Eye-Q

Es gibt da keine für alle gültige Berechnungsformel, es kommt immer darauf an, was für Anwendungen ausgeführt werden und wie da die CPU- und RAM-Anforderungen sind. Es können eigentlich so viele User auf einem RDS-Host arbeiten, bis dem physikalischen Host die Ressourcen ausgehen. Die empfohlenen Beschränkungen für RDS-Hosts stammen noch aus einer Zeit vor der x86-Virtualisierung und 64-Bit, wo die Hardware limitiert hat. Mit Virtualisierung und 64-Bit-Systemen hat sich das schon längst erledigt. Nur eins: es sollten nicht zu viele User auf einen RDS-Host geschickt werden, sonst sind natürlich relativ viele User betroffen, wenn der RDS-Host mal ausfallen sollte. Ein Hinweis: ich gehe davon aus, dass mehr als ein RDS-Host eingerichtet werden soll, richtig? Falls dem so ist, ist es empfehlenswert, mindestens drei RDS-Hosts einzurichten, damit zwischendurch auch mal ein RDS-Host gewartet werden kann, ohne dass die User deutliche Leistungseinbußen haben. Ich habe gerade bei einem Kunden einen RDS-Cluster mit erstmal zwei virtuellen RDS-Hosts á 32 GB RAM eingerichtet, das hat sich im Normalbetrieb als zu wenig herausgestellt (Zusammenschluss mehrerer Firmen mit neu eingeführter Software, deswegen gab es noch keine Erfahrungswerte). Deswegen habe ich einen der schon eingerichteten Hosts im heruntergefahrenen Zustand geklont, den Klon mit sysprep behandelt (einfach nur sysprep ausgeführt mit OOBE und Verallgemeinern), dann konnte der mit geändertem Namen in den RDS-Cluster aufgenommen werden. Wenn jetzt einer der Hosts gewartet werden soll, wird der im Cluster so eingestellt, dass der keine neuen Verbindungen mehr annimmt und kann am nächsten Tag gewartet werden. Es ist natürlich so eingestellt, dass getrennte Sitzungen nach einer bestimmten Zeit abgemeldet werden. Wenn die Wartung nicht allzu lange dauert, kann der Host dann relativ schnell wieder so eingestellt werden, dass der Verbindungen annimmt und die User merken gar nicht, dass zwischendurch ein Host gewartet wurde. Servergespeicherte Profile sind bei An- und Abmeldung das Langsamste, was überhaupt mögich ist (je nach Profilgröße teilweise mehrere Minuten für An- und Abmeldung), wenn mehrere RDS-Hosts zum Einsatz kommen, deswegen ist auf jeden Fall davon abzuraten. Microsoft hat mit Windows Server 2012 die Benutzerprofildatenträger (User Profile Disks) entwickelt, die zwar beim An- und Abmelden deutlich schneller sind als servergespeicherte Profile, dafür aber nicht alle Daten aus dem Profil über Ab- und Anmeldungen erhalten, z.B. Suchindizes oder Outlook ost-Dateien. Deswegen gibt es inzwischen FSLogix, was von Microsoft übernommen wurde und auch offiziell unterstützt wird. Sowohl für servergespeicherte Profile als auch Benutzerprofildatenträger und FSLogix wird eine Dateifreigabe benötigt, da nehmen die sich also nichts. Hier gibt es eine Anleitung zur Einrichtung von FSLogix, das funktioniert wirklich gut und ist bei der An- und Abmeldung quasi genauso schnell wie lokale Profile, sofern der Fileserver dementsprechend schnell genug ist.

Sofern ihr einen Domänen-Admin-Account habt, ist das prinzipiell ziemlich einfach: Den Windows Server aufsetzen, (natürlich Updates, Virenscanner etc. installieren), in die Domäne aufnehmen, die AD-Rollen installieren und den Assistenten für die Hochstufung zu einem DC ausführen, fertig ist die Laube. Sofern die aktuellen DCs auch DNS- und/oder DHCP-Server sind, sollten natürlich noch weitere Schritte durchgeführt werden, aber einen Windows Server als reinen DC einzurichten ist echt einfach.

Schon bei Alternate steht folgendes: Das Kabel hat selbst keinen Chip o.Ä., der von USB auf HDMI umsetzt, sondern ist darauf angewiesen, dass der USB C-Anschluss auch den "DisplayPort alt Mode" unterstützt, was USB C-Anschlüsse bei normalen PCs nicht tun. Da wir dir aber die technischen Details einzeln aus der Nase popeln müssen, ist es echt schwer, da eine wirklich qualifizierte Aussage zu treffen. Also bitte mal Tacheles schreiben und detailliert alle Komponenten, die im PC verbaut sind, auflisten, dann können wir auch ein Produkt empfehlen, was bei dieser Hardware funktioniert.

Es muss noch nicht mal ein SIP-Trunk sein, das ginge z.B. auch mit einer Telefonanlage an einem ISDN-Anschluss in Mainz, wo sich dann VoIP-Clients aus Frankfurt und Berlin anmelden. Es kann aber auch eine VoIP-Telefonanlage in der "Cloud", wo sich alle Clients aus allen Standorten anmelden und eine Vorwahl erhalten haben. Das zweite ist allerdings "nur" ein spezieller Fall der allgemeinen Beschreibung, die @Chief Wiggumgegeben hat.

Prinzipiell können DC und DNS auf unterschiedlichen Servern eingerichtet sein, die Rollen können aber auch von den selben Servern übernommen werden, je nach Größe der Umgebung. Da es aktuell nur einen DC gibt, gehe ich von einer (sehr) kleinen Umgebung aus, die dementsprechend insgesamt relativ niedrige Anforderungen an die Leistung der DCs und DNS-Server stellt. Deswegen ist es da wohl eher nicht sinnvoll, DC und DNS zu trennen, da sich die Server, die diese Rollen beinhalten, wohl "langweilen" werden. Die DNS-Rolle kann vor oder nach dem Hochstufen zum DC installiert bzw. konfiguriert werden, da gibt es keine Abhängigkeiten in die eine oder die andere Richtung. Die Rollen kannst Du ja gleichzeitig installieren, anschließend den DNS-Server konfigurieren und zum Schluss den Server zum DC hochstufen. Wenn Du den DNS-Server konfigurierst und Forward- und Reverse-Lookup-Zonen einrichtest, wird ja ein Assistent aufgerufen. Da solltest Du alle Optionen durchlesen, dann solltest Du verstehen, welche Option verwendet werden muss, damit die beiden DNS-Server identische Einträge haben. Wichtig: sobald der zweite DNS-Server eingerichtet ist, sollten alle Geräte im Netzwerk so eingestellt werden, dass dieser zweite DNS-Server auch wirklich verwendet wird. Einerseits natürlich bei den Geräten, die statische IP-Adressen haben, andererseits sollte aber auch der DHCP-Server so eingestellt werden, dass in den Server- bzw. Bereichsoptionen beide DNS-Server eingetragen sind.

Sind die Treiber für Chipsatz und integrierte Grafik aktuell? Wie sind die Energieeinstellungen gesetzt? Wenn das immer nur nach einer Pause geschieht, hört sich das danach an als dass der PC z.B. in den Ruhezustand fährt und daraus nicht wieder ordentlich aufwacht. Das kann an Treiber- oder BIOS-Bugs liegen, deswegen dementsprechend erstmal schauen, ob das aktuell ist, und ob der Rechner nach einer gewissen Zeit ohne Aktivität automatisch in den Ruhezustand geht. Falls ja, das mal deaktivieren und beobachten, ob das weiterhin auftritt. Falls nicht, liegt es auf jeden Fall daran, ansonsten muss eben weiter geschaut werden.

Auf den laufenden Betrieb hat das keine Auswirkungen. Die Meldung sagt nur aus, dass Du danach keinen Exchange 2016 mehr aufsetzen kannst, was Du ja wohl auch nicht willst - wer würde denn einen Exchange 2016 aufsetzen, nachdem er eine aktuellere Exchange-Version aufgesetzt hat? Somit kannst Du das einfach durchführen und anhand der diversen vorhandenen Anleitungen im Netz migrieren.

Ich kenne UFW nicht, deswegen kann ich nur Hinweise geben, woran es liegen könnte. Kann WS-01 DNS-Namen auflösen, wenn UFW aktiviert ist, oder scheitert es schon daran? Kann GW-01 DNS-Namen auflösen, wenn UFW aktiviert ist? Muss vielleicht noch DNS ausgehend von GW-01 in Richtung Internet freigegeben werden, weil UFW eben auf GW-01 installiert ist und deswegen sowohl ein- als auch ausgehenden Verkehr kontrolliert? Was passiert, wenn Du Ping erlaubst? Kann aus dem internen Netzwerk die 192.168.0.126 angepingt werden, wenn UFW aktiv ist? Falls ja, kann z.B. die 8.8.8.8 (google DNS) angepingt werden? Falls ja, kann www.heise.de angepingt werden?

Wie ist die DNS-Auflösung eingerichtet? Stellt die UFW auch einen DNS-Server bereit und wenn ja ist WS-01 so eingerichtet, dass auch die 192.168.0.126 als DNS-Server verwendet wird? Oder stellt die UFW keinen DNS-Server bereit? In diesem Fall müsste dementsprechend nicht nur HTTP und HTTPS, sondern auch DNS in Richtung Internet erlaubt werden und WS-01 müsste dementsprechend einen oder mehrere DNS-Server im Internet nach der Namensauflösung befragen.

Wenn der VPN-Server die VLANs kennt, ist das natürlich möglich. Bei VoIP-Telefonanlagen und Home-Office-Arbeitsplätzen mit Softphones auf den PCs/Notebooks im Home-Office müssen sogar die Home-Office-Arbeitsplätze untereinander direkt kommunizieren können, sonst funktioniert eine Verständigung meistens nicht. Da Du es aber bisher nicht für nötig erachtet hast, irgendetwas zur verwendeten Hard- und Software sowie zum Netzwerkaufbau mitzuteilen, können wir unmöglich sagen, ob das mit dem, was vorhanden ist, realisierbar ist.

"-command" braucht nicht eingetragen zu werden, da reicht einfach das Programm powershell.exe mit Argument C:\Poolverwaltungsskript.ps1, also folgendermaßen: Ich würde das Script allerdings auch nicht in das root-Verzeichnis von C:\ packen, sondern eher in ein dediziertes Script-Verzeichnis (also C:\Scripte oder noch besser auf eine andere Partition). Funktionieren sollte das auch so, im root-Verzeichnis der Systempartition hat so etwas aber eigentlich nichts zu suchen.

Mit /MIR werden Dateien und Verzeichnisse, die mal in C:\Test lagen und dort gelöscht wurden, in E:\Test ebenfalls gelöscht. Beim ersten Ausführen des Befehls, wenn der Ordner E:\Test noch nicht existiert, kann der Schalter aber verwendet werden. Mit /r:0 und /w:0 werden Dateien, die zu dem Zeitpunkt nicht kopiert werden können (z.B. weil sie gerade offen sind), gar nicht kopiert, da würde ich eher /r:5 und /w:1 einstellen, damit zumindest fünf Mal innerhalb von fünf Sekunden versucht wird die Datei erneut zu kopieren. Um einfach nur den Ordner inklusive Unterordner von C nach E zu kopieren, ohne dass Dateien bei einem erneuten Ausführen des selben Befehls aus E gelöscht werden, reicht robocopy C:\Test E:\Test /E aus. Ich persönlich hänge gerne noch /NP und /V an und ggf. noch ein /Log+:<Dateiname>, damit die unnötigen Prozentangaben unterdrückt werden und im Nachhinein in einem Protokoll geprüft werden kann, ob irgendwelche Dateien übersprungen wurden.

Solange der Router, der die Internetverbindung aufbaut, nicht mit VLANs umgehen kann, sind alle Geräte, die hinter diesem Router stehen, prinzipiell in einem logischen Subnetz. Wie sollen denn die unterschiedlichen VLANs, die auf dem hypothetisch einzurichtenden managed Switch konfiguriert sind, mit dem Internet kommunizieren, außer über das eine Subnetz der Fritzbox? Dann muss der Switch ja zwischen dem neu einzurichtenden VLAN für die DMZ und dem Fritzbox-Netzwerk routen, und da halbwegs günstige Switches keine Firewall-Funktionen haben, sondern einfach alles zwischen den VLANs durchlassen, sobald sie zwischen VLANs routen, bringt das sicherheitstechnisch nichts. Du könntest mit zwei weiteren Routern, die jeweils mit dem WAN-Port an einem LAN-Port der Fritzbox angeschlossen sind, zwei separate Subnetze aufbauen. Diese wären über die Firewalls der beiden Router gegeneinander abgeschirmt, das ist dann aber wiederum ziemlich aufwändig einzurichten, wenn Du vom ersten in das zweite Netzwerk Verbindungen zulassen willst, vom zweiten in das erste Netzwerk aber nicht.

Gegenfrage: wenn es schon eine DMZ gibt, gibt es ja wohl auch eine halbwegs anständige Firewall, richtig? Falls ja, was für eine ist das? Viele Firewalls haben auch Reverse Proxy-Funktionen, die aber nicht immer so heißen, bei Sophos UTM heißt das z.B. Webserver Protection, das sind aber meistens separat zu lizenzierende Komponenten, falls nicht eine Lizenz mit allen Komponenten gekauft wurde.

Das sind viel zu wenige Infos, um eine gezielte Fehlersuche durchzuführen... Welche Exchange- und welche Outlook-Version ist im Einsatz? Ist das Outlook im Cached-Modus oder ohne Cached-Modus eingerichtet? Ist der Rechner der Kollegin direkt im selben Netzwerk wie der Exchange-Server oder z.B. per VPN (Einwahl oder Site-to-Site) verbunden? Handy heißt Android oder iPhone? Wurden die Profile (im Outlook und im Smartphone) schon mal neu eingerichtet? Die Daten sind ja im Exchange, somit gehen bei einer Neueinrichtung der Profile keine Daten verloren außer vielleicht Einstellungen, welche Signatur verwendet werden soll.

Dokumentation ist etwas, was zu so einer Arbeitsstelle dazugehört, auch ohne dass es explizit im Arbeitsvertrag steht, auch wenn Dokumentation natürlich langweilig ist. Was wäre gewesen, wenn Du einen Unfall gehabt hättest oder schwer krank geworden wärst anstatt gekündigt hättest? So wie Du es aktuell darstellst ist die Firma ohne dein Wissen aufgeschmissen. Auch wenn es für den Arbeitnehmer eine Sicherheit ist, praktisch nicht gefeuert werden zu können, gibt es doch eine Verantwortung dem Arbeitgeber gegenüber, nicht sein gesamtes Wissen für sich zu behalten, auch wenn die anderen Arbeitnehmer keinen Bock haben, dieses Wissen aufzunehmen. Dafür ist eine schriftliche Dokumentation da, damit die Leute, die sich mit den Systemen auseinandersetzen (müssen), nicht so davor stehen wie Du vor 1 1/2 Jahren. Nichtsdestotrotz hat natürlich auch der Arbeitgeber auch eine Verpflichtung dem Arbeitnehmer gegenüber, aber wenn ich die folgenden beiden Sätze lese, hört es sich danach an als dass dein (baldiger Ex-) Chef dieser Verpflichtung nicht nachgekommen ist: Ich fürchte, dass das böse enden wird. Auch wenn Du schon einen neuen Arbeitsvertrag hast und dir somit das Arbeitszeugnis für diese neue Stelle irrelevant ist, könnte das Arbeitszeugnis, was Du von deinem jetzigen Arbeitgeber erhältst, nicht allzu vorteilhaft aussehen. Da würde ich schon mal vorsorglich die Kunden, die dir mitgeteilt haben, dass dein Chef schlecht über dich redet (und auch dir wohlgesonnene Kollegen), "warm halten", um gegen ein schlechts Arbeitszeugnis anzugehen. Ich würde wie von den anderen geschrieben nur noch die Dokumentation der unternehmensspezifischen Informationen anfertigen, mir das bestätigen lassen und so einen sauberen Abgang machen. Mehr brauchst und kannst Du nicht mehr machen, dein Chef ist sowieso nicht gut auf dich zu sprechen, das wird in den nächsten zwei Wochen mit Sicherheit auch nicht besser, egal wie Du dich verbiegst.

Der Thread wird in gut einem halben Jahr volljährig...

Auch wenn die Frage eigentlich schon beantwortet wurde, würde ich das nicht so durchführen. Durch die mehrfache Rekonstruktion des RAID 5 werden die alten Festplatten stark belastet, dadurch ist die Ausfallwahrscheinlichkeit höher. Hast Du aktuell schon ein Backup von den Daten, die auf dem NAS gespeichert sind? Falls nicht, würde ich in diesem Zuge eine große USB-Festplatte anschaffen, die Daten komplett dort sichern, das alte RAID auflösen, alle neuen Platten auf einmal einbauen, ein neues RAID aufbauen und dann die Daten wieder zurückspielen. Im Anschluss daran kannst Du die USB-Festplatte ein Mal in der Woche (oder je nach Bedarf öfter oder seltener) anschließen und nach der Sicherung in einem anderen Brandabschnitt (Keller/Dachboden/Firma) lagern.

Die Desktop-Programme von VMWare (Player und Workstation) unterstützen keine dedizierte Durchreichung von Hardware wie es ESXi kann, es wird nur Hardware emuliert und die Befehle, die vom Gastbetriebssystem kommen so übersetzt, dass die Treiber des Hostbetriebssystems die verstehen. Die VMWare SVGA 3G-GPU ist auch so eine emulierte Hardware, es kann allerdings die 3D-Fähigkeit des Grafikchips für virtuelle Maschinen aktiviert werden: https://docs.vmware.com/en/VMware-Workstation-Player-for-Windows/15.0/com.vmware.player.win.using.doc/GUID-DB7C4F11-1588-4DD3-BB1F-FBABFA570E3A.html Es muss allerdings auch sichergestellt werden, dass der VMWare Player den NVidia-Chip nutzt, denn die Intel-Grafik ist für solche Dinge definitiv nicht ausgelegt. Da ich aber mit den Einstellungen des NVidia-Treibers und mobilen Workstations mit mehreren Grafikchips keine Erfahrung habe, kann ich dazu wenig sagen. Vielleicht mal schauen, ob die aktuellsten Treiber installiert sind, mehr kann ich aktuell nicht vorschlagen.

OK, dann kann ich meine limitierten Erfahrungen dagegen setzen, denn wir haben viele Kunden, die vernünftige virtuelle Umgebungen haben, entweder normale Cluster mit bis zu 1,5 TB RAM pro Host oder sogar Cisco HyperFlex/Dell VxRail. Vor allen Dingen helfen slche Verallgemeinerungen dem Fragesteller keinen Meter weiter...

🤣 Lustige Aussage, auf was basiert die denn? Wahrscheinlich nicht unbedingt auf eigenen Erfahrungen oder wenn dann nur auf limitierten Erfahrungen mit Kunden, die vielleicht vom Vorgänger-Dienstleister schlecht beraten wurden... Zum Thema: da Du deine Fähigkeiten im Vorfeld kommuniziert hast und Du mit Veeam wohl noch keine Erfahrungen gemacht hast, ist es wahrscheinlich am besten, ein Grobkonzept anhand deiner Erfahrungen mit anderer Datensicherungssoftware zu erstellen. Wenn das nicht genug sein sollte, könnte die Arbeitsstelle selbst im Endeffekt ähnlich sein und die ist evtl. nur etwas für Masochisten...

Ich verstehe leider die Ausgangslage nicht, denn "Masterdokument" und "Filialdokument" sind keine festgelegten Begriffe und können somit alles mögliche sein, je nachdem wie man es definiert... Was zeichnet dein "Filialdokument" aus? Ist es richtig, dass es in einem Word-Dokument mehrere gleichartige Abschnitte gibt (z.B. externe IP-Adressen, interne Subnetze, Firewall-Regeln etc.), die jedoch je nach Filiale mit unterschiedlichen Daten gefüllt sind? Wie soll das "Masterdokument" aussehen? Sollen da dann nicht die gleichartigen Abschnitte mehrfach vorkommen, sondern jeder Abschnitt nur ein Mal und innerhalb dieser Abschnitte dann die Daten aller Filialen zusammengefasst werden? Bitte detailliert ausführen, wie die Ist-Situation und was die Soll-Situation aussehen sollen.

Ich hatte gehofft, dass das irgendwie automatisch gehen könnte... OK, da hätte ich präziser fragen müssen, um nicht so eine Antwort zu erhalten... Ja, das vCenter ist eine VM, daran hatte ich gar nicht gedacht, dass das dann auch down ist... 😐 Zum Glück gibt's da nur Standard-vSwitches. Ja, prinzipiell schon, das läuft aber in diesem Falle als vCSA.

Das musst Du ja auch gar nicht, es reicht ja, wenn Du mir auf die Sprünge helfen kannst, wie die VMWare-Hosts im Fall eines Ausfalls der primären Storage auf die iSCSI-Targets der sekundären Storage zugreifen können. Ich arbeite auch nicht für Microsoft, VMWare, Veeam, HP, Dell etc. und habe trotzdem Ahnung von den Produkten und wie die eingerichtet und administriert werden.

Ja, die Hosts sind auf die Serverräume aufgeteilt. Du fragst Fragen - ich gehe davon aus, dass das in der Verwaltungsoberfläche irgendwo angezeigt werden kann, was lizenziert ist, oder? Wie geschrieben, mit NetApp kenne ich mich (noch) nicht aus. Ja, Veeam ist im Einsatz, wieso? Wie oben geschrieben - Du fragst Fragen... xD Es wurde halt so eingerichtet und nicht dokumentiert, deswegen kenne ich diese Hintergründe leider nicht.