Eye-Q

vor 1 Stunde schrieb n0nam3:

Wahrscheinlich erfüllt mein Gerät nicht die Voraussetzungen, bei welchen mir noch unklar ist welche diese genau sind^^

https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview#prerequisites

-> Hast Du Windows 11 Pro und Virtualisierung im BIOS/UEFI aktiviert?

Ja, wie soll auch das Netz 10.0.0.x irgendwo hin kommen, wenn der Router das nicht kennt? Ich kenne mich mit Lancom nicht aus, beschreibe aber Mal das "Standard-Vorgehen": auf den Router wird ein VLAN (z.B. VLAN 10) eingerichtet, der Router erhält in diesem VLAN eine IP im 10.0.0.x-Netz und diese IP muss vom DHCP-Server im 10.0.0.x-Netz als Standardgateway ausgegeben werden. Der Port, wo der WLC angeschlossen ist, muss so eingestellt werden, dass VLAN 10 tagged ist und das Gast-WLAN muss dann so eingestellt werden, dass die Pakete automatisch mit VLAN 10 getaggt werden. Auf dem Router muss eingestellt werden, dass das Subnetz 10.0.0.x nur Zugriff auf das Internet erhält und schon hat Du dein Gast-WLAN ohne Zugriff auf das Internet Netzwerk.

Ich gehe davon aus, dass dein Internetzugang ein DS-Lite-Zugang ist, so dass Du keine eigene öffentliche IPv4-Adresse hast, das hört sich auf jeden Fall stark danach an. Das Fritzbox DynDNS wurde zu einer Zeit entwickelt, als noch jeder private Internetzugang eine öffentliche IPv4-Adresse erhalten hat und das deswegen funktioniert hat.

Eventuell kannst Du bei deinem Internetprovider beantragen, dass Du eine öffentliche IPv4-Adresse erhältst, oder Du musst IPv6 nutzen.

Moin,

ich bin gerade dabei, einen tobit david-Server durch einen MS Exchange-Cluster abzulösen. Das beinhaltet "natürlich" auch den Wechsel des Clients von tobit david zu MS Outlook. Nun ist es so, dass wir quasi alle Anwendungen per Citrix Seamless Application veröffentlicht haben. Da wir nicht alle User auf einmal von david zu Exchange migrieren können, soll es eine Übergangsphase geben, wo es sowohl User gibt, die mit dem david-Client arbeiten als auch User, die mit Outlook arbeiten. Damit sich immer der "richtige" Mailclient öffnet, wenn auf einen mailto-Link geklickt wird oder in einem MS Office-Programm die gerade bearbeitete Datei an eine Mail angehängt werden soll, müsste die Einstellung des Standard-Mailclients benutzerbezogen geändert werden.

Leider habe ich bisher nur diverse Artikel gefunden, die beschreiben, wie der Standard-Mailclient systemweit gesetzt werden kann (z.B. hier), allerdings hilft mir das leider nicht.

Kennt jemand einen Weg, die Einstellung bei einzelnen Usern und nicht systemweit zu ändern? Mir ist es prinzipiell wurscht, ob das automatisch z.B. über eine AD-Gruppenzugehörigkeit oder manuell eingestellt wird, die Hauptsache wäre, dass es eingestellt werden muss.

PRTG von Paessler kann zumindest Windows-Dienste neu starten, wenn der Sensortyp "WMI Dienst" verwendet wird: https://www.paessler.com/de/manuals/prtg/wmi_service_sensor

Ich glaube aber nicht, dass der gesamte (Windows) Server automatisch neu gestartet werden kann, sobald ein Dienst nicht läuft.

Es ist allerdings so, dass ich glaube, dass Du eine ganz andere Frage bzw. ein anderes Problem hast: wahrscheinlich gibt es auf einem eurer Server einen Dienst, der immer mal wieder abstürzt, richtig? Ich würde eher bei der Ursache ansetzen als ein System einzusetzen, was nur das Symptom bekämpft. Allgemein ist ein Monitoring natürlich sehr empfehlenswert, sollte aber nicht der Symptombekämpfung dienen, sondern eben nur überwachen.

Das können wir aktuell unmöglich sagen, da wir nicht wissen, welche Groupware genutzt wird - MS Exchange mit Outlook? Groupwise? Zimbra? Open-Xchange? Außerdem das, was @allesweggeschrieben hat.

Schau' dir mal die virtuellen Festplatten an, die der Backup-Appliance zugewiesen sind. Ich gehe stark davon aus, dass da noch virtuelle Platten (bzw. Snapshots) des File- und des Exchange-Servers zugewiesen, diese Snapshot-Dateien gibt es aber nicht mehr, weil ihr die manuell konsolidiert habt.

Die Dateien Emaily16_4-000002.vmdk, SRV-DA20_220707-000002.vmdk und SRV-DA20_220707_1-000002.vmdk sind jeweils Snapshot-Dateien (erkennbar an "-000002" im Namen) von den VMs, die gesichert werden, die werden während der Sicherung an die Backup-Appliance angehängt, so dass die Backup-Appliance direkt darauf zugreifen kann statt über das (virtuelle) Netzwerk.

Da alle Angestellten der Firma, die keinen Firmenwagen haben, wahlweise eine Tankkarte mit 6x50 Euro oder die Monatskarte für den ÖPNV für sechs Monate finanziert bekommen, ich aber weder ein Auto besaß noch ÖPNV fahre, habe ich mir einen Mazda MX-5 NB gekauft. Damit werde ich zum Nürburgring fahren, mich mit ein paar Bekannten treffen, ein paar Runden fahren, wieder zurück fahren und den Wagen dann wieder verkaufen... 🤪

Hersteller: Mazda

Modell: MX-5 NB

Fahrzeugtyp: Roadster

Baujahr: 2002

Leistung: 110 PS

Farbe: Blau

Laufleistung: ca. 178.000km

Heute Abend mal geschaut, ob mein Camping-Equipment überhaupt reinpasst - jou, passt, gut dass das nur ein Wochenende wird, viele Klamotten kann ich nämlich nicht mehr mitnehmen... 🤪

Ja, ich könnte das Feldbett zuhause lassen, aber ich habe es zuhause und der Platz im Kofferraum ist da, wieso also nicht mitnehmen? 

Zur eigentlichen Frage bzgl. PRTG: der Core-Server wird bei euch betrieben und ihr installiert dann Remote Probes bei den Kunden, die sich dann zum Core-Server verbinden und dementsprechend die Sensordaten gesammelt übertragen.

Dann zum Thema des Abschlussprojektes: sollte das Abschlussprojekt nicht erstmal einen Vergleich zwischen den verschiedenen Lösungen beinhalten, um dann begründen zu können, welche Lösung Du verwendest? Du solltest dich nicht jetzt schon auf eine Lösung einschießen, sondern erstmal die Features, Preise etc. vergleichen und dann entscheiden, was benötigt wird. Was nützt die günstigste Monitoring-Lösung, wenn die nicht genügend Features für das hat, was ihr damit vor habt, nämlich Kundensystems zu überwachen? Ich habe bisher nur mit PRTG gearbeitet, deswegen weiß ich nicht, wie sich CheckMK in so einer Situation verhält.

Eventuell könnt ihr ja auch den Kunden die Möglichkeit bieten, den Status ihrer eigenen Systeme zumindest im groben Überblick zu haben, die eine Lösung bietet die Möglichkeit, User zu erstellen, die nur auf bestimmte Bereiche zugreifen dürfen, die andere Lösung aber nicht. Oder eine Lösung bietet keine Remote Probes, so dass bei jedem Kunden eine Vollinstallation gehostet sein muss, die dann Extra-Kosten verursacht. Oder oder oder...

P.S.: auch PRTG kommt von einer deutschen Firma, nämlich Paessler aus Nürnberg.

Ein Problem bei solchen Fragen ist, dass manche Begriffe unscharf oder teilweise sogar falsch verwendet werden. Außerdem kennen wir die Aussagen nur von dir und nicht aus der Sicht der anderen Person, deswegen ist es schwer zu sagen, was wirklich gesagt wurde, was Du verstanden hast und was wirklich gemeint war.

Nur so viel:

• VMware ist der Name der Firma, die u.A. vSphere, den vCenter Server und ESXi entwickelt hat und natürlich auch weiter entwickelt
• vSphere ist eine Zusammenfassung von mehreren Produkten, zentrale Bestandteile sind dabei der vCenter Server und der ESXi
• Der vCenter Server kann mehrere ESXi-Hosts verwalten, so dass nicht jeder einzeln verwaltet werden muss; der vCenter Server wird oft verkürzt einfach als vCenter bezeichnet
• Der vSphere Client ist eine Software, über die sowohl vCenter Server als auch ESXi-Hosts verwaltet werden können
  • In älteren vSphere-Versionen gab es ein Programm, welches auf einem Windows-Rechner installiert wurde, dieses Programm wurde einfach als vSphere Client oder auch als vSphere C# Client (weil der in C# geschrieben wurde) bezeichnet
  • In der aktuellen vSphere-Version gibt es nur noch den vSphere Web Client, meistens vereinfacht ebenfalls als vSphere Client bezeichnet. Dieser Web Client wird bei jeder ESXi- und vCenter Server-Installation automatisch mit installiert, so dass eine Verwaltung von jedem Rechner, der per HTTPS auf den ESXi-Host bzw. vCenter Server zugreifen darf, möglich ist
• Wenn ein vCenter Server installiert wird und man sich per vSphere Web Client dort anmeldet, wird der vCenter Server in der Übersicht als oberste Instanz angezeigt. Unter dieser obersten Instanz können/müssen virtuelle Datacenter und Cluster erstellt werden, in die dann wiederum ESXi-Hosts aufgenommen werden

Die Gruppenrichtlinien, die für den Computer gelten, werden weiterhin angewendet, da der Computer ja weiterhin Mitglied der Domäne ist. Die Gruppenrichtlinien, die für Domänen-Benutzer gelten, werden nicht angewendet, da sich kein Domänen-Benutzer angemeldet hat.

Wenn eine Fritzbox sowieso vorhanden wäre, wäre das auch mein Vorschlag, aber da der Threadersteller bisher noch kein Gerät hat, wäre es meiner Meinung nach unsinnig, eine alte Fritzbox zu kaufen. Einerseits hat die keinen halbwegs aktuellen WLAN-Standard (eine 7390 hat maximal 802.11h, also Wi-Fi 4 mit maximal 300 Mbit/s, außerdem kein WPA3) und andererseits unsinnige Funktionen wie ein DSL-Modem oder eine Telefonanlage.

Deswegen empfehle ich, gleich einen halbwegs aktuellen AP mit mehreren Netzwerkanschlüssen zu kaufen, z.B. einen Netgear WAX202, der hat dann gleich Wi-Fi 6 und WPA3.

Bei heise gibt es auch eine entsprechende Meldung, da steht der Link von Enrico ebenfalls: https://www.heise.de/news/Microsoft-Downloads-fuer-Windows-Evaluationsversionen-gestoert-7095886.html

Das sehe ich genauso. So leid es mir tut, aber bei einem Unternehmensnetzwerk ist so viel zu beachten, was Sicherheit angeht, dass das nicht von jemandem eingerichtet werden sollte, der sich selbst "affin" nennt. Ich hoffe, dass ihr einen guten Dienstleister findet, der das für euch einrichtet.

Mahlzeit,

TL;DR: kann mir jemand bei der Erstellung eines Powershell-Scripts mit Verzweigungen anhand von dynamisch auszulesenden Daten helfen? 🙂

Wir haben gerade vor, von Tobit David auf Exchange 2019 (On-Premise) zu migrieren, im Moment ist das alles noch in der Planungsphase. Aus der Historie heraus sind es die MitarbeiterInnen gewohnt, dass wir von der IT Berechtigungen auf Ordner und Kalender setzen. Von meiner Seite aus würde ich sagen, dass die MitarbeiterInnen das eigentlich selbst machen sollten, mein Vorgesetzter sagt aber, dass die Akzeptanz des neuen Systems deutlich geringer ausfallen wird, wenn das für die MitarbeiterInnen "komplizierter" wird,  deswegen soll das auch weiterhin so gehandhabt werden... 😑

Zusätzlich ist es so, dass es oft so ist, dass MitarbeiterIn A nicht Vollzugriff auf das Postfach von MitarbeiterIn B erhalten, sondern nur den Posteingang oder den Kalender sehen können soll, sonst wäre das ja mit der Postfachstellvertretung in der GUI machbar. Außerdem soll es nach Möglichkeit so sein, dass MitarbeiterIn A das Postfach von MitarbeiterIn B als "zusätzliches Postfach" im Outlook einbinden kann und dann nur die Ordner sieht, auf die Zugriff besteht, sonst könnte man ja auch einfach über "Ordner eines anderen Benutzers öffnen" gehen, was ja aber auf die Standard-Ordner wie Posteingang, Gesendete Objekte etc. beschränkt ist.

 Kleiner Einschub: ich bin erst seit gut einem Monat in meiner jetzigen Firma in der internen IT. Vorher war ich bei einem IT-Dienstleister, wo ich einiges mit Exchange zu tun hatte, also habe ich prinzipiell schon Erfahrungen in der Exchange-Administration, es kamen da aber nie solche Anforderungen... 😑

Da Exchange ja nicht wie David mit Berechtigungen im Dateisystem arbeitet, kann da nicht einfach Lesezugriff auf den Ordner vergeben werden, sondern das muss per PowerShell durchgeführt werden. Die grundlegenden Funktionen wie Berechtigungen über add-mailboxfolderpermission hinzufügen oder per remove-mailboxfolderpermission sind ja kein Problem, ich würde aber gerne ein relativ ausgefeiltes Script gestalten, damit die Kollegen, die noch nie Exchange administriert haben, da schnell rein kommen. Ich habe mir das in folgender Weise gedacht, damit keine Fehlermeldungen erscheinen, sofern die Parameter richtig eingegeben wurden:

• Das Script wird aufgerufen und fragt folgende Parameter ab:
  1. Sollen Berechtigungen hinzugefügt oder entzogen werden? (kein Problem mit $<Variablenname> = read-host "<Beschreibung>")
  2. Name des Postfachs, auf das die Berechtigungen gewährt bzw. wo die Berechtigungen entzogen werden sollen (ebenfalls kein Problem mit der selben Syntax)
  3. Name des Benutzerkontos, welches die Berechtigungen bekommen bzw. dem Berechtigungen entzogen werden soll (ebenfalls kein Problem mit der selben Syntax)
  4. Bestandteil des Postfachs, auf das die Berechtigungen gewährt werden bzw. von wo die Berechtigungen entzogen werden sollen (z.B. Posteingang oder Kalender, auch hier die selbe Syntax)
• Wenn in 1. Berechtigungen hinzugefügt werden sollen:
  • Das Script prüft, ob das Benutzerkonto aus 3. schon Lesezugriff auf das Stammverzeichnis des Postfachs aus 2. hat
    • Falls nein, soll Leseberechtigung auf das Stammverzeichnis plus den Postfach-Bestandteil vergeben werden
    • Falls ja, soll Leseberechtigung nur auf den Postfach-Bestandteil vergeben werden
• Wenn in 1. Berechtigungen entfernt werden sollen:
  • Das Script prüft, ob das Benutzerkonto aus 3. Zugriff auf andere Postfach-Bestandteile hat (z.B. wenn Berechtigungen vom Kalender entfernt werden sollen, soll geprüft werden, ob noch Berechtigungen auf den Posteingang bestehen)
    • Falls nein, werden die Berechtigungen von dem Bestandteil entfernt, welcher in 3. angegeben wurde und aus dem Stammverzeichnis
    • Falls ja, werden nur die Berechtigungen von dem Bestandteil entfernt, welcher in 3. angegeben wurde

Mit folgendem Script werden schon mal die Punkte 2-4 ordentlich abgefragt sowie Berechtigungen hinzugefügt bzw. entfernt (die erste Zeile ist aktuell komplett überflüssig, habe ich aber schon mal eingefügt, weil das abgefragt werden soll):

$hinzufuegen_oder_entfernen = read-host "Sollen Berechtigungen hinzugefügt oder entfernt werden? Hinzufügen = 1, Entfernen = 2"
$postfach = read-host "Bitte den Benutzernamen eingeben, auf dessen Postfach zugegriffen werden soll"
$benutzer = read-host "Bitte den Benutzernamen eingeben, der Zugriff auf das andere Postfach erhalten soll"
$bestandteil = read-host "Bitte den Postfachbestandteil eingeben, für den diese Änderung gelten soll"

# Hier geschieht Magie, der nächste Abschnitt soll nur angesprochen werden, wenn bei der ersten Frage "1" eingegeben wurde
# Außerdem soll geprüft werden, ob das Benutzerkonto schon Lesezugriff auf das Stammverzeichnis hat, sonst würde die erste Zeile eine Fehlermeldung erzeugen

Add-MailboxFolderPermission -identity ${postfach} -user ${benutzer} -accessrights foldervisible
Add-MailboxFolderPermission -identity ${postfach}:\${bestandteil} -user ${benutzer} -accessrights reviewer

# Hier geschieht Magie, der nächste Abschnitt soll nur angesprochen werden, wenn bei der ersten Frage "1" eingegeben wurde
# Außerdem soll geprüft werden, ob das Benutzerkonto noch Lesezugriff auf andere Bestandteile des Postfachs hat, damit nicht ggf. fälschlicherweise die Berechtigung auf das Stammverzeichnis entfernt wird

Remove-MailboxFolderPermission -identity ${postfach} -user ${benutzer}
Remove-MailboxFolderPermission -identity ${postfach}:\${bestandteil} -user ${benutzer}

# Hier kommt noch ein bisschen Ausgabe á la "Berechtigungen wurden erfolgreich gesetzt/entfernt" etc.

Die Kür wäre es, wenn auch Berechtigungen auf Unterordner unter dem Posteingang gesetzt werden könnten, dann müssten eben nicht nur für das Stammverzeichnis, sondern auch für den Posteingang automatisch Berechtigungen gesetzt werden.

Schon mal danke an diejenigen, die bis hierhin mitgelesen haben und sich ggf. am Brainstorming beteiligen. 🙂

Seit vorgestern 12 statt 4,5 km mit dem Fahrrad zum neuen Arbeitgeber quer durch Hamburg (Meiendorf nach Hummelsbüttel), netto 30 Minuten, heute Morgen habe ich brutto 31 Minuten gebraucht, weil die Ampeln quasi perfekt geschaltet haben.  Ich habe sechs Ampeln auf dem Weg, mit dem Auto auf dem Ring 3 hätte ich 21 (!) Ampeln auf gut 12 km. Gut, die Frage ob Fahrrad oder Auto stellt sich für mich sowieso nicht, weil ich seit über drei Jahren kein Auto mehr besitze...

Ab irgendwann Ende diesen/Anfang nächsten Jahres wird das aber wieder auf knapp 6 km schrumpfen, da mein neuer Arbeitgeber gerade in dem Gewerbegebiet neu baut, wo ich bis Ende Februar gearbeitet habe...  

Führe doch mal ein nslookup auf einen anderen Namen als den des DNS-Servers aus (also z.B. auf fachinformatiker.de), dann solltest Du dir die Frage ganz einfach selbst beantworten können.

Am 4.2.2022 um 17:02 schrieb actionmuc:

1. Wie kann man die optimale Useranzahl für einen RDS/Terminalserver berechnen? Es handelt sich um eine VM die genügend Power hat und der Host hat ebenfalls noch Ressourcen frei.

Es gibt da keine für alle gültige Berechnungsformel, es kommt immer darauf an, was für Anwendungen ausgeführt werden und wie da die CPU- und RAM-Anforderungen sind. Es können eigentlich so viele User auf einem RDS-Host arbeiten, bis dem physikalischen Host die Ressourcen ausgehen. Die empfohlenen Beschränkungen für RDS-Hosts stammen noch aus einer Zeit vor der x86-Virtualisierung und 64-Bit, wo die Hardware limitiert hat. Mit Virtualisierung und 64-Bit-Systemen hat sich das schon längst erledigt.

Nur eins: es sollten nicht zu viele User auf einen RDS-Host geschickt werden, sonst sind natürlich relativ viele User betroffen, wenn der RDS-Host mal ausfallen sollte.

Ein Hinweis: ich gehe davon aus, dass mehr als ein RDS-Host eingerichtet werden soll, richtig? Falls dem so ist, ist es empfehlenswert, mindestens drei RDS-Hosts einzurichten, damit zwischendurch auch mal ein RDS-Host gewartet werden kann, ohne dass die User deutliche Leistungseinbußen haben.

Ich habe gerade bei einem Kunden einen RDS-Cluster mit erstmal zwei virtuellen RDS-Hosts á 32 GB RAM eingerichtet, das hat sich im Normalbetrieb als zu wenig herausgestellt (Zusammenschluss mehrerer Firmen mit neu eingeführter Software, deswegen gab es noch keine Erfahrungswerte). Deswegen habe ich einen der schon eingerichteten Hosts im heruntergefahrenen Zustand geklont, den Klon mit sysprep behandelt (einfach nur sysprep ausgeführt mit OOBE und Verallgemeinern), dann konnte der mit geändertem Namen in den RDS-Cluster aufgenommen werden. Wenn jetzt einer der Hosts gewartet werden soll, wird der im Cluster so eingestellt, dass der keine neuen Verbindungen mehr annimmt und kann am nächsten Tag gewartet werden. Es ist natürlich so eingestellt, dass getrennte Sitzungen nach einer bestimmten Zeit abgemeldet werden. Wenn die Wartung nicht allzu lange dauert, kann der Host dann relativ schnell wieder so eingestellt werden, dass der Verbindungen annimmt und die User merken gar nicht, dass zwischendurch ein Host gewartet wurde.

Am 4.2.2022 um 17:02 schrieb actionmuc:

2. Welche Vorteile/Nachteile hat ein roaming-Profile auf einem WTS? Zusätzlicher Fileserver ist in der Domäne vorhanden.

Servergespeicherte Profile sind bei An- und Abmeldung das Langsamste, was überhaupt mögich ist (je nach Profilgröße teilweise mehrere Minuten für An- und Abmeldung), wenn mehrere RDS-Hosts zum Einsatz kommen, deswegen ist auf jeden Fall davon abzuraten.

Microsoft hat mit Windows Server 2012 die Benutzerprofildatenträger (User Profile Disks) entwickelt, die zwar beim An- und Abmelden deutlich schneller sind als servergespeicherte Profile, dafür aber nicht alle Daten aus dem Profil über Ab- und Anmeldungen erhalten, z.B. Suchindizes oder Outlook ost-Dateien. Deswegen gibt es inzwischen FSLogix, was von Microsoft übernommen wurde und auch offiziell unterstützt wird. Sowohl für servergespeicherte Profile als auch Benutzerprofildatenträger und FSLogix wird eine Dateifreigabe benötigt, da nehmen die sich also nichts.

Hier gibt es eine Anleitung zur Einrichtung von FSLogix, das funktioniert wirklich gut und ist bei der An- und Abmeldung quasi genauso schnell wie lokale Profile, sofern der Fileserver dementsprechend schnell genug ist.

vor 4 Stunden schrieb Suprana:

wir haben also noch nie einen Replicationserver hinzugefügt und müssen uns da rein arbeiten.

Sofern ihr einen Domänen-Admin-Account habt, ist das prinzipiell ziemlich einfach: Den Windows Server aufsetzen, (natürlich Updates, Virenscanner etc. installieren), in die Domäne aufnehmen, die AD-Rollen installieren und den Assistenten für die Hochstufung zu einem DC ausführen, fertig ist die Laube.

Sofern die aktuellen DCs auch DNS- und/oder DHCP-Server sind, sollten natürlich noch weitere Schritte durchgeführt werden, aber einen Windows Server als reinen DC einzurichten ist echt einfach.

vor 6 Stunden schrieb Nieflieh:

Naja Externe Graka ist etwas hoch gegriffen(mein Fehler),  hier ist mal das Kabel i-tec Adapterkabel USB-C > HDMI 4K / 60Hz schwarz, 1,5 Meter (alternate.de)

Schon bei Alternate steht folgendes:

Zitat

Der Kabeladapter eignet sich für alle Laptops, die über einen USB-C Stecker zur Unterstützung der Video-Übertragung (DisplayPort alt Mode) oder über einen Stecker Thunderbolt 3 (einschließlich Apple MacBook 2015 oder Apple MacBook Pro 2016 und neuere) verfügen.

Das Kabel hat selbst keinen Chip o.Ä., der von USB auf HDMI umsetzt, sondern ist darauf angewiesen, dass der USB C-Anschluss auch den "DisplayPort alt Mode" unterstützt, was USB C-Anschlüsse bei normalen PCs nicht tun.

Da wir dir aber die technischen Details einzeln aus der Nase popeln müssen, ist es echt schwer, da eine wirklich qualifizierte Aussage zu treffen. Also bitte mal Tacheles schreiben und detailliert alle Komponenten, die im PC verbaut sind, auflisten, dann können wir auch ein Produkt empfehlen, was bei dieser Hardware funktioniert.

Es muss noch nicht mal ein SIP-Trunk sein, das ginge z.B. auch mit einer Telefonanlage an einem ISDN-Anschluss in Mainz, wo sich dann VoIP-Clients aus Frankfurt und Berlin anmelden. Es kann aber auch eine VoIP-Telefonanlage in der "Cloud", wo sich alle Clients aus allen Standorten anmelden und eine Vorwahl erhalten haben. Das zweite ist allerdings "nur" ein spezieller Fall der allgemeinen Beschreibung, die @Chief Wiggumgegeben hat.

Prinzipiell können DC und DNS auf unterschiedlichen Servern eingerichtet sein, die Rollen können aber auch von den selben Servern übernommen werden, je nach Größe der Umgebung.

Da es aktuell nur einen DC gibt, gehe ich von einer (sehr) kleinen Umgebung aus, die dementsprechend insgesamt relativ niedrige Anforderungen an die Leistung der DCs und DNS-Server stellt. Deswegen ist es da wohl eher nicht sinnvoll, DC und DNS zu trennen, da sich die Server, die diese Rollen beinhalten, wohl "langweilen" werden.

Die DNS-Rolle kann vor oder nach dem Hochstufen zum DC installiert bzw. konfiguriert werden, da gibt es keine Abhängigkeiten in die eine oder die andere Richtung. Die Rollen kannst Du ja gleichzeitig installieren, anschließend den DNS-Server konfigurieren und zum Schluss den Server zum DC hochstufen.

Wenn Du den DNS-Server konfigurierst und Forward- und Reverse-Lookup-Zonen einrichtest, wird ja ein Assistent aufgerufen. Da solltest Du alle Optionen durchlesen, dann solltest Du verstehen, welche Option verwendet werden muss, damit die beiden DNS-Server identische Einträge haben.

Wichtig: sobald der zweite DNS-Server eingerichtet ist, sollten alle Geräte im Netzwerk so eingestellt werden, dass dieser zweite DNS-Server auch wirklich verwendet wird. Einerseits natürlich bei den Geräten, die statische IP-Adressen haben, andererseits sollte aber auch der DHCP-Server so eingestellt werden, dass in den Server- bzw. Bereichsoptionen beide DNS-Server eingetragen sind.

Sind die Treiber für Chipsatz und integrierte Grafik aktuell? Wie sind die Energieeinstellungen gesetzt? Wenn das immer nur nach einer Pause geschieht, hört sich das danach an als dass der PC z.B. in den Ruhezustand fährt und daraus nicht wieder ordentlich aufwacht. Das kann an Treiber- oder BIOS-Bugs liegen, deswegen dementsprechend erstmal schauen, ob das aktuell ist, und ob der Rechner nach einer gewissen Zeit ohne Aktivität automatisch in den Ruhezustand geht. Falls ja, das mal deaktivieren und beobachten, ob das weiterhin auftritt. Falls nicht, liegt es auf jeden Fall daran, ansonsten muss eben weiter geschaut werden.

Auf den laufenden Betrieb hat das keine Auswirkungen. Die Meldung sagt nur aus, dass Du danach keinen Exchange 2016 mehr aufsetzen kannst, was Du ja wohl auch nicht willst - wer würde denn einen Exchange 2016 aufsetzen, nachdem er eine aktuellere Exchange-Version aufgesetzt hat? Somit kannst Du das einfach durchführen und anhand der diversen vorhandenen Anleitungen im Netz migrieren.

Ich kenne UFW nicht, deswegen kann ich nur Hinweise geben, woran es liegen könnte.

Kann WS-01 DNS-Namen auflösen, wenn UFW aktiviert ist, oder scheitert es schon daran? Kann GW-01 DNS-Namen auflösen, wenn UFW aktiviert ist? Muss vielleicht noch DNS ausgehend von GW-01 in Richtung Internet freigegeben werden, weil UFW eben auf GW-01 installiert ist und deswegen sowohl ein- als auch ausgehenden Verkehr kontrolliert?

Was passiert, wenn Du Ping erlaubst? Kann aus dem internen Netzwerk die 192.168.0.126 angepingt werden, wenn UFW aktiv ist? Falls ja, kann z.B. die 8.8.8.8 (google DNS) angepingt werden? Falls ja, kann www.heise.de angepingt werden?