mwiederkehr

Vielen Dank für eure Antworten! Habe nur folgende Events, leider alle ohne weiteren Text: ID 21111: "Live migration of 'XY' failed." ID 21502: "Live migration of 'XY' failed." ID 1155: "The pending move for the role 'XY' did not complete." Den verlinkten Artikel von Nils kannte ich schon. Ich meinte eben, irgendwo gelesen zu haben, dass die CPU-Kompatiblität nur +/- zwei oder drei Generationen unterstützt. Leider finde ich diese Aussage nicht mehr. (Wäre für mich nachvollziehbar, sonst müsste man ja quasi alles bis runter zu MMX maskieren.) (Bei VMware stellt man ja fix die CPU-Generation ein, dort kann man sehr weit zurück.) Sobald wir den zweiten neuen Host geliefert bekommen, werde ich testen, ob zwischen den neuen Hosts die Live Migration funktioniert. Vielleicht lässt sich das Problem dadurch etwas eingrenzen.

Es ist nicht sicher, ob eine Datenbank, die mit Access 2010 läuft, auch mit der neuesten Version der Runtime läuft. Die Access Runtime 2010 läuft aktuell jedoch noch auf Windows 10, von daher kann man auch diese behalten und trotzdem das neue Office installieren.

Hallo zusammen Einem Cluster bestehend aus Servern mit Windows Server 2016 und nicht mehr so jungen Xeon E5645 wurde ein neuer Host mit Server 2019 und Xeon Gold 6130 hinzugefügt. Das Problem ist nun, dass sich die VMs zwar mittels Live Migration von den alten auf den neuen Host verschieben lassen, aber nicht mehr zurück. Die Fehlermeldung ist sehr sparsam: Event ID 21111, " Live migration of 'Virtual Machine <VM NAME>' failed". Der Fehler tritt auch mit aktivierter CPU-Kompatiblität auf. Wenn ich richtig informiert bin, sollten die unterschiedlichen Windows-Versionen kein Problem sein. Bei den CPUs bin ich mir nicht sicher und habe leider keine exakte Dokumentation gefunden: maskiert die CPU-Kompatibilität genug Features, damit Sprünge über mehrere CPU-Generationen möglich sind? Komischerweise funktioniert Quick Migration in beide Richtungen. Dabei wird die VM ja auch nicht neu gestartet und eine zu unterschiedliche CPU sollte ein Problem darstellen? Vielen Dank für eure Tipps!

Mal ernsthaft Jan: wenn Du das in eine EXE bzw. Windows App packst, sehe ich einen Markt dafür. Die Netzwerkumgebung wurde schon von einigen Kunden vermisst. Einige brauchten sie, um Daten von alter, nicht netzwerkfähiger Software direkt auf den Rechnern zu holen und andere, um zu schauen, ob der Kollege XY in der Produktion schon im Feierabend ist. So ganz nutzlos war die Netzwerkumgebung nicht. "net send" übrigens auch nicht, nur so zur Motivation.

Da fehlen noch "Vorhersage der demnächst online kommenden Rechner mittels KI" und "Sicherung der Daten in einer Blockchain". Natürlich mit Microservices in Docker.

Das sollte problemlos funktionieren. Den Client interessieren nur Netzwerkname und Passwort, nicht der Hersteller vom Access Point oder dessen MAC-Adresse.

Alternativ könnte man die Rechner auch mit SSD aufrüsten. Heutzutage ändert sich die Hardware nicht mehr so schnell. Man kann problemlos mit einer fünf Jahre alten CPU Büroarbeiten erledigen. Nur die Festplatten sind das Problem, auch in Sachen Ausfälle. Rechner auf, SSD an zweitem SATA-Port anschliessen, booten von USB-Stick, klonen (ca. 10 Min für 50 GB), HD raus, Rechner zu. Windows und Office bleiben aktiviert. Zehn Rechner sind in einem halben Tag problemlos umgerüstet. Bin sonst nicht so ein Fan von "ich baue meine Arbeitsplatz-Rechner selbst", aber wenn man Ersatzhardware hat und nicht auf Herstellersupport angewiesen ist, ist die Aufrüstung eine gute Möglichkeit, wenn man kein Budget für eine Neubeschaffung erhält.

Vielen Dank für die hilfreichen und kompetenten Antworten!

Hallo zusammen Ein Kunde betreibt aktuell zwei Hyper-V-Cluster mit SPLA. Auf einem Cluster laufen geschäftliche Kunden. Dieser ist auf Windows Server Datacenter pro CPU lizenziert. Auf dem zweiten Cluster laufen virtuelle Server von Schulen und gemeinnützigen Institutionen. Dieser Cluster ist über SPLA Academic lizenziert. Nun sollen die Server erneuert werden. Durch den technischen Fortschritt und den Einsatz von Dual-CPU-Systemen würde nun ein Cluster ausreichen. Die Frage: darf man Academic und normale Lizenzen mischen? Also dass die Lizenzen immer pro Host gelten ist klar. Aber könnte man von sechs Servern im Cluster zum Beispiel zwei normal lizenzieren und vier über Academic, wenn man sicherstellt, dass die nicht-Academic VMs nur auf den zwei Hosts mit normalen Lizenzen laufen? Oder zieht Microsoft die Grenze beim Cluster? Falls ja: dürfen die beiden Cluster in der gleichen Domäne sein? Vielen Dank für eure Hilfe!

Das ist fast unmöglich. Eine Website kann im Browser beliebig manipuliert werden. Dafür muss man nicht mittels Bildbearbeitung einen Screenshot editieren. Entwicklertools öffnen und im Quelltext ein paar Werte anpassen reicht. Auf einem Screenshot stimmt dann die Adressliste inkl. grünem Schloss für das richtige Zertifikat etc. noch.

In diesem Fall den Server starten, einloggen und sofort die Windows Firewall konfigurieren, dass sie von aussen alles blockt, ausser es kommt von Deiner IP-Adresse. Danach den Server neu starten, wieder einloggen und schauen, ob immer noch Traffic verursacht wird. Falls ja: dann läuft Schadsoftware auf dem Server und Du lässt ihn am besten neu installieren. Es gibt übrigens auch Terminalserver-Angebote von Hostern. Dann betreut der Hoster den Server und man kann sich als Benutzer einloggen. So hat man genau die Sicherheitsverantwortung nicht, die Dir jetzt zum Verhängnis wurde.

Mach mal einen Portscan von aussen, zum Beispiel mit nmap. Ist DNS von extern offen? Der sehr hohe Traffic in Kombination mit sonst keinen ungewöhnlichen Merkmalen könnte eine DNS-Amplification-Attacke sein.

Eine offizielle Stellungnahme von Microsoft gibt es dazu nicht so viel ich weiss. Kann mir vorstellen, dass sie den Aufwand als zu hoch erachten: Supportanfragen wegen voller Mailboxen, rechtliche Probleme, wenn etwas nicht mehr im Archiv zu finden ist etc. Du kannst jedoch eine Kopie aller ein- und ausgehenden Mails per Transportregel an eine bestimmte Mailbox schicken lassen. Rechtssicher ist das dann aber wohl nicht.

Bei den meisten Providern schon, bei der Swisscom nicht. Bei der ist die Netzwerkgrenze hinter dem Router. Man kann auf dem Router zwar Sachen wie NAT einrichten, aber die sind gerne mal weg nach einem Update. Es gibt schon einen Grund dafür: sie machen zwei PPPoE-Sessions auf, eine in ihr internes Netz für VoIP und TV und eine ins Internet. So können sie QoS garantieren. Ausserdem kann man die Dinger einfach einstecken und sie holen sich die Konfiguration. Und man bekommt einen 4G-Stick. Fällt DSL aus, schaltet der Router auf 4G um. Man hat dort dann sogar seine fixe IP-Adresse. (Das kann soweit ich weiss kein anderer Anbieter.) Man könnte hinter dem Router selbst PPPoE- oder IP-Passthrough machen, aber dann geht das 4G-Fallback nicht mehr. Die offizielle -und funktionierende- Lösung ist es, für 20 Fr./Monat ein 4er Subnetz zu bestellen und die Firewall hinter dem Router anzuschliessen. Telefone und allenfalls TV bleiben direkt am Router. Tausendfach erprobt, funktioniert bestens, auch mit IPsec etc. Nur eben: 20 Fr./Monat extra. Zu viel für Kunden, bei denen "es zuhause ja auch läuft ohne separate Firewall".

Ganz genau. Wobei der Swisscom etwas Schmerzen auch gut täten für ihre besch..eidenen Zwangsrouter... Auf jeden Fall vielen Dank für die Unterstützung!

Ja das sowieso. Es geht mir aber nur um die "lokale" Anmeldung am DC, also per Bildschirm oder iLO. Tröstlich ist, dass das jetzt genau die Kunden betrifft, denen ein richtiger Router bzw. eine Firewall zu teuer waren...

Ist dann etwas schwierig auf den iLO zu kommen. Habe es aber gestern versucht zum dem Kunden durchzuspielen: Netzwerkkabel ausgesteckt, neu gestartet => ging auch nicht. (Und das sollte ja gehen, wenn 127.0.0.1 als DNS eingetragen ist, oder?) Werde das nächste Mal dem Kunden aber sagen, er soll das Netzwerkkabel am Router abziehen, nicht am Server.

Habe ich mich nie getraut, weil es von Microsoft heisst, es sei nicht empfohlen. Er präferiert IPv4 nicht so, wie man sich das vorstellt, wie ich gerade gesehen habe: mit "nslookup www.google.com" fragt er immer noch AAAA und A ab, nimmt dann beim ping einfach den A-Record. Das dass bei einem Memberserver Probleme verursachen kann, wenn er den falschen DNS befragt, ist klar. Aber auf dem DC steht als DNS fix "::1" drin und DNS gibt lokal über IPv6 auch Antwort. Ja, das vermute ich auch. Nur verstehe ich nicht, weshalb das auf einem DC Probleme mit der Anmeldung geben soll. Memberserver können den DC wegen der Firewall allenfalls nicht mehr erreichen, aber am DC selbst sollte man sich ja immer anmelden können. Falls nicht, hätte jeder das Problem, der einen DC zum Kunden bringt. Langsam frage ich mich, ob es nicht dieses Problem ist: http://blog.becker.sc/2018/08/windows-domain-controller-es-sind.html Leider habe ich nicht ausprobiert, ob ich mich bei den Servern im Fehlerzustand mit dem AD-Recovery-Passwort hätte anmelden können. Vielleicht sind die tatsächlich in den DSRM gestartet. Allerdings habe ich noch nie gehört, dass ein Server aus einer Laune heraus die Bootkonfiguration verstellt.

Ja, es ist aus. Nur hat das leider keinen Effekt wegen eines Bugs in der Firmware... Was könnte denn noch das Problem sein mit IPv6? Wenn ich IPv4 präferiere, sollte es dem Server doch egal sein, was irgendein Router über IPv6 verzapft?

Swisscom Centro Business 2.0. Sollte aber (hoffentlich) nichts damit zu tun haben. Wir hatten in letzter Zeit schon Anmeldeprobleme wegen dem Router. Nach einem Firmwareupdate hat er sich trotz gegenteiliger Einstellung über IPv6 als DNS-Server angeboten. Windows Server 2012 R2 und 2016 finden das Angebot unwiderstehlich und man kann sich dann nicht mehr anmelden, weil der DC seine eigene Domäne nicht mehr findet. IPv4 zu präferieren hat in diesen Fällen jeweils geholfen. (Der Server 2008 R2 scheint in dieser Hinsicht übrigens robuster zu sein: habe schon bei Kunden DCs gesehen, die nur einen externen DNS-Server eingetragen hatten und man konnte sich trotzdem anmelden. Der scheint zuerst zu schauen, ob er DC ist, bevor er im DNS einen DC sucht.) Folgendes habe ich gerade gefunden: anscheinend sollen gewisse Server automatisch im AD-Wiederherstellungsmodus starten: http://blog.becker.sc/2018/08/windows-domain-controller-es-sind.html Lese ich zum ersten Mal. Könnte aber schon sein, dass es etwas mit einem Update zu tun hat, denn ich habe die letzten Jahre viele Server bei mir installiert und dann beim Kunden gestartet und hatte nie ein solches Problem.

Hallo zusammen Bei einem Kunden steht ein physischer Domänencontroller mit Windows Server 2012 R2, es ist der einzige DC der Domäne. Heute wurde dort der Router ausgetauscht und es gab einen geplanten Stromunterbruch, weswegen der Server heruntergefahren wurde. Nach dem Neustart konnte man sich nicht mehr anmelden, auch am Server selbst nicht mehr: "Es stehen keine Server zum Verarbeiten der Anmeldeinformationen zur Verfügung." Das Netzwerksymbol auf der Anmeldemaske zeigte ein rotes X, "keine Verbindungen verfügbar". Es war nicht das IPv6-Problem (Router bietet sich als DNS-Server an und DC verwendet diesen statt sich selbst), da IPv4 per Registry präferiert wird. Also in den AD-Wiederherstellungsmodus gestartet und angemeldet. Es kam die Meldung "es steht ein neues Netzwerk zur Verfügung, wollen Sie Computer finden etc.?". Auf "Ja" geklickt. Im Ereignisprotokoll stand, dass der Server keine Domänencontroller finden könne. Als DNS-Server eingetragen ist 127.0.0.1 (und zusätzlich habe ich noch die IP-Adresse des Servers selbst eingetragen als sekundären DNS-Server). Neustart in den normalen Modus, alles wieder OK. Netzwerksymbol wieder normal. Kommt das jemandem bekannt vor? Kann mir fast nicht vorstellen, dass man sich nicht mehr bei Windows anmelden können soll, nur weil der Router ausgewechselt wurde. Zumal die Netzwerkkarte ja nicht auf DHCP steht. Es fällt mir "Network Location Awareness" ein, aber das sollte ja allenfalls entfernte Rechner betreffen, aber nicht die lokale Anmeldung am DC?

Wir haben das jahrelang gemacht (System auf C:, Programme auf D:, Daten auf E:). Der Grund war, das System und die Anwendungen getrennt wiederherstellen zu können. In Zeiten von Snapshots und Schattenkopien ist das aber kein grosser Vorteil mehr. Deshalb kommen wir seit einiger Zeit davon weg. Das Problem ist auch dass, wie von Nils bereits erwähnt, viele Anwendungen Teile auf C: installieren, selbst wenn man beim Installer etwas anderes auswählt. Zudem hatte ich es auch schon, dass eine Anwendung auf D: nicht fehlerfrei funktioniert hat, obwohl man bei der Installation den Pfad frei wählen konnte. Die Antwort vom Support war dann "installieren Sie halt auf C:"...

Müssen die Anwendungen wirklich lokal installiert sein? Gerade einfachere Programme lassen sich auch einfach auf ein Netzlaufwerk installieren und dann von dort starten. Alternativ lassen sich die Anwendungen vielleicht virtualisieren, Stichwort App-V bzw. ThinApp. Dann wäre die gesamte Anwendung in einer EXE und würde ohne Installation laufen.

Vielen Dank für die Tipps! Werde in Zukunft in diesen Fällen den Cache auf den Clients löschen.

Danke für die Antwort. Bin etwas erstaunt, denn so bringt die Verzögerung ja nichts ohne manuelle Eingriffe. Bei einem solchen Vorfall, bei dem ein fehlerhaftes Update zurückgezogen wurde, müsste ich also auf allen Clients den Cache löschen, damit sie es nicht später installieren.