mwiederkehr

Mit dem RDG kommt man nicht um eine Verbindung ins interne AD herum, sei das per direktem Domain-Join, per RODC oder per Forest-Trust.

RDmi mit Server 2019 würde ein solches Szenario unterstützen, aber das läuft nur, wenn die DMZ in Azure ist.

Für RDP könnte man ein alternatives Gateway wie Apache Guacamole nehmen, hätte dann aber zwei Logins (einmal fürs Gateway und einmal für die RDP-Session).

Falls Du nur einen Server hast und möglichst unterbruchsfrei migrieren möchtest, könntest Du den bestehenden Server virtualisieren. Also eine zweite Disk oder SSD einbauen und mit Disk2VHD das laufende System ein eine VHD konvertieren. Danach den Server (nach Erstellung einer Sicherung!) mit Server 2016 neu installieren und den alten Server als VM in Hyper-V laufen lassen. So kannst Du Software für Software migrieren und es muss nicht alles in einem Tag erledigt werden. Auch eine Domäne würdest Du so trotz Neuinstallation nicht verlieren.

vor 51 Minuten schrieb zahni:

Im 1. Fall müssen beide IIS Session-Daten synchronsieren. Was der IIS da kann, weiss ich nicht.

ASP.NET-Sessions kann der IIS in einer SQL-Datenbank ablegen. Zumindest das erfordert keine Anpassung der Anwendung, die merkt davon nichts.

Ja, das siehst Du richtig. Wenn die Clients kein Failover unterstützen, muss es serverseitig umgesetzt werden. Der zweite Server könnte prüfen, ob der erste erreichbar ist und falls nicht, sich dessen IP-Adresse als sekundäre Adresse zuordnen. (Probleme wie "split brain" etc. mal aussen vor gelassen.)

Oder man stellt einen Reverse Proxy/Load Balancer vor die Server, welcher dann sinnvollerweise ebenfalls redundant aufgebaut ist. Das können zwei Firewalls sein, virtuelle Appliances wie KEMP, NetScaler etc. oder im Fall von HTTP/HTTPS auch Windows Server mit IIS und ARR.

Zu bedenken ist auch, wie man im Falle eines Failovers die Daten wieder zusammenführt. Einfach einen Datenbankserver zu klonen und die Daten temporär in die geklonte Datenbank zu schreiben funktioniert, aber irgendwann will man ja wieder alles in einer Datenbank haben.

Das würde schon funktionieren, sowohl ESXi als auch Hyper-V unterstützen "Nested Virtualization". Man kann also auf einem Hyper-V einen Hyper-V als VM laufen lassen und auf dem dann eine VM für Oracle. Der "Trick" wird sein, dass das dann als "hard partitioning" gilt. Kann ich mir aber nicht vorstellen. Denn auch der virtualisierte Hyper-V kann ja auf anderen Cores laufen...

Würde mir das vom Lieferanten auf jeden Fall schriftlich geben lassen, nicht dass ihr bei einem Audit ganz tief in die Tasche greifen müsst.

Bei Oracle lizenziert man entweder User oder Cores. Lizenziert man pro Core, dürfen beliebig viele Benutzer zugreifen. Das Problem ist, dass man alle Cores lizenzieren muss, auf dem Oracle laufen könnte. Also alle Cores im Host, auch wenn man der Oracle-VM nur zwei Cores zuweist, und auch alle Cores im Cluster (denn es könnte ja einen Failover geben). VMware und Hyper-V gelten für Oracle als "soft-partitioning". Als "hard-partitioning" anerkannt sind nur einige Technologien aus der UNIX-Welt (Solaris Zones etc.). Siehe http://www.oracle.com/us/corporate/pricing/partitioning-070609.pdf.

Gesehen habe ich das in der Praxis bis jetzt wie folgt: entweder läuft Oracle direkt auf einem physischen Server oder man hat einen separaten Cluster mit weniger Hosts.

Lizenzierung pro User habe ich bis jetzt noch nie gesehen, aber ich gehe stark davon aus, dass da wie beim SQL Server die physischen User zählen. Also nicht "unsere Software greift über einen User auf die Datenbank zu, also brauchen wir nur eine Lizenz".

(Was ich in der Praxis übrigens auch sehe, ist, dass man -unter anderem wegen der Lizenzierung- von Oracle wegkommt. )

Ich verwende den PRTG. Dieser ist bis 100 Sensoren kostenlos (und die Lizenzen sind recht günstig, falls man mehr braucht).

Überwacht wird hauptsächlich Folgendes:

- Hardwarezustand der Server (Netzteile, Disks etc.) über SNMP

- Freier Speicherplatz über WMI

- Erreichbarkeit von Diensten über HTTP, SMTP etc.

- Traffic an Switchports über SNMP

- in grösseren Umgebungen auch der Datenverkehr per NetFlow

Werden die Laufwerke auf den Clients per DFS verbunden? Siehe https://www.mcseboard.de/topic/214006-volltextsuche-fileserver/.

Die Antwort kommt so, wie es der Client verlangt. Verbindet sich der Client per HTTPS, kommt auch die Antwort per HTTPS. (Es ginge technisch auch nicht anders, man kann auf eine HTTPS-Anfrage keine HTTP-Antwort schicken.)

Das sollte mittels URL Rewrite gehen:

<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <rewrite> <rules> <rule name="HTTP to HTTPS redirect" stopProcessing="true"> <match url="(.*)" /> <conditions> <add input="{HTTPS}" pattern="off" ignoreCase="true" /> </conditions> <action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" /> </rule> </rules> </rewrite> </system.webServer> </configuration>

(Man möge die Formatierung entschuldigen, geht nicht besser am Smartphone.)

Was in einer HTML-Datei geht, sollte auch per Script mit curl oder wget gehen.

Ich kann sonst dns24.ch empfehlen. Das aktualisiert die IP-Adresse per URL-Aufruf (zB. mit curl). Lässt sich deshalb gut scripten oder bei einigen Firewalls als "custom provider" eintragen.

vor 22 Minuten schrieb bitchi:

mit welcher Skript-Technologie würde das denn gehen?

Mit PowerShell kann man auf .NET-Klassen zugreifen und so unter anderem Meldungen anzeigen: https://blog.stefanrehwald.de/2013/03/06/powershell-05-messagebox/

Die EWS enthalten eine entsprechende Methode: https://docs.microsoft.com/en-us/exchange/client-developer/web-service-reference/getpasswordexpirationdate

Es gibt Beispielcode, komplett inkl. Auflösung der EWS-URL über AutoDiscover: https://code.msdn.microsoft.com/office/Exchange-2013-Get-the-date-3a92c007#content

Die Einbindung in ein Outlook Add-In sollte für einen .NET-Entwickler kein Problem sein, allenfalls ist es auch eine Übungsaufgabe für den Azubi.

vor 6 Minuten schrieb NilsK:

Für unsere letzte Diskussion interessant: Der kleinste Server, mit dem Microsoft in der Entwcklung Exchange 2019 getestet hat, habe 28 GB RAM gehabt ("and even that was painful") - ca. Minute 28

Danke für den Link! Lustig finde ich ja, wie nonchalant er diese Aussage macht. Überhaupt keine Selbstzweifel, ob das wirklich nötig ist, oder ob .NET überhaupt die richtige Basis für solche Anwendungen ist. Diese Denkweise scheint leider etwas Mode zu sein, nicht nur bei Microsoft...

Hallo zusammen

Weil ich mich gerade wieder geärgert habe: Je länger je mehr wollen meine Kunden möglichst viel selbst machen. Früher konnte ich komplette Projekte übernehmen, vom Auspacken der Server bis zu den Abschlusstests. Heute ist es eher so "Was für einen Server brauche ich?" - "Ok, danke, bestelle ich selbst.", einige Zeit später dann "Läuft fast alles, nur eine kurze Frage noch, kannst Du Dich kurz per TeamViewer verbinden?". Aus mehreren Tagen werden dann wenige Stunden. Oder "Website ist langsam", kurze Diagnose, sehe dass PHP viel CPU braucht, "könnte man das nicht cachen mit einem varnish davor?" - "Ok, danke". Einen Tag später: "Habe varnish installiert, kannst Du mir kurz die Konfiguration machen?".

Bis jetzt habe ich immer die geleisteten Stunden verrechnet, aber wenn sich das so fortsetzt, müsste ich den Stundensatz massiv erhöhen. Fairer wäre ja, die Auskunft bzw. Problemlösung zu verrechnen. Nur denke ich, dass die Kunden das nicht akzeptieren werden. Dem Kunden nicht die ganze Auskunft zu geben und die Installation selbst vorzunehmen wäre eine Möglichkeit, aber "ich installiere ein geheimes Tool auf Deinem Webserver" kommt natürlich nicht besonders gut an.

Die meisten meiner Kunden sind gross genug, um eine eigene IT zu haben, aber zu klein, um geregelte Prozesse zu haben im Sinne von "das und das darf nur machen, wer dafür zertifiziert ist".

Wie handhabt ihr das? Macht ihr nur "alles oder nichts"? Oder verrechnet ihr immer mindestens einen halben Tag?

Finde die Argumente von Nils überzeugend. Mit einem PC pro Arbeitsgruppe würden die VLAN-Konfiguration und Remotezugriffs-Problematik entfallen. Der Intel NUC läuft tadellos mit Windows Server und Hyper-V und unterstützt bis zu 32 GB RAM. Der mit i3-CPU ist etwas lahm, aber der i5 reicht gut für mehrere VMs (zumal ja meist die Disk der Engpass ist). Der NUC7I5BNH kostet um die 350 Euro, dazu noch 2x 16 GB RAM und eine 500 GB M.2 SSD, macht total knapp 700 Euro.

MailStore ist recht günstig und läuft auch auf PCs.

Das Problem ist bei solchen Umgebungen eher, zuverlässig alle E-Mails archivieren zu können. Eingehend kann man es über eine Weiterleitung in ein Journalpostfach lösen, aber beim Versand per SMTP ist man darauf angewiesen, dass der Mailclient eine Kopie der Nachricht in einem IMAP-Ordner speichert (und der Benutzer diese nicht löscht vor der Archivierung).

Mir wurde es so erklärt: Stellt man einen Server aus einem Backup auf anderer Hardware wieder her, geht das ohne zusätzliche Lizenz. Aber nur bei Hardwarefehlern (nicht für Wartungsarbeiten etc.) und nur alle 90 Tage. Repliziert man den Server mittels Hyper-V Replica, gilt das als Disaster-Recovery-Umgebung und man muss beide Hosts lizenzieren. Wie es aussieht, wenn man mit Veeam einfach die VHDs repliziert, weiss ich nicht. Mit Software Assurance könnte das anders sein, aber soweit ich weiss gibt es die nicht für Server Essentials.

Wenn die Schüler die Server selbst installieren können müssen, ist ESXi einfacher als Hyper-V. Über das vCenter (welches als Appliance läuft) lassen sich Berechtigungen sehr granular regeln. Also Schüler X darf auf die Konsole von Server Y zugreifen, diesen Starten und Stoppen und Snapshots erstellen, aber nicht die virtuelle Hardware verändern. Bei Hyper-V benötigt man dafür eine Drittsoftware wie den System Center Virtual Machine Manager. Allerdings ist das vCenter nicht kostenlos. Für Schulen sollte es günstiger erhältlich sein.

Zum Thema Netzwerk: Man kann das mit physischen Ports lösen, aber auch mit virtuellen Switches und VLANs. Jede Schülergruppe bekommt ein eigenes VLAN, welches man dann bis zu den jeweiligen Rechnern durch reichen kann. So können auch Dienste wie DHCP gefahrlos ausprobiert werden.

Zur Hardware: Ich würde ein Auge auf Auktionen haben. Auf eBay findet man DL360 Gen8 mit 64 GB RAM für unter 1000 Euro. Selbst wenn man die Disks separat kaufen muss, sollte es im Budget bleiben. Diese Server laufen problemlos mit ESXi und Hyper-V.

Falls es PC-Hardware sein soll: auf den Intel NUCs laufen ESXi und Hyper-V ebenfalls problemlos. Dank i7 und SSD sind die schnell genug für eine Testumgebung. Auf RAID etc. muss man aber natürlich verzichten.

Wäre Azure (Lab Services) eine Möglichkeit? Da die Server nicht 24/7 benötigt werden, könnte man da preislich gut wegkommen. Zudem könnten die Schüler auch von zuhause aus auf den Systemen arbeiten, ohne dass man das Schulnetzwerk öffnet.

Du kannst mit "()" auf Gruppen matchen und auf diese dann mit "{R:x}" referenzieren.

Also bei "/tiles/europe/([0-9]+)/([0-9]+)/([0-9]+\.png)" ist "{R:1}" = 5, "{R:2}" = 15 und "{R:3}" = 10.

vor 33 Minuten schrieb Squire:

Ich warne dringend davor in HPE oder anderen Servern Fremdplatten einzubauen!

Dass fremde Platten schneller kaputt gehen habe ich noch nicht erlebt, aber grundsätzlich stimme ich Dir zu. Bei fremden Platten hat man keinen Support, bei den "Smart Carriers" leuchten die LEDs nicht und bei einigen Servern drehen die Lüfter dauerhaft auf 100%, weil die Temperatur nicht überwacht werden kann.

Aber: der MicroServer ist soweit ich weiss offiziell für Fremdplatten freigegeben. Er hat keine Hot-Swap-Carrier, sondern es liegen Schrauben zur Befestigung bei. Und der Controller ist kein SmartArray, sondern ein Intel-Software-RAID (wie bei einem PC).

Am einfachsten mit OpenSSL:

openssl s_client -connect outlook.office365.com:443

Hängt vielleicht davon ab, wer die Verbindung in Betrieb genommen hat. Wenn B zu A sagt "steck Deine Rechner einfach an diesem Switch ein", muss B bewusst sein, dass da Risiken bestehen. Wenn aber A zu B sagt "wir haben die Netze verbunden", dann darf B davon ausgehen, dass das professionell gemacht wurde.

Das ist aber eine Frage für Juristen.

Mein Vorgehen in solchen Fällen: die Rechnung teilen, das Problem korrigieren und danach zusammen ein Bier trinken gehen. Es geht im Leben nicht nur um Recht und Unrecht, sondern man sollte auch auf die zukünftige Zusammenarbeit Wert legen.

Bei OWA bin ich nicht ganz sicher, aber zumindest für den Zugriff mit Outlook müssen alle Benutzer Zugriff auf ein Adressbuch haben und in diesem auch vorhanden sein. Sonst kommt schon beim Einrichten des Kontos die Meldung "der Name kann nicht aufgelöst werden".

Wie schon erwähnt wurde, sind Address Book Policies das richtige Mittel zur Separierung von Benutzern. Macht man auch so, wenn man Hosted Exchange für verschiedene Kunden auf dem gleichen Server bereitstellt (Suchbegriff: "Multi Tenancy"). Bei Dir ist dann einfach jeder Benutzer ein eigener Kunde.

Du kannst die User zum Beispiel per OU aufteilen. Beispiel für die Adresslisten:

New-GlobalAddressList -Name "XY – GAL" -IncludedRecipients MailboxUsers -RecipientContainer "domain.de/Freelancer/XY"

New-AddressList -Name "XY" -RecipientContainer "domain.de/Freelancer/XY"

New-AddressList -Name "XY – Räume" -RecipientFilter "(RecipientDisplayType -eq ‘ConferenceRoomMailbox’)" -RecipientContainer "domain.de/Freelancer/XY"

New-OfflineAddressBook -Name "XY" -AddressLists "XY – GAL"

New-AddressBookPolicy -Name "XY" -AddressLists "XY" -GlobalAddressList "XY – GAL" -OfflineAddressBox "XY" -RoomList "XY – Räume"

Dann dem Benutzer zuweisen mit:

Set-Mailbox -Identity benutzer@domain.de -AddressBookPolicy "XY"