mwiederkehr

Das war grob geschätzt. Habe mal nachgeschaut: Firma in Konstruktions- und Produktionsbranche, 15 Mitarbeiter, Terminalserver: 1.6 TB, tägliche Änderung ca. 30 GB, nach Kompression 15 GB. Aber die haben Office 365. Du hast schon Recht, würde da ein Exchange laufen, sähe es ganz anders aus. Veeam kann in neueren Versionen die Backupdatei "defragmentieren". Bei Veeam Cloud Connect läuft das auf dem Server beim Dienstleister. (Ist ja nicht so, dass man einfach einen SMB-Share als Repository anhängt über VPN.) Der Kunde wollte Backup, von Restore hat niemand was gesagt. :) Ist aber natürlich ein wichtiger Punkt. Kenne da mehrere Möglichkeiten: Daten auf Festplatte abholen (langsam, da zwei Kopiervorgänge), Server temporär auf Infrastruktur von Dienstleister im RZ laufen lassen, Ersatzhardware ins RZ fahren und Restore direkt darauf... Kommt ganz auf den Dienstleister an, bedeutet aber auf jeden Fall mehr Aufwand als "mal kurz in Azure zusammenklicken". Wobei ich externe Sicherungen nur für den Worst Case (Brand etc.), für "Server defekt" oder "Datei gelöscht" habe ich immer eine lokale Sicherung.

Wichtig für das Backupfenster ist die Differenz, die hochgeladen werden muss, nicht die Gesamtmenge der Daten. Pro Tag ändern sich von den 2 TB vielleicht 100 GB, die dann dank Kompression und Deduplikation in einer Nacht über 10 MBit/s gehen. Die Initialsicherung schickt man dem Dienstleister einmalig auf einer USB-Festplatte zu, wenn die Leitung nicht reicht für den Upload.

@felkr: Kommt ganz auf die Infrastruktur an. Arbeitet der Kunde per Terminalserver, kann man diesen und die dazugehörigen Systeme im Notfall gut ein paar Tage in der Cloud laufen lassen. Aber bei einem Fileserver wird es dann schon schwieriger bzw. braucht eine entsprechende Anbindung. Zudem braucht es ein VPN und einen gut vorbereiteten Plan für die Umschaltung sowie das Failback danach. Da ist ein SAN mit zwei Controllern sehr wahrscheinlich günstiger. Externe Backups sind jedoch unbestritten eine gute Idee.

Man kann einen Exchange 2016 nicht in eine Domäne installieren, in der ein Exchange 2007 vorhanden ist. Je nachdem, was sonst noch in der Domäne vorhanden ist, kann es aber einfacher sein, parallel eine neue Domäne einzurichten und dann von Hand zu migrieren: - Benutzer erstellen - Profile migrieren - Mailboxen migrieren über PST - Freigaben migrieren (evtl. über Registry Ex- und Import) - Daten migrieren (Robocopy) - Rechner in neue Domain joinen Kommt darauf an, wie viele User es sind und wie die Struktur aktuell aussieht. Evtl. kann man die Gelegenheit nutzen, gleich die Daten- und Berechtigungsstruktur grundlegend anzupassen. Bei sechs Usern würde ich mir zudem überlegen, ob Office 365 nicht die geeignetere Lösung ist als ein eigener Exchange.

Das Stichwort "Virtualisierung" hat mich auf eine Idee gebracht: man kann Windows aus einer VHD booten, auch ohne Virtualisierung. In der c't war mal ein guter Artikel dazu: https://www.heise.de/ct/ausgabe/2017-2-Zweit-Windows-per-Drag-Drop-3583451.html Snapshots gibt es so nicht, aber "differencing disks": https://blogs.msdn.microsoft.com/heaths/2009/10/13/booting-windows-to-a-differencing-virtual-hard-disk/ Damit werden alle Änderungen in eine separate VHD geschrieben. Zum Zurücksetzen muss man also nicht das ganze System erneut kopieren, sondern nur die Differenz-VHD durch eine leere VHD ersetzen. Stelle mir das so vor: - Windows normal installieren - VHD erstellen - Windows in die VHD installieren, inkl. aller benötigten Programme und Einstellungen - differencing disk erstellen - VHD mit Schreibschutz versehen (damit niemand direkt damit aufstartet) - Bootloader anpassen für drei Optionen: Start in "Grundsystem", Start in VHD (für Anpassungen), Start in Differenz-VHD (Standardoption) - Shutdown-Script anlegen, welches die Differenz-VHD durch eine leere VHD ersetzt Für Anpassungen / Updates wäre das Vorgehen: - in Grundsystem booten - Schreibschutz von VHD entfernen - in VHD booten - Anpassungen vornehmen - in Grundsystem booten - Schreibschutz auf VHD setzen - leere Differenz-VHD anhängen Das sollte lizenzrechtlich kein Problem sein, da immer nur eine Instanz von Windows läuft und nichts virtualisiert ist und man hätte so das gesamte System zurückgesetzt, nicht nur das Benutzerprofil. Bei Verwendung von OEM-Lizenzen und baugleicher Hardware, könnte man sogar eine "Master-VHD" pflegen und auf die Systeme verteilen.

Vielleicht kurz meine Erfahrungen mit NAS und "Billigservern": Vergleicht man ein NAS (welches man dank iSCSI zu einem SAN macht) mit einem "richtigen" SAN (wie dem MSA 2050, um im Einsteigerbereich zu bleiben), sieht man einen wichtigen Unterschied: Das MSA hat zwei Controller. Es ist immer online, auch bei Firmware-Updates. Hat man bei einem QNAP oder Synology einen Defekt, bedeutet das einen längeren Unterbruch. Deshalb setze ich solche Geräte nur als Backupspeicher ein. Bei Supermicro ist der Nachteil nicht die mangelnde Performance. Ein i7 ist ein i7, da können auch HPE & Co. nicht zaubern. Der Unterschied ist die Kompatibilität der Komponenten und der Prozess beim Update. HPE: Alles was auf der HCL steht funktioniert miteinander, Firmware und Treiber lassen sich mit einer halbjährlich erscheinenden DVD updaten. Supermicro: gerade ein Fall aus der Praxis, zu dem ich gerufen wurde: Verbindung zu iSCSI-Storage immer wieder unterbrochen. Event Log zeigt Neustarts der Intel-Netzwerkkarte. => Treiber und Firmware zusammensuchen bei Intel, Update installieren. Gleich noch das BIOS updaten => nach Neustart nix mehr. BIOS-Einstellungen wurden auf Default zurückgesetzt und damit auch das Onboard-RAID. Bare Metal Restore, und das nur wegen einem BIOS-Update... Für mich gilt deshalb nach wie vor: im Unternehmen nur Hardware von namhaften Herstellern.

Habe das mal mit einem Shutdown-Script gemacht, welches robocopy /MIR von \\server\standardprofil nach c:\Users\schueler ausgeführt hat. Ist schnell umgesetzt, aber mühsam im Unterhalt, wenn das Standardprofil hin und wieder angepasst werden muss: Anmelden als Schüler, Einstellungen vornehmen, abmelden, als Admin anmelden, Profil auf Server kopieren...

Wie sieht es aus, wenn Du nslookup startest und dann mit "server xy" einen Server festlegst? Das Phänomen kommt mir bekannt vor, wenn man für IPv4 einen korrekten DNS-Server eingestellt hat, aber der Router per IPv6 einen zusätzlich einen zweiten DNS-Server propagiert.

Früher, als Hosted Exchange noch teurer war, war die Grenze bei etwa 40 Benutzern. Ab dann hat sich ein eigener Exchange gelohnt, auch wenn die Dienstleistungen dafür extern eingekauft werden mussten. Damals gab es aber auch noch kein AD-Sync und die Benutzer mussten zweimal erfasst werden, einmal im AD lokal und einmal beim Provider. Heute ist Office 365 recht günstig und die Benutzer können synchronisiert werden. Ausgerechnet habe ich es nicht, aber ich würde sagen das schiebt die Grenze, ab der sich ein eigener Exchange lohnt deutlich nach oben.

In diesem Fall kannst Du schon die VMDK und anschliessend die Partition vergrössern. Geht alles online. Aber: ich würde trotzdem eine neue Datenbank anlegen. Wenn Du dann an das Limit von fünf Datenbanken kommst, kannst Du immer noch neue Mailboxen auf die bestehenden Datenbanken verteilen.

Evtl. ein MTU-Problem? Ist auf den Firewalls eine Option "ignore DF bit on VPN connections" oder ähnlich gesetzt? Hatte schon ähnliche Phänomene bei Scan2Folder über VPN: Ping ging, Dateien auflisten auch, aber es wurden nur leere Dateien erstellt. Da war es ein MTU-Problem.

Budget, Lohnmodell, wirtschaftliche Lage, Vergleich mit Lohnstatistiken über gesamte Branche... Da gibt es vieles. Womit ich bisher gut gefahren bin: Zuerst nur einen marktüblichen Lohn verlangen. Nicht zu günstig (sonst wirkt man verzweifelt), aber auch nicht viel höher als ein Durchschnittslohn für die entsprechende Position. Nach einem Jahr, wenn einen der Chef kennt, nachverhandeln. Dort kann man dann neue Argumente bringen: messbare Erfolge, was man konkret dem Unternehmen gebracht hat und bringen wird etc. Ist man gut, wird der Chef eher bereit sein, gut zu bezahlen, als zu Beginn des Arbeitsverhältnisses. Er will ja keinen guten Arbeitnehmer verlieren. Ich würde die Verhandlungen auf das jährliche Qualifikationsgespräch beschränken. Unter dem Jahr mehr zu fordern kann gierig wirken.

Wenn ich die Doku richtig verstanden habe, ist es eine UND-Verknüpfung. Wäre auch logisch eigentlich. Aber selbst ausprobiert habe ich es noch nicht. Für Tests kann ich übrigens dhcptest.exe (http://files.thecybershadow.net/dhcptest/) empfehlen. Damit kann man DHCP-Requests erzeugen und sieht die Antworten. Etwas komfortabler als ipconfig /renew und Wireshark. :)

Damit aktivierst Du DHCP-Snooping für ein VLAN. Welche Server DHCP sein dürfen, muss vorgängig mit "dhcp-snooping authorized-server $ip" bzw. "dhcp-snooping trust $port" konfiguriert werden. In VLANS, in welchen DHCP-Snooping nicht aktiviert wurde, lässt der Switch alle DHCP-Server zu.

Dass keine Dateien auf der zu konvertierenden Disk geöffnet sein dürfen ist bekannt. Ansonsten spricht nichts dagegen, eine Disk mit Exchange zu konvertieren. Exchange greift auf das gemountete Dateisystem zu, dem ist egal, ob das auf einer MBR- oder GPT-Partition liegt. Die Konvertierung sollte sehr schnell gehen, da auch das Dateisystem nicht angerührt wird. In der Doku zu mbr2gpt ist mir aufgefallen, dass es eine EFI-Partition erstellt. Ich gehe davon aus, dass dies nur der Fall ist, wenn es sich um die Systemdisk handelt. Dann müsste die bestehende Partition verkleinert werden, was etwas dauern würde. Und der Bootvorgang müsste auf UEFI umgestellt werden. Das wäre dann kein kleiner Eingriff mehr.

Falls der neue Job keine grosse Reisetätigkeit beinhaltet, wird der Dienstwagen vom Chef evtl. als Lohnnebenleistung angesehen werden, also als eine Art Bonus. Die Kosten werden also dem Gesamtlohn angerechnet. Also nicht "marktüblicher Lohn + Dienstwagen", sondern "marktüblicher Lohn - Dienstwagen". Ich weiss nicht wie es in Deutschland steuerlich aussieht, aber hier in der Schweiz wird der private Nutzen des Dienstwagens am Einkommen angerechnet und muss wie Einkommen versteuert werden. Zudem kann man den Arbeitsweg nicht mehr abziehen. Je nach Dienstwagen lohnt es sich nicht. Besser ist dann der private Kauf eines Autos und eine gute Vergütung der geschäftlich gefahrenen Kilometer (die sind steuerfrei, da Spesen).

Als Proxy kann man einen IIS mit ARR nehmen: https://blogs.technet.microsoft.com/exchange/2013/07/19/part-1-reverse-proxy-for-exchange-server-2013-using-iis-arr/ Der leitet in dieser Konfiguration dann aber alles weiter, so dass er keine grosse Verbesserung der Sicherheit bringt. Wenn dieses Mass an Sicherheit gefordert ist, würde ich eine Lösung einsetzen, die IPS, Antivirus etc. bietet.

So sollte es gehen (noch den Set-Acl-Befehl einfügen): Get-ChildItem -Path "C:\temp" -Depth 1 -Dir | Where {$_.Mode -notmatch "a"} | ForEach-Object { #hier Set-Acl machen auf $_.FullName }

Für das Mailarchiv kann ich MailStore empfehlen. Einfach in der Verwaltung, günstig, schnelle Suchfunktion. Es ist zwar ein Archiv, aber einige Kunden nutzen es täglich, der guten Suchfunktion wegen. Achtung: falls man fremden Leuten Zugriff auf das Archiv gibt, muss das den Mitarbeitern bekannt sein bzw. am besten die private Nutzung des geschäftlichen Mailaccounts verbieten. Bei einem Architekturbüro werden viele Pläne vorhanden sein. Ich weiss nicht, wie gut sich die in SharePoint integrieren lassen, nur Office hat ja eine direkte Integration. Bei meinen Kunden aus diesem Bereich liegen die Dateien auf einer Serverfreigabe. Wichtig ist eine fixe Struktur, zB: \Gemeinde\ProjektNr-Projekt\Offerten etc. Auf Ebene "ProjektNr-Projekt" können nur Abteilungsleiter Verzeichnisse erstellen oder löschen. Die Mitarbeiter sind angewiesen, alle Mails zu einem Projekt aus Outlook heraus in den entsprechenden Projektordner zu exportieren. Durch ein nicht allzu grosszügig eingestelltes Postfachlimit wird verhindert, dass X Entwürfe eines Planes im Postfach liegen bleiben. Ist ein Projekt abgeschlossen, wird es archiviert. Das heisst, es wird auf eine andere Freigabe verschoben, auf der nur die IT Schreibrechte hat. Diese liegt auf SATA-Speicher und wird nur wöchentlich gesichert. Muss man ein Projekt wieder bearbeitbar haben (kommt selten vor), verschiebt es die IT zurück auf die normale Freigabe. Hin- und her-Mailen von Dokumenten und Plänen zu externen Firmen wird durch eine Installation von ownCloud ersetzt. Externe Firmen können über Links Dateien hoch- und runterladen. So kommt man mit 2 GB Postfachgrösse für die Mitarbeiter und 5 GB für die Geschäftsleitung durch.

Als ich vor einem Jahr einen Kunden von Small Business auf Business Premium gewechselt habe, hat sich Office beim nächsten Start automatisch rekonfiguriert. Es war wie eine Art Reperaturinstallation. Auf jeden Fall wurden alle Einstellungen, OneDrive-Daten etc. beibehalten.

In diesem Fall kommt vom Befehl also kein Fehler. Weisst Du, wo die Datenbank läuft? Dort wird es eine Tabelle "user" oder ähnlich haben, mit den Benutzern und den Passworthashes. Man kann dort einen Hash eines bekannten Passworts einfügen, dann sollte man sich wieder anmelden können. So wie ich gesehen habe verwendet IMC eine SQL Datenbank.

Auf Anhieb kann ich keinen Fehler erkennen. Füge doch mal zu unterst "pause" ein und starte die Datei nochmal. Dann würdest Du allfällige Fehler sehen.

Was steht denn in der .bat? Evtl. kann sie nicht auf die Datenbank verbinden? Du solltest sonst direkt in der Datenbank das Passwort zurücksetzen können (mit dem SQL Management Studio oder über die Kommandozeile).

Ja, der reicht meiner Meinung nach gut. Bei neuen Viren ist die Erkennungsrate sowieso bei allen Scannern nicht ideal. Viel wichtiger ist deshalb ein auf Vorsicht geschulter Benutzer und aktuelle Software. (Braucht er Java? Wahrscheinlich nicht, also weg damit usw.)

Die SMTP-Funktionen sollten weiterhin funktionieren. Hier ein Beispielcode für den Mailversand über Office 365: https://clicdatacoder.wordpress.com/2012/07/13/sending-smtp-mail-via-office-365-exchange-using-cdo-message-and-other-applications/