mwiederkehr

Habe mal so ein Tool geschrieben, Sourcen und EXE (im ZIP unter \bin) hier: http://cloud.zeugs.info/index.php/s/NGsx46FIQtWlVB2 Anleitung: - auf ein Netzlaufwerk kopieren - vom Anmeldescript aus starten mit Parameter "/logon" (DB wird automatisch erstellt falls noch nicht vorhanden) - falls gewünscht, aus dem Abmeldescript starten mit Parameter "/logoff" (aktuell werden die Datensätze des Benutzers gelöscht, man könnte aber auch die Abmeldezeit protokollieren) - schauen, an welchem Rechner User hmuster angemeldet ist mit "/getUser hmuster" - Datenbank ausgeben mit "/dump" (oder für eine Auswertung die Datenbank öffnen mit einem Viewer/Editor für SQLite) Es ging darum, mittels Script festzustellen, wo Benutzer XY gerade arbeitet. Für die Suche alter Benutzerkonten macht der Parameter "/logoff" deshalb aktuell keinen Sinn.

Soweit ich weiss geht das nicht, ohne das Ereignisprotokoll der Rechner auszulesen. Zu Zeiten von Windows 2003 habe ich dafür mal ein VBS gebastelt, welches als Anmeldescript lief und Zeit, Benutzername und Datum in eine Access-DB eingetragen hat. Dieses habe ich vor einiger Zeit nach .NET mit SQLite als Datenbank umgeschrieben. Kann die Sourcen und die EXE gerne zur Verfügung stellen.

Also Du lässt Blat Mails verschicken, von denen Du dann eine Lesebestätigung erhalten möchtest? Anforderungen für Lesebestätigungen sind ein Header in der Mail. Laut https://en.wikipedia.org/wiki/Email_tracking#Read-receipts ist es "X-Confirm-Reading-To:", "Disposition-Notification-To:" oder "Return-Receipt-To:". Würde mal im Outlook eine Mail mit Lesebestätigungsanforderung verschicken und schauen, welchen Header Outlook setzt. Mit "-a1" lässt sich bei Blat ein benutzerdefinierter Header anfügen.

Mittlerweile habe ich SolidCP getestet: es ist leider nicht geeignet für diesen Zweck, da es zu sehr auf normales Hosting ausgerichtet ist. Es werden nur Gruppen angezeigt, die über SolidCP erstellt wurden (und somit in der SQL-Datenbank vorhanden sind), Gruppen haben ein Suffix etc. Es ist zwar Open Source, aber da wäre ich ein paar Tage dahinter um das umzuschreiben. Deshalb haben wir es jetzt direkt im AD mit den gewöhnlichen Verwaltungstools gelöst. Die Benutzer starten über RDP die AD-Verwaltungskonsole. Die Rechte im AD anzupassen war etwas mühsam, wobei ich sagen muss dass die neuen Menüs seit Server 2012 ein echter Fortschritt sind. Es liess sich alles über Vererbung lösen, ohne Scripts, die jedes Objekt angefasst haben. Die Struktur im AD sieht so aus: Domain - OU=WebUsers, dann pro Gemeinde eine OU. Folgende Berechtigungen mussten angepasst werden: - Ebene Domäne: "Authentifizierte Benutzer", "nur dieses Objekt", "Inhalt auflisten" entfernen - Ebene OU=WebUsers: "Authentifizierte Benutzer", "nur dieses Objekt", "Inhalt auflisten" entfernen - Ebene OU=WebUsers: "Authentifizierte Benutzer", "dieses und alle untergeordneten Objekte", "Inhalt auflisten" und "Objekt auflisten" entfernen - Ebene OU=WebUsers: "Application Pool-Benutzer, "untergeordnete Benutzer-Objekte", "Gruppenmitgliedschaft lesen" erlauben => wichtig, sonst sieht die Anwendung nicht mehr, wer in welcher Gruppe ist! - Ebene Gemeinde-OU: "Gemeinde-Admins", "nur dieses Objekt", "Lesen" erlauben - Ebene Gemeinde-OU: "Gemeinde-Admins", "dieses und alle untergeordneten Objekte", "Benutzer-Objekte erstellen" und "Benutzer-Objekte löschen" erlauben - Ebene Gemeinde-OU: "Gemeinde-Admins", "Untergeordnete Benutzer-Objekte", "Vollzugriff" erlauben Funktioniert ganz gut, die Gemeinde-Admins können nur in ihre OU navigieren, alles andere ist ausgeblendet. Dort können sie dann nur Benutzer erstellen. "Neue Gruppe" etc. erscheint nicht mal im Kontextmenü, gibt also nicht erst beim Klick einen Fehler. Sie können die Kennwörter setzen, Anzeigenamen anpassen und eben die Gruppenmitgliedschaft verwalten. Dort sehen sie nur ihre Gruppen, können also nicht einen Benutzer zum Domänen-Admin machen. Ist natürlich unschön, eine Webanwendung über RDP zu verwalten, aber funktionieren tut es.

Ich weiss nicht, in welchen Fällen eine Warnung vor der Deinstallation angezeigt wird und in welchen nicht. Als ich kürzlich ein Notebook mit McAfee Endpoint Protection von 1703 auf 1709 updaten wollte, kam eine Meldung, der McAfee sei nicht kompatibel, deshalb werde das Update nicht installiert. Es gab keine automatische Deinstallation. Man kann sich also entscheiden, ob man vorerst auf 1703 bleibt und sich eine kompatible Version der Software beschafft, oder ob man sofort updaten will und auf die Software verzichtet. Die Meldung wird wohl regelmässig "nerven", so dass man früher oder später das Update durchführt. "Unfair" finde ich, wenn einfach eines Morgens eine Software fehlt.

Mir ist jetzt auch SelectLine als erstes eingefallen, wobei ich da noch nie eine Installation mit 140 Benutzern gesehen habe. Kann Nils da nur beipflichten: ein ERP-System hat man meist für ein paar Jahre. Da lohnt es sich, bei der Auswahl genügend Zeit zu investieren. Und ganz wichtig: sich benötigte Features zeigen oder noch besser vertraglich zusichern lassen. Es reicht nicht, wenn der Verkäufer sagt "können wir, kein Problem".

Das liegt sehr wahrscheinlich nicht an der Performance, sondern daran, dass die Software die Zeit in Taktzyklen misst, was mit dynamischen Takten und Virtualisierung Probleme geben kann. Gibt vom Hersteller sogar eine Dokumentation dazu: https://net-point.ch/wp-content/uploads/2017/06/XCAPI-TechNote-de-Microsoft-Hyper-V.pdf (Ich nehme an, diese hast Du gelesen, da Du nach SpeedStep fragst.) Hatte mal einen ganz hoffnungslosen Fall, denn ich auf VMware nehmen musste weil man dort fixe MHz einstellen kann.

Mit Server 2012 R2 ist das so nicht möglich. Server 2016 unterstützt DNS Policies, mit denen er je nach IP des Clients andere Antworten geben kann. Gibt es an den Standorten Server, die noch kein DNS machen? Dann könnte man auf diesen DNS installieren, die spezifischen Einträge erfassen und den Rest auf die bestehenden DNS forwarden.

Fair wäre, wenn Software nicht ohne Rückfrage entfernt würde. :) Vergleiche doch mal "C:\Program Files (x86)" und "C:\Windows.old\Program Files (x86)". Unter Windows.old ist die alte Installation, wenn da ein Verzeichnis mehr vorhanden ist, ist es das gesuchte Programm.

Hatte den Fall auch schon, die Fehlermeldung war dann allerdings "ntuser.dat ist bereits geöffnet". Das Problem ist anscheinend, dass Windows beim Neustart den Lock auf der ntuser.dat auf dem Server nicht schliesst. Der wird vom Server dann erst zu spät entfernt. Ein schneller PC und flinker User bei der Passworteingabe und die Zeit reicht nicht. Deshalb tritt der Fehler nur auf, wenn man den PC neu startet, nicht beim normalen Start morgens.

Wenn Du an maier@gmail.com weiterleiten willst, muss diese Adresse nicht als Adresse eines Benutzers eingetragen werden. Der Mailserver ist ja nicht für gmail.com zuständig. Es reicht, wenn Du einen Kontakt mit maier@gmail.com als Adresse erstellst und eine Verteilergruppe mit den beiden Adressen, die weitergeleitet werden sollen. Gruppenmitglied ist dann der Kontakt. (Also so, wie Norbert geschrieben hat.)

Danke für den Hinweis! Weiss jemand, ob für Windows XP und Windows 95 diese Einschränkungen auch schon gegolten haben? Darf man die mit einer gültigen Retail-Lizenz virtuell betreiben (nicht als Server, sondern auf einem PC mit VMware Workstation)?

Mal unabhängig davon, ob es bessere Lösungen gibt, bin ich sehr erstaunt über die Probleme. Sollte die Deduplizierung nicht transparent sein für die Applikationen? Wenn ein Client auf eine SMB-Freigabe zugreift, sollte er doch nicht merken, ob die dedupliziert ist?

Nils hat natürlich recht, den Virtual Machine Converter gibt es nicht mehr. Man kann die alte Version aber noch herunterladen und sie funktioniert auch noch. Habe den genommen, weil er im Gegensatz zum Konverter von Starwind per PowerShell angesteuert werden kann. Wird das nicht gebraucht, ist Starwind die bessere Wahl. Die VMDK wird bei der Konvertierung nicht geändert. Die VM muss heruntergefahren sein während der Konvertierung. Man könnte einen Snapshot machen und dann konvertieren, aber dann muss man verhindern, dass auf den Server zugegriffen wird während der Konvertierung und ist wieder gleich weit wie am Anfang... Den Repair Mode sollte nicht notwendig sein beim Umzug auf Hyper-V, da Windows die notwendigen Treiber dafür schon mitbringt. Wenn aktivieren, dann nur bei der Systemdisk. Die benötigte Zeit ist abhängig vom Durchsatz des Speichers. Die CPU macht nicht so viel, es ist mehr oder weniger ein Kopiervorgang. Ein PC mit Gbit-Netzwerkkarte ist also nicht ideal. Auf einem Server mit Speicher auf einem 3PAR habe ich kürzlich 1 GByte/s gemessen.

Ich sehe keinen Vorteil in mehreren Anschlüssen und mache pro IP immer einen Anschluss. So muss man nur einen Anschluss umstellen, falls ein Drucker mal eine andere IP bekommt.

Was ich schon gemacht habe bei so einem Szenario: - auf dem Hyper-V NFS aktiviert und ein Verzeichnis freigegeben - NFS-Share auf dem ESXi mounten - VM darauf verschieben (geht online per Storage vMotion) => man hat jetzt Zugriff auf die VMDKs sowohl vom ESXi als auch vom Hyper-V - neue VM in Hyper-V anlegen - VM herunterfahren - VMDK in VHDX konvertieren, direkt mit richtigem Zielpfad (siehe https://blogs.msdn.microsoft.com/timomta/2015/06/11/how-to-convert-a-vmware-vmdk-to-hyper-v-vhd/) - VHDX an neue VM anfügen Achtung: Für die Zeit der Migration läuft die VM produktiv auf dem NFS-Share! Man reduziert je nach Umgebung die Verfügbarkeit. Die Performance von "ESXi => NFS auf Hyper-V => SAN" war in meinem Fall nicht spürbar schlechter als "ESXi => SAN", aber das muss nicht überall so sein.

Nachtrag: Nach dem Fall Creators Update (1709) funktioniert RDP über Gateway wieder nicht... Symptom: "Verbindung wird hergestellt" bleibt stehen und fällt ins Timeout. In der Ereignisanzeige gibt es unter anderem den Fehler "CClientProxyTransport, :: 'Gateway Error' in CClientProxyTransport::SetErrorStatus at 2853 err=[0x800759ec], Fehlercode:0x800759EC". Die Lösung bzw. der Workaround ist diesmal einfacher: In der Registry unter "Computer\HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client" einen Key "RDGClientTransport" vom Typ "REG_DWORD" erstellen und den Wert "1" zuweisen. Nach einem Neustart aller mstsc.exe-Instanzen funktioniert es wieder. (Den Key unter "LOCAL_MACHINE" zu setzen hat übrigens keinen Effekt.) Der Key zwingt den Client auf "RPC-over-HTTP", da der neue Transport "HTTP" offenbar Probleme bereitet. Quelle: https://social.technet.microsoft.com/Forums/windows/en-US/8d7a95eb-9508-4725-8f13-5992c19cfb9f/cant-connect-to-rd-gateway-server-from-windows-10-1709?forum=winserverTS

Einfach so unbezahlt erledigen würde ich das auch nicht, sonst nimmt es je nach Arbeitgeber unangenehme Ausmasse an. Habe die Arbeitszeiten immer vernünftig geregelt, also nicht gratis gearbeitet, aber auch nicht jede Minute bezahlen lassen. Kurz ein Anruf, wenn ich im Urlaub war, habe ich nie aufgeschrieben. Schliesslich habe ich auch mal privat gesurft etc. Ebenso Sachen wie nach Feierabend die Post aufgeben, weil die Sekretärin frei hatte. "Richtige" Arbeit habe ich mir aber immer bezahlen lassen. Samstags mit +25%, nachts und sonntags mit +50%. Rufbereitschaft ist ein anderes Thema, da arbeitet man ja meist nicht, ist aber trotzdem eingeschränkt. Kenne Firmen, die das mit 100 CHF pro Woche (also etwa 2% eines Monatsgehalts eines Supporters) honorieren, plus zusätzlich natürlich die Arbeitszeit. Wichtiger als das Geld war den Leuten aber immer, dass sie nicht zu häufig dran sind.

Füge bei der Batch-Datei am Ende eine Zeile mit "pause" ein. Dann siehst Du allfällige Fehlermeldungen.

Vielen Dank für eure Antworten! ManageEngine könnte das sicher, aber für "OU-based management" benötigt man die Professional-Version, welche dann wohl zu teuer ist. Nils hat natürlich recht, das AD ist nicht die präferierte Variante für eine solche Authentifizierung. Zumal es eine Webanwendung ist, bei der die Benutzer auf dem System gar keine Rechte haben müssen. Nur leider ist das AD aktuell die einzige unterstützte Authentifizierung. Als die Anwendung entwickelt wurde, war Hosting wohl noch kein Thema und intern wäre AD ja nicht schlecht. Zum Glück dürfen die Kunden voneinander wissen. Es geht um eine Software zur Verwaltung von Baugesuchen. Da auf jeder Gemeinde nur ein bis zwei Personen damit arbeiten, haben sich mehrere Gemeinden zusammengeschlossen für die Beschaffung. Man weiss also, wer damit arbeitet. Die Lizenzierung ist geklärt. Es bedurfte eines speziellen Lizenzabkommens, da mehrere Kunden mit der gleichen Lizenz arbeiten. Gab einen besseren Preis, weil der Hersteller so nicht für jede Gemeinde offerieren und verkaufen muss. Windows ist per SPLA lizenziert. Ich werde sonst nächste Woche mal SolidCP auf einem Testsystem installieren und schauen, ob es die Anforderungen erfüllt.

Hallo zusammen Setzt jemand eine webbasierte Lösung für die Benutzerverwaltung im Active Directory ein? Folgendes Szenario: eine Webanwendung verwendet AD-Benutzer und -Gruppen, bietet aber keine Möglichkeit zu deren Verwaltung an. Beim klassischen Einsatz bei einem Kunden erstellt man von Hand die Benutzer, fügt sie Gruppen hinzu und gibt in der Anwendung dann den Gruppen Berechtigungen auf Projekte. Nun soll die Anwendung gehostet werden für verschiedene Kunden. Die Kunden sollen ihre Benutzer selbst verwalten können, wenn möglich über ein Webinterface. Idealerweise werden die Benutzer und Gruppen jedes Kunden in einer separaten OU abgelegt. Der Kunde kann natürlich nur diese verwalten, also nicht einen Benutzer zu den Domänen-Admins hinzufügen etc. Eingefallen ist mir SolidCP, dessen Vorgänger WebsitePanel wir für Exchange und SharePoint einsetzen. Aber das ist ein ziemlicher Overhead nur für die Benutzervewaltung. phpLDAPadmin ist zu kompliziert für Endkunden und soweit ich gesehen habe kann es keine Mandanten verwalten. Die Lösungen, die ich mit Google gefunden habe, sind entweder Kundenportale für das Zurücksetzen des Passworts oder komplette Identity Management Systeme. Kennt ihr eine einfachere Lösung? Idealerweise .NET, aber wenns sein muss geht auch PHP. Es darf selbstverständlich etwas kosten. Da aber nicht sehr viele Benutzer verwaltet werden, erachte ich um die 1000 Euro für die Lizenz als Schmerzgrenze. Vielen Dank für eure Tipps!

Wenn es eine Lösung ausserhalb des Exchange sein darf: - SOPHOS (die UTM mit AntiSpam-Lizenz, nicht die separate Appliance): Hat ein Kunde seit Kurzem im Einsatz und ist bis jetzt zufrieden. - eFa (https://efa-project.org/): Open Source, komfortables Webinterface. Im Prinzip einfach ein vorgeschalteter Postfix mit diversen Filtern, aber einfach konfigurierbar. Setzt ein Kunde mit ca. 200 Postfächern seit ungefähr einem Jahr ein und ist nach wie vor begeistert. Aber: kein kommerzieller Support; falls man mal ins System muss, sind Linux-Kenntnisse erforderlich. - Exchange Online Protection (https://products.office.com/de-ch/exchange/exchange-email-security-spam-protection): Abomodell, scheint von den Funktionen her identisch zu sein mit "Advanced Threat Protection" von Office 365. Kenne es noch nicht, aber schon der normale Spamfilter von Office 365 ist gut. Bietet zudem Features, die ich bei keinem anderen Filter gesehen habe: Office-Dateien mit Makros in PDF umwandeln zum Beispiel.

Das war grob geschätzt. Habe mal nachgeschaut: Firma in Konstruktions- und Produktionsbranche, 15 Mitarbeiter, Terminalserver: 1.6 TB, tägliche Änderung ca. 30 GB, nach Kompression 15 GB. Aber die haben Office 365. Du hast schon Recht, würde da ein Exchange laufen, sähe es ganz anders aus. Veeam kann in neueren Versionen die Backupdatei "defragmentieren". Bei Veeam Cloud Connect läuft das auf dem Server beim Dienstleister. (Ist ja nicht so, dass man einfach einen SMB-Share als Repository anhängt über VPN.) Der Kunde wollte Backup, von Restore hat niemand was gesagt. :) Ist aber natürlich ein wichtiger Punkt. Kenne da mehrere Möglichkeiten: Daten auf Festplatte abholen (langsam, da zwei Kopiervorgänge), Server temporär auf Infrastruktur von Dienstleister im RZ laufen lassen, Ersatzhardware ins RZ fahren und Restore direkt darauf... Kommt ganz auf den Dienstleister an, bedeutet aber auf jeden Fall mehr Aufwand als "mal kurz in Azure zusammenklicken". Wobei ich externe Sicherungen nur für den Worst Case (Brand etc.), für "Server defekt" oder "Datei gelöscht" habe ich immer eine lokale Sicherung.

Wichtig für das Backupfenster ist die Differenz, die hochgeladen werden muss, nicht die Gesamtmenge der Daten. Pro Tag ändern sich von den 2 TB vielleicht 100 GB, die dann dank Kompression und Deduplikation in einer Nacht über 10 MBit/s gehen. Die Initialsicherung schickt man dem Dienstleister einmalig auf einer USB-Festplatte zu, wenn die Leitung nicht reicht für den Upload.

@felkr: Kommt ganz auf die Infrastruktur an. Arbeitet der Kunde per Terminalserver, kann man diesen und die dazugehörigen Systeme im Notfall gut ein paar Tage in der Cloud laufen lassen. Aber bei einem Fileserver wird es dann schon schwieriger bzw. braucht eine entsprechende Anbindung. Zudem braucht es ein VPN und einen gut vorbereiteten Plan für die Umschaltung sowie das Failback danach. Da ist ein SAN mit zwei Controllern sehr wahrscheinlich günstiger. Externe Backups sind jedoch unbestritten eine gute Idee.