kratzbär

da kommen gewachsene Strukturen aufeinander und die üblichen Affinitäten der überaus IT-technisch gewandten Geschäftsleitung... wenn die Herren (und Damen) darauf bestehen, ihre Clientdrucker in die Sitzung zu bekommen, kann man schlecht auf Protokollebene genau das verhindern. Und wenn dann ein SYS aus einer entfernten Sitzung einen Bubblejet oder noch schlimmeres angeschlossen hat, ist es schnell passiert... *bumm* TS17, bitte plattmachen! wir haben prinzipiell schon etliche der administrativen Rollen auf getrennte Gruppen delegiert, und längst nicht jeder, der Benutzer anlegen oder Gruppenordner verwalten darf, ist auch Admin auf den TSsen, aber mich jedesmal für jede Aktion mit dem passenden Account und den minimal nötigen Rechten anzumelden, übersteigt eine gewisse Eigenart aller Administratoren... : Ihre Faulheit!!! und da man im Tagesgeschät eigentlich immer lokaler Admin sein muß auf den meisten Servern, ist es einfacher, denen gewisse Sachen zu VERWEIGERN, als aus einem DAU-Account einen arbeitsfähigen Admin für alle nötigen Zwecke zu machen. Im Gegensatz zum allgemeinen Geschrei gefallen mir die VERWEIGERN Einstellungen nämlch sehr, wurscht woher der kommt und vielleicht in irgendeiner Gruppe oder ACL steht, die ihn machen läßt was ich nicht will, wenn ich es auf der Ressource VERWEIGERE, ist halt zappen... das ist schön :p lieber nehme ich mir selbst gezielt die riskantesten Rechte und mach dann nötigenfalls "runas", aber viel weiter soll der Aufwand eigentlich nicht gehen :cool: Die Frage zielte ja auch darauf ab, warum einerseits jeder Registryschlüssel oder jeder Dateileiche eine eigene ACL haben, andererseits die ziemlich umgreifende Druckertreiberinstallation nicht granular berechtigt werden kann...

Salü, es wird bestimmt auch anderen so gehen, dass Eure Drucker spinnen, weil mal wieder ein Admin auf dem Teminalserver war und über Clientprinter dumme Treiber eingeschleppt hat, oder auch einfach die Standardwerte eines Druckers geändert hat, anstatt die seiner Sitzung. Wir haben, um dies zu unterbinden jetzt auf allen Printservern und allen Druckern den "Administratoren" das Verwaltungesrecht genommen, so weit so schön, auch ein verwirtter Sys stellt jetzt nichts mehr an den betehenden Druckern kaputt... Trotzdem kann er ja nach wie vor neue Drucker installieren und dabei den Printserver oder gar Terminalserver *gründlichst* massakrieren, wie Ihr sicherlich aus eigener Erfahrung wisst... Aber bitte wo ist die standardmäßige Zuordnung, Policy, ACL oder was auch immer, was definiert dass Administratoren und Druckoperatoren neue Drucker installieren dürfen und DAUs nur, wenn es in der GPO erlaubt ist... Bräuchte einen Tip für 2003 R2 Enterprise und 2008 R2 Terminalserver. Auf den 2003ern ist auch Citrix PS4.0 drauf, auf den 2008ern XenApp 6. Irgendwo muss es doch so ein "NoDamnAdminShouldInstallPrintersOnThisServer"-flag geben... dieses Recht soll einem speziellen AD Benutzer "Druckerfachmann" vorbehalten sein... any idea? appreciate your answers...

Folgendes Phänomen trat zunächst bei einem, jetzt bei mehreren meiner Server auf: - Der Server reagiert urplötzlich nicht mehr auf RDP - Der Server ist anpingbar - remote Computerverwaltung, Ereignisanzeige, etc. geht auch nicht - an der Console ist der Bildschirm grau, Maus geht, aber kein Anmeldeschirm Alle Server sind 2k3 R2 mit SP2 und ziemlich aktuellem Patchlevel. Zunächst betraf es 2 Terminalserver, dann auch den Virtuellen Host (Virtual Server) und jetzt auch den Telefonieserver (Swyx). Merkwürdig dabei ist, daß sowohl die VMs auf dem Virtuellen Host als auch die Telefonie an sich weiterlaufen, der Server ist halt jeweils nicht mehr administrierbar. Nach einem harten Neustart ist alles erst mal wieder gut, jedoch tritt der Zustand teiweise schon nach einem Tag erneut ein. Die Eventlogs geben nichts her, außer der Meldung für den harten Neustart. Wer kann helfen??

Hallo miteinander! Ich sichere meinen Exchange Server mit BE12. Per Regelvorlagen wird zunächst eine Vollsicherung des Mailstores und der Public Folder auf eine lokal am Medienserver angeschlossene Platte erstellt und danach ein Duplikat dieses Sicherungssatzes auf einen UNC Pfad in einer anderen Etage. Schon bevor ich die 2. Stufe etabliert hatte, habe ich mich gewundert, daß auf der lokalen Platte im B2D Verzeichnis keine .bkf Dateien mit der gesamten Exchange Sicherung landen, sondern IMGxxx Ordner mit .edb und .stm Files darin, also quasi "wegkopierte" Datendateien. Bei der neuerdings eingeführten Zweitsicherung jedoch landen genau die vermißten .bkf Dateien im B2D Ordner, was mich jetzt schon etwas wundert. Der Originalsicherungssatz besteht aus einzelnen Dateien in IMGxxx Ordnern, seine direkt in Anschluß erstellte Kopie jedoch sind .bkf Files... Aus beiden Quellen kann ich übrigens einzelne Postfächer oder sogar einzelne Mails problemlos wiederherstellen, trotzdem wundert ich diese unterschiedliche Umsetzung... Jemand 'ne Idee?

Es wurde ein paar tage zuvor ein ordnerziel aus einem Replkationssatz entfernt, allerdings ohne die replikation wiklich auszuschalten. ich hatt dann bei Healtch check immer fehler "Die leistungsindkatoren können nicht abgerufen werden" , und zwar auf dem server , wo der Ordner (aus platzgründen) entfernt wurde. Das sah mir schon danach saus, als gäbe es sie Verbindungen noch aber das Ziel nicht mehr. Kann das sowas verursachen, vor allem erst etliche Tage später?

Ich habe 3 Fileserver an 3 Standorten, auf denen u.a. Homeverzeichnisse repliziert werden (FullMesh). Gestern meldeten 2 der Server beinahe zeitgleich, der Staging-Speicher wäre voll und starteten den Aufräumvorgang (event 4202). Eine gute halbe Minute später kam Event 4204, das Aufräumen sei erfolgreich. Jedoch waren kurz danach auf beiden Servern die Inhalte der replizierten Ordner weg, als wären sie gelöscht worden. Nur auf dem dritten Server, der den Aufräumvorgang nicht gemacht hatte, waren die Daten noch vorhanden. Ich habe die Replikation sofort ausgeschaltet, um die Daten am letzten Standort nicht auch noch zu verlieren. Jetzt ist mein Vertrauen in die DFS-R-Kiste leicht erschüttert. Woran kann es liegen, dass Daten in den replizierten DFS-Zielen "Wegrepliziert" werden?

... ist mir in grauer Vorzeit schon mal begegnet der Squid, sollte machbar sein... Welches Monitoring-Tool? Inwiefern Rechte? Ich will keine Inhalte monitoren, sondern Bandbreitenanteile für verschieden Protokolle zwischen verschiedenen Endpunkten/Netzen Transparent klingt gut, der Trick muss sein, dass der "Sniffer" Netzseitig unter der IP des Routers auftritt, und sie am anderen Interface an den Router schickt, welcher seine IP ebenfalls behalten muß. Dazu ist es wohl oder über notwendig, dass der Sniffer vom Router kommende Pakete an jedwede IP des lokalen Netzes annimmt, ebenfalls entsprechend zählt und dann ins echte Netz weiterschickt... etwas kompliziert aber so könnte man den Sniffer an jedem Standort bei Bedarf einfach vor den Router stecken, ohne irgendwelche Eingriffe machen zu müssen... Ob das geht?

Moin! Ich benötige einen Traffic Analyser, den ich in die LAN Verbindung eines WAN Routers "einschleifen" kann. Er soll auf einem Interface auf der IP des eigentlichen Routers liegen, dort die Pakete, die an den Router gehen zählen, zuordnen, etc und dann transparent vom anderen Interface aus an den echten Router weiterleiten, der optimalerweise seine echte IP ebenfalls behält, daher 2 Interfaces... Im Gegensatz zu gängigen Analysern, die zumeist auf SNMP Outputs der Router angewiesen sind, kann man damit jeden Traffic selektiv messen, und natürlich auf regeln, aber das ist im Moment nicht gefragt. Die Umsetzung stelle ich mir als eine Art Fli4l Router vor, bin mir aber nicht sicher, ob es auf dieser Basis realisierbar ist. Ziel ist lediglich das Monitoren der Pakete nach Firewall-ähnlichen Aspekten (Von-IP/Nach-IP,Port, Protokoll etc) und die anschließene Auswertung der Trafficanteile nach Anwendungen, ICA, RDP, SMB, Replikation, Telefonie etc... von und nach und in alle Richtungen Wie gesagt, möglichst ohnen Eingriff in die jeweils bestehende Infrastruktur... Hat jemand einen konkreten Ansatz, Lösung, Dunst, was ich dafür nehmen könnte? Besten Dank vorab...

Mit weiteren TSsen erschlag ich das Problem nicht, ich werde von den 5 Stück am ersten Standort eher 1 oder 2 aus dem Load nehmen, weil die nur Strom fressen und sich ansonsten ziemlich langweilen... Kriegst Du denn auf jeden Schrei hin einen Scheck ausgestellt? Beneidenswert...

Hast nicht Unrecht vom Prinzip her, aber das klappt alles nicht immer auf Anhieb. 45 Sessions sind eigentlich nicht so schlimm, ich fahre im Moment umfangreiche Perfmons auf den Servern, wir haben eine mittlere CPU Last um die 30%. Da ginge noch eine Menge. Da die Server aber nur 8 GB RAM haben, passen nicht mehr allzu viele Extrasessions rauf. Ans Swappen will ich die Dinger nun wirklich nicht kommen lassen, also skalier ich die Benutzer so, dass mal noch knapp 2GB immer frei bleiben... Läuft an sich hervorragend, aber wir alle kennen es, dass irgend eine App plötzlich das Spinnen anfängt... am liebsten wäre mir, ich hätte ein ähnliches Tool für den Speicher, dann hätte man einen wirklich seidenweichen Betrieb... Dafür muß mann dann aber gut löhnen (Appsense) und da wären wir wieder beim Eingangsproblem... Die Gelddruckmaschine im Keller sei defekt, heißt es immer...

Tja, so was grunsätzlich anderes sind Terminalserver ja nun auch nicht... :shock: Ich finde es jedenfalls nützlich, wenn mir kein beklopptes Outlook oder ein Adobe Reader 45 Sessions gleichzeitig lahmlegt, bzw. höchstens einige Sekunden lang, weil er dann gebremst wird... Natürlich hätte ich lieber nur Systeme mit opulenter Hardware, ausschließlich hervorragend programmierten Applikationen und verantwortungsbewußten Usern... aber die Realität sieht nunmal anders aus... oder?

Also die URL ist: ThreadMaster Home Das Tool ist weitab von Scripting. Es regelt die Prozess-Steuerung von Windows Servern, indem es die zugebilligte Prozessorzeit nach festen Regeln limitiert. Unschätzbar wertvoll auf Terminalservern, wo ansonsten ein einzelner Prozess eines Benutzers den ganzen Server lahmlegen kann. Es sind auch ein paar Artikel hier im Forum, aber keiner, der sich tiefer damit befasst. Daher meine Anfrage. Ich finde, Threadmaster lohnt sich für jeden, der dicht bepackte Terminalserver betreibt, aber kein Budget für Appsense oder ähnliches bekommt. Freeware, im laufenden Betrieb installierbar, jederzeit ein/ausschaltbar, habe sehr gute Erfahrungen damit gemacht... Scheinen hier nur wenige zu kennen...

Na halt von Threadmaster, Prozess-Steuertool, mit dem man die CPU-Anteile einzelner Prozesse steuern kann. Das Logging macht er jetzt übrigens richtig, was mich immer noch interessiert, ist die Sample-Time, die bestimmt wie lange ein Prozess über der zugestandenen Prozentzahl CPU Zeit liegen muss, bis er abgedreht wird... da sind mir 10 Sek zu lang, hätte lieber 5 oder 3, aber das macht er erstmal nicht mit...

Moin! Bei mir wird nur das ActionStop Script getriggert, und zwar korrekterweise dann, wenn ein geclampter Prozess endet. Das ActionStart Script jedoch wird nicht getriggert, wenn ein Prozess ins Clamping kommt. Das Clamping an sich funktioniert genau nach Parametrisierung, nur kommt kein Start-Trigger. Weitere Frage: Hat mal jemand herausgefunden, ob und wie man die MainSampleTime unter 10 Sekunden drücken kann? :confused:

Klingt plausibel und entspricht meiner Vermutung. Dann müsste es ja reichen, den Move auf dem Ziel-Xchg Server zu initiieren. Wenn der was im AD ändert, sollte er es ja auf einem insite-DC tun. Da es nur einen pro Site gibt... (alles GCs) Werde das mal gemütlich testen... THX a lot