maeck

Wir haben uns für ein RAID5 entschieden, um eine größere Ausfallsicherheit zu haben, dabei war uns nicht bewusst, dass es dabei zu Performance-Einbußen für Hyper-V kommen kann?! Wie hängt das genau zusammen? Was würdest du alternativ empfehlen? Gruß Marcel

Hallo Nils, in der Tat bestehen die 2TB aus einem RAID5-Verbund. Darüber hinaus erwägen wir Altaro Hyper-V Backup einzusetzen. Ich hatte irgendwie ein komisches Gefühl, eine 1TB große VHD-Datei anzulegen und dem Fileserver als Datenplatte mitzugeben, aber das liegt eher an der Unerfahrenheit meinerseits. Wenn das aber kein grundsätzliches Problem ist und damit ein Einsatz von iSCSI nicht erforderlich ist, dann werden wir es einfach mal ausprobieren. Danke für eure Einschätzungen. Gruß Marcel

Gute Frage. Spricht etwas dagegen eine 1TB große VHD-Datei anzulegen? :) Kann das zu Problemen führen? Wie sieht es mit der Performance aus? Ist eine VHD-Datei performanter als z.B. Software iSCSI? Marcel

Hallo, wir haben einen neuen Server gekauft, den wir als Hyper-V-Host einsetzen möchten. Die System-Festplatte mit 250GB ist für das reine System vorgesehen. Die Daten-Festplatte umfasst 2TB, die wir für die HyperV-Guest vorgesehen haben. Nun haben wir geplant, die 2TB in mehrere Partitionen zu unterteilen, um diese dann in den Guests als physikalische Festplatten durchzureichen. Leider haben wir jetzt erst festgestellt, dass sich keine Partitionen, sondern nur physikalische Festplatten an den Guest durchreichen lassen :( Ein Hyper-V-Guest soll ein fileserver mit ca. 1TB werden. Wir wissen nicht so recht, wie wir das nun lösen. Ob wir die 1TB, die der fileserver bekommen soll, in einer VHD-Datei anlegen und im Guest durchreichen, oder ob vielleicht iSCSI eine sinnvolle Möglichkeit wäre, z.B. mit Microsoft iSCSI Software Target? Was würdet ihr uns raten? Gruß Marcel

Ich darf das Thema nochmal pushen - hat jemand eine Idee dazu?

Hallo, wir haben in unserem Netz ca. 15 W2k3-DCs, die nach und nach auf Read-Only-DCs W2k8R2 umgestellt werden. Im zentralen Rechenzentrum laufen bereits zwei Writable DCs W2k8R2. Von den RO-DCs in den Aussenbüros bekommen wir vermehrt folgende Meldung (Netlogon,Event:5723): The session setup from computer 'WKSN585' failed because the security database does not contain a trust account 'WKSN585$' referenced by the specified computer. USER ACTION If this is the first occurrence of this event for the specified computer and account, this may be a transient issue that doesn't require any action at this time. If this is a Read-Only Domain Controller and 'WKSN585$' is a legitimate machine account for the computer 'WKSN585' then 'WKSN585' should be marked cacheable for this location if appropriate or otherwise ensure connectivity to a domain controller capable of servicing the request (for example a writable domain controller). Otherwise, the following steps may be taken to resolve this problem: If 'WKSN585$' is a legitimate machine account for the computer 'WKSN585',then 'WKSN585' should be rejoined to the domain. If 'WKSN585$' is a legitimate interdomain trust account, then the trust should be recreated. Otherwise, assuming that 'WKSN585$' is not a legitimate account, the following action should be taken on 'WKSN585': If 'WKSN585' is a Domain Controller, then the trust associated with 'WKSN585$' should be deleted. If 'WKSN585' is not a Domain Controller, it should be disjoined from the domain. Unter User Action steht ja, dass man entweder das Computerkonto auf dem RO-DC cachen soll (was wir bisher nicht gemacht haben), oder eine Verbindung zu einem Writable-DC sicherstellen sollen. Ich habe das Konzept des RO-DC so verstanden, dass er die Anfragen, die er nicht beantworten kann, an einen Writable-DC weiterreicht und die Info dann bei sich cached, oder? Müssen wir mit den Meldungen einfach leben oder haben wir etwas falsch konfiguriert? Gruß maeck

OK, ich merke schon ich komme um ein eigenes AD in der DMZ nicht drum herum ;) womit ich gerechnet habe :) Wie würde das dann aussehen (neben den beiden DCs), wird es ein AD das eine Vertrauensstellung zum internen AD hat oder sollte es völlig losgelöst sein? Gruß Marcel

Dessen sind wir uns bewusst. Da wir bereits Hyper-V einsetzen, möchten wir wegen der DMZ (auch im Hinblick auf SCVMM) nicht auf einen anderen Virtualisierungs-Anbieter wechseln. Microsoft hat sich darüber doch sicher auch Gedanken gemacht :suspect: Marcel

Hallo, bei der Konfiguration von Hyper-V-Hosts liest man immer wieder, dass man eine separate NIC für den Hearbeat, die LiveMigration und am Besten noch für das Management der ParentPartition einsetzen soll. Ist das wirklich notwendig? Was spricht dagegen den Heartbeat und die LiveMigration über eine GBit-NIC laufen zu lassen? Lässt sich das überhaupt konfigurieren und wenn wo? Eigentlich überlegen wir sogar, Heartbeat, LiveMigration und Management über die gleiche GBit-NIC laufen zu lassen (z.B. mit VLAN-Trennung). Ist doch schade, wenn eine GBit-NIC nur für den Hearbeat verbraten werden würde :) oder? Danke und Gruß Marcel

Hallo, wir haben bereits ein Drei-Knoten Failover-Cluster im internen Netz und möchten nun noch ein Zwei-Knoten Failover-Cluster in unserer DMZ aufbauen. Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht. Wie geht man da sinnigerweise vor? Konfiguriert man eine eigenständige neue Domäne in der DMZ, nur für das Failover-Cluster oder gibt es ein BestPractice, das einen anderen Weg mit der bestehenden AD aufzeigt? Bei einer eigenständigen AD, würde man dann mit Vertrauensstellungen arbeiten, damit z.B. der SCVMM auch die VMs managen kann? Gruß Marcel

Ich habe nun einen Nameserver einer Zone löschen können, mit dnscmd [i]servername [/i]/RecordDelete [i]Zone [/i]@ NS [i]nameserverxy.zone.de[/i]. Wie schaffe ich es, den Nameserver "nameserverxy" aus allen Zonen zu entfernen? Gibt es eine WildCard für alle Zonen (sowas wie *) oder muss ich das ganze in eine Batch-Datei packen, alle Zonen auslesen und dann rekursiv alle Zonen abklappern und den Eintrag löschen? Gruß Marcel

Danke Nils! :) Die Liste der Befehle ist ja nicht gerade klein. Kannst du mir noch einen Tipp geben, mit welchem Befehl ich an mein Ziel komme? Beim Drüberschauen scheint mir dnscmd /unenlistdirectorypartition in Frage zu kommen, aber ich bin mir unsicher. Gruß Marcel

Hallo, wir möchten gerne mehrere alte Nameserver aus unseren DNS-Zonen entfernen. Bisher gehe ich dan in der Forward-Lookupzone auf die entsprechende Zone "domain.local" -> rechts Klick -> Eigenschaften und entferne im Reiter "Namenserver" den Eintrag. Das gleiche dann nochmal in der Reverse-Lookupzone. Da wir mittlerweile ca. 60 Zonen haben, ist das ganz schön mühsam. Gibt es dafür einen einfacheren (gescripteten) Weg oder müssen wir immer wieder in den sauren Apfel beißen? Gruß maeck

Die Frage mit dem Dienst hat sich geklärt - es gibt einen Dienst und der hält das Konto des vmmadmin. Bei Änderung des Passworts muss man das Kennwort hier korrigieren. Auf die Frage mit den DB-Rollen habe ich noch keine Anwort gefunden - hat jemand noch eine Idee? Gruß maeck

Hallo, wir haben eine Enterprise CA und dafür ein Template gebaut. Im Reiter Security haben wir eine ADUserGroup hinzugefügt, bei deren Member das Zertifikat automatisch verteilt wird. Ist es möglich eine weitere Einschränkung zu machen und das AutoEnroll nur auf Workstations zulassen, die in einer bestimmten AD-OU stecken? Hintergrund: Wir Admins bekommen das Zertifikat automatisch verteilt, was bei den Workstations wo wir uns anmelden auch Sinn macht, jedoch nicht, wenn wir uns auf einem Server anmelden. Gruß maeck

Hallo mamamia, vielen Dank, es funktioniert perfekt! Gruß maeck

Hallo, wir haben einen Homeordner mit ca. 600 Ordnern und würden gerne wissen, welche Ordner noch einen aktiven User haben und welche nicht. Wenn man sich die Security-Options anzeigen lässt, sieht man bei aktivem User die SID als Namen aufgelöst, oder bei nicht existentem User nur die SID. Könnte man das wohl irgendwie in ein PowerShell-Script packen und nur die Ordner ausgeben lassen, bei denen der User nicht mehr existent ist? Gruß maeck

Hallo Norbert, danke - das hilft schon mal weiter. Die Frage, die in den Kommentaren auftaucht, stellt sich auch mir: Braucht der Account zwingend die Rollen dbcreator, processadmin und securityadmin? Werden die nur für die Installation benötigt und können danach wieder entzogen werden? Eine zweite Frage: Wenn ich die Installation des VMM mit dem Account VMMadmin durchführe, dann laufen die Dienste des VMM wahrscheinlich auch unter diesem Account, oder? Was ist, wenn ich das Passwort des VMMAdmin einmal ändern muss, wo muss ich diese Änderung dann im VMM bekannt geben, damit der Zugriff auf die SQL-Datenbank noch gewährleistet ist? Danke und Gruß maeck

Hallo, wir möchten den SCVMM einsetzen. Bei der Installation haben wir kein MSSQL Express gewählt, sondern die Datenbank in unser MSSQL-Cluster gelegt. Für das Anlegen der DB muss man einen administrativen Account auf dem MSSQL-Cluster angeben - das haben wir getan. Nach der erfolgreichen Installation möchten wir nun gerne den Account ändern, damit die Datenbank nicht unter dem administrativen Account läuft, sondern unter einem der nur Berechtigungen auf die SCVMM-DB hat. Wo und wie machen wir das? Oder haben wir bei der Installation was übersehen, bzw. falsch gemacht? Gruß maeck

Entschuldigt, dass ich erst jetzt antworte, ich war beruflich mit anderen Themen zugeschaufelt. Vielen Dank für eure Antworten. Ich verstehe noch nicht ganz wofür wir unbedingt die Benutzer- und Computerkonten eintragen müssen. Sollte die WAN-Verbindung weg sein, können die User sich doch mit Ihrem lokal gespeicherten Profil anmelden, oder? Aber wie schaut es dann mit den lokalen Ressourcen, wie z.B. print- und fileservices auf dem RODC aus? Würden die von den Clients mit lokalem gespeichertem Profil trotzdem noch funktionieren? Warum wir uns so schwer tun, die Benutzer- und Computerkonten in den RODC einzutragen liegt daran, dass die Benutzer in unseren Filialen sehr stark fluktuieren und teilweise täglich die Filiale wechseln. Demnach müssten wir alle User in die RODC-Gruppe packen und das kann auch nicht Sinn der Sache sein. Ich habe während der Installation des RODC den replizierenden Server explizit ausgewählt und nicht automatisch einen wählen lassen. Kann ich das rückgängig machen, sodass sich der RODC bei Verlust des W-DCs automatisch einen anderen sucht? Gruß maeck

Danke Lian, schau ich mir an. Gruß Marcel

Hallo Norbert, aus reinem Unwissen ;) Kennst du ein HowTo, das so einen Migrationspfad beschreibt? Kann die DFS-Struktur dahinter mit migriert werden, sodass sich von den logischen Clusternamen für die User nichts ändert? Gruß Marcel

Das heißt im Klartext, ich brauch drei neue Server um ein paralleles W2k8R2-Cluster aufzubauen und kann dann von dem bestehenden alten W2k8-Cluster auf das bestehende neue W2k8R2-Cluster migrieren? Uff :(

Hallo, wir haben derzeit ein 3-Node-Filecluster unter W2k8 und möchten dieses auf W2k8R2SP1 upgraden. Dabei schwebt uns kein in-place upgrade vor (wenn das überhaupt möglich wäre), sondern eine saubere Neuinstallation der einzelnen Nodes. Ist es möglich einen Node aus dem 3-Node-W2k8-Cluster zu entfernen, diesen mit W2k8R2SP1 neu zu installieren und ihn dann wieder ins Cluster hinzuzufügen, sodass dann zwei Nodes mit W2k8 und ein Node mit W2k8R2SP1 laufen würde? Anschließend würden wir obiges Verfahren mit den beiden anderen W2k8-Nodes vollziehen, bis das gesamte Cluster auf W2k8R2SP1 ist. Ist das prinzipiell möglich oder gibt es einen anderen (BestPratice-) Upgradepfad um von einem 3-Node-W2k8-Filecluster auf ein 3-Node-W2k8R2SP1-Filecluster zu kommen? Gruß Marcel

Hallo, wir sind dabei, den ersten RODC in einem Außenstandort zu integrieren, in dem es keine lokalen Admins gibt und die Zugangssicherheit zum DC nicht gewährleistet werden kann. Der Außenstandort ist über MPLS ans Rechnenzentrum angeschlossen. Dennoch möchten wir sicherstellen, dass bei einem eventuellen Ausfall der WAN-Verbindung die User und Computer sich noch an dem lokalen (RO)DC authentisieren können. Und genau da ist meine Verständnislücke. Wenn ich richtig verstanden habe, sind bei einem RODC standardmäßig keine Benutzer- und Computerkonten lokal gecached, sodass jede Kerberos-Authentisierungsanfrage an einen WDC weitergegeben wird. Müssen wir nun, um unseren Anspruch zu realisieren, alle Domänenbenutzer- und computerkonten in die entsprechenden RODC-Sicherheitsgruppen eintragen, damit sie lokal auf dem RODC gecached sind? Eine zweite Frage: Unter Sites&Services ist beim RODC ein Replikationspartner eingetragen (den wir bei der Installation angegeben haben). Was ist, wenn dieser mal nicht verfügbar ist - aus welchem Grund auch immer. Benutzt der RODC dann einen anderen WDC in der Nähe (oder der angegeben Site), oder kann man einen Fallback-WDC definieren? Gruß maeck