mwiederkehr

Wenn Rechner A ein Paket zu Rechner B schickt, welcher sich im gleichen Netz befindet, macht er einen ARP-Lookup und adressiert das Paket an die MAC-Adresse von Rechner B.

Schickt er ein Paket an Rechner C, der sich in einem anderen Netz befindet, adressiert er das Paket an das Gateway, also schlussendlich an die MAC-Adresse des Gateways. Er kommt nicht auf die Idee, dass sich beide Netze am gleichen Switch befinden und versucht nicht, an die MAC-Adresse von Rechner C zu kommen.

Was Du vielleicht meinst mit MAC-Adressen auf dem Switch: der Switch lernt, über welche Ports welche MAC-Adressen erreichbar sind, so dass er Pakete (im Gegensatz zum Hub) nicht über alle Ports schicken muss.

Eine schnelle Lösung für Dein Problem könnte sein, einen routingfähigen Switch zu beschaffen. Die kosten nicht mehr so viel wie früher. Die Überarbeitung des Netzwerkkonzepts sollte aber trotzdem auf der Pendenzenliste bleiben.

Die Windows Server Sicherung ist nicht ideal für die Sicherung übers Netzwerk. Zumindest früher wurde übers Netzwerk jedes Mal eine Vollsicherung erstellt.

Veeam bietet eine kostenlose Software zur Sicherung von physischen Servern an: https://www.veeam.com/de/windows-endpoint-server-backup-free.html Arbeite schon einige Jahre damit und bin sehr zufrieden, sichere auch meine privaten Rechner so. Man kann auf ein NAS oder in ein Veeam Repository sichern. Besonders wenn ihr zur Sicherung der VMs schon Veeam einsetzt bietet sich diese Lösung an.

Ich würde auf dem Notebook Windows 10 installieren, da gibt es sicher die richtigen Treiber dafür.

Dann entweder mit dem Hyper-V von Windows 10 arbeiten, falls der reicht, oder sonst Nested Virtualization aktivieren (https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/user-guide/nested-virtualization) und den Server 2012 R2 als virtuelle Maschine installieren. So kannst Du auch mehrere 2012 R2 parallel installieren, falls Du Cluster testen willst etc.

Wenn Du das Backup auf den gleichen Server zurückspielst, sollte das funktionieren.

Was die anderen Mitglieder gemeint haben mit "Host nicht sichern" war, dass man auf dem Host keine Daten hat. Muss man für die Wiederherstellung die Hardware wechseln, ist Windows schneller neu installiert als das Backup zurückgespielt, Treiber ausgetauscht etc. Sogar auf der gleichen Hardware ist man unter Umständen mit einer Neuinstallation schneller. Nämlich dann, wenn man Scripts hat, welche die Netzwerkeinstellungen etc. konfigurieren.

Es gibt schon noch Anwendungsgebiete, aber die sind nicht mehr so zahlreich, wie man am Anfang vielleicht gemeint hat.

Beispiel aus der Praxis: eine Firma, mehrere Standorte. Einige Mitarbeiter arbeiten an verschiedenen Standorten (aber immer nur an einem gleichzeitig). Profile replizieren und der Mitarbeiter kann sich schneller anmelden.

Oder Luftbilder: riesige Bilddateien, die man nur einmal jährlich bekommt und die dann read-only sind und auf Plänen als Hintergrundbild eingebunden werden. So können alle Standorte mit den Dateien arbeiten, ohne sie über WAN übertragen zu müssen und ohne händische Kopieraktionen.

Für diese Fälle war DFS-R in Zeiten teurer Bandbreite ein grosser Vorteil. Mittlerweile läuft aber alles zentral und die Leitung wurde auf Gbit-Glasfaser umgestellt.

Nein, bis jetzt noch nicht. Es hat immer alles funktioniert und die Doku ist auch umfangreich. Support scheint in erster Linie über das Forum zu laufen, dort schreiben auch Mitarbeiter von Ubiquiti.

Muss aber dazu sagen, dass wir nur immer "einfache" Sachen wie mehrere SSID und Vouchers benötigt haben. Traffic Shaping etc. machen wir auf der Firewall.

Ubiquti hatte ich mir auch überlegt. Server ist kein Problem, habe genug ESXi Power. Wieviele User hast du ca. im WLAN ?

Habe mir die neuen AC überlegt und zwei pro Stockwerk (Ost- und Westflügel je einen)

Weist du wie der Weg der Daten ist?

Client <--> AP <--> LAN (VLAN)

oder

Client <--> AP <--> Controller <--> LAN (VLAN)

Beim grössten Kunden sind es ca. 75 Mitarbeiter, verteilt auf drei Stockwerke. Die haben jeweils ein Smartphone und etwa ein Drittel davon hat noch ein Notebook. Dazu kommen bei Sitzungen noch diverse Gäste. Das geht gut mit drei Access Points. (Die Anzahl Clients pro AP war bei meinen Installationen noch nie ein Problem, die Reichweite hat immer die Anzahl benötigter Access Points bestimmt.)

Die Daten gehen direkt vom AP aufs LAN. Der Controller wird nur für die Konfiguration benötigt oder eben für die Voucher. Setze UniFi auch bei kleinen Kunden ohne Server ein, dort installiere ich den Controller einfach auf einem Rechner, richte ihn aber nicht als Dienst ein.

Gefallen hat mir, dass die Access Points den Controller bei korrekter Konfiguration von DHCP oder DNS automatisch finden, auch über Netzwerkgrenzen hinweg. Braucht ein Aussenstandort einen zusätzlichen AP, kann man den direkt dort hin schicken. (Wobei das wahrscheinlich die anderen Anbieter auch können.)

Ich setzte meist UniFi ein und da meist die Long Range Access Points. Da reicht je nach Gebäude einer pro Etage. Mehrere SSID in verschiedenen VLANs sind kein Problem. Vouchers funktionieren auch, aber dafür muss entweder der Controller als Dienst auf einem Server laufen oder man braucht noch das Security Gateway.

Mir wurde schon von guten Erfahrungen mit den Lösungen von Fortinet und WatchGuard berichtet. Die sind aber in einer anderen Preisklasse und machen nur Sinn, wenn man die Firewalls des Herstellers nutzt.

Mit dem "Media Creation Tool" (https://www.microsoft.com/de-de/software-download/windows10) kann man eine aktuelle ISO von Windows 10 herunterladen. Die monatlichen Updates sind soweit ich weiss nicht integriert, aber man erhält immer den aktuellen Build, aktuell also das Fall Creators Update.

Da der Key bei OEM-Lizenzen im BIOS integriert ist, braucht man kein spezielles Installationsmedium vom Hersteller mehr, wie das noch bei Windows 7 der Fall war.

Nextcloud lässt sich in einem Webhosting oder auf einem kleinen vServer installieren und bietet serverseitige Verschlüsselung. Dazu ein kostenloses SSL-Zertifikat von Let's Encrypt (bei vielen Webhostern mittlerweile standardmässig aktiviert) und die Daten sind auch bei der Übertragung geschützt.

Wir machen das ebenfalls mit einem Script. Es liest den Clientnamen aus und schaut im AD nach, welcher Standort für den Rechner hinterlegt ist. "5. OG, Sekretariat" zum Beispiel. Aufgrund des Standorts verbindet es die Drucker und setzt den Standarddrucker.

Zusätzlich legt es den letzten Standort und eine Versionsnummer in einer Textdatei im Benutzerprofil ab, so dass die Drucker nur neu verbunden werden, wenn sich der Benutzer von einem anderen Client aus anmeldet oder das Script bzw. die Drucker aktualisiert wurden.

Das Script stammt aus der Zeit um 2008. Bin mir ziemlich sicher, dass es mittlerweile schönere Lösungen gibt.

Habe mal so ein Tool geschrieben, Sourcen und EXE (im ZIP unter \bin) hier: http://cloud.zeugs.info/index.php/s/NGsx46FIQtWlVB2

Anleitung:

- auf ein Netzlaufwerk kopieren

- vom Anmeldescript aus starten mit Parameter "/logon" (DB wird automatisch erstellt falls noch nicht vorhanden)

- falls gewünscht, aus dem Abmeldescript starten mit Parameter "/logoff" (aktuell werden die Datensätze des Benutzers gelöscht, man könnte aber auch die Abmeldezeit protokollieren)

- schauen, an welchem Rechner User hmuster angemeldet ist mit "/getUser hmuster"

- Datenbank ausgeben mit "/dump" (oder für eine Auswertung die Datenbank öffnen mit einem Viewer/Editor für SQLite)

Es ging darum, mittels Script festzustellen, wo Benutzer XY gerade arbeitet. Für die Suche alter Benutzerkonten macht der Parameter "/logoff" deshalb aktuell keinen Sinn.

Soweit ich weiss geht das nicht, ohne das Ereignisprotokoll der Rechner auszulesen.

Zu Zeiten von Windows 2003 habe ich dafür mal ein VBS gebastelt, welches als Anmeldescript lief und Zeit, Benutzername und Datum in eine Access-DB eingetragen hat. Dieses habe ich vor einiger Zeit nach .NET mit SQLite als Datenbank umgeschrieben. Kann die Sourcen und die EXE gerne zur Verfügung stellen.

Also Du lässt Blat Mails verschicken, von denen Du dann eine Lesebestätigung erhalten möchtest?

Anforderungen für Lesebestätigungen sind ein Header in der Mail. Laut https://en.wikipedia.org/wiki/Email_tracking#Read-receipts ist es "X-Confirm-Reading-To:", "Disposition-Notification-To:" oder "Return-Receipt-To:".

Würde mal im Outlook eine Mail mit Lesebestätigungsanforderung verschicken und schauen, welchen Header Outlook setzt.

Mit "-a1" lässt sich bei Blat ein benutzerdefinierter Header anfügen.

Mittlerweile habe ich SolidCP getestet: es ist leider nicht geeignet für diesen Zweck, da es zu sehr auf normales Hosting ausgerichtet ist. Es werden nur Gruppen angezeigt, die über SolidCP erstellt wurden (und somit in der SQL-Datenbank vorhanden sind), Gruppen haben ein Suffix etc. Es ist zwar Open Source, aber da wäre ich ein paar Tage dahinter um das umzuschreiben.

Deshalb haben wir es jetzt direkt im AD mit den gewöhnlichen Verwaltungstools gelöst. Die Benutzer starten über RDP die AD-Verwaltungskonsole.

Die Rechte im AD anzupassen war etwas mühsam, wobei ich sagen muss dass die neuen Menüs seit Server 2012 ein echter Fortschritt sind. Es liess sich alles über Vererbung lösen, ohne Scripts, die jedes Objekt angefasst haben.

Die Struktur im AD sieht so aus:

Domain - OU=WebUsers, dann pro Gemeinde eine OU.

Folgende Berechtigungen mussten angepasst werden:

- Ebene Domäne: "Authentifizierte Benutzer", "nur dieses Objekt", "Inhalt auflisten" entfernen

- Ebene OU=WebUsers: "Authentifizierte Benutzer", "nur dieses Objekt", "Inhalt auflisten" entfernen

- Ebene OU=WebUsers: "Authentifizierte Benutzer", "dieses und alle untergeordneten Objekte", "Inhalt auflisten" und "Objekt auflisten" entfernen

- Ebene OU=WebUsers: "Application Pool-Benutzer, "untergeordnete Benutzer-Objekte", "Gruppenmitgliedschaft lesen" erlauben => wichtig, sonst sieht die Anwendung nicht mehr, wer in welcher Gruppe ist!

- Ebene Gemeinde-OU: "Gemeinde-Admins", "nur dieses Objekt", "Lesen" erlauben

- Ebene Gemeinde-OU: "Gemeinde-Admins", "dieses und alle untergeordneten Objekte", "Benutzer-Objekte erstellen" und "Benutzer-Objekte löschen" erlauben

- Ebene Gemeinde-OU: "Gemeinde-Admins", "Untergeordnete Benutzer-Objekte", "Vollzugriff" erlauben

Funktioniert ganz gut, die Gemeinde-Admins können nur in ihre OU navigieren, alles andere ist ausgeblendet. Dort können sie dann nur Benutzer erstellen. "Neue Gruppe" etc. erscheint nicht mal im Kontextmenü, gibt also nicht erst beim Klick einen Fehler. Sie können die Kennwörter setzen, Anzeigenamen anpassen und eben die Gruppenmitgliedschaft verwalten. Dort sehen sie nur ihre Gruppen, können also nicht einen Benutzer zum Domänen-Admin machen.

Ist natürlich unschön, eine Webanwendung über RDP zu verwalten, aber funktionieren tut es.

Welche Rückfrage würdest du denn erwarten?

Ich weiss nicht, in welchen Fällen eine Warnung vor der Deinstallation angezeigt wird und in welchen nicht. Als ich kürzlich ein Notebook mit McAfee Endpoint Protection von 1703 auf 1709 updaten wollte, kam eine Meldung, der McAfee sei nicht kompatibel, deshalb werde das Update nicht installiert. Es gab keine automatische Deinstallation. Man kann sich also entscheiden, ob man vorerst auf 1703 bleibt und sich eine kompatible Version der Software beschafft, oder ob man sofort updaten will und auf die Software verzichtet. Die Meldung wird wohl regelmässig "nerven", so dass man früher oder später das Update durchführt.

"Unfair" finde ich, wenn einfach eines Morgens eine Software fehlt.

Mir ist jetzt auch SelectLine als erstes eingefallen, wobei ich da noch nie eine Installation mit 140 Benutzern gesehen habe.

Kann Nils da nur beipflichten: ein ERP-System hat man meist für ein paar Jahre. Da lohnt es sich, bei der Auswahl genügend Zeit zu investieren. Und ganz wichtig: sich benötigte Features zeigen oder noch besser vertraglich zusichern lassen. Es reicht nicht, wenn der Verkäufer sagt "können wir, kein Problem".

Das liegt sehr wahrscheinlich nicht an der Performance, sondern daran, dass die Software die Zeit in Taktzyklen misst, was mit dynamischen Takten und Virtualisierung Probleme geben kann. Gibt vom Hersteller sogar eine Dokumentation dazu: https://net-point.ch/wp-content/uploads/2017/06/XCAPI-TechNote-de-Microsoft-Hyper-V.pdf (Ich nehme an, diese hast Du gelesen, da Du nach SpeedStep fragst.)

Hatte mal einen ganz hoffnungslosen Fall, denn ich auf VMware nehmen musste weil man dort fixe MHz einstellen kann.

Mit Server 2012 R2 ist das so nicht möglich. Server 2016 unterstützt DNS Policies, mit denen er je nach IP des Clients andere Antworten geben kann.

Gibt es an den Standorten Server, die noch kein DNS machen? Dann könnte man auf diesen DNS installieren, die spezifischen Einträge erfassen und den Rest auf die bestehenden DNS forwarden.

Fair wäre, wenn Software nicht ohne Rückfrage entfernt würde. :)

Vergleiche doch mal "C:\Program Files (x86)" und "C:\Windows.old\Program Files (x86)". Unter Windows.old ist die alte Installation, wenn da ein Verzeichnis mehr vorhanden ist, ist es das gesuchte Programm.

Hatte den Fall auch schon, die Fehlermeldung war dann allerdings "ntuser.dat ist bereits geöffnet". Das Problem ist anscheinend, dass Windows beim Neustart den Lock auf der ntuser.dat auf dem Server nicht schliesst. Der wird vom Server dann erst zu spät entfernt. Ein schneller PC und flinker User bei der Passworteingabe und die Zeit reicht nicht. Deshalb tritt der Fehler nur auf, wenn man den PC neu startet, nicht beim normalen Start morgens.

Wenn Du an maier@gmail.com weiterleiten willst, muss diese Adresse nicht als Adresse eines Benutzers eingetragen werden. Der Mailserver ist ja nicht für gmail.com zuständig.

Es reicht, wenn Du einen Kontakt mit maier@gmail.com als Adresse erstellst und eine Verteilergruppe mit den beiden Adressen, die weitergeleitet werden sollen. Gruppenmitglied ist dann der Kontakt. (Also so, wie Norbert geschrieben hat.)

Danke für den Hinweis!

Weiss jemand, ob für Windows XP und Windows 95 diese Einschränkungen auch schon gegolten haben? Darf man die mit einer gültigen Retail-Lizenz virtuell betreiben (nicht als Server, sondern auf einem PC mit VMware Workstation)?

Mal unabhängig davon, ob es bessere Lösungen gibt, bin ich sehr erstaunt über die Probleme. Sollte die Deduplizierung nicht transparent sein für die Applikationen? Wenn ein Client auf eine SMB-Freigabe zugreift, sollte er doch nicht merken, ob die dedupliziert ist?

Nils hat natürlich recht, den Virtual Machine Converter gibt es nicht mehr. Man kann die alte Version aber noch herunterladen und sie funktioniert auch noch. Habe den genommen, weil er im Gegensatz zum Konverter von Starwind per PowerShell angesteuert werden kann. Wird das nicht gebraucht, ist Starwind die bessere Wahl.

Die VMDK wird bei der Konvertierung nicht geändert. Die VM muss heruntergefahren sein während der Konvertierung. Man könnte einen Snapshot machen und dann konvertieren, aber dann muss man verhindern, dass auf den Server zugegriffen wird während der Konvertierung und ist wieder gleich weit wie am Anfang...

Den Repair Mode sollte nicht notwendig sein beim Umzug auf Hyper-V, da Windows die notwendigen Treiber dafür schon mitbringt. Wenn aktivieren, dann nur bei der Systemdisk.

Die benötigte Zeit ist abhängig vom Durchsatz des Speichers. Die CPU macht nicht so viel, es ist mehr oder weniger ein Kopiervorgang. Ein PC mit Gbit-Netzwerkkarte ist also nicht ideal. Auf einem Server mit Speicher auf einem 3PAR habe ich kürzlich 1 GByte/s gemessen.