Netzwerk und denken, dass das Netz überall so langsam ist?

+1. Ich habe auch noch nie Probleme mit den "im Namen vorkommenden" Zeichen gehabt.

Deswegen sage ich ja: Explizites Deny auf Objekte und Attribute Wird auch im verlinkten Artikel erwähnt, wenn ich mich daran noch richtig erinnere.

Was ist LOM?

+1 zu gMSA und dort, wo es nicht möglich ist, gMSA zu nutzen: ein Account pro Service --> Abhängigkeiten zwischen den Services kennen und Kennwörter konzertiert und skriptgesteuert im Mini-Wartungsfenster durchtauschen. Ich habe bei einem Kunden eine 3-Tier-Anwendung aus >10 Servern, wo der Wechsel sämtlicher Service-Kennwörter unter 20 Sekunden dauert. Das muss einmal in 14 Tagen oder einmal im Monat möglich sein. gleicher Service auf mehreren Computern unter demselben Account NUR DANN, wenn die Computer tatsächlcih geclustert sind und es nicht zu vermeiden ist (pseudo-gMSA) Accounts für Sachen wie LDAP-Lookup, was in Tausenden von Appliances eingetragen wird und nur drei Attribute bei 10% der Objekte lesen soll --> in einer Gruppe, die ein explizites Deny auf privilegierte OUs, Objekte und kritische Attribute hat. Kein Telefonbuch der Welt braucht Leserechte auf userAccountControl, adminCount, servicePrincipalName usw.

(bezieht sich auf die Antwort von @NorbertFe) Vor 10 Jahren hätte ich das auch gesagt. Aber die meisten Firmen haben eher zu viele Third Party Tools als zu wenige - bis auf die Stellen, wo es *wirklich* darauf ankommt. Und was das Verhindern angeht - das kann das gleiche IAM für Dich erledigen, indem die User mit dem Merkmal "cannot change password" versehen werden. Die Maske in Windows zu deaktivieren ist EINE GPO Einstellung. Die Maske in OWA deaktivieren ist EIN PowerShell-Befehl. Die Maske in StoreFront deaktivieren ist EIN Häkchen. Klar können das nur die Großen

Moin, eine Alternative, die für meinen Geschmack viel zu selten betrachtet wird, ist, das Kennwort nicht mit Windows-Bordmitteln zu ändern. Die UX dafür ist sowieso bescheiden. Und die IAM-Systeme, die man dafür einsetzen kann (einiges davon ist auch Open Source und frei verfügbar), machen die Prüfung dann nach eigenen Kriterien.

Das waren die letzten Worte des Bombenentschärfers. Hast Du denn einen konkreten Plan B, falls das Inplace-Upgrade knallt? Und bitte bitte, sag nicht, Snapshot zurückspielen, ich möchte noch etwas vom Abend haben.

Hmmm. Wieso denn RemoteApp, wenn der Pool einen Desktop bereitstellt?

Moin, vergiss die Bücher, sie werden Dir nur erklären, was geht (und wie), und dafür reichen Docs vollkommen aus. Was dort, und auch in den Büchern, nicht stehen wird, ist, warum das eine schlechte Idee ist, und warum das in einer virtualisierten Umgebung eine geradezu disaströse Idee ist. Das musst Du dir aus Blogs zusammen suchen, und ich werde absichtlich keine Links posten, damit Du siehst, wie mühsam bereits das Auffinden dieser Informationen ist. Was Du dir auch anschauen solltest, ist https://learn.microsoft.com/de-de/iis/web-hosting/scenario-build-a-web-farm-with-iis-servers/overview-build-a-web-farm-with-iis-servers - vielleicht ist es auch schon das, was der Anforderungs-Manager gemeint hat. Alles besser als WNLB. ARR wäre, auf IIS projiziert, das, was man in der professionellen Webserver-Welt mit NGINX-Loadbalancern macht.

Moin, Du verwechselst hier was. Das, was Du beschreibst, passiert bei Trap, und "continue" braucht man dort, um die Ausgabe der Fehlermeldung zu unterdrücken. Try/catch behandelt alles lokal, und "continue" führt dazu, dass der restliche Codeblock innerhalb der Schleife für diese Iteration übersprungen wird.

Stimmt, das war ein anderer User. Dennoch solltest Du es so machen und nicht darauf vertrauen, dass nur DE und EN bei euch vorkommen.

Moin, siehst Du in den Logs auf dem Broker, dass ein Connection Request für die zweite App dort eingeht? Und was passiert laut Logs danach?

Und, ganz egal, welchen Load Balancing-Mechanismus Du wählst, wird er nicht dafür sorgen, dass die *Anwendung*, die auf dem IIS läuft, auf allen Knoten synchron ist...

Genau, "terminierende Fehler" sind hier das Stichwort. Einfach -ErrorAction Stop zu den Cmdlets hinzufügen, und schon sind alle Fehler terminierend. Aber noch besser ist es, die Fehler gar nicht erst entstehen zu lassen: https://it-pro-berlin.de/2016/05/powershell-hack-namen-von-standardordnern-in-einem-exchange-postfach/ Ich könnte schwören, ich habe es bereits als Antwort auf Deinen anderen Thread gepostet.

OK, also Wake on LAN Was ist da nicht zu verstehen? Normalerweise braucht man MAC-Adressen nur in drei Fällen. Siehe meine Antwort oben - die MAC steht in DHCP.

An welcher Stelle?

Moin, wozu brauchst Du denn die MAC-Adresse? Wenn das Gerät - auch nach dem Reset - eine fixe IP haben sollte, dann brauchst Du die. Konfiguriert sich das Ding hingegen per DHCP, dann siehst Du sowohl die aktuelle IP-Adresse als auch die MAC im DHCP-Server, vermutlich ist es Dein Router. Aber die Installationssoftware und Anleitungen sind noch online: https://ftp.assmann.com/pub/DN-/DN-13023___4016032292944/

Im TechNetForum haben wir ihn sogar:

Moin, ich verwirre Dich mal noch mehr, aber hier ist ein etwas dynamischerer Ansatz: $searchBase = "OU=Test,OU=ITA,DC=ita22,DC=metabpa,DC=org" # wie man die Liste der Gruppen bekommt, ist egal, Hauptsache, es sind AD-Objekte # bei mir sind alle User und Gruppen in einer Test-OU, s.o. $adGroups = Get-ADGroup -SearchBase $searchBase -Filter * # das ist das Mapping von Gruppennamen (Tabellenspalten) zu DN (Suchstring im memberOf) $groupMap = @{} # das ist die Vorlage für jede Tabellenreihe, sie umfasst den Usernamen und alle Gruppen aus der Liste # wir ordnen sie, damit der Username vorn bleibt # keine Angst, John Doe wird überschrieben $tableRow = [ordered]@{'User' = 'John Doe'} foreach ($group in $adGroups) { $groupMap.Add($group.Name, $group.distinguishedName) $tableRow.Add($group.Name, '') } $output = foreach ($user in (Get-ADUser -SearchBase $searchBase -Filter * -Properties memberOf)) { $record = [PSCustomObject]$tableRow $record.User = $user.Name $groupMap.GetEnumerator().ForEach({ if ($user.MemberOf -contains $_.Value) { $record."$($_.Name)" = 'x' } }) $record } $output | Format-Table -AutoSize Und wenn Du das in Excel haben willst, einfach die letzte Zeile durch $output | Export-CSV -Path C:\temp\GroupMatrix.csv -NoTypeInformation ersetzen

...weil das Programm so agiert? Es kopiert *den Inhalt* der Quelle in *den Inhalt* des Ziels. Und der Tipp ist einfach: Den Zielpfad so angeben, wie Du ihn haben willst, also in diesm Fall mit \adk. er muss nicht vorher existieren.

Moin, ich werfe noch benutzerbezogene Firewall-Regeln in den Ring. Deren Erstellung sollte man bei Terminalservern am besten von vornherein blockieren.

Ich wüsste allerdings mindestens eine Server 2012R2-Umgebung, wo die Registrierung erst mit dem Eintragen der DHCP-Server in die Gruppe funktioniert hat (und mit dem Austragen wieder aufhörte). Der epische Post von Ace Fekay zu dem Thema ist auch deutlich jünger als Windows 2000. Go figure...

Und, falls auch bei Dir Kalender mal Calendar und Posteingänge mal Inbox heißen: https://it-pro-berlin.de/2016/05/powershell-hack-namen-von-standardordnern-in-einem-exchange-postfach/