peterg

Danke für die Hinweise. Werde darüber nachdenken. Zertifikat, etc. ist alles vorhanden und funktioniert (auch der microsoft connectivity analyzer).

Gruß,

Peter

Hallo,

der DC holt sich die Zeit über einen manuell eingestellten Zeitserver (0.pool.ntp.org,0x1 1.pool.ntp.org,0x1 2.pool.ntp.org,0x1 3.pool.ntp.org,0x1). Das funktioniert auch (habe es gerade nochmal kontrolliert). Aber der DC ist nicht das Problem.  Ich schaue mir den Beitrag von Dir an. Danke.

Wie kann man die Anwendung/Systemkomponente herausfinden, welche die Zeitumstellung verursacht?

Irgendwie möchte man es selbst hinbekommen.... bzw. mit "Unterstützung".  Macht mehr Spaß...

OK, dann muss ich aber auch am DNS bei Domainfactory und wohl am DNS unserer Domäne rumfummeln. Da muss ich mal googeln

Ist ein POPConnector (bei uns POPcon)  wirklich so schlecht? Es erfolgt so eine Viren- und Spamprüfung bei Domainfactory (und natürlich am Exchange), beim Serverausfall gehen keine Mails verloren.

Hallo,

wir haben hier ein langsam doch ernsthaftes Problem mit unserem Fileserver (ist eine VM). In ganz unregelmäßigen Abständen werden plötzlich und gleichzeitig alle Netzlaufwerke getrennt. Kurz danach sind die Freigaben wieder da, aber alle total langsam. Arbeiten ist dann nicht möglich.

Nach einem Reboot (nur der einen VM) passt wieder alles.

System: Windows 2016 Std. als VM unter VMware 6.0. Zusätzlich gibt es noch weitere 5 VMs mit Server 2016 Std. Je 3 VMs sind auf einem HP DL380 Gen9. Als Datenspeicher bzw. für die VMs hängt noch eine HPE MSA 2042 SAN und ein HPE MSA 2040-LFF dran.

Was fällt auf:
Am Fileserver kommen zum Zeitpunkt des Ausfalls immer folgende Meldungen im Ereignisprotokoll:

Quelle:Microsoft-Windows-Kernel-General
Datum: 07.08.2018 12:14:18
Ereignis-ID:   1
Aufgabenkategorie:(5)
Ebene: Informationen

Die Systemzeit wurde von 2018-08-07T10:09:53.004867100Z in 2018-08-07T10:14:18.202000000Z geändert.

Änderungsgrund: Die Uhrzeit wurde von einer Anwendung oder von einer Systemkomponente geändert.

Und: Der USB-Dongle-Server zeigt eine Warnung und einen Fehler im Ereignisprotokoll

-> siehe Anlage!

Nach Prüfung mit w32tm /query /status wird die Zeit aber einwandfrei mit dem DC synchronisiert.

Komisch ist auch, dass die Systemzeit von 10:09:53 auf 10:14:18 geändert wurde, aber im Protokoll dies erst um 12:14 angezeigt wird. Die Zeit ist aber doch synchron mit dem DC.

Ich habe keine Ahnung warum und vor allem was auf dem Fileserver diese Zeitumstellung veranlasst. In den VMware-Einstellungen ist die Zeitsynchronisation mit dem HOST deaktiviert!

Ich habe nun mal den Dienst "Windows-Zeitgeber" am Fileserver deaktiviert. Ausführliches "loggen" des Zeit-Dienstes wäre auch noch möglich. Ich habe den Zeit-Dienst auch schon mal zurückgesetzt.

Habt Ihr irgendwelche Tipps? Bin ich evtl. auf der falschen Spur?

Gruß,
Peter

Serveraussetzer.pdf

Hi,

vielen Dank! ISP hat den PTR gemacht und nun zickt auch GMX nicht mehr

Hi,

SPAM/ Viren werden über ein G-Data Exchange Plug-In gescannt. Zugem läuft der Posteingang auch über G-Data Mail Gateway. Hier sehe ich gar keine Probleme.

Frage nebenbei:

Was muss ich tun, damit der ausgehende Mailverkehr über TLS läuft oder ist das Standard?

(Eingehend wird wia POPcon SSL/TLS abgeholt.)

@Norbert

TNX

Gruß,

Peter

Was heißt der Host? -> remote.domäne.de ?

Also dann feste Internet IP (90.130.xx.xx) zeigt auf remote.domäne.de

Gruß,

Peter

Hallo,

ich würde gerne das Senden der Mails beim Exchange 2016 von Smarthost auf "Mit der Empfängerdomäne verbundenen M-Eintrag" umstellen.

Ich habe nun einen neuen Sendeconnector erstell – Typ "Internet" - (Smarthost deaktiviert), den Bereich mit "*" definiert, den Quellserver und den FQDN eingetragen. Der FQDN-Eintrag ist auch im Zertifikat eingetragen.

E-Mails werden grundsätzlich versendet. Nur GMX zickt und im SMTP-Log steht:  n554-Bad DNS PTR resource record

Muss ich am lokalen DNS noch was eintragen oder beim E-Mail Provider Domainfactory oder muss der Internetprovider (siehe weiter unten) was machen?

Beim lokalen DNS gibt es:
In der Forward Lookupzone zwei Host-A Einträge:
- autodiscover.domäne.de -> interne IP-Adresse des Exchange 192.168.16.8
- remote.domäne.de ->interne IP-Adresse des Exchange 192.168.16.8

In der Reverse-Lookupzone einen PTR-Eintrag:
IP-Adresse des internen Exchange-Server 192.168.16.8-> PTR auf den internen Servernamen des Exchange "srv-exch.domäne.local"

Bei Domainfactory gibt es zwei Typ-A Einträge:
- autodiscover.domäne.de -> feste Internet-IP-Adresse 90.130.xx.xx
- remote.domäne.de -> feste Internet-IP-Adresse (hierüber ist der Exchange für OWA erreichbar) 90.130.xx.xx

Bei Domainfactory gibt es dann noch zwei MX Einträge:
- domäne.de -> Domainfactoy
- *.domäne.de -> Domainfactory

Beim Sendeconnector

remote.domäne.de ist der FQDN-Eintrag beim Sendeconnector (Antwort auf HELO oder EHLO)
OWA funktioniert damit auch einwandfrei.

Mit dem Internet-Tool "Reverse DNS lookup and PTR Query" wird bei Eingabe der festen Internet-IP Adresse der Internetprovider angezeigt (...glasfaser-ostbayern.de)

Muss der Internetprovider einen PTR setzen?

Ach ja, der Mailempfang erfolgt noch über POPcon, was sehr gut funktioniert und wenn möglich so bleiben soll.

Evtl. kann mir jemand sagen, was ich noch anpassen muss.

Gruß,
Peter

Hi,

wenn dann zweite Karte rein (die erste Karte bleibt ja drin) und die Ports im Team neu zuordnen.

Bei über 600 € für die Karte frage ich lieber möglichst genau nach. Testen kommt dann an zweiter Stelle. Verständlich oder?

Aber danke für die Infos.

Gruß,

Peter

Hi,

kann ich das vorhandene Team einfach über die PowerShell erweitern (wenn ich die zweite Karte einbaue) oder muss ich den virtuellen Switch und das Team erst löschen und neu erstellen? Die VMs sind schon fertig installiert!

Kann/soll ich alle Ports der beiden Karten (auch wenn dann je Karte nur ein Port benutzt wird) in das Team einbinden?

Gruß,

Peter

Nein

Hallo,

also eine zweite SFP+ Karte einbauen und nur einen Port je Karte im Team nutzen. Somit kann eine Karte ausfallen.

Richtig?

Gruß,

Peter

Hallo,

danke für die Rückmeldungen. Ich muss jetzt mal prüfen, ob man eine dritte 10Gbit Karte einbauen kann. Wenn ja, könnte man ggf. auch eine 10Gbit-Kupfer Karte einbauen und ins Team aufnehmen, da ich am Switch nur noch 1x einen 10Gbit-Kupfer-Port frei habe? Oder ist "Mischen" eher schlecht?

Gruß,

Peter

Hallo,

es ist eine 10GBit NIC mit zwei SFP+ Ports. Diese war defekt und wurde von Fujitsu ausgetauscht. Es ist also keine Fehlkonfiguration oder billige Transceiver.

Daher meine Frage, ob man was mit den zwei unbenutzten onboard NICs  anstellen kann, falls so was wieder passiert? 
Bei unserem Service Level bedeutet so ein Ausfall zwei Arbeitstage Serverstillstand. 

Kann/soll man die zwei 1 GBit NICs in das Team hängen wie zahni schreibt?

Schöne Grüße

Peter

Hallo,

ich würde hiermit gerne eine andere Frage stellen, welche aber im Zusammenhang in der von Nils vorgeschlagenen Konfiguration (2x 10Gbit als Team für HOST und VMs) steht. Daher die Frage in diesem Thread.

Ich hatte gerade einen Ausfall der nagelneuen 10Gbit Netzkarte (Netzkarte defekt). Dies bedeutet, dass dann gar nichts mehr geht. Man kommt also auch nicht mehr auf den Host, da ja „alles“ über die 2x 10Gbit läuft.

Nun hat der Server ja noch 2x 1 Gbit onboard Ports, welche eigentlich deaktiviert waren.

Meine Frage:
Kann man die beiden 1 Gbit Ports für eine Art „manuelle“ Redundanz konfigurieren?

Also auch ein Team erstellen, einen virtuellen Adapter für den HOST und einen virtuellen Switch für die VMs.

Im Ernstfall (Ausfall der Haupt-NIC) konfiguriert man dann den Host-Adapter per Hand (IP-Adresse, etc.) und wechselt den virtuellen Switch für die VMs im Hyper-V Manager.

Würde so was funktionieren oder gibt es evtl. eine andere Lösung.

Schöne Grüße
Peter

Hi Nils,

danke für die Rückmeldung.

Schöne Grüße

Peter

Irgendwann musst vieleicht auch Du mal jemand anderes Fragen....

Hallo Nils,

danke für Deine Rückmeldung. Ich hatte da einen Denkfehler bei der NIC für den Host.  Es gibt aktuell nur eine virtuelle NIC für den Host (siehe Screenshots). Wie oben beschrieben habe ich das Team mit den beiden 10GB Karten via PowerShell erstellt und damit dann einen virtuellen Switch über den Manager für virtuelle Switche (nicht über PowerShell).

Dann habe ich via PowerShell die virtuelle NIC für den Host erstellt ( Add-VMNetworkAdapter -SwitchName “vSwitch-Team” -ManagementOS -Name “Host”).

Im Assistent für virtuelle Maschinen habe ich dann bei der ersten VM unter Netzwerk den virtuellen Switch ausgewählt. Die erste VM läuft gerade.

Soweit sollte doch alles passen oder? Hätte ich den virtuellen Switch auch über PowerShell anlegen sollen?

Einzig ist mir nun aufgefallen, dass

im Status der Netzwerkkarte vom HOST (vEthernet (Host)) als Übertragungsrate 10 GBit/s steht und

im Status der Netzwerkkarte vom der ersten VM als Übertragungsrate 20 GBit/s

Da ich noch nie was mit Teaming gemacht habe würde ich gerne wissen, ob ich doch irgendwas bei der Erstellung der virtuellen NIC für den HOST falsch gemacht habe oder noch irgendwo ein Haken gesetzt werden muss. Anbei ein paar Screenshot der NICs.

Gruß,

Peter

Na ja, dachte, dass in der Netzwerkkarte vom HOST (vEthernet (Host)) auch 20 GBit/s  stehen sollte.

Ich habe leider noch nie ein Teaming erstellt. Daher die Frage.

Hallo Norbert,

ich habe jetzt die erste VM installiert und als Netzwerkadapter im Assitent für neue virtuelle Computer den "vSwitch-Team" gewählt.

Folgendes habe ich festgestellt:

Im Status der Netzwerkkarte vom HOST (vEthernet (Host)) steht als Übertragungsrate 10 GBit/s

Im Status der Netzwerkkarte vom der ersten VM steht als Übertragungsrate 20 GBit/s

Das Teaming wurde aus meiner Sicht richtig erstellt. Habe ich bei der Erstellung des Netzwerkadapters für den HOST was falsch gemacht?

Gruß,

Peter

Hallo Norbert,

danke für die Rückmeldung. Ich habe gerade alle "ManagmentOS" NICs (bis auf die erste" wieder via PowerShell gelöscht.  Dachte mir schon, dass hier was nicht stimmt

Eine "ManagementOS" NIC brauche ich doch aber. 
--> Soll ich die Managemnt NIC und den Switch "vSwitch-Team" löschen und den Switch mit der aktivierten Option "Verwenden dieses Netzwerkadapters für das Verwaltungsbetriebssystem zulassen " neu anlegen?

Erzeugt habe ich aber nur einen vSwitch, aber zu viele Management-NICs. Da hatte ich einen Denkfehler.

Gruß,

Peter

Hallo Nils,

ich bin nun so wie von Dir vorgeschlagen vorgegangen (hoffe ich). Ich bin mir aber nicht sicher, ob alles stimmt.

Vorgehen:
1. HOST komplett installiert und aktualisiert (noch ohne Hyper-V Rolle)
2. Ein NIC-Team der beiden LWL-NICs mittels PowerShell "New-NetLbfoTeam "NIC LWL-Team" erstellt -> TeamingMode: SwitchIndependent; LoadBalancingAlgorithm: Dynamic  -> Ist das ok?
3. Hyper-V Rolle installiert
4. Virtuellen Switch "vSwitch-Team" über den Hyper-V Manager erstellt. Hier "Externes Netzwerk" und als NIC "Microsoft Network Adapter Multiplexor Driver" (das ist das NIC LWL-Team") ausgewählt. "Gemeinsames Verwenden dieses Netzwerkadapters für das Verwaltungsbetriebssystem zulassen" habe ich NICHT aktiviert (siehe Anlage)
5. Dann den ersten virtuellen Netzwerkadapter für den HOST an den virtuellen Switch via PowerShell angebunden -> Add-VMNetworkAdapter -SwitchName “vSwitch-Team” -ManagementOS -Name “Host”
-> Aufgefallen ist mir, dass nun "Gemeinsames Verwenden dieses Netzwerkadapters für das Verwaltungsbetriebssystem zulassen" aktiviert ist (siehe Anlage)

6. Diesen virtuellen Netzwerkadapter für den HOST habe ich dann die HOST-IP-Adresse gegeben (manuelle IP-Konfiguration)
7. Dann habe ich schon mal die anderen virtuellen Netzwerkadapter für die VMs via PowerShell wie unter Punkt 5 angelegt (siehe Anlage).
Ist hier "Add-VMNetworkAdapter -SwitchName “vSwitch-Team” -ManagementOS -Name “xxxxxx” richtig?

Nun würde ich die erste VM installieren und dort als Netzwerkkarte die entsprechende virtuelle Netzkarte auswählen.

Habe ich das alles richtig gemacht?

Schöne Grüße
Peter

Hallo,

ich habe hier einen knifflige Frage (für mich zumindest). Im Netzwerk werden die Firewalleinstellungen der Clients über den Domänencontroller per GPO gesteuert.

Nun soll auf einem Client "openVPN als Server" laufen. openVPN legt bei der Installation eine neue Netzwerkverbindung bzw. einen neuen Netzwerkadapter (in allen Profilen -> Domäne, privates- und öffentliches Profil) an.

Diese neue Netzwerkverbidnng soll nun "nicht" durch die Firewall geschützt werden (siehe Anlage), alle anderer Verbindungen schon. Ist aber die Option "Alle Netzwerkverbindungen schützen" über die GPOs aktiviert, so kann man am Client naturlich nicht genau diese Netzwerkverbindung abwählen. Ist die Funktion deaktiviert, so kann man die openVPN Netzwerkverbindung von der Firewall in allen Profilen am Client ausnehmen, aber der User kann auch die ganze Firewall ausschalten, was unschön ist.

Gibt es hier irgendeine Möglichkeit?

Gruß,

Peter