mwiederkehr

Hatte mit einem Exchange 2010 SP1 und Clients mit Apple Mail mal ein ähnliches Problem. Damals ist allerdings nicht das Postfach grösser geworden, sondern die Datenbank für öffentliche Ordner. Die Ursache war ein Bug in Exchange in Kombination mit Apple Mail: auf dem öffentlichen Ordner war eine Quota gesetzt, die erreicht war. Apple Mail hat das irgendwie nicht erkannt und immer wieder versucht, ein Dokument in den öffentlichen Ordner zu laden. Der Exchange hat das dann wegen der überschrittenen Quota nicht akzeptiert, aber trotzdem in der Datenbank gespeichert.

Die Lösung war die Installation von SP3, seither ist Ruhe. (Apple Mail zeigt immer noch nicht an "Quota erschöpft", sondern lädt das Dokument alle paar Minuten hoch, aber der Exchange reserviert keinen Speicher mehr dafür.)

Bei uns hatten zwei virtuelle Server mit Windows Server 2008 R2 automatische Updates aktiviert und nach dem Reboot war bei beiden eine neue Netzwerkkarte drin, die auf DHCP stand. (Die VMs laufen auf ESXi.)

Zusätzlich hatte einer der beiden Server gestern Nachmittag einen Bluescreen, was auch eine der beschriebenen "Nebenwirkungen" des Updates ist. Würde also noch warten mit der Installation.

Bin gerade etwas entsetzt, dass ein so gravierender Bug nicht schon Microsoft bei den Tests aufgefallen ist. Verwenden die nur Hyper-V im Labor?

Folgendes hat bei mir funktioniert:

- Kontodaten eintragen, beim SMTP Server einen unerreichbaren Server eintragen oder einen mit aktivierter Authentifizierung.

- "Weiter" klicken.

- Der Test bleibt nun entweder hängen oder fragt nach einem Benutzernamen und Kennwort.

=> Im Hintergrund ist das Konto schon eingetragen, bei einem Fehler wird es allerdings wieder gelöscht.

- Deshalb während dem Test die outlook.exe im Task-Manager abschiessen.

So bleibt das Konto drin. Anschliessend kann es ohne weitere Tests bearbeitet werden.

Für eine einmalige Sicherung käme auch Disk2VHD in Frage. Das funktioniert ohne Neustart und macht ein Image des Servers. (Allerdings unkomprimiert, da es eigentlich ein P2V- und kein Backuptool ist.)

Wenn man nur einen Server betreibt, würde ich die Domäne weglassen. Also nur RDS installieren, kein DC.

Mit der Lizenzierung ist es nicht so einfach. Wenn Du einen virtuellen Server mietest, muss die Lizenz zwingend vom Provider kommen (SPLA). Wie es bei der Miete eines physischen Servers aussieht, weiss ich leider nicht. SPLA geht auf jeden Fall, habe aber auch schon gelesen, dass man da eigene Lizenzen einsetzen darf. Die Lizenzen dürfen aber nicht gemischt werden, also nicht Windows von Dir gekauft und RDS-CALs per SPLA von Strato gemietet.

Für den Zugriff gibt es mehrere Möglichkeiten. RDP selbst verschlüsselt die Daten schon, man braucht also nicht zwingend ein VPN. Wenn Du den Zugriff auf Port 3389 auf gewisse IP-Adressen beschränken kannst, wäre das am einfachsten. Geht das nicht, würde ich das RD-Gateway installieren, evtl. mit Zweifaktor-Authentifizierung. RDP direkt offen ins Internet will man normalerweise nicht. Mir sind zwar in letzter Zeit keine Lücken bekannt, durch die jemand ohne Passwort Code auf dem Server ausführen konnte, aber die ganze Welt kann Passwörter durchprobieren.

Braucht es doch ein VPN, könnte man IPSec auf dem Server einrichten, das ist nicht so unsicher wie PPTP. Ist aber nach meiner Erfahrung etwas ein Gebastel (jedenfalls für Site2Site), so dass ich eher Hyper-V aktivieren und in einer VM eine Firewall-Distribution laufen lassen würde. Oder Du gehst zu einem Provider, der das VPN für Dich terminiert.

Ganz allgemein würde ich mir überlegen, ob Du einen physischen Server brauchst. Da musst Du für Updates sorgen, im Fehlerfall die Sicherung zurückspielen etc. Viele Anbieter bieten mittlerweile vServer explizit als Terminalserver an. Dort bezahlst Du dann einen fixen Betrag pro Benutzer und hast den Server, die Lizenzen, Updates und Backup inklusive.

Ich würde auf der Firewall routen. Ist ja wohl nicht viel Traffic und so sparst Du Dir die Eintragung einer zusätzlichen Route auf den Geräten. (Oder allenfalls die Route auf der Firewall und dem Switch einrichten, wobei die Firewall den Clients per ICMP direkt den Switch als Gateway angeben kann.)

Noch eine Anmerkung zur Grafik: ich würde wenn immer möglich vermeiden, die Rechner über die Telefone anzuschliessen. Manche Telefone bieten nur 100 Mbit/s und wenn das Telefon neu startet, verliert der Rechner kurzzeitig die Netzwerkverbindung.

Würde ebenfalls eine Migration auf Server 2016 bevorzugen, wenn man schon grössere Umstellungen macht.

Die Profile sollten sich aber trotzdem den Benutzern in der neuen Domäne zuweisen lassen. Folgendes muss erfüllt sein:

- Dateien: Benutzer hat Vollzugriff, Besitzer ist Benutzer oder "Administratoren" (nicht "Administrator"!)

- Registry: Benutzer hat Vollzugriff auf alle Schlüssel (kann man mit Regedit anpassen: ntuser.dat laden und konfigurieren)

Ich verwende jeweils den User Profile Wizard, der macht das automatisch.

Seit der "Next Gen"-Client erschienen ist, hatte ich keine Probleme mehr. Habe auch Kunden mit grösseren Ablagen, also über 50'000 Dateien. Jedoch arbeitet kein Kunde mit Mac.

Nur etwas ist noch mühsam: wenn mehrere Benutzer an der gleichen Datei arbeiten, wird diese bei Konflikten ohne Rückmeldung als "Datei-$computername.xy" gespeichert. Die Benutzer merken das teilweise nicht und arbeiten am nächsten Tag an der alten Datei weiter...

Defekte Geräte äussern sich häufig durch Fehler in den Portstatistiken des Switches. In einem geswitchten Netz sollten die Zähler "TX Error" und "RX Error" auf 0 stehen. Allerdings sollte ein defektes Gerät nicht das ganze Netzwerk beeinträchtigen.

Vielen Dank für die Antworten! Es scheint also keine eierlegende Wollmilchsau zu geben, die mir bisher entgangen ist...

Die Signaturen waren nur ein Beispiel, es gibt noch diverse andere Software, deren Einstellungen die Benutzer gerne an andere Rechner mitnehmen.

vor 1 Stunde schrieb zahni:

Kann man Tabellen in dedizierte Files legen? Das was bei anderen System der Tablespace ist?

Ja, das ist möglich. Es kann sinnvoll sein, grosse oder wenig genutzte Datensätze auf günstigeren Speicher (SAS statt SSD) auszulagern:

- vertikale Partitionierung: Wenn ein System zu jedem Produkt ein Bild in der Datenbank speichert, kann man diese Spalte in eine separate Datei auslagern (bzw. die Tabelle mit ID und Bild).

- horizontale Partitionierung: Alle Datensätze mit Datum von mehr als einem Jahr in der Vergangenheit kommen in eine andere Datei.

Muss aber sagen, dass ich einen solchen Fall in der Praxis noch nie hatte. Einerseits ist auch schneller Speicher nicht mehr so teuer oder man macht das Tiering direkt auf dem SAN.

Ja, genau den Agent meinte ich. Ich sichere jeweils ins Veeam Repository, da sich der Auftrag dann über die Veeam-Konsole überwachen lässt. Muss man von der Boot-CD aus den Host wiederherstellen, kann man über die Freigabe auf dem NAS direkt auf das Backup zugreifen (ist ein separates Verzeichnis im Repository).

Wo man Veeam installiert, ist teilweise eine Frage der "Philosophie": viele "Puristen" installieren grundsätzlich nichts auf dem Host.

Ich sehe das nicht ganz so eng und unterscheide je nach Grösse der Infrastruktur: bei kleinen Installationen (ein oder zwei Hosts) installiere ich Veeam direkt auf einem Host. Aus dem einfachen Grund, dass man bei einem Totalausfall nach der Wiederherstellung des Hosts gleich mit dem Restore der VMs beginnen kann und nicht erst eine VM mit Veeam installieren muss, um Zugriff auf die Backups zu haben.

In grösseren Umgebungen (mehrere Hosts, Cluster) bevorzuge ich einen dedizierten Backupserver.

Früher habe ich NAS-Volumes per iSCSI angebunden. Heute nehme ich SMB, da es bei modernen NAS kaum mehr einen Unterschied gibt in der Performance und SMB einfacher in der Handhabung ist.

Die Hosts sichere ich mittels dem kostenlosen Veeam Agent. Das kann direkt in ein Veeam-Repository sichern.

Wenn man Robocopy mit einem Tool für Schattenkopien kombiniert, kann man geöffnete Dateien sichern: https://rakhesh.com/windows/how-to-backup-open-pst-via-robocopy/

Wie konsistent derart gesicherte gemountete Veracrypt-Container sind, ist eine andere Frage...

Muss der Windows-Hostname des Servers identisch bleiben, oder hat einfach eine Anwendung einen DNS-Hostnamen konfiguriert für den SQL Server oder ähnlich? Ich vermute letzteres. Da könnte man dem neuen Server einen neuen Hostnamen geben und im DNS dann den alten auf den neuen Namen umstellen, wenn es so weit ist.

Hallo zusammen

Hier im Forum wird verschiedentlich von Roaming Profilen abgeraten. Auch ich habe immer mehr Probleme damit: "dumme" Software wie iTunes schreibt riesige Backups nach \AppData\Roaming statt \AppData\Local, bei Windows 10 funktioniert das Startmenü manchmal nicht mehr, wenn ein Benutzer mit mehreren Builds arbeitet...

Nur: was ist die Alternative? Ordnerumleitung ist klar. Aber wie synchronisiert man die Einstellungen der Programme? Ein Benutzer will ja nicht wieder die Signatur im Outlook einrichten, nur weil er mal am Notebook eines Kollegen arbeitet.

Über UE-V liest man viel Gutes, aber das gibt es nur bei Windows 10 Enterprise. Auf Terminalservern arbeite ich erfolgreich mit dem Citrix User Profile Manager oder User Profile Disks, aber was ist mit den Clients?

Was sind eure Erfahrungen in kleineren Umgebungen, was setzt ihr ein?

ActiveSync hat nichts mit den Konnektoren zu tun, die sind nur für SMTP.

Wenn sich die anderen Systeme authentifizieren können, würde ein Konnector ausreichen. Dort müsste dann sowohl der anonyme als auch der authentifizierte Zugriff erlaubt werden. Der Exchange erlaubt dann standardmässig anonymen Benutzern das Relay.

Können die Geräte keine Authentifizierung, braucht es einen zweiten Konnektor. Dieser darf dann nur die beiden Systeme als Quell-IP eingetragen haben und darauf muss "Anonymous" Relayrechte haben.

Wenn an den Aussenstandorten sonst keine Server benötigt werden, würde ich nur für DC und DHCP kein Blech hinstellen.

Wir haben nach Inbetriebnahme der Standortvernetzung (1 GBit/s) alle Server in den Aussenstellen abgebaut. Es gibt nur noch einen Switch als DHCP-Relay. Auch der Internetzugang läuft über die Zentrale.

Hast Du beim Windows SMTP die "ausgehende Sicherheit" konfiguriert?

Wohin müssen die Mails? Nur vom Drucker an Adressen mit eurer Domain oder nach extern? Falls nur Scan2Mail an die Mitarbeiter: Port 25 nehmen und direkt auf den MX. Der nimmt logischerweise Mails an für Domänen, für die er zuständig ist. Allenfalls noch die Adresse des Kopierers whitelisten bei den AntiSpam-Einstellungen.

Ansonsten sollte es mit dem Windows SMTP schon gehen, aber ich würde hMail empfehlen. Da musst Du weniger installieren und hast ein besseres Logging.

vor 3 Stunden schrieb NorbertFe:

Klar geht das. Da die WIndows Sicherung sowieso auch nur vhdx Dateien erzeugt, kann man die auch einfach mounten und sich seine Daten da rausholen.

Das geht aber nur, wenn man über SMB immer eine Vollsicherung macht, oder? Bei lokalen Laufwerken oder iSCSI-Targets macht er doch Sicherungen, auf die man nicht direkt zugreifen kann (auch nicht, wenn man einen Laufwerksbuchstaben vergibt)?

vor 8 Minuten schrieb DarK_RaideR:

Zur Sicherung ist die WIndows eigene Funktion nihct mehr zu gebrauchen? Und wenn man sie doch nutzt, muss dann jeder Gast sein Windows selbst sichern oder macht der Host das dann mit?

Du kannst die Windows Sicherung schon noch gebrauchen: entweder sichert der Host auch die virtuellen Festplatten der Gäste oder jeder Gast sichert sich selbst auf eine andere virtuelle Festplatte.

"Host sichert Gäste" hat den Nachteil, dass Du keine einzelnen Dateien zurückspielen kannst. Du musst immer erst die ganze VHDX zurücklesen und dann daraus die Dateien holen, die Du benötigst.

"Gäste sichern sich selbst" hat den Nachteil, dass Du bei einem Problem auf dem Gast mit der Windows-DVD starten und die Wiederherstellung darüber starten musst.

Veeam bietet da wesentlich mehr Komfort: man sichert an einem Ort, kann aber einzelne Dateien wieder herstellen (oder auch einzelne E-Mails, falls man einen Exchange sichert). Über die Jahre macht der Effizienzgewinn die Lizenzkosten wett.

Würde für fünf User auch keinen Exchange mehr installieren. Eine VM als DC, eine als File- und DB-Server. Sicherung mit Veeam Essentials auf ein NAS (wenn möglich in einem anderen Brandabschnitt) und eventuell Veeam Cloud Connect für die externe Sicherung.

Die Cloud wäre aber auch eine prüfenswerte Option, dann könntest Du Dir die Hardware gleich ganz sparen. Wenn man über RDP arbeitet, kommt man für fünf User auch ohne Domäne aus, somit würde ein Server reichen.

Ob das funktioniert, hängt davon ab, ob der Controller die RAID-Konfiguration nur auf dem Controller speichert oder auch auf den Disks. Bei HP SmartArray-Controllern funktioniert es. LSI habe ich noch nie probiert, aber laut Internet sollte es auch funktionieren. Irgendwo stand, man müsse die RAID-Konfiguration löschen, bevor man die anderen Disks einsetze, so dass er die Konfiguration von den Disks lese.

Ich würde aber anders vorgehen: Der alte Server ist ja schon virtualisiert. Du könntest ihn auf einen PC übertragen und mittels VMware Player laufen lassen. Das sollte ohne Anpassungen am Server 2003 funktionieren. So hättest Du gleichzeitig Zugriff auf den alten und den neuen Server (und könntest sogar die Domäne behalten, statt neu zu machen).

Bist Du sicher, dass Du die geordnete Liste angezeigt hast? In der normalen Ansicht hat die Reihenfolge der Regeln keine Auswirkungen bzw. spiegelt nicht dir angewandte Reihenfolge wieder.

Mit Office 365 Business können maximal 300 Benutzer verwaltet werden. Bei den Enterprise-Plänen gibt es kein Limit. Ich denke nicht, dass 3000 Postfächer ein Problem für Microsoft darstellen.

Da nur die teureren Enterprise-Pläne in Frage kommen, ist eine lokale Exchange-Umgebung wohl günstiger. Ich weiss nicht, wie viel Microsoft einem im Preis noch entgegen kommt, aber Firmen mit 4000 Postfächern haben ja meist bereits eine Infrastruktur (Server, Storage, Firewalls, Load Balancer etc.), auf welcher man Exchange betreiben könnte. Und bei der Grösse fällt es auch nicht so ins Gewicht, wenn man externe Dienstleister zuzieht für die Installation.

In die Entscheidung sollte aber unbedingt die zukünftige Strategie der Firma mit einbezogen werden: vielleicht ist geplant, mittelfristig alle Server in die Cloud zu migrieren?