mwiederkehr

Es geht, aber die Backupsoftware muss es unterstützen, sonst hast Du komische Effekte wie Dateien, die nur auf einem System sichtbar sind.

Wenn ein Laufwerk nicht in einem Cluster betrieben wird, geht Windows davon aus, dass es das einzige System mit Zugriff ist. Die Master File Table (quasi das Inhaltsverzeichnis des Dateisystems) wird beim mounten in den Cache geladen.

Also folgendes: Server A mountet die LUN read-write und schreibt Daten darauf. Server B mountet die LUN read-only und liest die MFT und sieht somit die Dateien, welche aktuell vorhanden sind. Nun schreibt Server A neue Dateien. Server B sieht diese nicht, da er ja nicht davon ausgeht, dass er die MFT neu lesen muss. (Falls bestehende Dateien verändert werden, wird das Backup möglicherweise sogar unlesbar, aber das scheint bei Dir ja nicht die Situation zu sein.)

Man müsste die LUN auf Server B vor jedem Backup neu mounten.

Die ganz billigen NAS, die es vor ca. 10 Jahren von Medion gab, haben über ein eigenes Blockprotokoll funktioniert. Hatte man die an mehr als einem Rechner gleichzeitig angehängt, ist genau das passiert: Kollege kopiert Datei rein, die ist nicht sichtbar, nach ein paar Mal F5 drücken manchmal doch etc...

"Richtige" Backupsoftware kopiert deswegen auch nicht einfach Dateien weg, sondern macht einen Snapshot der LUN (um Zeitpunkt X festzuhalten) und mountet den read-only.

Habe das Phänomen auch bei einem Kunden. Nach ca. 15 Minuten Leerlauf kommt das rote X. Bei einem erneuten Zugriff wird das Laufwerk aber sofort wieder verbunden, so dass es keine Probleme macht. Die Clients haben Windows 10, der Server 2012 R2. Habe nicht herausgefunden, was der Auslöser ist, allerdings habe ich auch nicht sehr viel Zeit investiert, da ja alles läuft.

Alle anderen Umgebungen mit Windows 10 und Server 2012 R2 haben das Problem nicht. Der einzige Unterschied ist, dass beim betroffenen Kunden Avira eingesetzt wird. Vielleicht ist das eine Gemeinsamkeit mit eurer Umgebung?

Das klingt nach dark-fiber. Wieso das aber auf 1GBit/s begrenzt sein soll erschliesst sich mir nicht.

Wir stocken unsere dark-fiber gerade auf 10GBit/s auf, Unser Anbieter könnte aber auch 100GBit/s

Wozu das "Modem"? Reicht nicht einfach der entsprechende Switchport oder ist das doch was anderes als eine dark-fiber?

Bei Dark Fiber hat man ja eine direkte Verbindung zwischen den Standorten. Man mietet die Leitung, nicht die Bandbreite. Ist teuer, da der Anbieter die Leitung nicht für andere Kunden nutzen kann.

Beim Optical Link bestellt man Bandbreite. Ab dem nächsten Zugangspunkt des Providers werden die Daten über dessen Netzwerk transportiert. Er kann also mehrere Kunden auf einer Leitung haben.

Aber Du hast Recht, habe gerade nachgeschaut: es gibt Optical Link bis 100 GBit/s. Hatte bis jetzt einfach nur mit 1 GBit/s zu tun.

Es spricht aus meiner Sicht nichts gegen ein RAID für OS und VMs. Was ich aber empfehle, ist eine separate Partition für die VMs. Damit man das Host-OS einzeln wiederherstellen, neu installieren, upgraden etc. kann.

Raid 10 für die SSD war von denen die Vorgabe für den TS und Ihre Software wegen Performance.

Ach Du meine Güte... Diese Vorgaben stammen sehr wahrscheinlich aus einer Zeit, in der man noch mit 3,5" SCSI-Festplatten gearbeitet hat. Genau wie "die Software benötigt einen separaten physischen Server", "das Betriebssystem muss auf einem RAID 1 auf separaten Disks liegen" und "für die Datenbankdateien und die Logs werden unterschiedliche Disks benötigt" (bei einem kleinen CRM für drei User).

Da wird schon recht viel Geld verbrannt...

Der Host macht normalerweise nicht viel I/O. Ausser er muss Auslagern, aber dann hat man eh verloren. :)

WSUS auf SSD ist allerdings schon etwas Perlen vor die Säue. :D

Wie gross sind denn die Platten? RAID 10 ist bei SSD auch etwas übertrieben, da würde ich RAID 5 nehmen oder allenfalls RAID 6, wenn man den Ausfall von zwei SSDs abfangen will/muss.

Ich mache in solchen Situationen mehrere Partitionen. Hätte ich also ein RAID 1 mit 2x 15k 600 GB Disks, würde ich 100 GB für C: nehmen und noch ein D: machen, auf dem ich dann den WSUS oder die Archivpartition des Fileservers ablegen kann. SSD wäre dann E: und für die VMs mit viel IOPS reserviert.

Das ist doch eine schöne Aufgabe, um erste Erfahrungen im Programmieren zu sammeln.

Ganz einfache Lösung: Ein PowerShell-Script, welches die Daten ausliest und mit ConvertTo-Html als HTML im Verzeichnis des Webservers speichert. Das Script wird per Taskplaner täglich oder stündlich gestartet.

Etwas komplexer, dafür mit mehr Funktionen: Eine Webanwendung (zB. ASP.NET), welche die Daten ausliest und darstellt, inkl. Suchfunktion etc.

Nach meinen Erfahrungen bringt es nicht mehr so viel. Über 90% der Mails werden beim RBL-Check abgewiesen. Danach nur noch ein kleiner Prozentsatz wegen Greylisting. Wobei die Mehrheit dieser eine Runde später bei der Inhaltsprüfung wohl sowieso rausgeflogen wäre.

Was noch eher Erfolg versprechen könnte, ist "Delayed Greeting". Also nach Verbindungsaufbau ca. eine Minute warten, bis man das "250 xy ready" sendet. Wenn Spammer ungeduldige Software verwenden und sofort ihr HELO senden, kann man sie für ein paar Minuten blockieren. Aber vermutlich verwenden auch Spammer mittlerweile standardkonforme Mailclients.

Soweit ich weiss, ist das Ändern des Ports bei OWA, ActiveSync etc. nicht unterstützt. Es wird irgendwo im OWA einen absoluten Link haben, weshalb der Zugriff scheitert.

Die beste Lösung ist eine IP-Adresse pro Kunde. Ist das nicht möglich, könnte man es mit URL Rewriting oder einem Reverse Proxy lösen. Dafür sollte Application Request Routing (ARR) vom IIS schon reichen.

Variante 1 (unterschiedlicher Port): Auf dem Exchange des Kunden im IIS URL Rewrite konfigurieren, dass es bei Antworten https://ip durch https://ip:port ersetzt.

Variante 2 (alle Kunden auf Port 443): Einen Server mit IIS und ARR installieren und je nach Hostnamen die Anfragen auf die Exchange-Server dahinter verteilen. Dies ist sicher die schönste Lösung, bedingt aber einen zusätzlichen Server und etwas Konfigurationsaufwand.

Du könntest den MIME-Typ auf "application/octet-stream" ändern, dann sollte der Browser den Download anbieten.

Schöner wäre es aber, dem Browser per Header mitzugeben, dass er die Datei downloaden soll. Dies geht mit URL Rewrite: https://stackoverflow.com/questions/19404770/force-file-download-in-iis7

 

Auf UEFI müsste ich aber nur umstellen wenn es sich um eine Systempartition handelt?

Diese Festplatte ist rein für Daten und es befindet sich kein System drauf. Ja hatte ich auch schon überlegt. Mit Robocopy das ganze zu machen.

Dann sollte es kein Problem sein. Denn schlussendlich ändert sich weder Partition noch Bootumgebung, sondern nur das Format der Partitionstabelle.

Mit gdisk (http://www.rodsbooks.com/gdisk/gdisk.html, sollte auf ziemlich jeder Linux-Boot-CD sein) habe ich schon mehrere solche Umwandlungen durchgeführt. Aber auch mit dem von Dir erwähnten Tool sollte es gehen, sogar grafisch, dafür nicht kostenlos.

Man kann die Systemdisk in GPT konvertieren, muss dabei aber gleich die Bootumgebung von BIOS auf UEFI umstellen:

https://social.technet.microsoft.com/wiki/contents/articles/14286.converting-windows-bios-installation-to-uefi.aspx

Achtung: Snapshot machen vorher!

Eine weniger heikle Möglichkeit wäre es, dem Server eine zweite virtuelle Disk anzuhängen, diese mit GPT einzurichten und die Daten darauf zu kopieren. Damit müsste man nicht auf UEFI umstellen.

Um das Thema abzuschliessen: Der Support hat nicht zuviel versprochen, seit dem Cumulative Update vom Juli funktionieren Verbindungen über das Gateway wieder.

Der Edge (in Kombination mit dem IE) sollte für normale Anwender ausreichen. Der Entscheid für oder gegen den Einsatz von Software XY sollte von der Geschäftsleitung kommen. Habe die Erfahrung gemacht, dass es sonst immer Diskussionen gibt: "Ich will nicht IrfanView, ich will ACDSee!", "Ich will nicht Adobe Reader, ich will Foxit!" etc.

Einmal sauber evaluieren, von der GL absegnen lassen und dann gibt es andere Software nur noch per Antrag.

Es gibt verschiedene Arten von Standleitungen. Je nach Art sind Bandbreite, Sicherheit und Kosten unterschiedlich.

Ein VPN-Tunnel ist nicht unsicher, wenn die Verschlüsselung durch ein aktuelles Verfahren geschieht und der Key sicher genug ist. Häufig reicht deshalb ein VPN-Tunnel. Wenn die Bandbreite zu klein oder die Latenz zu hoch ist, kann eine Standleitung ein Vorteil sind.

Hatte schon mit diesen zwei Leitungsarten zu tun:

MPLS: Läuft über DSL, aber die Pakete werden in der Ortszentrale abgezweigt, direkt auf ein Netz mit niedriger Latenz. Zudem ist QoS automatisch mit dabei. Die Geschwindigkeit entspricht DSL. Das Netz ist geroutet, jeder Standort erhält ein eigenes Subnet. Ist auch für kleinere Firmen bezahlbar und wir konnten damit ein angenehmeres Arbeiten von den Aussenstellen auf der Citrix-Farm in der Zentrale ermöglichen.

Optical Link: Glasfaser, man bekommt ein "Modem" des Providers. Es sind 100 und 1000 Mbit/s möglich. Das Netzwerk ist transparent, die Leitung verhält sich also wie ein sehr langes LAN-Kabel. Man müsste also nicht mal Router einrichten, was aber trotzdem empfehlenswert ist. Die Latenz ist unglaublich klein. Bis so ca. 50km merkt man beim Ping keinen Unterschied zum lokalen Netz. Ist nicht ganz günstig, aber man kann damit je nachdem auch grösseren Aussenstellen einen Server vor Ort ersparen.

Die Sicherheit ist bei beiden Varianten davon abhängig, wie sehr man dem Provider vertraut: da es keine exklusiven Leitungen sind, könnte er den Traffic in seinem Netz abgreifen. Vertraut man dem Provider nicht, müsste man über die Leitung ein VPN aufbauen. Bei sehr hohen Sicherheitsanforderungen kann man auch eine dedizierte Glasfaser mieten, was aber sehr teuer ist.

Fazit: Wenn euch der VPN-Tunnel reicht, bleibt dabei. Habt ihr Probleme mit der Bandbreite oder Latenz, lohnt es sich, das Angebot anzuschauen.

Hmm,

bisher wurden uns mit Windows 10 Pro keine Updates "aufgezwungen".

Habt Ihr keinen WSUS im Einsatz?

 In kleinen Umgebungen (noch) nicht, aber muss man sich überlegen. Aber wenn ich das Konzept richtig verstanden habe, muss man die "grossen Updates" trotzdem zeitnah installieren, weil man sonst keine Sicherheitsupdates mehr bekommt. Oder kann man zum Beispiel das Creators Update einfach die nächsten Jahre blockieren?

Windows 10 ist für kleine und mittlere Unternehmen IMHO eine Plage. Es ist sehr ungünstig, dass es von der Pro-Edition keine LTSB-Version gibt. Auch gewisse Richtlinien (zum Deaktivieren des Store etc.) funktionieren nur in der Enterprise-Version. Bei Windows 7 konnte man die OEM-Version von Pro verwenden und hatte über Jahre ein stabiles und supportetes System. Bei Windows 10 werden einem regelmässig grosse Updates aufgezwungen, welche man im Bürobetrieb nicht braucht. 40 min warten, bis das Creators Update installiert war. Und der Vorteil? Man kann 3D zeichnen im Paint... Ich finde das passt für eine Home-, aber nicht für eine Pro-Version.

Aber man kann ja nicht ewig auf Windows 7 bleiben... Finde es einfach schade, dass Microsoft nicht an die kleinen Unternehmen denkt.

Läuft denn der gesamte Datenverkehr über den Server? Falls nicht, brauchst Du einen Managed Switch, welcher entweder allen Verkehr an einem Port ausgeben kann ("Port Mirroring") oder per sFlow die Verbindungsdaten an einen schickt.

Wenn Du erst mal an die Daten kommst, kannst Du zum Auswerten wie von "lefg" geschrieben PRTG nehmen oder ntopng (http://www.ntop.org/products/traffic-analysis/ntop/).

Ist evtl. das ISO defekt? https://social.technet.microsoft.com/Forums/windowsserver/en-US/1a1b214e-729b-491d-9b82-be0dcc70d169/error-installing-server-2012-in-2012-hyperv-vm?forum=winserverhyperv

Vorsicht: SLAAC wird auch zur Erzeugung der link-local Adresse verwendet. SLAAC nutzt RAs zur konfiguration weiterer IPv6 Adressen, z.B. auf Basis eines vom Router angekündigten Prefixes. Der TE muss eigentlich nur eine Sache tun: stateless DHCPv6 deaktivieren. Der Router kann gerne weiterhin sein IPv6 Prefix raushauen, und die Hosts können sich auf dieser Basis gerne weiterhin eine IPv6 Adresse bauen. Das Problem ist der stateless DHCPv6.

Habe es jetzt mal mit Wireshark analysiert: der Router schickt alle 16 Sekunden eine RA inkl. DNS-Server. Obwohl ich soweit es ging alles bezüglich IPv6 deaktiviert habe. Scheint ein Bug zu sein. Werde den Provider kontaktieren.

Also eine Fritzbox kann selbtsverständlich an einem VOIP/TV/DSL-Anschluss betriebem werden. ein cisco 800er sollte das auch können. Im telekom-forum findet man teilweise die configs, bei der Fritte sind das ein paar Klicks.

Die Swisscom verwendet für VoIP und TV eine separate Session mit einer anderen IP. Man könnte PPPoE-Passthrough aktivieren und sich von hinter dem Router parallel mit einem eigenen Router einwählen. Aber dann funktioniert das 4G-Backup nicht mehr. Die Telefone funktionieren unsupported auch hinter der Firewall. TV auch, wenn man Multicast aktiviert. Aber eben ohne Support. Falls es mit dem Registry-Key nicht funktioniert, werde ich die offizielle Lösung einrichten müssen: Firewall an Port 1 des Routers mit "IP-Passthrough", Telefone und TV-Box an den anderen Ports direkt am Router.

Wie sieht es mit der "Digitalisierungsbox" von der Telekom aus? Die können dir bestimmt eine alternative Hardware anbieten, die genau das kann was du brauchst.

Die Swisscom ist nicht die Telekom. Die Swisscom setzt eigene Router ein, früher mal gebrandete Pirelli, aktuell laut MAC-Adresse etwas von "ADB Italia".

Sicher, dass du DHCPv6 deaktiviert hast?

Ja, eigentlich schon. Es gibt die Optionen "aus", "SLAAC", "SLAAC und DHCPv6" und "DHCPv6". Aber vielleicht ist es ein Bug im Router. IPv6 ist eine recht neue Geschichte für die Swisscom...

Danke für eure Antworten!

Normalerweise habe ich immer eine Firewall dazwischen, aber das ist eine kleine Umgebung ohne Zugriffe von extern. Da dachte ich es geht ohne Firewall, zumal man dann auch das WLAN vom Router nutzen kann. Habe ich mich wohl etwas verschätzt...

Einen "ordentlichen" Router zu kaufen geht nicht, denn über den Anschluss läuft auch VoIP und TV. Der Router macht zwei Sessions auf, eine für Internet und eine für die restlichen Dienste. Das kann man so nicht umsetzen mit einem Drittrouter, und supported ist es schon gar nicht. (PPPoE Passthrough würde gehen, aber dann funktioniert das 4G-Fallback mit der integrierten SIM-Karte nicht.

Da muss ich wohl in den sauren Apfel beissen und entweder eine Firewall installieren oder per Policy den Registry-Key zur Priorisierung von IPv4 verteilen.

Aber noch eine Verständnisfrage: Habe gestern noch eine Option gefunden im Router, um die Router Advertisements zu deaktivieren ("SLAAC: aus"). Nach einem Neustart hatten die Clients dann keine IPv6-Adresse mit dem Prefix des Routers mehr, nur noch eine Link Local-Adresse. Soweit ist es klar. Aber wieso hatten sie die Link Local-Adresse des Routers als Gateway und DNS eingetragen? Über welches Verfahren erhalten Clients mit IPv6 diese Informationen, wenn SLAAC und DHCPv6 deaktiviert sind?

Swisscom Centro Business 2.0, also quasi Telekom mit Schweizer Kreuz :)

Hallo zusammen

Habe gerade ein "lustiges" Phänomen beobachtet: Kunde mit kleinem Netzwerk inkl. Domänencontroller hat vom Provider einen neuen Router erhalten. Der unterstützt jetzt IPv6. Das kündigt er im Netzwerk auch fleissig per Router Advertisement an, inkl. seinem DNS-Dienst.

Somit haben die Clients jetzt neben dem Domänencontroller (IPv4 per DHCP) nun auch den Router als DNS-Server (IPv6 per SLAAC) eingetragen. Was für die interne Namensauflösung nicht so praktisch ist...

Mögliche Lösungen:

- IPv6 deaktivieren auf dem Router: geht anscheinend nicht mehr, und möchte ich auch nicht unbedingt, wenn es eine andere Lösung gibt

- IPv6 deaktivieren auf dem Server und den Clients: nicht supported laut Microsoft

- DNS-Dienst auf dem Router deaktivieren: geht nicht

- den internen Server als DNS-Forwarder eintragen auf dem Router: geht auch nicht

Den Clients manuell eine fixe IPv6-Adresse einzutragen ist auch keine gute Lösung. Eine Firewall dazwischen hängen wäre eine Möglichkeit, aber es wäre schön, wenn es ohne ginge.

Kann man irgendwo einstellen, dass der IPv4-DNS eine höhere Priorität besitzt als der mit IPv6? Oder dass die Clients den angekündigten DNS nicht verwenden?

Vielen Dank für eure Tipps!

Mit SmartArray-Controllern habe ich schon häufiger solche Plattenwechsel gemacht und es hat noch immer funktioniert. Ein vollständiges Backup ist natürlich trotzdem Pflicht!

Vorgehen: Auf dem Controller im neuen Server die RAID-Konfiguration löschen (nicht schon ein "identisches" RAID einrichten oder so, die Konfiguration kommt von den Platten). Dann einfach die Disks umstecken. Im neuen Server müssen sie die gleiche Reihenfolge haben wie im alten. Also schön beschriften vorher! :cool:

Aber ich würde mir nochmals überlegen, ob es auf Dauer nicht günstiger und stabiler ist, gleich auf neue Hardware und Server 2016 zu wechseln als alte Betriebssysteme von sehr alter auf alte Hardware zu migrieren... Wenn Du das System nicht hochverfügbar brauchst (was es jetzt ja auch nicht ist), würde ja schon ein neuer Server mit Hyper-V reichen.